Bir olay müdahale planı, şirketlerin bir siber saldırı durumunda krizin kontrolünü elinde tutmasına yardımcı olabilir. Sophos Labs ve Sophos Yönetilen Yanıt ve Hızlı Yanıt ekipleri, on önemli adımı içeren bir kılavuz geliştirdi.
Bir siber saldırı artık her zamankinden daha olası. Sophos tarafından yapılan çalışmalar, örneğin "Fidye Yazılımının Durumu 2021" ankete katılan şirketlerin uluslararası yüzde 37'sinin yalnızca fidye yazılımlarından etkilendiğini kanıtlıyor. Fidye yazılımı, son yıllardaki en yıkıcı zarar türü olsa da, işletmeler için ciddi sorunlara yol açabilen tek kötü amaçlı yazılım türü değildir.
Olay Müdahale Stratejisi
Bu nedenle kuruluşlara ve BT ekiplerine kendilerini hem etkili güvenlik hem de iyi düşünülmüş ve denenmiş ve test edilmiş bir olay müdahale stratejisi ile donatmaları tavsiye edilir. Böyle bir plan, yalnızca bir siber saldırının takip maliyetlerini en aza indirmekle kalmaz, aynı zamanda diğer birçok sorunu ve hatta iş kesintilerini daha ilk aşamada ortadan kaldırır. Sophos Labs, Sophos Managed Response ve Sophos Rapid Response ekibi ile deneyimlerini bir araya getirdi ve sonucu, Olay Müdahale Kılavuzu mevcut.:
1. İlgili ve etkilenen herkesi belirleyin
Saldırılardan sadece güvenlik ekibi sorumlu değil ve şirketteki diğer birçok kişi etkileniyor. C düzeyinden departman başkanlarına, hukuk veya İK departmanına kadar, kilit kişileri belirlemek ve onları olay planlamasına aktif olarak dahil etmek önemlidir. Bu noktada bir BT arızası klasik iletişim kanallarını da etkileyebileceğinden alternatif iletişim seçenekleri de değerlendirilmelidir.
2. Kritik kaynakları tanımlayın
Bir koruma stratejisi geliştirmek ve acil bir durumda bir saldırının boyutunu ve sonuçlarını belirleyebilmek için şirket için en yüksek önceliğe sahip kaynakların belirlenmesi gerekir. Acil bir durumda en kritik sistemleri hedefli bir şekilde ve yüksek önceliğe sahip olarak geri yüklemenin tek yolu budur.
3. Acil durum senaryolarını uygulayın ve oynayın
Tatbikatlar, bir siber saldırı durumunda koordineli, hızlı ve hedefli bir şekilde aksiyon alınabilmesini sağlıyor. Bir plan, dahil olan herkes, önce talimat aramak veya hatta sezgisel olarak hareket etmeye çalışmak yerine, her zaman tam olarak ne yapmaları gerektiğini bildiğinde özellikle iyidir. Tatbikatlarda farklı saldırı senaryoları da tanımlanmalıdır.
4. Güvenlik araçları sağlayın
Korumanın ve dolayısıyla olay müdahale planının çok önemli bir kısmı önleyici tedbirlerdir. Bu aynı zamanda mobil cihazlar ve e-postaların yanı sıra uç noktalar, ağ, sunucu ve bulut için uygun güvenlik çözümlerini de içerir. Potansiyel saldırıları mümkün olan en erken zamanda tespit etmek ve ideal olarak bunları ortadan kaldırmak için yapay zekanın yanı sıra şeffaf ve entegre bir yönetim ve alarm konsolunun kullanımı yoluyla araçlar için yüksek derecede otomasyon önemlidir. otomatik olarak.
5. Maksimum şeffaflık sağlayın
Bir saldırı sırasında neler olup bittiğine dair ihtiyaç duydukları görünürlük olmadan, kuruluşlar uygun şekilde yanıt vermekte zorlanır. BT ve güvenlik ekipleri, saldırganın giriş noktalarını ve kalıcılık noktalarını belirlemek dahil olmak üzere bir saldırının kapsamını ve etkisini belirleyecek araçlara sahip olmalıdır.
