Pengenalan Pengurusan Tindak Balas Insiden Keselamatan Siber dan Amalan Terbaik

Oleh kerana serangan siber terus meningkat dalam jumlah, kepelbagaian, dan kecanggihan, selain menjadi lebih mengganggu dan merosakkan, organisasi harus bersiap sedia untuk menangani mereka dengan berkesan.

Selain menggunakan solusi dan praktik keamanan yang efektif, mereka memerlukan kemampuan untuk mengenali dan menangani serangan dengan cepat, oleh itu memastikan kerosakan, gangguan, dan biaya minimum.

Setiap sistem IT adalah sasaran potensial dari serangan siber, dan kebanyakan orang setuju bahawa ini bukan masalah jika, tetapi kapan ia akan berlaku. Namun, impaknya berbeza-beza mengikut seberapa cepat dan berkesan anda menangani masalah ini, oleh itu perlunya kesediaan untuk menghadapi insiden.

Tindak balas kejadian keselamatan siber (IR) merujuk kepada serangkaian proses yang dilakukan organisasi untuk menangani serangan terhadap sistem ITnya. Ini memerlukan gabungan perkakasan dan alat perisian yang betul serta amalan seperti perancangan, prosedur, latihan, dan sokongan yang betul oleh semua orang dalam organisasi.

Amalan terbaik sebelum, semasa dan selepas insiden keselamatan

Apabila serangan siber berlaku, pelbagai aktiviti dapat dilakukan secara serentak, dan ini boleh menjadi sibuk apabila tidak ada penyelarasan atau prosedur pengendalian insiden yang tepat.

Namun, membuat persiapan lebih awal dan mewujudkan rancangan dan polisi tindak balas kejadian yang jelas dan mudah difahami membolehkan pasukan keselamatan bekerja secara harmoni. Ini memungkinkan mereka untuk fokus pada tugas-tugas penting yang membatasi potensi kerusakan pada sistem TI, data, dan reputasi mereka di samping menghindari gangguan perniagaan yang tidak perlu.

Menyiapkan rancangan tindak balas kejadian

Pelan tindak balas insiden mendokumentasikan langkah-langkah yang harus diikuti sekiranya berlaku serangan atau masalah keselamatan yang lain. Walaupun langkah-langkah sebenarnya mungkin berbeza-beza menurut lingkungan, proses khas, berdasarkan kerangka SANS (SysAdmin, Audit, Network, dan Security), akan meliputi persiapan, pengenalpastian, penahanan, penghapusan, pemulihan, pemberitahuan kejadian, dan pasca- tinjauan kejadian.

tindak balas kejadianAliran proses tindak balas insiden (berdasarkan templat NIST) Gambar TIDAK

Penyediaannya merangkumi penyusunan rancangan dengan maklumat yang relevan dan prosedur sebenar yang akan diikuti oleh pasukan tindak balas kejadian komputer (CIRT) untuk menangani kejadian tersebut..

Ini termasuk:

  • Pasukan dan individu tertentu yang bertanggungjawab untuk setiap langkah proses tindak balas kejadian.
  • Mentakrifkan apa yang menjadi kejadian, termasuk apa yang menjamin jenis tindak balas.
  • Data dan sistem kritikal yang memerlukan lebih banyak perlindungan dan perlindungan.
  • Kaedah untuk mengekalkan keadaan sistem terjejas yang terjejas untuk tujuan forensik.
  • Prosedur untuk menentukan kapan dan siapa yang harus diberitahu mengenai masalah keselamatan. Apabila kejadian berlaku, mungkin perlu memberitahu pengguna, pelanggan, penegak undang-undang kakitangan yang terlibat, dll..

Rancangan tindak balas insiden mesti mudah difahami dan dilaksanakan serta sesuai dengan rancangan dan dasar organisasi yang lain. Namun, strategi dan pendekatannya mungkin berbeza di berbagai industri, pasukan, ancaman, dan potensi kerusakan. Ujian dan kemas kini secara berkala memastikan bahawa rancangan itu sah dan berkesan.

Tindak balas kejadian berlaku ketika serangan siber berlaku

Sebaik sahaja berlaku insiden keselamatan, pasukan harus bertindak pantas dan cekap untuk membendungnya dan mencegahnya merebak ke sistem bersih. Berikut adalah amalan terbaik semasa menangani masalah keselamatan. Walau bagaimanapun, ini mungkin berbeza mengikut persekitaran dan struktur organisasi.

