साइबर हमले के लिए गहन तैयारी करने वाली कंपनियों के पास हमले के परिणामों का मुकाबला करने के लिए काफी कम है। घटना प्रतिक्रिया (आईआर) के लिए एक योजना का होना एक लंबा रास्ता तय करता है।
साइबर सुरक्षा मुख्य रूप से रोकथाम पर केंद्रित है। और ऐसा करने का सबसे अच्छा तरीका है घटनाओं से सीखना। फिर भी, कंपनियों के साथ बार-बार ऐसा होता है कि उन पर हमला किया जाता है। ऐसे मामले में, यह नुकसान को कम करने और ज्ञात अनुभवों से जितना संभव हो सीखने का सवाल है। तो "सर्वोत्तम अभ्यास" क्या है?
योजना से बहुत कुछ हासिल होता है
आईटी सुरक्षा टीम एक साइबर हमले (घटना प्रतिक्रिया, आईआर) पर प्रतिक्रिया करने के लिए एक योजना को परिभाषित करती है जिसे सुरक्षा उल्लंघन या हमले की स्थिति में प्रभावी होना चाहिए। निम्नलिखित प्रश्न आईआर योजना के लिए आधार बनाते हैं:
- घटना कितनी गंभीर है?
- महत्वपूर्ण प्रणालियाँ कहाँ स्थित हैं और उन्हें कैसे अलग किया जाए?
- आपको कैसे और किसके साथ संवाद करना चाहिए?
- किससे संपर्क करना है और क्या कार्रवाई करनी है?
- बैकअप प्रतियों के बारे में क्या?
एक IR योजना सरल और सीधी होनी चाहिए ताकि उच्च दबाव की स्थिति में इसका पालन करना आसान हो। SANS इंसीडेंट हैंडबुक और सोफोस से घटना प्रतिक्रिया गाइड योजना बनाते समय बहुत मददगार हो सकता है।
साइबर हमले के बाद मदद का अनुरोध करें
किसी हमले के बाद कंप्यूटर और सिस्टम को पुनर्स्थापित करने का प्रयास करने से पहले, या यहां तक कि फिरौती के लिए बातचीत करने से पहले, कंपनियों को मदद मांगनी चाहिए। हमलों का जवाब देने के लिए विशेष कौशल की आवश्यकता होती है, और अधिकांश संगठन घटना प्रतिक्रिया विशेषज्ञों को नियुक्त नहीं करते हैं।
एक योजना में आईआर सेवा प्रदाताओं के संपर्क विवरण शामिल हैं। अगर हमला सर्वर और एंडपॉइंट के खिलाफ निर्देशित है, उदाहरण के लिए रैनसमवेयर घटना में, एंडपॉइंट सुरक्षा प्रदाता से पहले संपर्क किया जाना चाहिए, खासकर अगर वे आईआर सेवा प्रदान करते हैं। उसके पास प्रभावित वातावरण की टेलीमेट्री होने की संभावना है और जल्दी से मदद करने के लिए EDR/XDR जैसे पहले से लोड किए गए टूल तक उसकी पहुंच है।
सहायता का विस्तार करें और अधिकारियों के साथ काम करें
स्थानीय कानून प्रवर्तन एजेंसियों से संपर्क करना उचित है। इस बात की बहुत अधिक संभावना है कि घटना के साथ कोई अपराध किया गया है और उपयुक्त अधिकारियों के पास सहायक संसाधन हो सकते हैं। बेशक, अगर बीमा मौजूद है, तो साइबर हमले की सूचना साइबर सुरक्षा के लिए बीमा कंपनी को भी दी जानी चाहिए। यदि आप एक प्रौद्योगिकी प्रदाता या सिस्टम इंटीग्रेटर के साथ काम करते हैं, तो वे रिकवरी में मदद कर सकते हैं, उदाहरण के लिए बैकअप।
सिस्टम को जल्दी से अलग करें और घटनाओं को रोकें
घटना को अलग किया जाना चाहिए और यथासंभव सर्वोत्तम रूप से निहित किया जाना चाहिए। इसमें बिजली बंद करना, इंटरनेट और नेटवर्क को डिस्कनेक्ट करना, सॉफ़्टवेयर-आधारित अलगाव, इनकार-सभी फ़ायरवॉल नियम लागू करना और महत्वपूर्ण सिस्टम को बंद करना शामिल है। यदि एक कार्यात्मक डोमेन नियंत्रक उपलब्ध है, तो सर्वर को बंद करके और/या नेटवर्क से डिस्कनेक्ट करके यदि संभव हो तो इसे रखना महत्वपूर्ण है। बैकअप को भी अलग किया जाना चाहिए और नेटवर्क से डिस्कनेक्ट किया जाना चाहिए। इसके अलावा, सभी संदिग्ध हैक किए गए पासवर्ड बदले जाने चाहिए और खाते को रीसेट करना चाहिए।
घटना प्रतिक्रिया सेवाओं का उपयोग करते समय महत्वपूर्ण यह सलाह है कि कैसे प्रभावित सिस्टम और कनेक्शन को वापस संचालन में लाया जा सकता है।
