Kiber Təhlükəsizlik İnsidentlərinə Qarşı İdarəetmə və Ən Yaxşı Təcrübələr

Kiberhücumlar həcmdə, müxtəliflikdə və incəlikdə artmaqda davam etdikcə, daha pozucu və ziyanlı olmaqdan əlavə, təşkilatlar onları effektiv şəkildə idarə etməyə hazır olmalıdırlar.


Effektiv təhlükəsizlik həllərini və tətbiqlərini tətbiq etməklə yanaşı, hücumları tez bir zamanda müəyyənləşdirmək və həll etmək bacarığına ehtiyac duyur, beləliklə minimum zərər, pozulma və xərcləri təmin edir.

Hər İT sistemi kiberhücumun potensial hədəfidir və əksər insanlar bunun baş verməsi məsələsinin deyil, nə vaxt olacağının bir məsələ olmadığı ilə razılaşırlar. Bununla birlikdə təsir, məsələni nə qədər tez və effektiv həll etdiyinizə görə dəyişir, buna görə insidentlərə cavab hazırlığına ehtiyac var.

Kibertəhlükəsizlik hadisəsinə reaksiya (İR) bir təşkilatın İT sistemlərinə hücumu həll etmək üçün apardığı bir sıra proseslərə aiddir. Bunun üçün düzgün aparat və proqram vasitələrinin, eləcə də düzgün planlaşdırma, prosedur, təlim və təşkilatdakı hər kəsin dəstəyi kimi təcrübələrin birləşməsi tələb olunur.

Təhlükəsizlik hadisələrindən əvvəl, əvvəl və sonra ən yaxşı təcrübələr

Kiberhücum baş verdikdə eyni vaxtda bir çox fəaliyyət baş verə bilər və koordinasiya və ya insidentlərin düzgün idarə edilməsi prosedurları olmadıqda bu ağır ola bilər..

Bununla birlikdə, əvvəlcədən hazırlaşmaq və hadisələrə cavab planı və siyasətlərini anlamaq üçün asan və asan bir təhlükəsizlik qurulması təhlükəsizlik qruplarına uyğun işləməyə imkan verir. Bu, onlara lazımsız iş fasilələrinin qarşısını almaqla yanaşı, İT sistemlərinə, məlumatlarına və nüfuzuna potensial zərərləri məhdudlaşdıran vacib vəzifələrə diqqət yetirməyə imkan verir..

Bir insidentə cavab planı hazırlamaq

Bir insidentə cavab planı hücum və ya başqa bir təhlükəsizlik problemi halında izləniləcək addımları sənədləşdirir. Həqiqi addımlar ətraf mühitə görə dəyişə bilsə də, SANS (SysAdmin, Audit, Şəbəkə və Təhlükəsizlik) çərçivəsinə əsaslanan tipik bir proses hazırlıq, identifikasiya, gizlətmə, ləğv, bərpa, hadisədən xəbərdarlıq və sonrakı dövrləri əhatə edəcəkdir. hadisəyə baxış.

hadisəyə reaksiyaQəzaya cavab prosesi axını (NIST şablonu əsasında) Şəkil NİST

Hazırlıq, müvafiq məlumatları olan bir plan hazırlamağı və kompüter hadisələrinə cavab vermə qrupunun (CIRT) hadisəni həll etmək üçün tətbiq edəcəyi faktiki prosedurları ehtiva edir..

Bunlara daxildir:

  • Hadisəyə cavab vermə prosesinin hər bir addımından məsul olan xüsusi qruplar və şəxslər.
  • Bir hadisənin nədən ibarət olduğunu, o cümlədən cavabın hansı növünə zəmanət verdiyini müəyyənləşdirir.
  • Daha çox qorunma və qoruma tələb edən kritik məlumatlar və sistemlər.
  • Məhkəmə məqsədləri üçün təsirlənmiş sistemlərin təsirlənmiş vəziyyətlərini qorumağın bir yolu.
  • Təhlükəsizlik məsələsi barədə nə vaxt və kimə məlumat verəcəyini müəyyənləşdirmək üçün prosedurlar. Bir hadisə baş verdikdə, təsirlənmiş istifadəçilərə, müştərilərə, işçilərin hüquq mühafizə orqanlarına və s. Məlumat vermək lazım ola bilər, lakin bu, bir sahədən və digər haldan fərqli olacaq.

