Hva er en hendelsesplan?

Selv de mest sikrede sikkerhetssystemene er ikke unntatt fra cyberangrep, enn si de som ikke er sikret. Cyberangrep vil alltid prøve å bryte seg inn i nettverket ditt, og det er ditt ansvar å stoppe dem.

I møte med en slik trussel, teller hvert sekund. Enhver forsinkelse kan avsløre dine sensitive data, og det kan være enormt skadelig. Svaret ditt på en sikkerhetshendelse gjør forskjellen. En Incident Response (IR) -plan lar deg være rask i å skyve tilbake mot inntrengere.

Hva er en hendelsesplan?

En hendelsesresponsplan er en taktisk tilnærming til å håndtere en sikkerhetshendelse. Den består av prosedyrer og retningslinjer for forberedelse, evaluering, inneslutning og gjenoppretting fra en sikkerhetshendelse.

Nedetiden organisasjonen din lider på grunn av en sikkerhetshendelse kan vare, avhengig av hendelsen. En hendelsesresponsplan sikrer at organisasjonen din hopper tilbake på beina så snart som mulig.

I tillegg til å gjenopprette nettverket til det det var før angrepet, hjelper en IR -plan deg med å unngå at hendelsen oppstår igjen.

Hvordan ser en hendelsesplan ut?

En hendelsesresponsplan er mer vellykket når de dokumenterte instruksjonene følges til sistnevnte. For at det skal skje, må teamet ditt forstå planen og ha de nødvendige ferdighetene for å utføre den.

Det er to store hendelsesresponsrammer som brukes til å håndtere cyber -trusler - NIST- og SANS -rammeverk.

Et statlig organ, National Institute of Standards and Technology (NIST), spesialiserer seg på ulike områder av teknologi og cybersikkerhet er en av kjernetjenestene.

NIST hendelsesresponsplanen består av fire trinn:

1. Forberedelse.
2. Deteksjon og analyse.
3. Innesperring, utryddelse og gjenoppretting.
4. Aktivitet etter hendelsen.

En privat organisasjon, SysAdmin, Audit, Network and Security (SANS) er kjent for sin ekspertise innen cybersikkerhet og informasjonstrening. SANS IR -rammeverket brukes populært innen cybersikkerhet, og det innebærer seks trinn:

1. Forberedelse.
2. Identifikasjon.
3. Begrensning.
4. Utryddelse.
5. Gjenoppretting.
6. Leksjoner lært.

Selv om antall trinn som tilbys i NIST- og SANS IR -rammene er forskjellige, er begge like. For en mer detaljert analyse, la oss fokusere på SANS -rammeverket.

1. Forberedelse

En god IR -plan begynner med forberedelser, og både NIST og SANS rammeverk anerkjenner dette. I dette trinnet går du gjennom sikkerhetstiltakene du har på stedet for tiden og effektiviteten.

Gjennomgangsprosessen innebærer en risikovurdering av nettverket ditt til oppdage eventuelle sårbarheter som kan eksistere. Du må identifisere IT -eiendelene dine og prioritere dem deretter ved å gi systemene som inneholder dine mest sensitive data størst betydning.

Å bygge et sterkt team og tildele roller til hvert medlem er en funksjon av forberedelsesstadiet. Tilby alle informasjonen og ressursene de trenger for å reagere på en sikkerhetshendelse umiddelbart.

2. Identifikasjon

Etter å ha skapt det riktige miljøet og teamet, er det på tide å oppdage eventuelle trusler som kan eksistere i nettverket ditt. Du kan gjøre dette med bruk av trussel intelligens feeder, brannmurer, SIEM og IPS for å overvåke og analysere dataene dine for indikatorer på angrep.

Hvis et angrep oppdages, må du og teamet ditt bestemme angrepets art, dets kilde, kapasitet og andre komponenter som er nødvendige for å forhindre brudd.

3. Begrensning

I inneslutningsfasen er målet å isolere angrepet og gjøre det maktesløst før det forårsaker skade på systemet ditt.

Å inneholde en sikkerhetshendelse effektivt krever en forståelse av hendelsen og graden av skade den kan forårsake systemet ditt.

Ta sikkerhetskopi av filene dine før du starter inneslutningsprosessen, slik at du ikke mister sensitive data i løpet av den. Det er viktig at du beholder rettsmedisinske bevis for videre etterforskning og juridiske spørsmål.

