კიბერუსაფრთხოების ინციდენტებზე რეაგირების მართვისა და საუკეთესო პრაქტიკის დანერგვა

იმის გამო, რომ კიბერ-შეტევები კვლავაც იზრდება მოცულობით, მრავალფეროვნებითა და დახვეწილობით, გარდა იმისა, რომ უფრო დამამცირებელი და საზიანო გახდება, ორგანიზაციები უნდა იყვნენ მზად, რომ მათ ეფექტურად გაუმკლავდნენ.


უსაფრთხოების ეფექტური გადაწყვეტილებებისა და პრაქტიკის განლაგების გარდა, მათ სჭირდებათ შესაძლებლობა, სწრაფად დააფიქსირონ და შეძლონ შეტევა, შესაბამისად უზრუნველყონ მინიმალური ზიანი, შეფერხება და ხარჯები..

ყველა IT სისტემა არის კიბერშეტევის პოტენციური სამიზნე, და ადამიანების უმეტესობა თანხმდება, რომ არ არის საკითხი თუ არა, მაგრამ როდის მოხდება ეს. ამასთან, გავლენა განსხვავდება იმის მიხედვით, თუ რამდენად სწრაფად და ეფექტურად მოაგვარებთ ამ საკითხს, შესაბამისად, საჭიროა ინციდენტის რეაგირების მზადყოფნა.

კიბერ უსაფრთხოებასთან დაკავშირებული ინციდენტის რეაგირება (IR) ეხება მთელ რიგ პროცესებს, რომლებიც ორგანიზაციას უწევს თავის IT სისტემებზე თავდასხმის განხორციელებას. ეს მოითხოვს აპარატურით და პროგრამული უზრუნველყოფის სწორი საშუალებების ერთობლიობას, ისევე როგორც პრაქტიკას, როგორიცაა სწორი დაგეგმვა, პროცედურები, ტრენინგი და ორგანიზაციაში ყველას მიერ მხარდაჭერა..

უსაფრთხოების საუკეთესო შემთხვევები უსაფრთხოების ინციდენტებამდე, მის გარშემო და შემდეგ

როდესაც ხდება კიბერშეტევა, მრავალჯერადი აქტივობა შეიძლება ერთდროულად ჩატარდეს, ეს შეიძლება იყოს სერიოზული, როდესაც არ არსებობს კოორდინაციის ან ინციდენტების მართვის შესაბამისი პროცედურები..

ამასთან, წინასწარ მომზადება და ინციდენტის რეაგირების გეგმისა და პოლიტიკის გასაგებად და მარტივად ჩამოყალიბება საშუალებას მისცემს უსაფრთხოების გუნდებს ჰარმონიაში იმუშაონ. ეს საშუალებას აძლევს მათ ფოკუსირება მოახდინონ იმ მნიშვნელოვან ამოცანებზე, რომლებიც ზღუდავს მათი IT სისტემების, მონაცემების და რეპუტაციის შესაძლო ზიანს, გარდა იმისა, რომ თავიდან აიცილონ ბიზნესის ზედმეტი შეფერხებები..

ინციდენტის რეაგირების გეგმის მომზადება

ინციდენტის რეაგირების გეგმა ასახელებს ნაბიჯებს, რომლებსაც უნდა მიჰყევით თავდასხმის ან უსაფრთხოების სხვა საკითხის შემთხვევაში. მიუხედავად იმისა, რომ ფაქტობრივი ნაბიჯები შეიძლება განსხვავდებოდეს გარემოს მიხედვით, ტიპიური პროცესი, რომელიც დაფუძნებულია SANS (SysAdmin, აუდიტის, ქსელის და უსაფრთხოების) ჩარჩოზე, მოიცავს მომზადებას, იდენტიფიკაციას, შეკავებას, აღმოფხვრას, გამოჯანმრთელებას, ინციდენტის შესახებ შეტყობინების გაგზავნას. ინციდენტის მიმოხილვა.