Bir insidentə cavab planı başa düşmək və həyata keçirmək üçün asan olmalıdır, digər planlar və təşkilat siyasəti ilə uyğunlaşdırılmalıdır. Bununla birlikdə, strategiya və yanaşma müxtəlif sahələrdə, komandalarda, təhdidlərdə və ola biləcək zərərlərdə fərqli ola bilər. Mütəmadi sınaq və yeniləmələr planın etibarlı və təsirli olmasını təmin edir.

Kiberhücum baş verdikdə insidentə cavab addımları

Bir təhlükəsizlik hadisəsi baş verdikdən sonra, komandalar onu sürətli şəkildə və effektiv şəkildə hərəkət etməli və təmiz sistemlərə yayılmaması üçün hərəkət etməlidirlər. Təhlükəsizlik problemləri həll edərkən ən yaxşı təcrübələr aşağıdakılardır. Ancaq bunlar ətraf mühitə və bir təşkilatın quruluşuna görə fərqlənə bilər.

Kompüter hadisələrinə reaksiya qrupunu yığın və ya cəlb edin

Çox intizamlı daxili və ya xaricdəki CIRT komandasının həm lazımi bacarıqlara, həm də təcrübəyə sahib insanların olmasını təmin edin. Bunlardan, istiqamət vermək və cavabın plan və müddətə uyğun getməsini təmin etmək üçün əsas şəxs olacaq bir qrup liderini seçin. Lider rəhbərliklə əl-ələ verəcək və xüsusən də əməliyyatlarla bağlı vacib qərarlar olduqda.

Hadisəni müəyyənləşdirin və hücumun növünü və mənbəyini təyin edin

Hər hansı bir təhlükə əlamətləri olduqda, IR komandası, daxili və ya xarici bir təhlükəsizlik problemi olub olmadığını yoxlamaq üçün sürətli hərəkət etməli və mümkün qədər sürətli ehtiva etdiyini təmin etməlidir. Bir problemin olmasının müəyyənləşdirilməsinin tipik yolları daxildir, lakin bununla məhdudlaşmır;

  • Təhlükəsizlik monitorinqi vasitələri, sistemlərdəki nasazlıqlar, qeyri-adi davranışlar, gözlənilməz və ya qeyri-adi fayl dəyişiklikləri, çıxarmaq və ya yükləmələr və s.
  • İstifadəçilər, şəbəkə və ya sistem rəhbərləri, təhlükəsizlik işçiləri və ya xarici tərəfdaşlar və ya müştərilər tərəfindən hesabat verilməsi.
  • Çoxsaylı uğursuz giriş cəhdləri, böyük fayl yükləmələri, yüksək yaddaş istifadəsi və digər anomaliyalar kimi qeyri-adi istifadəçi və ya sistemlərin davranış əlamətləri ilə yoxlama qeydləri.

Varonis təhlükəsizlik hadisəsi avtomatik xəbərdarlığıVaronis təhlükəsizlik hadisəsi avtomatik xəbərdarlığı – Şəkil Varonis 

Hücumun təsirini qiymətləndirin və təhlil edin

Hücuma səbəb olan zərər onun növündən, təhlükəsizlik həllinin effektivliyindən və komandanın cavab vermə sürətindən asılı olaraq dəyişir. Çox vaxt, məsələni tamamilə həll edənə qədər zərərin dərəcəsini görmək mümkün deyil. Təhlil hücumun növünü, təsirini və təsir edə biləcəyi xidmətləri tapmalıdır.