6. Erişim kontrolünü uygulayın
Saldırganlar, savunmaları yıkmak ve ayrıcalıklarını artırmak için zayıf erişim denetimlerinden yararlanır. Etkili erişim kontrolleri bu nedenle önemlidir. Bu, diğer şeylerin yanı sıra, çok düzeyli kimlik doğrulamanın sağlanmasını, yönetici haklarının mümkün olduğunca az sayıda hesapla sınırlandırılmasını içerir. Bazı şirketler için ek bir Sıfır Güven konsepti oluşturmak ve bunu uygun çözüm ve hizmetlerle hayata geçirmek mantıklı olabilir.
7. Analiz araçlarında kullanın
Gerekli şeffaflığın sağlanmasına ek olarak, bir soruşturma sırasında gerekli bağlamı sağlayan araçlar son derece önemlidir. Bunlar, EDR (Uç Nokta Tespiti ve Müdahalesi) veya XDR (Genişletilmiş Tespit ve Müdahale) gibi olay müdahale araçlarını içerir; bunlarla tüm ortamda Uzlaşma Göstergeleri (IOC'ler) ve Saldırı Göstergeleri (IOA) aranabilir.
8. Müdahale önlemlerini belirleyin
Bir saldırıyı zamanında fark etmek iyidir, ancak savaşın sadece yarısıdır. Çünkü keşiften sonra amaç saldırıyı sınırlamak veya ortadan kaldırmaktır. BT ve güvenlik ekipleri, saldırı türüne ve olası hasarın ciddiyetine bağlı olarak saldırganları durdurmak ve ortadan kaldırmak için çeşitli müdahale eylemleri başlatabilmelidir.
9. Farkındalık eğitimi gerçekleştirin
Bir şirketteki tüm çalışanlar, eylemlerinin oluşturabileceği risklerin farkında olmalıdır. Bu nedenle eğitim, olay müdahale planının veya önlemenin önemli bir parçasıdır. Saldırı simülasyon araçları ile çalışanlara yönelik gerçek hayattaki kimlik avı saldırıları herhangi bir güvenlik riski olmadan simüle edilebilir. Sonuca bağlı olarak özel eğitimler ile çalışanların bilinçlendirilmesi sağlanmaktadır.
10. Yönetilen Güvenlik Hizmetleri
Her şirket, dahili bir olay müdahale planı uygulayacak kaynaklara ve hepsinden önemlisi, kanıtlanmış uzmanlardan oluşan bir olay müdahale ekibine sahip değildir. MDR sağlayıcıları (Managed Detection and Response) gibi hizmet sağlayıcılar yardımcı olabilir. Yönetilen bir hizmet olarak 24/7 tehdit avı, analiz ve olay müdahalesi sunarlar. MDR hizmetleri, kuruluşların olaylara yanıt vermesine yardımcı olmakla kalmaz, aynı zamanda bir olay olasılığını da azaltır.
Bir siber güvenlik olayında her saniye önemlidir
Sophos'un güvenlik uzmanı Michael Veit, "Bir siber güvenlik olayında her saniye önemlidir ve çoğu şirket için etkilenip etkilenmeyecekleri değil, saldırının ne zaman gerçekleşeceği önemlidir" diye açıklıyor. “Bu bilgi yeni değil. Şirketler temel olarak bu bilgiyi uygun önlemlerle uygulayıp uygulamadıkları veya varlıklarını tehlikeye atma riskini alıp almadıkları konusunda farklılık gösterir. Bu biraz arabada emniyet kemerini takmaya benzer – emniyet kemeri olmadan bir kazada zarar görmemeniz pek olası değildir. Şirketteki etkilenen tüm tarafların hemen uygulayabileceği, iyi hazırlanmış ve iyi düşünülmüş bir olay müdahale planı, bir siber saldırının sonuçlarını önemli ölçüde azaltabilir.”
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.