ინციდენტის რეაგირებაინციდენტების რეაგირების პროცესის ნაკადი (NIST შაბლონის საფუძველზე) სურათი ნისტ

მომზადება მოიცავს გეგმის შემუშავებას შესაბამისი ინფორმაციის და იმ ფაქტობრივი პროცედურების შესახებ, რომელსაც კომპიუტერული ინციდენტების რეაგირების ჯგუფი (CIRT) მიჰყვება ინციდენტის მოსაგვარებლად..

Ესენი მოიცავს:

  • კონკრეტული გუნდები და პირები, რომლებიც პასუხისმგებელნი არიან ინციდენტის რეაგირების პროცესის თითოეულ ნაბიჯზე.
  • განსაზღვრავს რა წარმოადგენს ინციდენტს, მათ შორის რას გულისხმობს რა ტიპის რეაგირება.
  • კრიტიკული მონაცემები და სისტემები, რომლებიც მეტ დაცვასა და დაცვას მოითხოვს.
  • დაზარალებული სისტემების დაზარალებული სახელმწიფოების სასამართლო სამედიცინო მიზნებისათვის შენარჩუნების საშუალება.
  • პროცედურები, რათა დადგინდეს როდის და ვის უნდა აცნობოს უსაფრთხოების საკითხის შესახებ. როდესაც ხდება ინციდენტი, შეიძლება საჭირო გახდეს დაზარალებული მომხმარებლების, მომხმარებლების, თანამშრომლების სამართალდამცავების ინფორმირება და ა.შ., მაგრამ ეს განსხვავდება ერთი ინდუსტრიიდან და სხვაგან..

ინციდენტის რეაგირების გეგმა უნდა იყოს მარტივი გასაგები და განხორციელებული, ისევე როგორც სხვა გეგმებთან და ორგანიზაციის პოლიტიკასთან. ამასთან, სტრატეგია და მიდგომა შეიძლება განსხვავდებოდეს სხვადასხვა ინდუსტრიის, გუნდების, მუქარისა და შესაძლო ზიანის შესაბამისად. რეგულარული ტესტირება და განახლებები უზრუნველყოფს გეგმის მოქმედებას და ეფექტურობას.

ინციდენტის რეაგირების ნაბიჯები, როდესაც ხდება კიბერშეტევა

უსაფრთხოების ინციდენტის შემდეგ, გუნდებმა უნდა იმოქმედონ სწრაფად და ეფექტურად, რომ შეიცავდეს ის და თავიდან აიცილოს იგი სუფთა სისტემებზე გავრცელებისგან. ქვემოთ მოცემულია საუკეთესო პრაქტიკა უსაფრთხოების საკითხების მოგვარებისას. ამასთან, ეს შეიძლება განსხვავდებოდეს ორგანიზაციის გარემოსა და სტრუქტურის შესაბამისად.

შეიკრიბეთ ან ჩართეთ კომპიუტერული ინციდენტის რეაგირების ჯგუფი

დარწმუნდით, რომ მრავალ დისციპლინის შიდა ან გარეუბნიზებულ CIRT გუნდს აქვს უფლება, როგორც სწორი უნარებით, ასევე გამოცდილებით. აქედან, შეარჩიეთ გუნდის ლიდერი, რომელიც იქნება მთავარი პირი, რომელიც მიმართულებას მისცემს და უზრუნველყოფს პასუხის გატარებას გეგმისა და ვადების შესაბამისად. ლიდერი ასევე იმუშავებს მენეჯმენტთან ერთად და განსაკუთრებით მაშინ, როდესაც არსებობს მნიშვნელოვანი გადაწყვეტილებები, ოპერაციებთან დაკავშირებით.

