План реагування на інцидент може допомогти компаніям зберегти контроль над кризою в разі кібератаки. Лабораторії Sophos і команди Sophos Managed Response і Rapid Response розробили посібник із десяти важливих кроків.
Зараз кібератака більш імовірна, ніж будь-коли. Дослідження Sophos, наприклад «Стан програм-вимагачів 2021» довести, що на міжнародному рівні 37 відсотків опитаних компаній уражені лише програмами-вимагачами. Хоча програми-вимагачі, ймовірно, були найруйнівнішою формою шкоди за останні роки, це далеко не єдиний тип зловмисного програмного забезпечення, яке може спричинити серйозні проблеми для компаній.
Стратегія реагування на інциденти
Тому організаціям та ІТ-командам радимо забезпечити як ефективний захист, так і добре продуману та перевірену стратегію реагування на інциденти. Такий план може не тільки мінімізувати подальші витрати після кібератаки, але й усунути багато інших проблем і навіть перерви в бізнесі на зародку. Лабораторії Sophos зібрали свій досвід разом із командою Sophos Managed Response та Sophos Rapid Response і представляють результати у Доступний посібник із реагування на інциденти.:
1. Визначити всіх залучених і постраждалих
Відповідальність за атаки несе не лише команда безпеки, а й багато інших людей у компанії. Важливо визначити ключових людей і активно залучити їх до планування інцидентів, від керівників відділів до юридичного або кадрового відділу. На цьому етапі також слід розглянути альтернативні варіанти зв’язку, оскільки збій ІТ також може вплинути на класичні канали зв’язку.
2. Визначте критичні ресурси
Щоб розробити стратегію захисту та мати можливість визначити масштаб і наслідки атаки в надзвичайній ситуації, необхідно визначити ресурси, які мають найвищий пріоритет для компанії. Це єдиний спосіб відновити найбільш критичні системи цілеспрямовано та з високим пріоритетом у надзвичайних ситуаціях.
3. Тренуйтеся та грайте в надзвичайні ситуації
Навчання забезпечують узгоджену, швидку та цілеспрямовану дію у разі кібератаки. План особливо хороший, коли всі учасники точно знають, що їм потрібно зробити негайно, замість того, щоб спочатку шукати інструкції чи навіть намагатися діяти інтуїтивно. Також на навчаннях мають бути визначені різні сценарії нападу.
4. Надайте засоби безпеки
Дуже важливою частиною захисту, а отже, і плану реагування на інциденти є превентивні заходи. Це також включає відповідні рішення безпеки для кінцевих точок, мережі, сервера та хмари, а також для мобільних пристроїв та електронної пошти. Для інструментів важливий високий ступінь автоматизації, наприклад, за допомогою штучного інтелекту, а також прозорої та інтегрованої консолі керування та сигналізації, щоб виявляти потенційні атаки якомога раніше та, в ідеалі, усунути їх автоматично.
5. Забезпечте максимальну прозорість
Без необхідного бачення того, що відбувається під час атаки, організаціям важко реагувати належним чином. ІТ-команди та групи безпеки повинні мати інструменти для визначення масштабу та впливу атаки, включаючи ідентифікацію точок входу зловмисника та точок стійкості.
6. Впровадити контроль доступу
Зловмисники використовують слабкі засоби контролю доступу, щоб підірвати захист і підвищити свої привілеї. Тому ефективний контроль доступу є важливим. Це, серед іншого, забезпечення багаторівневої аутентифікації, обмеження прав адміністратора якомога меншою кількістю облікових записів. Для деяких компаній може мати сенс створити додаткову концепцію Zero Trust і реалізувати її за допомогою відповідних рішень і послуг.
7. Використання інструментів аналізу
Окрім забезпечення необхідної прозорості, надзвичайно важливими є інструменти, які забезпечують необхідний контекст під час розслідування. До них належать інструменти реагування на інциденти, такі як EDR (виявлення кінцевої точки та реагування) або XDR (розширене виявлення та реагування), за допомогою яких у всьому середовищі можна шукати індикатори компрометації (IOC) та індикатори атаки (IOA).
8. Визначити заходи реагування
Вчасно розпізнати напад – це добре, але це лише половина справи. Тому що після виявлення метою є обмеження або усунення атаки. ІТ-команди та групи безпеки повинні мати можливість ініціювати різноманітні дії у відповідь, щоб зупинити та усунути зловмисників, залежно від типу атаки та тяжкості потенційної шкоди.
9. Провести інформаційний тренінг
Усі працівники компанії повинні усвідомлювати ризики, які можуть становити їхні дії. Тому навчання є важливою частиною плану реагування на інциденти або запобігання. За допомогою інструментів симуляції атак реальні фішингові атаки на співробітників можна моделювати без жодного ризику для безпеки. Залежно від результату спеціальні курси навчання сприяють підвищенню обізнаності співробітників.
10. Керовані служби безпеки
Не кожна компанія має ресурси для реалізації внутрішнього плану реагування на інциденти і, перш за все, команду реагування на інциденти з перевіреними експертами. Такі постачальники послуг, як MDR (кероване виявлення та реагування), можуть допомогти. Вони пропонують цілодобовий пошук загроз, аналітику та реагування на інциденти як керовану послугу. Послуги MDR не тільки допомагають організаціям реагувати на інциденти, вони також зменшують ймовірність інциденту
Під час інциденту кібербезпеки кожна секунда має значення
«Кожна секунда має значення під час інциденту кібербезпеки, і для більшості компаній питання не в тому, чи вони постраждають, а в тому, коли відбудеться атака», — пояснює Майкл Вейт, експерт із безпеки в Sophos. «Ці знання не нові. Компанії відрізняються головним чином тим, чи застосовують вони ці знання з відповідними запобіжними заходами, чи ризикують поставити своє існування під загрозу. Це схоже на пристебнення в автомобілі – навряд чи ви залишитеся неушкодженими в аварії без ременя безпеки. Добре підготовлений і продуманий план реагування на інциденти, який усі постраждалі сторони в компанії можуть негайно реалізувати, може значно пом’якшити наслідки кібератаки».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.