Számos incidenskezelési (incident response – IR) szolgáltatás segíti a vállalatokat az esetlegesen bekövetkező kibertámadások elleni védekezés legjobb gyakorlatainak elsajátításában, például felkészülési útmutatókkal és egyéb ajánlásokkal. Az IR-tervvel elsősorban meghatározhatjuk az egyértelmű szerepeket és felelősöket, valamint azokat a magas szintű folyamatokat, amelyeket követnünk kell biztonsági incidens esetén.
Amennyiben még nem rendelkezünk incidenskezelési tervvel, segítségünkre lehet a Cynet kiberbiztonsági cég által készített incidenskezelési terv sablon, amely a SANS Institute által kiadott Incident Handler’s Handbook alapján készült, és az abban szereplő alábbi 6 incidenskezelési folyamaton megy végig.
- Felkészülés – Tekintsük át szervezetünk biztonsági szabályzatát, végezzünk kockázatértékelést, azonosítsuk az érzékeny elemeket és hozzunk létre egy számítógép-biztonsági incidenskezelő csoportot (CSIRT – Computer Security Incident Response Team)!
- Azonosítás – Kövessük figyelemmel az informatikai eszközeinket, vegyük észre a normális működéstől való eltéréseket és ellenőrizzük, hogy azok valóban biztonsági eseményeknek minősülnek-e! Amennyiben igen, gyűjtsünk minél több információt az eseményekről és ne felejtünk el mindent dokumentálni, illetve állapítsuk meg az események típusát és súlyosságát!
- Elszeparálás – A fertőzések terjedésének megakadályozása érdekében, készüljünk rövid- és hosszútávú – például hálózati szegmensek – elkülönítésével!
- Felszámolás – Az összes érintett rendszerről távolítsuk el a rosszindulatú programokat, azonosítsuk a biztonsági eseményt kiváltó okokat és tegyünk javító intézkedéseket a hasonló incidensek jövőbeni elkerülése érdekében!
- Helyreállítás – Állítsuk vissza az éles rendszereinket, valamint ellenőrizzük, hogy azok visszatérnek-e a normális működéshez!
- Vonjuk le a tanulságot! – Legkésőbb két héttel az incidens lezárását követően tekintsük át újra az esetet, készítsük el a biztonsági esemény teljes dokumentációját, végezzünk további vizsgálatokat és elemezzük az incidenskezelési eljárásunk megfelelősségét!
Az IR sablon letölthető word formátumban.
Forrás: thehackernews.com