დაადგინეთ ინციდენტი და დაადგინეთ თავდასხმის ტიპი და წყარო

საფრთხის ნებისმიერი ნიშნის არსებობის შემთხვევაში, IR ჯგუფმა უნდა იმოქმედოს სწრაფად, რომ შეამოწმოს ეს არის მართლაც უსაფრთხოების საკითხი, იქნება ეს შიდა თუ გარე, ხოლო მათი დაცვა რაც შეიძლება სწრაფად. პრობლემის დადგენის ტიპიური გზები მოიცავს, მაგრამ არ შემოიფარგლება მხოლოდ;

  • შეტყობინებები უსაფრთხოების მონიტორინგის ინსტრუმენტებიდან, სისტემის შიგნით არასრულფასოვნების შესახებ, უჩვეულო ქცევა, ფაილის მოულოდნელი ან უჩვეულო ცვლილებები, კოპირება ან გადმოწერა და ა.შ.
  • მომხმარებლების, ქსელის ან სისტემის ადმინისტრატორის, უსაფრთხოების პერსონალის ან მესამე მხარის გარე პარტნიორების ან მომხმარებლების მიერ მოხსენება.
  • აუდიტის ჟურნალი მოიცავს არაჩვეულებრივი მომხმარებლის ან სისტემების ქცევის ნიშნებს, მაგალითად, მრავალი წარუმატებელი მცდელობა, ფაილების დიდი ჩამოტვირთვა, მაღალი მეხსიერების გამოყენება და სხვა ანომალიები.

ვარონის უსაფრთხოების ინციდენტის ავტომატური განგაშივარონისის უსაფრთხოების ინციდენტის ავტომატური განგაში – სურათი ვარონისი 

შეაფასეთ და გაანალიზეთ შეტევის გავლენა

შეტევის შედეგად მიყენებული ზიანი განსხვავდება მისი ტიპისა და უსაფრთხოების გადაწყვეტის ეფექტურობისა და სისწრაფის მიხედვით. ყველაზე ხშირად, ვერ ხერხდება ზიანის ზომების დადგენა, სანამ საკითხის სრულად მოგვარება არ მოხდება. ანალიზში უნდა გაირკვეს, რომ თავდასხმის ტიპი, მისი გავლენა და ის სერვისები, რომლებიც მასზე გავლენას იქონიებს.

ასევე კარგი პრაქტიკაა მოძებნოთ ნებისმიერი კვალი, რომელსაც თავდამსხმელს შეეძლო დაეტოვებინა და შეაგროვოს ინფორმაცია, რომელიც ხელს შეუწყობს საქმიანობის ვადების განსაზღვრას. ეს გულისხმობს დაზარალებული სისტემების ყველა კომპონენტის ანალიზს, სასამართლო ექსპერტიზისთვის მნიშვნელოვან აღებას და განსაზღვრავს რა შეიძლება მომხდარიყო თითოეულ ეტაპზე.

თავდასხმის ზომისა და დასკვნის მიხედვით, შეიძლება საჭირო გახდეს ინციდენტის ესკალაცია შესაბამის გუნდში.

შინაარსი, საფრთხის აღმოფხვრა და აღდგენა

შეკავების ეტაპი მოიცავს თავდასხმის გავრცელებას, ასევე სისტემების აღდგენას საწყის ოპერაციულ სტატუსამდე. იდეალურ შემთხვევაში, CIRT გუნდმა უნდა დაადგინოს საფრთხე და ძირითადი მიზეზი, ამოიღოს ყველა საფრთხე კომპრომეტირებული სისტემების ბლოკირებით ან გათიშვით, მავნე პროგრამის ან ვირუსის გაწმენდით, მავნე მომხმარებლების დაბლოკვით და მომსახურების აღდგენით..

მათ ასევე უნდა ჩამოაყალიბონ და მიმართონ ის დაუცველობებს, რომლებსაც თავდამსხმელები გამოიყენეს, რათა თავიდან აიცილონ იგივე მოვლენები. ტიპიური შეკავება გულისხმობს მოკლევადიან და გრძელვადიან ზომებს, ისევე როგორც მიმდინარე სტატუსის სარეზერვო საშუალება.

