Компанії та організації перебувають під величезним тиском у разі кібератаки, оскільки правильна реакція на інцидент займає багато часу, але в той же час вимагає швидких дій.
Тому експерти Sophos з реагування на інциденти розробили посібник, який допоможе компаніям впоратися з цим складним завданням. Ці чотири поради базуються на реальному досвіді керованого реагування на загрози та груп швидкого реагування, які працювали разом, щоб реагувати на тисячі інцидентів кібербезпеки.
1. Відповідайте якомога швидше
Коли компанії атакують, кожна секунда на рахунку. Однак внутрішнім службам безпеки компанії часто потрібно надто багато часу, щоб швидко відреагувати. Найпоширенішою причиною цього є те, що вони вчасно не усвідомлюють серйозність ситуації та терміновість. Крім того, багато нападів відбувається у святкові дні, вихідні та вночі. Оскільки більшість ІТ-команд і відділів безпеки мають значну нестачу персоналу, реакція на атаку в цей час часто надто пізня, щоб вчасно стримати наслідки атаки.
Увага сигналізує втому
Крім того, певна втома тривоги знижує швидкість дії. І навіть за умови правильної та своєчасної реакції служби безпеки часто не мають необхідного досвіду, щоб зробити правильні кроки. Тому можливі інциденти та реакцію на них слід детально планувати заздалегідь. Компанія Sophos перерахувала десять найважливіших кроків такого плану кіберкризи в Посібнику з реагування на інциденти.
2. Не поспішайте оголошувати дії «місія виконана».
У разі кіберінциденту простого лікування симптомів недостатньо. Причини також повинні бути досліджені. Наприклад, успішне видалення зловмисного програмного забезпечення та видалення попередження не означає, що зловмисника вигнано з середовища. Тому що це може бути просто тестовий запуск зловмисника, щоб визначити, з якими засобами захисту він стикається. Якщо зловмисник все ще має доступ до інфраструктури, він, ймовірно, завдасть удару знову, але з більшою руйнівною силою. Зловмисник все ще стоїть у зоні? Чи планує він запустити другу хвилю? Досвідчені фахівці з реагування на інциденти знають, коли і де проводити подальше розслідування. Вони шукають у мережі все, що зловмисники роблять, зробили або планують зробити, і нейтралізують ці дії.
3. Повна видимість є ключовою
Під час атаки важливо мати доступ до точних високоякісних даних. Тільки ця інформація дає змогу точно визначити потенційні ознаки нападу та визначити причину. Спеціалізовані групи збирають відповідні дані для виявлення сигналів і знають, як визначити їх пріоритет. При цьому зверніть увагу на наступні моменти:
збирати сигнали
Обмежена видимість середовища є надійним способом пропустити атаки. Тут можуть допомогти інструменти для великих даних. Вони збирають достатньо даних, щоб надати значущу інформацію для розслідування та реагування на атаки. Збір потрібних високоякісних даних із різних джерел забезпечує повне розуміння інструментів, тактики та процедур зловмисника.
знизити рівень шуму
Побоюючись не мати даних, які могли б надати повну картину атаки, деякі компанії та інструменти безпеки зазвичай збирають будь-яку доступну інформацію. Однак такий підхід ускладнює пошук атак, і генерується більше даних, ніж необхідно. Це не тільки збільшує вартість збору та зберігання даних, але й створює високий рівень шуму потенційних інцидентів, що призводить до втоми від тривоги та втрати часу на пошук справжніх помилкових тривог.
застосувати контекст
Для того, щоб мати можливість виконувати ефективну програму реагування на інциденти, на додаток до вмісту (даних) потрібен контекст. Застосовуючи значущі метадані, пов’язані з сигналами, аналітики безпеки можуть визначити, чи є ці сигнали зловмисними чи доброякісними. Одним із найважливіших компонентів ефективного виявлення загроз і реагування на них є пріоритезація сигналів. Найкращий спосіб визначити найважливіші сповіщення – це поєднання контексту, наданого інструментами безпеки (тобто рішеннями для виявлення кінцевих точок і реагування), штучним інтелектом, аналізом загроз і базою знань людини-оператора. Контекст допомагає визначити, звідки походить сигнал, поточну стадію атаки, пов’язані події та потенційний вплив на бізнес.
4. Просити про допомогу – це нормально
Відсутність кваліфікованих ресурсів для розслідування інцидентів і реагування на них є однією з найбільших проблем, з якими сьогодні стикається галузь кібербезпеки. Багато ІТ-команд і відділів безпеки, які перебувають під високим тиском під час кібератак, опиняються в ситуаціях, у яких вони не мають досвіду та навичок, щоб впоратися з ними. Ця дилема поступилася місцем альтернативі: керованим службам безпеки. Зокрема, послуги керованого виявлення та реагування (MDR). Послуги MDR — це сторонні операції безпеки, які виконує команда спеціалістів і є розширенням внутрішньої групи безпеки компанії. Ці послуги поєднують розслідування під керівництвом людини, моніторинг у реальному часі та реагування на інциденти з технологіями збору й аналізу інформації.
Спеціалізовані служби реагування на інциденти
Для організацій, які ще не задіяли службу MDR і мають реагувати на активну атаку, спеціалізовані служби реагування на інциденти є хорошим вибором. Реагування на інциденти викликається, коли команда безпеки перевантажена і потрібні сторонні експерти, щоб оцінити атаку та забезпечити нейтралізацію зловмисника. Навіть компанії, які мають команду кваліфікованих аналітиків безпеки, можуть отримати вигоду від співпраці зі службою реагування на інциденти. Наприклад, можна заповнити прогалини в охопленні (наприклад, ночі, вихідні та святкові дні) або можна розподілити спеціальні завдання, необхідні для реагування на інциденти.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.