Saldırıya uğradığınızda, bilgisayar korsanları sistemlerden geçerken, hassas bilgileri kilitleyip fidye için tutarken kontrolü hızla yeniden ele geçirmek istersiniz. İhlalin kapsamını derhal, tam saldırı vektörünü ve ağın geri kalanını nasıl yalıtacağınızı belirlemeniz gerekir. Kuruluşların bu eylemleri gerçekleştirmek için etkili bir olay yanıtı (IR) planına ihtiyacı vardır.
Bununla birlikte, tüm IR planları etkili değildir veya bir ihlalden sonra serbest bırakılan çalışan Maelstrom’daki sakinliği geri kazanmaya yardımcı olmak için gerekli unsurları içermez. Hepimiz deyimi biliyoruz, “Bir ons önleme bir kiloluk tedaviye değer.” Bekleyen bir ihlal durumunda, bu deyim “planlamanın bir kısmı bir pound altına değer” olarak yeniden ifade edilebilir; Planlama, olay müdahalesini ve altının tasarruf edilen gasp fonları olduğunu ifade eder. Bu makale, etkili IR planlaması için en iyi altı uygulamayı özetlemektedir.
IR planlaması için en iyi uygulamalar
- Olay gerçekleşmeden önce bir IR planına hazır olun.
Zaten doğal afetler, sivil huzursuzluk veya diğer aksamalar için bir planınız var. Aynı şey olay yanıtınız için de geçerlidir – bir plan yapın ve bunun operasyonların sürekliliğinin (CONOPS) planlamanızın bir parçası olduğundan emin olun. IR planı, bilgi tabanı ve felaket kurtarma planlama sürecinizin bir parçası olmalıdır. İyi bilgilendirilmiş, spesifik ve eyleme geçirilebilir açık ve kasıtlı adımları özetleyin. Amaç, bir olayı hızlı ve güvenli bir şekilde tanımlamak, doğrulamak ve düzeltmektir. Planın başarısının büyük bir kısmı, personelinizin zorlu koşullarda nasıl yürütüleceğini anlamasını ve bilmesini sağlamaktır; Bu, tehlikeye atılmış bulut tabanlı veya şirket içi BT hizmetleri gibi senaryoların kapsamasını gerektirir.
- Görünürlük elde etmek; koşulları anlayın.
Görünürlük çok önemlidir; Kötü amaçlı yazılımın nerede gizlendiğini ve ağınıza nasıl girdiğini bilmiyorsanız etkili bir yanıt veremezsiniz. Yeterli görünürlük, gelişmiş algılama araçlarının yanı sıra servis masası profesyonellerinden uzman rehberliğinden gelir. Birlikte, saldırıyı doğrularlar, şiddetini ve kötü amaçlı yazılımların nasıl eriştiğini belirlerler. BT siber güvenlik profesyonellerinin yardımı olmadan, bugünün bilgisayar korsanlarının sofistike olmasıyla aşırı uyumlu olabilirsiniz.
- Bant dışı iletişim için hazırlanın.
Kötü amaçlı yazılım saldırıları genellikle e -posta sunucularını, mesajlaşma sistemlerini ve VoIP telefon sistemlerini etkiler. Saldırının bir boyutu neredeyse her zaman tüm iletişimi devralmayı içerir. Bilgisayar korsanları, saldırıyı yönetme yeteneğinizi kesintiye uğratmak için bu kanalları izler ve kontrol eder. Planınızın hiyerarşik düzenli iletişim bilgileri ile fiziksel bir iletişim protokolüne ihtiyacı vardır. Bu bilgiler cep telefonu numaralarını ve alternatif, ağ dışı e-posta adreslerini içerir. Bant dışı kanallar üzerindeki ihlal hakkında derhal iletişim kurmak zorunludur. Fikir, kontrolde ve ileride kalmaktır.
- Panik yapmayın veya aşırı tepki vermeyin.
Saldırıya uğramak streslidir. Döküntü, anlık kararlar vermekten kaçınmak istiyorsunuz. IR planı, kuruluşunuzdaki bir grup kişi olan Protokoller, siber saldırının etkilerini yanıtlamak ve azaltmak için eğitilmiş bir grup birey, karar vericileri aramak ve gereksiz eylemler yürütmek için zaman kaybetmek yerine takip edebilir. Saldırıya uğradıysanız, kötü amaçlı yazılım zaten sistemlerinizde, biraz hasar vermeye çalışıyor. Olay Yanıt Ekibi, nerede döneceklerini ve nasıl hareket ettiklerini tespit etmek için bir oyun kitabına ihtiyaç duyar. Yanıt vermek ve hafifletmek genellikle birkaç gün sürer, bu nedenle sakin ve sabırlı kalmak gerekir. En iyi iyileştirme teknikleri, ihlalle ilgili faaliyetleri izlemeyi – ne zaman ve nerede oturum açtıkları, kötü amaçlı yazılımları gizleme ve hangi verilere eriştiklerini izlemeyi içerir.