სუფთა სარეზერვო სისტემის აღდგენის ან სისტემების გაწმენდის წინ, მნიშვნელოვანია დაზარალებული სისტემების სტატუსის ასლის შენარჩუნება. ეს აუცილებელია არსებული მდგომარეობის შესანარჩუნებლად, რაც გამოსადეგია, როდესაც საქმე ექსპერტიზას ეხება. სარეზერვო დახმარების შემდეგ, შემდეგი ნაბიჯი არის დარღვეული სერვისების აღდგენა. გუნდებს ამის მისაღწევად შეუძლიათ ორ ფაზაში:

  • შეამოწმეთ სისტემები და ქსელის კომპონენტი, რომ დაადასტუროთ, რომ ყველა სწორად მუშაობს
  • ხელახლა შეამოწმეთ ყველა კომპონენტი, რომელიც დაინფიცირდა ან კომპრომეტირებული იყო, შემდეგ კი გაწმენდილი ან აღდგენილი, რომ ისინი ახლა უსაფრთხო, სუფთა და ოპერატიული იყოს.

შეტყობინებისა და მოხსენების შესახებ

ინციდენტების რეაგირების ჯგუფი აკეთებს ანალიზს, რეაგირებს და აფიქსირებს ანგარიშს. მათ უნდა შეისწავლონ ინციდენტის ძირეული მიზეზი, დაადგინონ თავიანთი დასკვნის შედეგები, როგორ ამოხსნეს ეს საკითხი, აღდგენის სტრატეგია მენეჯმენტზე, სხვა გუნდებზე, მომხმარებლებზე და მესამე მხარის პროვაიდერებზე შესაბამისი ინფორმაციის გადაცემისას..

კომუნიკაცია გარე სააგენტოებთან და პროვაიდერთანკომუნიკაციები გარე სააგენტოებთან და პროვაიდერებთან გამოსახულება ნისტ

თუ დარღვევა ეხება მგრძნობიარე მონაცემებს, რომლებიც მოითხოვს იურიდიული სამართალდამცავი ორგანოების ინფორმირებას, გუნდმა უნდა დაიწყოს ეს და დაიცვას დადგენილი პროცედურები მათ IT პოლიტიკაში..

ჩვეულებრივ, შეტევა იწვევს ქურდობას, ბოროტად გამოყენებას, კორუფციას ან სხვა უნებართვო მოქმედებას მგრძნობიარე მონაცემებზე, როგორიცაა კონფიდენციალური, პირადი, პირადი და საქმიანი ინფორმაცია. ამ მიზეზით, აუცილებელია დაზარალებულთა ინფორმირება, რათა მათ მიიღონ ზომები და დაიცვან მათი კრიტიკული მონაცემები, როგორიცაა ფინანსური, პირადი და სხვა კონფიდენციალური ინფორმაცია..

მაგალითად, თუ თავდამსხმელი ახერხებს მომხმარებლის ანგარიშებზე წვდომას, უსაფრთხოების ჯგუფებმა უნდა აცნობონ მათ და სთხოვონ შეცვალონ პაროლები.

ინციდენტის შემსწავლელი შემოწმება

ინციდენტის მოგვარება ასევე გთავაზობთ გაკვეთილებს და გუნდებს შეუძლიათ გააანალიზონ მათი უსაფრთხოების გადაწყვეტა და მიმართონ სუსტი ბმულებს მომავალში მსგავსი ინციდენტის თავიდან ასაცილებლადზოგიერთი გაუმჯობესება მოიცავს უსაფრთხოების და მონიტორინგის უკეთესი გადაწყვეტილებების გამოყენებას, როგორც საშინაო, ისე გარე საფრთხეებზე, თანამშრომლებისა და მომხმარებლების განათლება უსაფრთხოების საფრთხეებზე, როგორიცაა ფიშინგი, სპამი, მავნე პროგრამები და სხვები, რომელთა თავიდან ასაცილებლად.

