kaydeden Mike Wilkinson
Mike Tyson’ın ünlü bir sözü vardır: “Ağzına bir yumruk yiyene kadar herkesin bir planı vardır.” Bu, boks dünyası ve siber saldırılar dünyası için geçerlidir. Birçok şirketin yerinde bir Olay Müdahale (IR) planı vardır. Ancak gerçek bir siber saldırı gerçekleştiğinde bu planlar her zaman geçerli olmaz.
, yılda yüzlerce IR anlaşması gerçekleştiriyoruz, bu yüzden IR planlarını neyin yararlı kıldığını ve neyin yapmadığını çok iyi biliyorum. Güçlü IR planları, baş ağrılarını ve boşa harcanan zamanı ortadan kaldırmaya yardımcı olabilir ve kuruluşunuzun tipik olarak çok stresli bir durumda daha etkili bir şekilde yanıt vermesine yardımcı olabilir. Etkili bir olay müdahale planı oluşturmak için yapmanız gereken altı şey burada.
- İlerleme noktalarınızı belirleyin. Bir IR planının en faydalı kısımlarından biri, yükseltme noktalarınız hakkında rehberlik etmesidir. Yani, “Bu noktaya gelirsek, iletişim kurmamız gereken kişiler bunlar ve sonraki adımlar bunlar olacak.” Bir sonraki eylem düzeyine neden olacak tetikleyicileri sağlar.
- İletişim bilgilerini dahil edin. Bu yaygın bir senaryodur: Bir şirket bir güvenlik ihlali yaşar ve dışarıdan yardıma ihtiyaç duyar. BT’den biri bir telefon görüşmesi yapar ve şirketin siber sigortası olup olmadığı sorulur. Öyle olduğunu biliyorlar… ama finans ekibi onu satın aldı ve BT departmanı bu konuda hiçbir şey bilmiyor. Bu önlenebilir bir durum. IR planınız, hizmet sağlayıcılarınızdan kilit çalışanlara, dış danışmana ve evet sigorta sağlayıcıya kadar ihtiyaç duyulabilecek herkesin iletişim bilgilerini içermelidir.
İlgili kişilerin listesi, planın arkasındaki bir ekte görünmelidir; bu, anın hararetinde danışmayı basitleştirmenin yanı sıra güncellemeyi de kolaylaştırır. Belgenin başka yerlerinde, bir çalışan veya satıcı değiştiğinde tüm belgeyi yenilemek zorunda kalmamak için adlar yerine genel başlıklar kullanın.
- İletişim parametrelerini tanımlayın: Aklıma bir olay takıldı. Bir müşteri bir Cuma gecesi bir fidye yazılımı salgını tespit etti ve Pazar öğleden sonra bizi aradı. 40 saattir konu üzerinde çalışıyorlardı, ya da ben öyle düşündüm. Üst yönetimin durumla ilgili anlaşılır endişesinin, onları saatlik güncelleme çağrıları yapmalarına neden olduğu ortaya çıktı, bu da teknik ekibin bir seferde yaklaşık 30 dakikadan fazla odaklanamadığı ve olayı araştırmaya ve çözmeye çalışamadığı anlamına geliyordu.
Tanımlamak nasıl bilgi ve güncellemeler, kimlerle ve ne sıklıkta paylaşılacaktır. Beklentilerin yönetilebilmesi için tempoyu önceden ayarlayın: Örneğin, daha büyük bir grubun eyleme geçmesini gerektiren kritik bir şey ortaya çıkmadığı sürece günlük bir güncelleme çağrısı.
- Kelime seçimi ve kelime sayısı önemlidir: Ayrıştırılması zor olan çok fazla yasal veya dilden kaçının. Okunabilir tutun. Madde işaretleri kullanmayı düşünün. Aşırı kısa ve seyrek olan bir IR planı ile herhangi bir şey yapmadan önce 10 sayfalık talimatları okumanız gereken çok uzun bir IR planı arasında mutlu ortamı arayın.
Mümkün olduğunca basit ve kesin tutun: X tipi olay için Y, müdahale grubu ve sorumluluklarıdır ve Z, attıkları adımlardır. Kuruluşunuzun ilkelerini, yani işletmenin en çok ilgilendiği şeyleri belirleyen bir ila iki sayfalık üst düzey bir politikanız olmasını düşünün.
- Geniş girdi alın: IR planını yazarken, tüm paydaşlardan girdi alın. Kulağa basit geliyor, ancak hukuk veya risk ekibinin başkalarına danışmadan bir araya getirdiğinin açık olduğu planları sık sık gördüm. Teknik veya yasal yanıttan daha fazlasını içermesi gerekir.
- Bir deneme çalıştırması yapın: Pratik yapmak mükemmelleştirir. Anladığınızı düşündüğünüzde, planınızı uygulayın. Bazı senaryolar seçin ve işe yarayıp yaramadığını anlamak için planı kullanarak bunlar üzerinde çalışın. Kimliği belirlenmemiş olabilecek sistemlerle veya iletişim bilgilerini eklemediğiniz kişilerle karşılaşabilirsiniz.
Bu alıştırmalar aynı zamanda IR planıyla ilgili olmayan konuları ortaya çıkarmanın değerli yolları olabilir. Örneğin, bir fidye yazılımı senaryosu üzerinde çalışırken BT ekibiniz, bir sistemde saklanmaması gereken hassas bilgilerin olduğunu veya güvenlik ihlali arasında geçen süre dikkate alındığında veri tutma süresinin yeterli olmadığını fark edebilir. ve algılama. Sizi gerçekten daha az savunmasız hale getirecek bir düzeltme veya düzeltme yapma fırsatını vurgulayabilir.
Bir siber saldırıya uğramak korkutucu ve kafa karıştırıcı bir dönem olabilir; bir IR planı bulmak olmamalı. Yukarıdaki ipuçlarının bir tane oluşturma veya güncelleme sürecinizi şekillendirmesine izin verirseniz, iyi durumda olacaksınız.
Mike Wilkinson başrolde Müşterilerin günlük olarak BT güvenlik olaylarını araştırmasına ve kurtarmasına yardımcı olmaya adanmış Siber Müdahale Birimi. 2003 yılında Avustralya’nın NSW Polis Gücü, Devlet Elektronik Delil Şubesi’ne katıldığı ve dünyanın en büyük dijital adli tıp laboratuvarlarından birinde sivillerden oluşan bir ekibe liderlik ettiği ve Asya, Avrupa ve ABD’de Olay Müdahale ekiplerine liderlik ettiğinden beri dijital araştırmalar yürütmektedir. Amerika
reklam