Güvenlik olayları meydana gelir. Mesele “eğer” değil, “ne zaman” meselesidir. Bu nedenle, olay müdahale (IR) sürecini optimize etmek için güvenlik ürünleri ve prosedürleri uyguladınız.
Bununla birlikte, olayları ele alma konusunda mükemmel bir iş çıkaran birçok güvenlik uzmanı, devam eden süreci yönetimleriyle etkin bir şekilde iletişim kurmayı çok daha zorlu bir görev olarak görmektedir.
Tanıdık geliyor mu?
Birçok kuruluşta liderlik, güvenlik konusunda bilgili değildir ve güvenlik uzmanlarının ustalaştığı tüm bit ve baytlarla ilgili ayrıntılarla ilgilenmezler.
Neyse ki, güvenlik liderlerinin yönetime sunum yaparken kullanabileceği bir şablon var. buna denir Yönetim şablonu için IR RaporlamasıCISO’lara ve CIO’lara hem devam eden IR sürecini hem de sonucunu raporlamak için açık ve sezgisel bir araç sağlar.
Yönetim için IR Raporlama şablonu, CISO’ların ve CIO’ların yönetimin önemsediği iki kilit nokta ile iletişim kurmasını sağlar: olayın kontrol altında olduğuna dair güvence ve sonuçların ve temel nedenin net bir şekilde anlaşılması.
Kontrol, herhangi bir anda neyin ele alındığı, neyin bilindiği ve düzeltilmesi gerektiği ve saldırının hangi kısımlarını ortaya çıkarmak için daha fazla araştırmaya ihtiyaç duyulduğu konusunda tam şeffaflık olması anlamında, IR süreçlerinin önemli bir yönüdür. henüz bilinmiyor.
Yönetim, truva atları, açıklardan yararlanma ve yanal hareket açısından düşünmez, bunun yerine iş verimliliği açısından düşünür – aksama süresi, çalışma saatleri, hassas verilerin kaybı.
Saldırı yolunun üst düzey bir tanımını neden olunan hasara eşlemek, yönetimin anlayışını ve katılımını sağlamak için çok önemlidir – özellikle de IR süreci ek harcama gerektiriyorsa.
Yönetim için IR Raporlaması şablonu, SANSNIST IR çerçevesini takip eder ve yönetiminizde aşağıdaki aşamalarda ilerlemenize yardımcı olur:
Kimlik
Saldırganın varlığı şüpheye yer bırakmayacak şekilde tespit edildi. Anahtar soruları yanıtlamak için şablonu izleyin:
- Tespit kurum içinde mi yoksa bir üçüncü tarafça mı yapıldı?
- Saldırı ne kadar olgun (öldürme zinciri boyunca ilerlemesi açısından)?
- Tahmini risk nedir?
- Aşağıdaki adımlar iç kaynaklarla mı atılacak yoksa bir hizmet sağlayıcıyla anlaşmaya gerek var mı?
Sınırlama
Daha fazla araştırma yapmadan önce ani kanamayı durdurmak için ilk yardım, saldırının temel nedeni, çevrimdışına alınan varlık sayısı (uç noktalar, sunucular, kullanıcı hesapları), mevcut durum ve sonraki adımlar.
eradikasyon
Tüm kötü niyetli altyapı ve etkinliklerin tam olarak temizlenmesi, saldırının rotası ve varsayılan hedefleri hakkında eksiksiz bir rapor, genel iş etkisi (çalışma saatleri, kayıp veriler, düzenleyici etkiler ve değişen bağlama göre diğerleri).
Kurtarma
Uç noktalar, sunucular, uygulamalar, bulut iş yükleri ve veriler açısından kurtarma oranı.
Dersler öğrenildi
Bu saldırı nasıl oldu? Yeterli güvenlik teknolojisinin olmaması mı, güvensiz iş gücü uygulamaları mı yoksa başka bir şey mi? Ve bu sorunları nasıl düzeltebiliriz? Nelerin korunacağını ve nelerin iyileştirileceğini araştırarak, IR süreci zaman çizelgesinde önceki aşamalar hakkında bir yansıma sağlayın.
Doğal olarak, bir güvenlik olayında herkese uyan tek bir olay yoktur. Örneğin, tanımlama ve sınırlamanın neredeyse anında birlikte gerçekleşeceği durumlar olabilirken, diğer olaylarda sınırlama daha uzun sürebilir ve geçici durumu hakkında birkaç sunum gerektirebilir. Bu nedenle bu şablon modülerdir ve herhangi bir değişkene kolayca ayarlanabilir.
Yönetimle iletişim, sahip olunması güzel bir şey değil, IR sürecinin kendisinin kritik bir parçasıdır. Kesin IR Raporlamadan Yönetime şablonu, güvenlik ekibi liderlerinin çabalarını ve sonuçlarını yönetimleri için net bir şekilde ortaya koymalarına yardımcı olur.