महत्वपूर्ण: कोई फिरौती न दें
फिरौती देना एक "आसान" रास्ता लगता है, लेकिन यह अपराधियों को और अपराध करने के लिए प्रोत्साहित करता है। इसके अलावा, मध्यम फिरौती की मांग के दिन लंबे चले गए हैं: सोफोस स्टेट ऑफ रैंसमवेयर रिपोर्ट 2021 से पता चलता है कि मध्यम आकार की कंपनियों ने पिछले साल 147.000 यूरो की औसत फिरौती का भुगतान किया था। सोफोस अध्ययन में यह भी पाया गया कि फिरौती के भुगतान के बाद केवल 65 प्रतिशत एन्क्रिप्टेड डेटा ही पुनर्प्राप्त किया जा सकता है, और वैसे भी एक तिहाई से अधिक डेटा खो गया था।
इसके अलावा, फिरौती के भुगतान के संबंध में कानूनी स्थिति दुनिया भर में भिन्न है। इसलिए यह सलाह दी जाती है कि देश (या देशों) में किसी भी कानून के बारे में पता करें जिसमें कोई संगठन संचालित होता है।
मौजूदा साक्ष्य को बनाए रखें
अक्सर, साइबर हमले के पीड़ित मुख्य रूप से अपने सिस्टम और सेवाओं को जल्द से जल्द बहाल करने से संबंधित होते हैं। इस प्रक्रिया में, बहुत सारी जानकारी खो जाती है जो कारण निर्धारित करने और सुरक्षा भंग की सीमा को समझने में मदद करती है। हालाँकि, ये एक घटना प्रतिक्रिया टीम को बता सकते हैं कि वे किसके साथ काम कर रहे हैं और वह समूह आमतौर पर किस रणनीति का उपयोग करता है। यहां तक कि यह रैंसमवेयर और इस्तेमाल की जाने वाली रणनीति, तकनीक और प्रक्रियाओं (टीटीपी) के बिल्कुल नए प्रकार को भी प्रकट कर सकता है।
सिस्टम और वर्चुअल मशीनों की छवियों को संग्रहीत करना उतना ही महत्वपूर्ण है जितना कि मैलवेयर को अलगाव में संग्रहीत करना। बीमा दावों की न्यायिक समीक्षा की स्थिति में, कंपनियां साक्ष्य भी प्रस्तुत कर सकती हैं या किसी सरकारी एजेंसी को यह साबित कर सकती हैं कि उन्होंने प्रकटीकरण नियमों का उल्लंघन नहीं किया है।
प्रतिशोध और भी अधिक नुकसान लाता है
कई मामलों में, रैंसमवेयर हमले के पीछे कई समूह होते हैं। उदाहरण के लिए, फिरौती के नोट से जानकारी और रणनीति, तकनीक और प्रक्रियाओं (टीटीपी) में समानता के साथ, एक अनुभवी घटना प्रतिक्रिया टीम आमतौर पर जल्दी से पहचान सकती है कि वे किसके साथ काम कर रहे हैं। प्रतिशोध का प्रयास, तथाकथित "हैक बैक", दृढ़ता से हतोत्साहित किया जाता है। यह शायद पहली जगह में अवैध है और केवल स्थिति को और खराब कर सकता है।
साइबर बीमा की भूमिका
साइबर बीमा द्वारा कवर किए गए साइबर हमले की स्थिति में, बीमा कंपनी का दावा समायोजक पहले बाहरी परामर्शदाता को नियुक्त करेगा। यह आंतरिक और बाहरी संसाधनों को व्यवस्थित करता है और घटना के हल होने तक गतिविधियों का समन्वय करता है।
बीमा निकालते समय, यह पहले से स्पष्ट करने योग्य है कि साइबर हमले की स्थिति में कौन सी गतिविधियाँ और कौन से विशिष्ट प्रदाता कवर किए गए हैं। अधिकांश साइबर बीमा कंपनियां मौजूदा सेवा प्रदाताओं के उपयोग को स्वीकार करती हैं।
हमेशा संपर्क में रहें
साइबर हमलों से संचार अक्सर गंभीर रूप से प्रभावित होता है। ईमेल सिस्टम ऑफ़लाइन हो सकते हैं, बीमा पॉलिसियों या आईआर योजनाओं की इलेक्ट्रॉनिक प्रतियां एन्क्रिप्ट की जाती हैं, और हमलावर संचार की निगरानी कर सकता है। इसलिए यह सलाह दी जाती है कि संचार के वैकल्पिक साधन उपलब्ध हों, जैसे कि त्वरित संदेश अनुप्रयोग। एक अलग चैनल के साथ, पूरी टीम और इसमें शामिल सभी लोग संवाद कर सकते हैं। बीमा डेटा, IR योजनाएँ और IR विशेषज्ञों से संपर्क अलग और भौतिक रूप में रखे जाने चाहिए।
Sophos.com पर अधिक
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।