Вас атаковали хакеры. Что дальше?
Вопрос «что дальше?» не возникнет при хакерском нападении, если вы к нему подготовились, если у вас в наличии подробный продуманный план реагирования, пишет Брайан Врозек в сентябрьском выпуске журнала Security Magazine.
Автор публикации подчеркивает фундаментальное отличие кибербезопасности от физической охраны применительно к реагированию на инцидент. Для последней безусловным приоритетом является человеческая жизнь. Поиск и поимка виновника инцидента – на втором месте. Для кибербезопасности главное – минимизация разрушительных последствий в случае успешной атаки, восстановление нормальной работы бизнеса. Поскольку хакер обычно действует за пределами юрисдикции, тратить время и силы на охоту за ним малопродуктивно, если он не инсайдер.
Итак, вопрос должен звучать не «как реагировать?», а «как планировать ответ на потенциальную атаку?».
Реагирование на киберинцидент включает четыре последовательных шага:
1. Подготовка
Заранее составленный план действий означает вашу готовность немедленно ответить на обнаруженную атаку. В плане прописаны необходимые процедуры, обозначена кросс-функциональная команда, ответственная за реализацию плана. План реагирования на кибер инцидент схож с планом физической охраны, где формулируются средства и последовательные шаги.
2. Обнаружение и анализ
Обнаружение хакерской атаки стоит первым пунктом любого плана. Анализ, откуда атака произведена, какие системы ее затронуты, важен для последующего восстановления поврежденных систем.
3. Сдерживание, устранение угрозы и реабилитация (восстановление)
При обнаружении атаки критически важно не допустить ее распространения на еще не затронутые сегменты корпоративной сети, затем принять меры для нейтрализации хакера, вытеснения его из сети. И только после этого можно приступать к заделыванию бреши.
4. Разбор полетов
Необходимо проанализировать, насколько успешно организация реализовала план реагирования, какие уроки надо извлечь, что сделать для улучшения кибербезопасности.
Теперь о некоторых важных аспектах составления плана реагирования на атаки хакеров.
Если ваша служба безопасности специализируется на физической охране предприятия, то это не беда, пишет Врозек. Можно привлечь внешних специалистов по кибербезопасности, которые помогут и в составлении плана, и на всех этапах его осуществления.
Они же составят костяк кросс-функциональной команды реагирования, куда также войдут:
- руководитель службы безопасности, директор по информационной защите;
- системный администратор и другие технические специалисты, отвечающие за разные сегменты сетевой инфраструктуры;
- юристы (оценивающие правовые риски, связанные с утечками информации и другими последствиями атаки, обеспечивающие правовую защиту организации в случае судебных исков, возбуждения уголовного дела);
- кадровик (полезный член команды, если есть подозрение, что за атакой стоит инсайдер, или окажется, что атака стала возможной из-за плохой подготовки коллектива в вопросах кибербезопасности, ответственность за которую отдел кадров разделяет наравне с другими службами организации);
- представитель финансового отдела (лицо необходимое, если требуется немедленное привлечение специалистов извне, срочное приобретение нового оборудования);
- главный менеджер по управлению рисками (если такой имеется в штатном расписании).
План четко расписывает задачи и функции каждого члена команды.
Автор статьи в Security Magazine обращает внимание на необходимость тестирования плана, регулярного – раз или дважды в год – его обновления. Когда придет беда, может оказаться, что тот или иной ключевой для реализации плана игрок уже не работает в компании. Тестирование плана может выражаться в организации «штабных игр», проведении «сценарного анализа». Такие тренинги помогают выявлению слабостей в системах кибербезопасности, лучшей координации действий по устранению угроз.
|
вернуться назад