4. Utryddelse

Utryddelsesfasen innebærer fjerning av trusselen fra systemet ditt. Målet ditt er å gjenopprette systemet til tilstanden det var i før hendelsen skjedde. Hvis det er umulig, prøver du å oppnå noe nær den tidligere tilstanden.

Å gjenopprette systemet kan kreve flere handlinger, inkludert å tørke harddiskene, oppgradere programvareversjoner, forhindre rotårsaken og skanne systemet for å fjerne skadelig innhold som kan eksistere.

5. Gjenoppretting

Du vil forsikre deg om at utryddelsesfasen var vellykket, så du må utføre flere analyser for å bekrefte at systemet er fullstendig ugyldig for trusler.

Når du er sikker på at kysten er klar, må du teste systemet ditt som forberedelse til at det kan gå live. Vær nøye med nettverket ditt selv om det er live for å være sikker på at ingenting er galt.

6. Lært en lekse

Å forhindre at et sikkerhetsbrudd gjentar seg innebærer å ta hensyn til tingene som gikk galt og rette dem. Hvert trinn i IR -planen bør dokumenteres da den inneholder viktig informasjon om mulige lærdommer som kan læres av den.

Etter å ha samlet all informasjon, bør du og teamet ditt stille deg noen viktige spørsmål, inkludert:

• Hva skjedde egentlig?
• Når skjedde det?
• Hvordan taklet vi hendelsen?
• Hvilke skritt tok vi i svaret?
• Hva har vi lært av hendelsen?

Beste fremgangsmåter for en hendelsesplan

Å vedta enten NIST- eller SANS -hendelsesplanen for hendelser er en solid måte å takle nettrusler på. Men for å få gode resultater er det visse praksiser du må opprettholde.

Identifiser kritiske eiendeler

Cyberangrep går for drapet; de retter seg mot de mest verdifulle eiendelene dine. Du må identifisere dine kritiske eiendeler og prioritere dem i planen din.

I møte med en hendelse, bør din første anløpshavn være din mest verdifulle ressurs for å forhindre angripere fra tilgang til eller skade dataene dine.

Etablere effektive kommunikasjonskanaler

Kommunikasjonsflyten i planen din kan lage eller bryte din responsstrategi. Sørg for at alle involverte har tilstrekkelig informasjon til enhver tid for å iverksette passende tiltak.

Det er risikabelt å vente på at en hendelse skal skje før du effektiviserer kommunikasjonen. Å sette det på plass på forhånd vil skape tro på teamet ditt.

Hold det enkelt

En sikkerhetshendelse er utmattende. Medlemmer av teamet ditt vil sannsynligvis være hektiske og prøve å redde dagen. Ikke gjør jobben deres vanskeligere med komplekse detaljer i IR -planen din.

Hold det så enkelt som mulig.

Selv om du vil at informasjonen i planen din skal være lett å forstå og utføre, må du ikke vanne den med overgeneralisering. Lag spesifikke prosedyrer for hva teammedlemmer skal gjøre.

Lag spillbøker for hendelsesrespons

En skreddersydd plan er mer effektiv enn en generisk plan. For å få bedre resultater må du lage en IR -spillbok for å håndtere de forskjellige typer sikkerhetshendelser.

Lekeboken gir svarlaget ditt en trinnvis veiledning om hvordan du håndterer en bestemt cyber-trussel grundig i stedet for å berøre overflaten.

Test planen

Den mest effektive innrykkingsresponsplanen er en som kontinuerlig testes og sertifiseres for å være effektiv.

Ikke lag en plan og glem den. Gjennomfør sikkerhetsøvelser med jevne mellomrom for å identifisere smutthull som cyberangrepere kan utnytte.

Vedta en proaktiv sikkerhetsmetode

Cyberangrep tar enkeltpersoner og organisasjoner uvitende. Ingen våkner om morgenen og forventer at nettverket deres blir hacket. Selv om du kanskje ikke ønsker deg en sikkerhetshendelse, er det en mulighet for at det vil skje.

Det minste du kan gjøre er å være proaktiv ved å lage en hendelsesresponsplan bare i tilfelle cyberangrep velger å målrette mot nettverket ditt.

Hva er cyberutpressing og hvordan kan du forhindre det?

Cyber ​​-utpressing utgjør en betydelig trussel mot din online sikkerhet. Men hva er det egentlig, og hvordan kan du sikre at du ikke er et offer?

Les neste

Om forfatteren