A kifinomult incidenselhárítás-menedzsment lehetővé teszi az incidensek hatékony kezelését, következményeik korlátozását és a biztonság rendszeres növelését. Mivel a tét nagy, ez egy kritikus terület, amely rendkívül szervezett, összehangolt megközelítést igényel. Ezek a legjobb gyakorlatok segítenek az incidensek sikeres kezelésében.
Mi az incidenselhárítás-menedzsment?
Az incidenselhárítás-menedzsment egy strukturált folyamat, amelynek célja az IT-biztonsági incidensek azonosítása, elemzése, visszatartása, megoldása és nyomon követése. A cél a potenciális károk csökkentése és a normális működés mielőbbi helyreállítása.
Az incidenselhárítás az információbiztonság és a kockázatmenedzsment fontos része. Használhatja rosszindulatú programok fertőzése, adathalász támadások, biztonsági események, adatvédelmi incidensek vagy fizikai biztonsági problémák esetén.
Ki a felelős az incidenselhárítás-menedzsmentért?
Az incidens kezelője általában a felelős személy. Ő tartja vissza és enyhíti a biztonsági incidenseket.
Az incidenskezelő koordinálja a kiberbiztonsági szakértők munkáját. Ő határozza meg és dokumentálja a szerepeket. Ő felel a kommunikációs csatornákért is. Kövesse a bevált gyakorlatokat, szabványokat és jogi követelményeket, amikor ezt teszi.
Vannak más fontos szerepek is egy incidens kezelése során, többek között:
- az incidens-elhárítási csapat (IRT) vagy a számítógépes biztonságiincidens-elhárítási csapat (CSIRT) operatív felelősséggel rendelkezik
- a stratégiai felelősséggel rendelkező információbiztonsági igazgató (CISO)
- az ITSM-csapat tagjai támogatják a nem biztonsági vonatkozású incidensek (például rendszerhibák) kezelését, jellemzően a SOC-ok (biztonsági műveleti központok) incidenskezelőjével, ha van ilyen
- szükség esetén a törvényszéki elemzésre és az incidensek elhárítására szakosodott cégek
Milyen fázisok vannak a biztonságiincidens-elhárításának kezelésében?
Az incidens-elhárítás nem lehet spontán, strukturálatlan válságkezelés. Egyértelmű és szabványos folyamatot kell követnie. Ez a folyamat minden szükséges lépésre kiterjed, és hatékonyan csökkenti a kockázatokat.
Az incidens-elhárítási folyamat fázisai a következőket fedik le:
Előkészítés: a szükséges eszközöknek és folyamatoknak a helyükön kell lenniük. Az incidensforgatókönyvek oktatásának fel kell készítenie az alkalmazottakat.
Felderítés és elemzés: annak felmérése, hogy egy esemény milyen mértékben minősül incidensnek, hogyan van kommunikálva és dokumentálva.
Megfékezés: a felelősök elszigetelik a rosszindulatú programot, és megakadályozzák annak terjedését. Elemzik az incidens okait is.
Megszüntetés: az incidens-elhárítási csapat eltávolítja a fenyegetést, megtisztítja az érintett rendszereket és megszünteti az okot.
Helyreállítás: a rendszerek javítva, megbízhatóvá téve térnek vissza a normál működéshez.
Tanulságok levonása (nyomon követés): a csapat elemzi az egész folyamatot, dokumentálja azt, és javító intézkedéseket kezdeményez.
Legjobb gyakorlatok
Ahhoz, hogy hatékonyan tudjunk reagálni az incidensekre és csökkenteni tudjuk a károkat, szervezetten kell alkalmaznunk a megfelelő gyakorlatokat. Az alábbiakban áttekintjük a legfontosabb legjobb gyakorlatokat. A tapasztalatok azt mutatják, hogy ezek jelentősen javíthatják a biztonsági incidensek kezelését.
#1 Incidens-elhárítási terv (IRP) létrehozása
A good incident response plan helps teams respond to problems effectively. It also prevents serious negative outcomes. People who have one already have a big advantage. Many companies do not have set procedures for incidents.
