У середовищі постійно зростаючих і цілеспрямованих кіберзагроз кожна організація знаходиться під загрозою. Sophos надає вказівки щодо того, як проактивно планувати реагування на інцидент безпеки.
Зараз середина ночі, і вас прокидає новина про те, що вашу компанію атакувало програмне забезпечення-вимагач. Час реагування має важливе значення – рішення, які ви приймаєте протягом наступних секунд, хвилин і годин, мають довгострокові операційні та нормативні наслідки, які фундаментально впливають на бізнес-операції та, у свою чергу, на вашу ділову репутацію.
інциденти безпеки: Навряд чи встиг зреагувати
Це не гіпотетичний сценарій — це все більш поширена реальність для організацій, оскільки кібератаки, включно з програмами-вимагачами, стають все більш поширеними та складними. У відповідь на це багато організацій використовують кібербезпеку як послугу (CSaaS), модель безпеки, у якій зовнішні спеціалісти надають організаціям вкрай необхідний досвід, засоби захисту та втручання на вимогу. Передавши всі операції з безпеки на аутсорсинг або розширивши наявні команди, організації можуть забезпечити цілодобовий пошук загроз, їх виявлення та реагування. Це стало можливим завдяки керованому виявленню та відповіді (MDR), основній пропозиції CSaaS.
Але MDR - це лише половина успіху. Організаціям також потрібні детальні плани реагування на інциденти, щоб повною мірою скористатися перевагами моделей CSaaS. Стратегічна підготовка дозволяє швидко діяти під час кризи та оптимізувати співпрацю з постачальниками керованих послуг (MSP) і партнерами MDR. За допомогою MDR і цілісного планування реагування організації можуть створити повноцінну систему безпеки, яка готова протистояти загрозам, що постійно змінюються.
MDR є наріжним каменем планування реагування на інциденти
Активні кібератаки можуть швидко стати непосильними для відповідальних осіб у компаніях. Коли сирени ревуть, образно кажучи, це може бути складним і напруженим, щоб ефективно керувати кількома постачальниками, зацікавленими сторонами та інструментами доставки та використовувати їх. Без допомоги плану реагування на інцидент відповідальним особам важко оцінити серйозність атаки та узгодити всі ролі та обов’язки протягом усього процесу відновлення.
Відсутність внутрішнього узгодження та планування значно збільшує час реагування, оскільки керівництво спочатку має прояснити процеси та визначити, хто має повноваження приймати рішення в якій сфері. Без плану реагування на інцидент може бути навіть незрозуміло, кого сповістити у разі атаки. Навпаки, проактивна розробка планів реагування дозволяє оцінювати різні протоколи діяльності за допомогою імітаційних сценаріїв і вправ. Ця практика допомагає організаціям зміцнити свої «м’язи реакції» на кібератаку та виявити проблеми з існуючими процесами.
План реагування на інцидент як рятівний круг
План реагування на інциденти також дає зацікавленим сторонам можливість створити внутрішнє узгодження та підготуватися до інтеграції зовнішніх послуг MDR. Завдяки масштабному пошуку загроз під керівництвом людини MDR забезпечує швидке виявлення інцидентів, зменшуючи ймовірність їх виникнення. У найгіршому випадку, коли інциденти все ж трапляються, втручання партнерів MDR на вимогу зменшує тяжкість впливу.
Протягом усього процесу реагування на інцидент — від початкового виявлення загроз, стримування та пом’якшення до видалення зловмисників із мережі — особи, які приймають внутрішні рішення, MSP та партнери MDR, повинні працювати разом, щоб зважити вплив на бізнес і визначити наступні кроки. Це суть цілісного плану реагування на кіберінциденти – він гарантує, що всі зацікавлені сторони розуміють свої ролі протягом життєвого циклу відновлення. Цей підхід також дозволяє налагодити стосунки між сторонами, що зрештою призводить до швидшої нейтралізації загрози.
5 кроків до ретельного планування реагування на кіберінциденти
Компанії не повинні чекати завершення кібератаки, щоб інвестувати в комплексне планування реагування на інциденти. Оскільки кількість атак програм-вимагачів зростає, а моделі атаки, що базуються на високому рівні співпраці, кожна організація стає мішенню. Команда реагування на інциденти Sophos рекомендує наступні п’ять кроків, щоб забезпечити міцну внутрішню взаємодію та оптимізовану співпрацю із зовнішніми експертами:
1. Залишайтеся спритними
Пам’ятайте, що деякі аспекти вашого плану реагування на інциденти потребують гнучкого підходу. Навіть маючи надійне планування, вони повинні бути готові адаптуватися до розвитку нових загроз і, якщо необхідно, відповідно скорегувати свій план реагування на інциденти.
2. Надавайте перевагу міжкомандній співпраці
Кібератаки впливають на всі аспекти вашого бізнесу. Переконайтеся, що всі команди, включаючи фінансову, юридичну, маркетингову та ІТ, залучені до прийняття рішень та оцінки ризиків.
3. Забезпечте належну гігієну ІТ-середовища
Надійна гігієна ІТ-середовища зводить до мінімуму ймовірність інцидентів, тому регулярно перевіряйте засоби безпеки та якнайшвидше виправляйте невиправлені вразливості, наприклад відкриті порти RDP (протоколу віддаленого робочого столу).
4. Завжди зберігайте фізичну копію свого плану реагування на інциденти
Якщо ваша організація постраждала від програми-вимагача, серед зашифрованих файлів можуть бути цифрові копії інструкцій.
5. Використовуйте спеціалістів MDR з досвідом реагування на інциденти
Навіть досвідчені служби внутрішньої безпеки отримують вигоду від операційних груп MDR, які мають глибокі знання галузі. Ці постачальники добре знайомі з конкретними загрозами, з якими вони стикаються, і знають, як швидко й ефективно реагувати.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.