Təcavüzkarın tərk edə biləcəyi izləri axtarmaq və fəaliyyət qrafikini təyin etməyə kömək edəcək məlumatları toplamaq da yaxşı bir təcrübədir. Bura təsirlənmiş sistemlərin bütün komponentlərinin təhlili, məhkəmə ekspertizası üçün müvafiq sənədlərin alınması və hər mərhələdə nəyin baş verə biləcəyini müəyyənləşdirmək daxildir.

Hücumun dərəcəsindən və tapıntılardan asılı olaraq, hadisəni müvafiq komandaya çatdırmaq lazım ola bilər.

Çirklənmə, təhdidin aradan qaldırılması və bərpa

Tıxanma mərhələsinə hücumun yayılmasının qarşısını almaq, həmçinin sistemlərin ilkin əməliyyat vəziyyətinə gətirilməsi daxildir. İdeal olaraq, CIRT komandası təhdid və kök səbəbini müəyyənləşdirməli, zədələnmiş sistemləri bloklamaq və ya bağlamaq, zərərli proqramları və ya virusları təmizləmək, zərərli istifadəçiləri bloklamaq və xidmətləri bərpa etməklə bütün təhdidləri aradan qaldırmalıdır..

Həm də təcavüzkarların gələcəkdə eyni halların qarşısını almaq üçün istismar etdikləri zəiflikləri müəyyən etməli və həll etməlidirlər. Tipik bir tutulma qısa və uzunmüddətli tədbirləri, həmçinin mövcud vəziyyətin ehtiyat nüsxəsini ehtiva edir.

Təmiz bir ehtiyat nüsxəsini bərpa etmədən və ya sistemləri təmizləmədən əvvəl, təsirlənmiş sistemlərin vəziyyətinin bir nüsxəsini saxlamaq lazımdır. Məhkəmə ekspertizasına gəldikdə faydalı ola biləcək hazırkı vəziyyəti qorumaq üçün lazımdır. Yedəkləndikdən sonra növbəti addım pozulmuş xidmətlərin bərpasıdır. Komandalar buna iki mərhələdə nail ola bilərlər:

  • Hamısının düzgün işlədiyini yoxlamaq üçün sistemləri və şəbəkə komponentini yoxlayın
  • İnfeksiyaya uğramış və ya zədələnmiş bütün komponentləri yenidən yoxlayın, sonra etibarlı, təmiz və işlək olduğundan əmin olun..

Bildirmək və hesabat vermək

Xəstəliyə cavab vermə qrupu təhlil edir, cavab verir və hesabat verir. Hadisənin kök səbəbini araşdırmalı, təsirin tapıldığı sənədləri, məsələni necə həll etdiklərini, müvafiq məlumatları rəhbərliyə, digər komandalara, istifadəçilərə və üçüncü tərəf provayderlərə ötürərkən bərpa strategiyasını sənədləşdirməlidirlər.

Xarici agentliklər və provayderlər ilə əlaqəXarici agentliklər və provayderlərlə əlaqə NİST

Əgər pozuntu qanuni mühafizə orqanlarına bildiriş tələb edən həssas məlumatlara toxunarsa, komanda bu barədə təşəbbüs göstərməli və İT siyasətində qoyulmuş prosedurlara əməl etməlidir..

Adətən, hücum gizli, şəxsi, şəxsi və işgüzar məlumatlar kimi həssas məlumatlardakı oğurluq, sui-istifadə, korrupsiya və ya digər icazəsiz fəaliyyətlə nəticələnir. Bu səbəbdən, təsirə məruz qalanları tədbir görmələri və maliyyə, şəxsi və digər məxfi məlumatlar kimi kritik məlumatlarını qorumaları üçün məlumatlandırması vacibdir..