Egy ilyen tervnek kötelezőnek kell lennie, különösen a kritikus infrastruktúrák vagy érzékeny adatok kezelése esetén.
Az incidens-elhárítási tervnek világosan meg kell határoznia, hogyan kell kezelni a különböző típusú incidenseket, amelyket irányelvekre és folyamatokra kell alapoznia. Ez magában foglalja a szerepeket és felelősségeket, beleértve az eszkalációs útvonalakat, amelyek szabályozzák, hogy vészhelyzetben ki milyen feladatokat vállal.
#2 Eszközök összehangolt használata
Valójában sok biztonsági csapat érzi magát túlterheltnek az egyre többféle kiberbiztonsági eszköz közötti kommunikáció hiánya miatt. Ez hálózati forgalmi zavarokat, súrlódásokat és késedelmes válaszidőket eredményez. Az integráció és az interoperabilitás hiánya különösen kritikusnak bizonyul.
Az egyik lehetséges megoldás egy olyan SOAR-szoftver (biztonsági vezénylés, az automatizálás és a reagálás), mint a STORM. Ez a szoftver különböző eszközöket kapcsol össze kapcsolódási pontokon keresztül. Lehetővé teszi az adatok közel valós idejű gyűjtését. Segít továbbá a folyamatok automatizálásának kialakításában.
A SOAR-szoftver használata rendkívül professzionális és hatékony módja annak, hogy átfogó képet kapjon és hatékonyan cselekedjen. A SOAR-szoftveren kívül a következő rendszereket is használják az incidensek kezelésére:
- Jegykezelő- és incideselhárítás-menedzsment reneszerek
- SIEM (biztonsági információk és események kezelése) rendszerek
- EDR (végponti észlelés és reagálás) rendszerek
- Együttműködési eszközök
NDR (hálózatészlelés és válasz) rendszerek
Törvényszéki eszközök
Veszélyforrás-intelligencia platform (TIP)
Biztonsági mentési és helyreállítási megoldások
#3: A mesterséges intelligencia átgondolt használata
A mesterséges intelligenciával működő biztonsági rendszerek gyorsabban észlelik az anomáliákat, proaktív módon ígéretes válaszokat érhetnek el, és előre jelezhetik a potenciális biztonsági incidenseket.
Sajnos a kiberbűnözők is használják a mesterséges intelligenciát, hogy új támadási módokat találjanak. A mesterséges intelligencia technológiákat alkalmazó támadások jelentős költségekkel járnak az érintett szervezetek számára. Folyamatosan küzdeniük kell a kockázatok ellen, és orvosolniuk kell az incidenseket. Ha a szervezetek nem használják a mesterséges intelligenciát, azt kockáztatják, hogy lemaradnak és könnyű célponttá válnak.
A mesterséges intelligencia nem helyettesítheti az alapvető automatizálást, a jó eszközintegrációt vagy a szervezeten belüli csapatmunkát. Hiszen még ezekkel a látszólag egyszerű eszközökkel is jelentős időmegtakarítást lehet elérni.
Egy dolog biztos: mielőtt a vállalatok általánosan alkalmaznák a mesterséges intelligenciát, először az időigényes rutinfeladatokat kellene automatizálniuk, mivel ez már jelentősen csökkentheti a biztonsági csapatok munkaterhelését.
#4 A csapatok és munkavállalók középpontba állítása
A legjobb informatikai megoldások és eszközök önmagukban nem vezetnek sikeres incidens-elhárításhoz. Használatuk összehangolásán és az egyértelmű, célzott folyamatok kialakításán túl a szervezeteknek hozzáértő csapatokat is ki kell alakítaniuk.
A szervezetek ezért jól teszik, ha határozottan felállítják a csapataikat, és felkészítik őket a vészhelyzetekre. Ez magában foglalja a rendszeres képzést, például szimulációs gyakorlatokat vagy tudatossági képzéseket. A képzés segít az embereknek abban, hogy gyorsan és pontosan észrevegyék és jelenteni tudják a gyanús tevékenységet.
A szervezeteknek hatékony stratégiákat kell kidolgozniuk a támadók zsarolásának kezelésére is. Ebben a helyzetben nagyon fontosak a jogi tényezők és a világos magatartási szabályok.
