Biztonsági incidensmegoldási terv definiálása

  • 8 perc

A kibertámadások és biztonsági incidensek súlyos fenyegetést jelentenek az üzletre nézve. Minden szervezetnek rendelkeznie kell egy előkészített incidenskezelési tervvel. Ez a terv olyan biztonsági fenyegetésekkel foglalkozik, amelyek hatással vannak az ügyfelek szolgáltatásnyújtási képességére, vagy veszélyeztetik a privát/ügyféladatok védelmét.

Miből áll egy incidensmegoldási terv?

Az incidenskezelési terv (IRP) segítségével azonosíthatja és minimalizálhatja a biztonsági támadások okozta károkat és költségeket. A terv azt is bemutatja, hogyan háríthatja el a támadás okát. A jól megtervezett IRP részletes útmutatást nyújt az incidensek kezeléséhez. Biztosítja, hogy a biztonsági csapat meghatározott eljárásokkal válaszoljon, hogy a megfelelő személyek vegyenek részt, és hogy a megfelelő kommunikációs csatornákat tájékoztassák.

Incidensmegoldási terv létrehozása

Az amerikai Országos szabványügyi és technológiai intézet (National Institute of Standards and Technology, NIST) szabványos útmutatót bocsát ki a biztonsági incidensek kezeléséhez. Ez a dokumentum nagyszerű eszköz arra, hogy segítsen a szervezetnek létrehozni a választervét , mielőtt jelentős támadás következne be. Ne feledje, hogy minden szervezet más, és hogy az általuk védett adat- és szolgáltatástípusok nagyban befolyásolják a tervet.

Ez több lépésből áll:

  1. Incidensmegoldó csapat létrehozása
  2. A terv gyakorlása
  3. A terv felülvizsgálata

Incidensmegoldó csapat létrehozása

Az IRP létrehozásának egyik legfontosabb lépése a számítógépes biztonsági incidensekre reagáló csapat összeállítása. Ez a csapat a vállalat több területéről származó tagokból áll, többek között a következőkből:

  • Ügyvezető: A vezetőségi csapatnak olyan képviselője kell, hogy legyen, aki képes kommunikálni és frissíteni a vezetőséget a biztonsági incidens során és után.

  • IT: Az informatikai részlegnek részt kell vennie az IRP-k létrehozásában és végrehajtásában.

  • Kommunikáció: A vállalat különböző embereit tájékoztatni kell a biztonsági incidensről. Szükség lehet arra is, hogy tájékoztassa az ügyfeleket vagy akár a sajtót a jelentős adatszivárgásokról. A kommunikációs és a PR-csapat tagjainak is részt kell venniük az incidens megoldásában, hogy elkészítsék a közleményeket.

  • Jogi: A jogi részlegnek részt kell vennie a tervezésben annak biztosítása érdekében, hogy az adatkezelés jogi megfelelősége és szabályozási követelményei teljesüljenek. Ők az incidens kezelés során és az után is adhatnak tanácsokat.

A terv gyakorlása

Az incidensmegoldási terv kialakítása után a csapatnak gyakorlatokat kell tartania, amelyek során alaposan tesztelik a tervet. Ezek a gyakorlatok segítenek azonosítani a hiányosságokat és a problémás területeket, hogy azok kezelhetők legyenek, mielőtt valódi biztonsági fenyegetés merül fel. A csapatnak feszült helyzetben is gyorsan kell reagálnia, ezért a tervnek egyértelműnek és mindenki által ismertnek kell lennie.

A terv felülvizsgálata

Az incidensmegoldási tervet rendszeresen ki kell értékelni abból a szempontból, hogy továbbra is értelmezhető-e, a megfelelő résztvevők bevonását írja-e elő, és lefedi-e a vállalati kiszolgálókhoz és adatokhoz meghatározott területeket. Ezen felül az incidensmegoldási csapat minden tagjának rendszeresen át kell tekintenie a tervet, hogy tisztában legyenek a saját feladataikkal egy incidens esetén, és éles helyzetben is hatékonyan tudjanak reagálni.

Az incidensmegoldás fázisai

Már volt szó arról, hogy az NIST olyan útmutatást ad a számítógépes biztonsági incidensekhez, amelyet a vállalatok felhasználhatnak az megoldási terv kidolgozásához. Ez az útmutató a biztonsági reagálás négy elsődleges fázisát írja le, amelyeket meg kell tervezni.

Az alábbi ábra ezt a négy, az NIST által meghatározott fázist szemlélteti. Az itt megadott leírások egyszerű összegzések; A modul Összefoglalás szakaszában csatolt átfogó dokumentum részletesebb leírást ad az egyes fázisokról és a stratégia megtervezésének módjáról.

Diagram of the NIST response phases from the Security Handling Guide.

  • Előkészítés: Ez a fázis magában foglalja az incidenskezelési csapat meghatározását, a választerv dokumentálását, valamint az incidensek megelőzését segítő eszközök és folyamatok hatókörének meghatározását.

  • Észlelés és elemzés: A biztonsági incidensek számos formában előfordulnak, és nem tervezhet minden lehetséges eseményt. Vannak azonban olyan gyakori támadási irányok, amelyek jól ismertek, például a webalapú vagy e-mail-alapú támadások. Ezeket a vektorokat könnyen megtervezheti, és sok esetben a választerv szabványos kommunikációt és elemzést fog tartalmazni. Az olyan eszközök, mint a Felhőhöz készült Microsoft Defender, rendkívül sokat segíthetnek ezen a területen azáltal, hogy szabványos irányítópultot biztosítanak a bejövő fenyegetések észleléséhez és elemzéséhez.

  • Elszigetelés, mentesítés és helyreállítás: Az elszigetelés magában foglalja a fenyegetés növekedését vagy más rendszerekre gyakorolt hatását. A fenyegetés elszigetelése után a megoldó csapat megkezdheti a fenyegetés megszüntetésének lépéseit, majd helyreállíthatja az érintett rendszereket. Ez a lépés gyakran az előző észlelési fázisba való oda-vissza mozgást is magában foglalja annak biztosítása érdekében, hogy a támadási vektor valóban mérsékelve legyen, és ne kerüljön át egy másik rendszerbe.

  • Incidens utáni tevékenység: Az utolsó fázis magában foglalja az elvégzett támadás kiértékelését, a válaszlépéseket és a csapat válaszának hatékonyságát. Ez a fázis az IRP változásaihoz és az infrastruktúra esetleges megerősítéséhez vezethet, hogy megelőzze az azonos jellegű jövőbeli támadásokat.