Berkumpul atau melibatkan pasukan tindak balas kejadian komputer

Pastikan bahawa pasukan CIRT dalaman atau sumber luar pelbagai disiplin mempunyai orang yang tepat dengan kemahiran dan pengalaman yang betul. Daripada jumlah ini, pilih ketua pasukan yang akan menjadi orang fokus untuk memberi arahan dan memastikan tindak balas berjalan mengikut rancangan dan garis masa. Pemimpin juga akan bekerjasama dengan pihak pengurusan dan terutama apabila terdapat keputusan penting yang perlu dibuat mengenai operasi tersebut.

Kenal pasti kejadian dan nyatakan jenis dan sumber serangan

Apabila terdapat tanda-tanda ancaman, pasukan IR harus bertindak pantas untuk mengesahkan apakah itu benar-benar masalah keselamatan, sama ada dalaman atau luaran sambil memastikan bahawa mereka mengatasinya secepat mungkin. Kaedah khas untuk menentukan bila ada masalah termasuk tetapi tidak terhad kepada;

  • Makluman dari alat pemantauan keselamatan, kerosakan dalam sistem, tingkah laku yang tidak biasa, pengubahsuaian fail yang tidak dijangka atau tidak biasa, penyalinan atau muat turun, dll.
  • Melaporkan oleh pengguna, pentadbir rangkaian atau sistem, anggota keselamatan, atau rakan atau pelanggan pihak ketiga luaran.
  • Log audit dengan tanda-tanda tingkah laku pengguna atau sistem yang tidak biasa, seperti percubaan log masuk yang gagal, muat turun fail besar, penggunaan memori tinggi, dan anomali lain.

Amaran automatik insiden keselamatan VaronisMakluman automatik insiden keselamatan Varonis – Gambar Varonis 

Menilai dan menganalisis kesan serangan

Kerosakan yang disebabkan oleh serangan berbeza-beza bergantung pada jenisnya, keberkesanan penyelesaian keselamatan, dan kecepatan di mana pasukan bertindak balas. Selalunya, tidak mustahil untuk melihat sejauh mana kerosakan sehingga setelah menyelesaikan masalah sepenuhnya. Analisis harus mengetahui jenis serangan, dampaknya, dan perkhidmatan yang mungkin telah dipengaruhi.

Adalah juga praktik yang baik untuk mencari jejak yang mungkin ditinggalkan penyerang dan mengumpulkan maklumat yang akan membantu dalam menentukan garis masa aktiviti. Ini melibatkan menganalisis semua komponen sistem yang terjejas, menangkap relevan untuk forensik, dan menentukan apa yang mungkin berlaku pada setiap peringkat.

Bergantung pada tahap serangan dan penemuannya, mungkin perlu untuk menyerahkan kejadian tersebut kepada pasukan yang berkenaan.

Pengekangan, penghapusan ancaman, dan pemulihan

Fasa penahanan termasuk menyekat serangan dari merebak serta mengembalikan sistem ke status operasi awal. Sebaik-baiknya, pasukan CIRT harus mengenal pasti ancaman dan punca, menghapus semua ancaman dengan menyekat atau memutuskan sistem yang dikompromikan, membersihkan perisian hasad atau virus, menyekat pengguna yang berniat jahat, dan memulihkan perkhidmatan.

Mereka juga harus membuktikan dan mengatasi kerentanan yang dieksploitasi penyerang untuk mencegah kejadian yang sama di masa depan. Pembendungan khas melibatkan langkah jangka pendek dan jangka panjang serta sandaran status semasa.

Sebelum memulihkan sandaran yang bersih atau membersihkan sistem, penting untuk menyimpan salinan status sistem yang terjejas. Ini diperlukan untuk mengekalkan keadaan semasa, yang dapat berguna ketika berkaitan dengan forensik. Setelah disandarkan, langkah seterusnya adalah pemulihan perkhidmatan yang terganggu. Pasukan dapat mencapainya dalam dua fasa:

  • Periksa sistem dan komponen rangkaian untuk mengesahkan bahawa semua berfungsi dengan baik
  • Periksa semula semua komponen yang dijangkiti atau dikompromikan dan kemudian dibersihkan atau dipulihkan untuk memastikan bahawa sekarang selamat, bersih, dan beroperasi.

Memberitahu dan melaporkan

Pasukan tindak balas kejadian melakukan analisis, tindak balas, dan pelaporan. Mereka perlu meneroka punca kejadian, mendokumentasikan penemuan kesannya, bagaimana mereka menyelesaikan masalah, strategi pemulihan sambil menyampaikan maklumat yang relevan kepada pihak pengurusan, pasukan lain, pengguna, dan penyedia pihak ketiga.