- Olaya özgü bir iyileştirme planı oluşturun ve uygulayın.
Bant dışı iletişimin uygun kanallarını belirledikten sonra, kanal ve ortak ağlar da dahil olmak üzere tüm aşağı akış ağlarının uyanık kalırken saldırı kapsamını tanımlamak için iyi tanımlanmış bir komuta zincirindeki çabaları koordine edin. Bilgisayar korsanları genellikle yeni veya daha önce sömürülen zayıflıklar aramaya geri döner. Siber güvenlik ekibinizin, siber saldırının herhangi bir belirtisi için sürekli, gündüz ağ izlemesini ifade eden 7/24 izleme yapması gerekiyor. Bu uyanıklık seviyesi, sonraki saldırıların mümkün olan en kısa sürede tespit edilmesini ve hafifletilmesini sağlamak için gereklidir.
- Gerektiğinde yardım isteyin.
Etkili bir IR planı oluşturmak zaman alıcıdır. Çoğu kuruluş, günlük operasyonları yürütürken bir saldırı ile başa çıkmak için şirket içi hizmet yönetimi kaynaklarına ihtiyaç duyar. Birçok siber güvenlik şirketi, veri ihlali konusunda sizi bilgilendirir, ancak olayda gezinme prosedürel adımlarını anlamanıza yardımcı olmalıdır. Kötü bir aktör ağa sızdığında, üçüncü taraf bir siber güvenlik şirketi durumu etkili bir şekilde yönetmek için gereken sakin, yetenekli, gündelik desteği sağlayacaktır. Unutmayın, tek ihlal durumunuz bu siber güvenlik şirketlerinin üstesinden gelebileceği kritik koşullardan sadece biridir. Saldırılarla zamanında ve kaliteli bir şekilde uğraşmak onların işidir.
Çözüm
Kötü bir aktörün emrindeki en etkili araçlardan biri kaos. Bir organizasyon ne kadar çok işlevsiz ve duygusal bir tepki sergilerse, bilgisayar korsanı IP’nizi kilitlemek için o kadar fazla zaman alır ve ilerlemeyi durdurmak için daha az zaman alırsınız. Çoğu insan, 529 üniversite finansmanı, IRA emeklilik ve hayat sigortası gibi gelişmiş planlama gerektiren yaşam koşullarına aşinadır. Hemen hemen her organizasyon için, SMB’den Fortune 50’ye, bir hack, yukarıda belirtilen finansal planlama kilometre taşları kadar kaçınılmazdır. Aralarındaki fark, kişisel yaşamlarımızda, bunların kaçınılmaz olduğu fikrine yenik düştük; Kurumsal yaşamlarımızda, “diğer adama” bir hack olacağına dair bahislerimizi koruyoruz.
Kurumsal bir hack kaçınılmazsa, türbülansta gezinme yardımına ihtiyacınız olacak ve IR planlaması daha yüksek bir aciliyetle yerleştirilmelidir; Aynı şekilde, kişisel etkinliklere hazırlanmamıza yardımcı olmak için profesyonel para yöneticilerine yöneliyoruz. Şirketler, birçok ihlalde dolaşan ve en iyi uygulamaları kontrolü yeniden kazandığı kanıtlanmış eylem öğelerine dahil edebilen siber güvenlik profesyonelleriyle uyumlu olmalıdır. İyi IR planlamasının sadece bir kısmı bir kiloluk kurumsal altın tasarrufu sağlayabilir.
Yazar hakkında
Chris Snyder, ABD Ordusu’ndaki sistem yöneticisi, tehdit analisti ve paraşütçü piyade olarak becerilerini geliştiren Quadrant Security’de bir siber güvenlik uzmanı ve ana satış mühendisidir. Müşterilerin benzersiz ihtiyaçları için en iyi güvenlik çözümlerini bulmalarına yardımcı olmak için çeşitli geçmişini ve siber güvenlik bilgilerini kullanıyor. Chris’e çevrimiçi olarak ulaşılabilir: [email protected]https://www.linkedin.com/in/christopher-snyder-17336b135/ ve https://www.quadrantsec.com/.