Компанії, які інтенсивно готуються до кібератаки, мають значно менше сил боротися з наслідками атаки. Наявність плану реагування на інциденти (IR) має велике значення.
Кібербезпека в основному зосереджена на профілактиці. І найкращий спосіб зробити це – вчитися на інцидентах. Тим не менш, з компаніями знову і знову трапляється, що вони зазнають нападів. У такому випадку мова йде про те, щоб мінімізувати шкоду та навчитися якомога більше з відомого досвіду. Отже, що таке «найкраща практика»?
З планом можна отримати багато
Команда ІТ-безпеки визначає план реагування на кібератаку (Incident Response, IR), який має вступити в силу у разі порушення безпеки або атаки. Наступні питання складають основу плану ІР:
- Наскільки серйозний інцидент?
- Де розташовані критичні системи та як їх ізолювати?
- Як і з ким потрібно спілкуватися?
- До кого звертатися і які дії робити?
- А як щодо резервних копій?
План IR повинен бути простим і зрозумілим, щоб його було легко дотримуватися в ситуації високого тиску. Довідник з інцидентів SANS і Керівництво з реагування на інциденти від Sophos може бути дуже корисним при складанні плану.
Звертайтесь по допомогу після кібератаки
Перш ніж намагатися відновити комп’ютери та системи після атаки або навіть вести переговори про викуп, компанії повинні попросити допомоги. Реагування на атаки вимагає спеціальних навичок, і більшість організацій не наймають фахівців з реагування на інциденти.
План містить контактні дані постачальників ІЧ-послуг. Якщо атака спрямована проти серверів і кінцевих точок, наприклад, під час інциденту програм-вимагачів, спершу слід зв’язатися з постачальником засобів захисту кінцевих точок, особливо якщо вони пропонують послуги інфрачервоного зв’язку. Ймовірно, він має телеметрію ураженого середовища та має доступ до попередньо завантажених інструментів, таких як EDR/XDR, щоб швидко допомогти.
Розширення допомоги та робота з владою
Бажано звернутися до місцевих правоохоронних органів. Існує висока ймовірність того, що під час інциденту було скоєно злочин, і відповідні органи можуть мати корисні ресурси. Звичайно, про кібератаку також необхідно повідомити страхову компанію з кібербезпеки, якщо страхування існує. Якщо ви працюєте з постачальником технологій або системним інтегратором, вони можуть допомогти з відновленням, наприклад резервним копіюванням.
Швидко ізолюйте системи та локалізуйте інциденти
Інцидент слід ізолювати та локалізувати якнайкраще. Це включає вимикання живлення, відключення від Інтернету та мереж, програмну ізоляцію, застосування заборонених правил брандмауера та завершення роботи критичних систем. Якщо доступний функціональний контролер домену, важливо зберегти його, якщо це можливо, вимкнувши сервер і/або відключивши його від мережі. Резервні копії також повинні бути ізольовані та відключені від мережі. Крім того, усі ймовірно зламані паролі необхідно змінити, а облікові записи скинути.
Під час використання служб реагування на інциденти важливою є порада щодо того, як уражені системи та з’єднання можна відновити.
Важливо: не платіть викуп
Хоча сплата викупу звучить як «легкий» вихід, вона спонукає злочинців вчиняти нові злочини. Крім того, часи помірних вимог викупу давно минули: звіт Sophos про стан програм-вимагачів за 2021 рік показує, що минулого року середні компанії заплатили викуп у середньому 147.000 65 євро. Дослідження Sophos також виявило, що лише XNUMX відсотків зашифрованих даних можна було відновити після сплати викупу, і все одно більше третини даних було втрачено.
Крім того, правова ситуація щодо виплати викупу відрізняється в усьому світі. Тому бажано дізнатися про будь-які закони в країні (або країнах), в яких працює організація.
Зберігайте наявні докази
Надто часто жертви кібератак стурбовані перш за все якнайшвидшим відновленням своїх систем і послуг. У процесі втрачається багато інформації, яка допомогла б визначити причину та зрозуміти ступінь порушення безпеки. Однак вони можуть розповісти групі реагування на інциденти, з ким вони мають справу і яку тактику ця група зазвичай використовує. Це може навіть виявити абсолютно новий вид програм-вимагачів і використані тактики, методи та процедури (TTP).
Зберігання образів систем і віртуальних машин так само важливе, як ізольоване зберігання шкідливих програм. У разі судового розгляду страхових претензій компанії також можуть надати докази або довести державному органу, що вони не порушували положення про розкриття інформації.
Відплата приносить ще більше шкоди
У багатьох випадках за атаками програм-вимагачів стоять кілька груп. Наприклад, за допомогою інформації з записки про викуп і спільного в тактиці, техніці та процедурах (TTP) досвідчена група реагування на інциденти зазвичай може швидко визначити, з ким вони мають справу. Спроба відплати, так званого «злому», настійно не рекомендується. Ймовірно, це незаконно, по-перше, і може тільки погіршити ситуацію.
Роль кіберстрахування
У разі кібератаки, яка покривається кіберстрахуванням, спеціаліст страхової компанії спочатку залучає зовнішнього консультанта. Це організовує внутрішні та зовнішні ресурси та координує діяльність до вирішення інциденту.
Оформляючи страхування, варто заздалегідь уточнити, які види діяльності та які спеціалізовані постачальники покриваються на випадок кібератаки. Більшість кіберстрахових компаній погоджуються використовувати існуючих постачальників послуг.
Завжди на зв'язку
Спілкування часто сильно страждає від кібератак. Системи електронної пошти можуть бути в автономному режимі, електронні копії страхових полісів або планів інфрачервоного зв’язку зашифровані, а зловмисник може контролювати зв’язок. Тому доцільно мати альтернативний засіб зв’язку, наприклад програму обміну миттєвими повідомленнями. За допомогою окремого каналу вся команда та всі інші учасники можуть спілкуватися. Страхові дані, плани ІР та контакти спеціалістів ІР мають зберігатися окремо та у фізичній формі.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.