Komunikasi dengan agensi dan penyedia luarKomunikasi dengan agensi luar dan penyedia Imej TIDAK

Sekiranya pelanggaran tersebut menyentuh data sensitif yang memerlukan pemberitahuan kepada pihak berwajib, pasukan harus memulai ini dan mengikuti prosedur yang ditetapkan dalam kebijakan TI mereka.

Biasanya, serangan mengakibatkan pencurian, penyalahgunaan, rasuah, atau aktiviti lain yang tidak dibenarkan pada data sensitif seperti maklumat sulit, peribadi, peribadi, dan perniagaan. Atas sebab ini, adalah mustahak untuk memberitahu mereka yang terjejas sehingga mereka dapat mengambil langkah berjaga-jaga dan melindungi data kritikal mereka seperti maklumat kewangan, peribadi, dan rahsia lain.

Contohnya, jika penyerang berjaya mengakses akaun pengguna, pasukan keselamatan harus memberitahu mereka dan meminta mereka menukar kata laluan mereka.

Lakukan tinjauan selepas kejadian

Menyelesaikan insiden juga menawarkan pelajaran yang dapat diambil, dan pasukan dapat menganalisis penyelesaian keselamatan mereka dan mengatasi pautan yang lemah mencegah kejadian serupa pada masa akan datangBeberapa penambahbaikan termasuk menerapkan penyelesaian keselamatan dan pemantauan yang lebih baik untuk ancaman dalaman dan luaran, menyedarkan kakitangan dan pengguna mengenai ancaman keselamatan seperti pancingan data, spam, perisian hasad, dan lain-lain yang harus mereka hindari.

Langkah-langkah perlindungan lain adalah menjalankan alat keselamatan terkini dan berkesan, memperbaiki pelayan, menangani semua kelemahan pada komputer pelanggan dan pelayan, dll.

Kajian kes tindak balas insiden NIC Asia Bank Nepal

Keupayaan atau tindak balas pengesanan yang tidak mencukupi boleh menyebabkan kerosakan dan kerugian yang berlebihan. Salah satu contohnya ialah kes NIC Asia Bank Nepal, yang kehilangan dan mendapatkan sejumlah wang setelah kompromi proses perniagaan pada tahun 2017. Penyerang telah merosakkan SWIFT dan secara tidak sengaja memindahkan dana dari bank ke pelbagai akaun di UK, Jepun, Singapura, dan Amerika Syarikat.

Nasib baik, pihak berkuasa mengesan urus niaga haram itu tetapi hanya berjaya mendapatkan sebahagian kecil wang yang dicuri. Mungkinkah ada sistem peringatan yang lebih baik, pasukan keamanan akan mengesan kejadian tersebut pada tahap lebih awal, mungkin sebelum penyerang berjaya dalam kompromi proses perniagaan.

Kerana ini adalah masalah keselamatan yang rumit yang melibatkan negara-negara lain, bank harus memberitahu pihak berkuasa penguatkuasaan dan penyiasatan undang-undang. Juga, skopnya berada di luar pasukan tindak balas insiden dalaman bank dan oleh itu kehadiran pasukan luar dari KPMG, bank pusat, dan lain-lain.

Siasatan forensik oleh pasukan luar dari bank pusat mereka membuktikan bahawa kejadian itu mungkin disebabkan oleh penyelewengan orang dalam yang mendedahkan sistem kritikal.

Menurut sebuah laporan, enam operator ketika itu telah menggunakan komputer sistem SWIFT khusus untuk tugas-tugas lain yang tidak berkaitan. Ini mungkin telah mendedahkan sistem SWIFT, sehingga memungkinkan penyerang untuk mengorbankannya. Selepas kejadian itu, bank itu memindahkan enam pekerja tersebut ke jabatan lain yang kurang sensitif.

Pelajaran yang dipelajari: Bank seharusnya menggunakan sistem pemantauan dan peringatan yang efektif di samping menciptakan kesadaran keselamatan yang tepat di kalangan pekerja dan menerapkan kebijakan yang ketat.

Kesimpulannya

Tindak balas insiden yang terancang, pasukan yang baik, dan alat dan amalan keselamatan yang relevan memberi organisasi anda kemampuan untuk bertindak pantas dan menangani pelbagai masalah keselamatan. Ini mengurangkan kerosakan, gangguan perkhidmatan, pencurian data, kehilangan reputasi, dan kemungkinan tanggungan.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Комментариев нет, будьте первым кто его оставит

    Комментарии закрыты.