Реагирование на инцидент (IR) — это шаги, используемые для подготовки, обнаружения, сдерживания и восстановления после утечки данных.

План реагирования на инциденты — это документ, в котором излагаются процедуры, этапы и обязанности организации в рамках ее программы реагирования на инциденты.

Планирование реагирования на инциденты часто включает следующие детали:

- как реагирование на инциденты поддерживает более широкую миссию организации

- подход организации к реагированию на инциденты

- действия, необходимые на каждом этапе реагирования на инциденты

- роли и обязанности по выполнению IR-мероприятий

- каналы связи между группой реагирования на инциденты и остальной частью организации

- метрики для определения эффективности своих IR-возможностей

Важно отметить, что ценность плана IR не заканчивается, когда инцидент кибербезопасности исчерпан. Он продолжает оказывать поддержку для успешного судебного разбирательства, документацию для представления аудиторам и исторические данные для использования в процессе оценки рисков и улучшения самого процесса реагирования на инциденты.

По данным Национального института стандартов и технологий (NIST), IR состоит из четырех ключевых этапов:

Подготовка. Ни одна организация не может в любой момент, без подготовки, развернуть эффективное реагирование на инцидент. Должен быть план как для предотвращения событий, так и для реагирования на них.

Обнаружение и анализ. Второй этап IR заключается в определении того, произошел ли инцидент, его серьезность и тип.

Сдерживание и искоренение. Цель этапа сдерживания — остановить последствия инцидента до того, как он сможет причинить дополнительный ущерб.

Восстановление после инцидента. Совещание по извлечению уроков с участием всех соответствующих сторон должно быть обязательным после серьезного инцидента и желательным после менее серьезных инцидентов с целью повышения безопасности в целом и обработки инцидентов в частности.

Кибер-инциденты — это не просто технические проблемы, это проблемы бизнеса. Чем раньше их удастся смягчить, тем меньший ущерб они могут причинить.

Подумайте о недавних нарушениях, которые неделями фигурировали в заголовках. Была ли компания уведомлена заблаговременно, но не смогла решить проблему? Преуменьшали ли их публичные сообщения серьезность инцидента только для того, чтобы опровергнуть дальнейшее расследование?

Было ли плохо организовано общение с пострадавшими, что привело к большей путанице? Были ли руководители обвинены в неправильном обращении с инцидентом — либо в том, что они не восприняли его всерьез, либо в том, что они предприняли действия, такие как распродажа акций, которые усугубили инцидент? Это явные признаки того, что у организации не было плана.

Поскольку план реагирования на инциденты — это не только технический вопрос, план IR должен быть разработан в соответствии с приоритетами организации и ее уровнем приемлемого риска.

Лидеры реагирования на инциденты должны понимать краткосрочные операционные требования и долгосрочные стратегические цели своих организаций, чтобы свести к минимуму сбои и ограничить потерю данных во время и после инцидента.

Информация, полученная в процессе реагирования на инциденты, также может быть использована в процессе оценки рисков, а также в самом процессе реагирования на инциденты, чтобы обеспечить лучшую обработку будущих инцидентов и более высокий уровень безопасности в целом.

Когда инвесторы, акционеры, клиенты, средства массовой информации, судьи и аудиторы спрашивают об инциденте, компания, имеющая план реагирования на инциденты, может указать на свои записи и доказать, что она действовала ответственно и тщательно в ответ на атаку.

У большинства организаций нет плана

Хотя потребность в планах реагирования на инциденты очевидна, на удивление большое количество организаций либо не имеют таковых, либо имеют недостаточно разработанные планы.

Согласно опросу, 77% респондентов говорят, что у них нет официального плана реагирования на инциденты, последовательно применяемого в их организации, и почти половина говорит, что их план неформальный или не существует. Среди тех, у кого есть планы IR, только 32% называют свои инициативы «зрелыми».

Эти цифры вызывают беспокойство, особенно если учесть, что пятьдесят семь процентов организаций говорят, что время, необходимое для разрешения киберинцидентов в их организациях, увеличивается, а 65 процентов говорят, что серьезность атак, с которыми они сталкиваются, увеличивается.

Эти два утверждения тесно связаны между собой: в кибербезопасности скорость является важным фактором ограничения ущерба. Чем больше времени злоумышленники могут провести в сети цели, тем больше они могут украсть и уничтожить. План IR может ограничить количество времени, которое есть у злоумышленника, гарантируя, что респонденты понимают шаги, которые они должны предпринять, и имеют инструменты и полномочия для этого.

Служба реагирования на инциденты компании Mainton

Организациям часто не хватает внутренних навыков для самостоятельной разработки или выполнения эффективного плана. Если им посчастливилось иметь выделенную команду, они, вероятно, утомлены потоком ложных срабатываний своих автоматизированных систем обнаружения или слишком заняты выполнением существующих задач, чтобы не отставать от последних угроз.

Компания Mainton гордится тем, что предоставляет услуги высокого качества, в том числе, по мониторингу и реагированию на инциденты и обеспечивает контроль, стабильность и организацию того, что может стать хаотичным событием. Компания Mainton тесно сотрудничает с организациями, разрабатывая планы IR с учетом структуры и возможностей их команды.

Мы помогаем компаниям улучшить свои операции по реагированию на инциденты путем стандартизации и оптимизации процесса. Мы также проанализируем существующие планы и возможности организации, а затем вместе с их командой разработаем стандартные «сборники» операционных процедур, которыми вы будете руководствоваться при реагировании на инциденты.

Наконец, наша команда по обслуживанию может помочь протестировать ваши сценарии в боевых условиях с помощью таких упражнений, как тестирование на проникновение, упражнения для красной команды и синей команды и сценарии эмуляции злоумышленников.

Важно отметить, что не только вредоносное ПО и вирусы влияют на работу сайта, а и многие другие факторы. Но, какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных или сервером, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.