სხვა დამცავი ზომები მოქმედებს უსაფრთხოების უახლეს და ეფექტურ საშუალებებზე, სერვერების პაჩინგს, კლიენტისა და სერვერის კომპიუტერებზე ყველა დაუცველობას..

ნეპალის NIC აზიის ბანკის ინციდენტის რეაგირების საქმის შესწავლა

არასაკმარისი გამოვლენის უნარი ან რეაგირება შეიძლება გამოიწვიოს ზედმეტი ზიანი და ზარალი. ერთი მაგალითია ნეპალის NIC აზიის ბანკის შემთხვევა, რომელმაც 2017 წელს ბიზნეს პროცესის კომპრომისის შემდეგ დაკარგა და გამოიმუშავა თანხა. თავდამსხმელები კომპრომეტირებდნენ SWIFT– ს და თაღლითურად გადარიცხეს თანხები ბანკიდან სხვადასხვა ანგარიშებზე დიდ ბრიტანეთში, იაპონიაში, სინგაპურში და აშშ – ში..

საბედნიეროდ, ხელისუფლებამ აღმოაჩინა უკანონო გარიგებები, მაგრამ მხოლოდ მოახერხა მოპარული ფულის ნაწილი. შეიძლება არსებობდეს უკეთესი გამაფრთხილებელი სისტემა, უსაფრთხოების ჯგუფები ინციდენტს ადრეულ ეტაპზე აღმოაჩენდნენ, იქნებ ადრე თავდამსხმელები წარმატებას მიაღწევდნენ ბიზნეს პროცესზე კომპრომისზე..

იმის გამო, რომ ეს იყო უსაფრთხოების რთული პრობლემა, რომელიც მოიცავს სხვა ქვეყნებს, ბანკმა უნდა აცნობოს სამართალდამცავ და საგამოძიებო ორგანოებს. ასევე, ფარგლები გასცდა ბანკის შიდა ინციდენტების რეაგირების ჯგუფს და, შესაბამისად, KPMG– ს, ცენტრალური ბანკის და სხვებისგან გარე გუნდების ყოფნას..

მათი ცენტრალური ბანკის გარე ჯგუფების მიერ ჩატარებული სასამართლო ექსპერტიზის შედეგად დადგინდა, რომ ინციდენტი შესაძლოა ყოფილიყო უყურადღებოდ, რაც კრიტიკულ სისტემებს აწყდებოდა.

მოხსენების თანახმად, მაშინ ექვსმა ოპერატორმა გამოიყენა სპეციალური SWIFT სისტემის კომპიუტერი სხვა დაუკავშირებელ დავალებებთან დაკავშირებით. ამან შეიძლება გამოიჩინა SWIFT სისტემა, რის გამოც თავდამსხმელებს მის კომპრომისზე დაშვების საშუალება მისცემს. ინციდენტის შემდეგ, ბანკმა ექვსი თანამშრომელი გადაყვანა სხვა ნაკლებად მგრძნობიარე განყოფილებებში.

მიღებული გაკვეთილები: ბანკს უნდა ჰქონდეს მონიტორინგისა და განგაშის ეფექტური სისტემა, გარდა თანამშრომლებისაგან უსაფრთხოების სათანადო ინფორმირებულობის შესაქმნელად და მკაცრი პოლიტიკის გატარებით..

დასკვნა

კარგად დაგეგმილი ინციდენტის რეაგირება, კარგი გუნდი და უსაფრთხოების შესაბამისი საშუალებები და პრაქტიკა თქვენს ორგანიზაციას აძლევს შესაძლებლობას სწრაფად იმოქმედოს და უსაფრთხოების საკითხების ფართო სპექტრს მიმართოს. ეს ამცირებს ზიანს, სერვისის შეფერხებას, მონაცემთა ქურდობას, რეპუტაციის დაკარგვას და პოტენციურ ვალდებულებებს.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map