Szisztematikus biztonsági incidenskezelés 6 lépésben

Az Egyesült Államokban működő Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség, azaz a CISA (Cybersecurity & Infrastructure Security Agency) nemrégiben adott ki egy közös kiberbiztonsági tanácsadást (CSA) a világ több országában, hogy figyelmeztesse a felhő alapú szolgáltatásokat nyújtó szolgáltatókat (MSP) a kibertámadások növekvő veszélyére. 

A tájékoztató arra figyelmeztet, hogy a rosszindulatú szereplők – köztük az államilag támogatott fenyegető csoportok -– megpróbálhatják kihasználni a sebezhető szolgáltatókat, hogy hozzáférjenek azok ügyfeleinek adataihoz és üzleti folyamataihoz. Jens Bothe is egyetért ezzel, aki a STORM SOAR szoftver terméktulajdonosaként és az OTRS Group információbiztonsági alelnökeként figyelemmel kíséri az IT-biztonsági helyzetet: „Jelenleg nemcsak a különböző fogyasztói területeken történt biztonsági incidensek száma nőtt meg, hanem magukat a szoftver- és IT-ellátási láncokat is egyre több támadás éri. Legutóbb ez a Log4Shell sebezhetőséggel kezdődött, és egészen a nulladik napi kihasználásokig tartott egyes IT-gyártóknál. A támadók itt a szoftverellátási láncon belüli sebezhetőségeket használják ki, nem közvetlenül és konkrétan egyes vállalatokat célozva, hanem a széles körben használt szoftverkomponensek elterjedésével és újrafelhasználásával igyekeznek kárt okozni.”

 

A kibertámadások okozta károk csökkentése

Annak érdekében, hogy felkészüljenek erre a fokozott fenyegetettségi helyzetre, fontos, hogy az szolgáltatók és a vállalatok – a CSA ajánlásának megfelelően – felülvizsgálják és tovább növeljék biztonsági óvintézkedéseiket. Ennek során fontos, hogy ne csak a veszély elhárítására összpontosítsanak, hanem biztonsági incidens esetén a szükséges teendők előkészítésére és megfelelő rendszerekkel való támogatására is, hogy kibertámadás esetén gyorsan lehessen cselekedni. Így elkerülhető a felesleges káosz válság esetén, és a keletkező kár a lehető legalacsonyabb szinten tartható. A biztonsági incidensek szisztematikus kezelése a lehető legjobban felkészíti a vállalatokat és alkalmazottjaikat a biztonsági incidensek kezelésére. Az olyan hatékony rendszerek, mint a STORM powered by OTRS, támogatják a vállalatokat ebben a folyamatban.

 

 

Biztonsági incidensek kezelése 6 lépésben

Az automatizált folyamatok segítenek a biztonsági incidensekkel foglalkozó csapatoknak, hogy optimálisan reagáljanak az incidensekre. A biztonsági incidensek kezelésének alapja egy olyan terv létrehozása, amelyben a feladatok és a felelősségi körök meghatározásra kerülnek. Az incidens esetére alkalmazandó reagálási tervben minden szükséges intézkedést meghatároznak, és a felelősségi köröket is egyértelműen megfogalmazzák – ehhez a következő fázisok ajánlottak:

 

1. Előkészítés: Incidenskezelési eszközök és folyamatok biztosítása

A bevált legjobb gyakorlatok alapján minden fontos fázist megfelelő eszközzel határozunk meg. Így egy biztonsági incidens esetén rövid idő alatt összegyűjthetők a válaszadáshoz szükséges információk. Az összes érintett fél közötti kommunikáció előkészíthető, és az elérhetőségi információk készenlétbe helyezhetők.

 

2. Elemzés és azonosítás: Annak eldöntése, hogy történt-e biztonsági incidens

A naplókezelő rendszerek, IDS/IPS, fenyegetésmegosztó rendszerek, valamint a tűzfalnaplók és a hálózati tevékenység adatainak elemzése segít a biztonsági incidensek osztályozásában. Ha egy fenyegetést azonosítottak, azt dokumentálni kell, és a megállapított irányelveknek megfelelően kommunikálni kell.

 

3. Megállítás: A terjedés megfékezése és a további károk megelőzése

A legnagyobb szerepet annak eldöntése játssza, hogy melyik stratégiát alkalmazzuk. A fő kérdés az, hogy milyen sebezhetőség tette lehetővé a behatolást. A gyors elhárítás, például egy hálózati szegmens elszigetelése sok incidens esetén az első lépés, majd gyakran igazságügyi elemzést kérnek az értékeléshez.

 

4. Megszüntetés: a biztonsági rések bezárása, a rosszindulatú programok megszüntetése

Miután a potenciális fenyegetést sikerült megfékezni, meg kell találni a biztonsági incidens kiváltó okát. Ehhez minden rosszindulatú programot biztonságosan el kell távolítani, a rendszereket javítani kell, frissítéseket kell alkalmazni, és szükség esetén frissíteni kell a szoftvereket. Tehát a rendszereket a legújabb javítási szintre kell frissíteni, és olyan jelszavakat kell kiosztani, amelyek megfelelnek az összes biztonsági követelménynek.

 

5. Helyreállítás: Rendszerek és eszközök újraindítása

A rendszer normál működésének visszaállításához folyamatosan ellenőrizni kell, hogy minden rendszer az elvárásoknak megfelelően működik-e. Ezt hosszabb időn át tartó teszteléssel és nyomon követéssel lehet biztosítani. Ebben a fázisban az incidensre reagáló csoport meghatározza, hogy mikor áll helyre a működés, és hogy a fertőzött rendszerek teljes mértékben megtisztultak-e.

 

6. Tanulságok: Tisztázzuk, mi ment jól és mi nem

Az 5. fázist követően az összes érintett fél részvételével záró megbeszélést kell tartani. Itt tisztázni kell a nyitott kérdéseket, és véglegesen le kell zárni a biztonsági incidenst. Az eszmecsere során szerzett tapasztalatok alapján a jövőbeni incidensekre vonatkozó fejlesztések azonosíthatók és meghatározhatók.

 

A STORM powered by OTRS egy biztonsági incidenskezelő szoftver, amely támogatja a biztonsági incidensek összehangolását és automatizálását. Automatizál minden folyamatot a figyelmeztetéstől a válaszadásig, és biztosítja, hogy az összes érintett ember, eszköz és szolgáltatás együtt tudjon működni a vállalaton belüli gyors incidenskezelés érdekében.

 
 
 

Kapcsolódó cikkek

 

Belépés

 

 

Regisztráció