Realni pristup sigurnosti je da se dogode incidenti. Iako bi u idealnom slučaju CISO želio da ih sve spriječi, u praksi će neki uspjeti u određenoj mjeri – čineći sposobnost efikasnog upravljanja postupkom reagiranja na incident incidentu obaveznom vještinom za bilo koji CISO.
Nadalje, osim upravljanja stvarnim postupkom reagiranja, CISO također mora biti u mogućnosti učinkovito priopćiti tekuće aktivnosti i status izvršnoj razini.
Iako je postupak IR-a uglavnom tehnički, izvještavanje rukovodstva organizacije trebalo bi se odvijati na mnogo višoj razini kako bi rukovoditelji ne-sigurnosti mogli razumjeti.
Da bi pomogao CISO-ovima u ovim zadacima, Cynet je kreirao predložak PowerPoint IR upravljanja i izvještavanja (preuzmite ovdje), koji osim što pruža djelotvoran okvir odgovora, jasan je i intuitivan za izvršnu razinu.
Razmotrimo dva aspekta predloška:
IR upravljanje
Predložak je izgrađen na SANS NIST okviru koji uključuje sljedeće faze:
- identifikacija – Ova faza uključuje sve aktivnosti koje se odnose na početno otkrivanje zlonamjerne prisutnosti i aktivnosti. Obuhvaća širok raspon mogućih scenarija – otkriće koje je obavio interni sigurnosni tim ili vanjski subjekt, bilo u kontekstu standardnih sigurnosnih protokola ili puka slučajnost. Ova faza također uključuje početnu procjenu rizika za daljnje korake.
- Zaustavni – Nakon prvobitne identifikacije, postoji kritična potreba za neposrednim djelovanjem kako bi se suočili i ublažili otkrivenu prijetnju – prije bilo kakve daljnje istrage uzroka i djelokruga. Jednom kada se ovo ublaživanje izvrši, mogu se izračunati koraci dalje.
- iskorjenjivanje – Ova se faza odnosi na puni opseg istrage kako bi se utvrdilo odakle napad potječe i u kojoj je mjeri bio uspješan. Ova bi se istraga trebala zaključiti osiguravanjem potpunog uklanjanja svih zlonamjernih aktivnosti, prisutnosti i infrastrukture.
- oporavak – Nakon faze iskorjenjivanja, zacrtajte sve aktivnosti koje uključuju vraćanje operacija u rutinu, a odnose se na IT entitete (servere, prijenosna računala, radne površine, korisničke račune, aplikacije i radna opterećenja u oblaku) i sigurnosne kopije podataka.
- Naučene lekcije – Ovo je dijapozitiv na kojem izvlačite djelotvorne zaključke iz napada u smislu poboljšanja otpornosti na okoliš, smanjenja površina napada i potencijalno dodatnih ulaganja u sigurnost.
IR izvještavanje
Da bi se sigurnosni proces pretvorio u probavljiviji za upravljanje, predložak se fokusira na dvije ključne teme – radnje poduzete za kontrolu incidenta i kontinuirani uvidi u njegov osnovni uzrok i opseg. Oba su dužna očistiti percepciju rizika događaja.
Kontrolni aspekt stečen težnjom za što većom transparentnošću u vezi s onim što je u napadu već poznato i što tek treba otkriti, kao i mapiranjem dobitaka i nedostataka znanja, stvara sigurnost da se incidentom stvarno upravlja.
Na kraju dana, rukovoditelji tvrtke djeluju u kontekstu operativnog prostora – stanke, novčani gubitak, ušteđeni resursi ili potrošnja. Predložak rješava tu potrebu pružajući visoku razinu tehničkih detalja kompromisa, bočnog pomicanja i tehnika bez datoteke kako bi se osigurao prijevod incidenta u stvarnu i potencijalnu štetu.
Iako postoji mnogo zajedničkih nazivnika cyberattacks, za njih se postoje jedinstvene kvalitete. Slično tome, postoji velika razlika u razlikama između organizacija i tipova upravljanja. Predložak je namijenjen da se probije i koristi na modularan način, prilagođavajući ga specifičnim potrebama svake organizacije.
Komunikacija menadžmentu nije lijep dio, ali je presudan dio IR procesa. Konačni predložak za izvještavanje o upravljanju PPT-om omogućuje svima koji naporno rade kako bi proveli profesionalne i učinkovite IR procese u svojim organizacijama da svoje napore i rezultate postanu kristalno jasni za njihovo upravljanje.
I upravljanje i izvještavanje bitni su sastavni dijelovi učinkovitog postupka IR-a. Predložak za upravljanje i izvještavanje o IR-u pokušava pomoći CISO-u u obavljanju ovih zadataka – ne samo da pružaju vrhunski odgovor na cyber-napade, već i osiguravaju da se ovaj profesionalni i kritički posao razumije i prizna.
Ovdje preuzmite predložak PPT za upravljanje i izvještavanje o IR-u.