Məsələn, təcavüzkar istifadəçi hesablarına daxil olmağı bacararsa, təhlükəsizlik qrupları bu barədə məlumat verməli və şifrələrini dəyişdirmələrini istəməlidirlər.

Hadisədən sonrakı araşdırma aparın

Bir hadisənin həlli öyrənilən dərsləri də təqdim edir və qruplar təhlükəsizlik həllini təhlil edə və zəif əlaqələri həll edə bilər gələcəkdə oxşar hadisənin qarşısını alBəzi təkmilləşmələrə həm daxili, həm də xarici təhdidlər üçün daha yaxşı təhlükəsizlik və monitorinq həllərinin tətbiqi, fişinq, spam, zərərli proqram və digərlərinin qarşısını almalı olduqları təhlükəsizlik təhdidləri haqqında işçilərə və istifadəçilərə məlumat vermək daxildir..

Digər qoruyucu tədbirlər ən son və effektiv təhlükəsizlik vasitələrini işə salır, serverləri yamaqlayır, müştəri və server kompüterlərindəki bütün zəiflikləri aradan qaldırır və s..

Nepalın NIC Asiya Bankının hadisələrə reaksiya iddiası araşdırması

Qeyri-aşkar aşkaretmə qabiliyyəti və ya reaksiya həddindən artıq ziyana və itkilərə səbəb ola bilər. Buna misal olaraq, 2017-ci ildə bir iş prosesi güzəştindən sonra bəzi pulları itirən və bərpa edən Nepalın NIC Asiya Bankının işidir. Təcavüzkarlar SWIFT-i güzəştə getmiş və saxta yolla bankdan Böyük Britaniya, Yaponiya, Sinqapur və ABŞ-dakı müxtəlif hesablara köçürmüşlər..

Xoşbəxtlikdən, səlahiyyətlilər qanunsuz əməliyyatları aşkarladılar, ancaq oğurlanan pulların bir hissəsini geri ala bildilər. Daha yaxşı bir xəbərdarlıq sistemi olsaydı, təhlükəsizlik qrupları hadisəni daha erkən mərhələdə təsbit edə bilərdi, bəlkə təcavüzkarlar iş prosesində güzəştə gedə bilər..

Bu, digər ölkələrə aid mürəkkəb təhlükəsizlik məsələsi olduğundan, bank hüquq mühafizə və istintaq orqanlarına məlumat verməli idi. Həm də əhatə dairəsi bankın daxili insidentlərə cavab qrupu və buna görə də KPMG, mərkəzi bank və digər xarici qrupların mövcudluğundan kənar idi.

Mərkəzi bankdan xarici qruplar tərəfindən edilən bir məhkəmə araşdırması, hadisənin kritik sistemləri ifşa edən insamsızlıqdan ola biləcəyini müəyyən etdi.

Hesabata görə, sonrakı altı operator, ayrılmış SWIFT sistem kompüterini digər əlaqəli olmayan vəzifələr üçün istifadə etdilər. Bu, SWIFT sistemini ifşa etmiş ola bilər, buna görə də təcavüzkarlara güzəştə getməyə imkan verir. Hadisədən sonra bank altı işçisini digər həssas şöbələrə köçürdü.

Öyrənilmiş dərslər: Bank işçilər arasında düzgün təhlükəsizlik məlumatlılığını yaratmaq və ciddi siyasət tətbiq etməklə yanaşı effektiv bir monitorinq və xəbərdarlıq sistemi də yaratmalıdır..

Nəticə

Əvvəlcədən planlaşdırılmış hadisəyə reaksiya, yaxşı komanda və müvafiq təhlükəsizlik alətləri və təcrübələri təşkilatınıza sürətli hərəkət etmək və geniş təhlükəsizlik problemlərini həll etmək imkanı verir. Bu zərər, xidmət pozuntuları, məlumat oğurluğu, nüfuz itkisi və potensial öhdəlikləri azaldır.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map