#5 A kiberbiztonság és az ITSM kombinálása
Az incidensmenedzsment az ITSM egyik diszciplínája. Gyakran vannak olyan kiberbiztonsági csapatok, amelyek az ITSM-csapatoktól függetlenül dolgoznak.
Ha a két csapat szorosan együttműködik, például az IT-szolgáltatások biztosítása során, akkor javíthatják a biztonságtudatosságot. Ez jobb fenyegetésmegelőzéshez vezet. Mindkettő fontos a hatékony incidenskezeléshez.
A gyakorlatban azonban a kiberbiztonsági szakértők ritkán dolgoznak együtt az ITSM-csapatokkal. Ez az a terület, ahol a vállalatoknak aktívabb cserét és közös projekteket kell létrehozniuk, hogy valódi kompetenciát teremtsenek a csapatokon belül.
#6 Egyértelmű válságkommunikáció
A kommunikáció átláthatóságot és bizalmat teremt, elkerüli a pletykákat, valamint a jogi és szabályozási követelmények miatt is rendkívül fontos. Egyrészt lehetővé kell tennie a funkcionális incidensre való reagálást. Másrészt tájékoztatást nyújt a közvetlenül és közvetve érintettek számára.
A kommunikáció felgyorsítása érdekében ajánlott az előre meghatározott és szabványosított jelentési folyamatok alkalmazása. A folyamatok meghatározzák, hogy mely személycsoportokat, mikor és milyen mértékben kell tájékoztatni. Tervet kell készíteni a nyomonkövetési állapotjelentésekre és az ezt követő megoldott incidensnaplókra is.
#7 Dokumentáció és protokoll
A biztonsági incidenssel kapcsolatos nehéz és néha stresszes munka befejezése után egy fontos feladat marad: a dokumentálás. Az incidenssel kapcsolatban tett minden lépést és döntést teljeskörűen rögzíteni kell.
Az incidens dokumentálása lehetővé teszi a tanulságok alkalmazását a jövőbeli incidensekre, az eljárások optimalizálását és a jobb védelem kiépítését. Jogi tényezők is szerepet játszhatnak, különösen súlyos károk esetén.
Általánosságban elmondható, hogy az incidensek utáni felülvizsgálat rendkívül fontosnak bizonyul a megfelelő folyamatok javítása érdekében.
#8 Folyamatos továbbfejlesztés
A folyamatos továbbfejlesztés nemcsak fontos szerepet játszik az ITIL®-folyamatokban, hanem sok szempontból van értelme is. A felelősöknek legalább évente egyszer felül kell vizsgálniuk az incidens-elhárítási tervet. Szükség esetén egy nagyobb incidens után is frissíteniük kell azt.
Az incidenskezelés során keletkező visszajelzések, felülvizsgálatok és naplók különösen értékesnek bizonyulnak. A megállapítások megfelelő folyamatokba és rendszerekbe történő integrálásával az elhárítás egyre gyorsabbá és hatékonyabbá válik.
Következtetés: az incidenselhárítás-menedzsment folyamatosságot igényel
A megfelelő incidens-elhárítási tevékenységek megvédik a vállalatokat a súlyos károktól egy vészhelyzetben. A sikeres biztonságmenedzsment magában foglalja a megfelelő tevékenységek, lépések és gyakorlatok előzetes meghatározását és gyakorlását.
Az incidens-elhárításnak folyamatos folyamatnak kell lennie. Nem szabad, hogy csak egy válsághelyzet során, kaotikus módon történjen. A hatékony elhárításhoz nélkülözhetetlen a jó terv.
Mivel gyakran fontos eszközök és a jó hírnév is veszélyben van, a felelősöknek az incidens-elhárításra kell összpontosítaniuk. Emellett az igényeiknek megfelelő legjobb gyakorlatokat kell alkalmazniuk. Például az összehangolásra, a munkatársak tudatosságára és az érett folyamatokra vonatkozó szoftvermegoldások hosszú távú értéket kínálnak.
Tudja meg, hogyan segíthet az OTRS az incidenselhárítás-menedzsmentben.
