Czas czytania: 4 minPolak mądry przed szkodą, czyli plan reagowania na incydenty a MDR
Gdyby napisać, że większość firm w Polsce po godzinach pracy pozostawia otwarte drzwi i bramy do zakładu, a do tego nie ma żadnej umowy dotyczącej fizycznej ochrony siedziby, zapewne wielu z nas złapałoby się za głowę. Niemniej jednak spora część firm nie posiada nawet podstawowego planu reagowania na incydenty (incident response plan) a jeżeli go ma, plan reagowania na incydenty jest bardzo pobieżny i niedopracowany. Poniżej wyjaśniam, czym jest reagowanie na incydenty (cyber)bezpieczeństwa. Odpowiadam na pytanie, dlaczego wdrożenie planu oraz budowa zespołu reagowania na incydenty bezpieczeństwa komputerowego jest taka ważna oraz w jaki sposób wiążą się z nimi usługi zarządzanym wykrywaniem i reagowaniem (Managed Detection & Response).
Czym jest incydent bezpieczeństwa?
Zacznijmy od tego, czym jest sam incydent bezpieczeństwa. Incydent bezpieczeństwa (security incident) lub inaczej, zdarzenie bezpieczeństwa (security event) to każde cyfrowe lub fizyczne naruszenie, które zagraża poufności, integralności lub dostępności systemów informatycznych organizacji oraz wrażliwych danych. Incydenty bezpieczeństwa mogą obejmować np. celowe cyberataki hakerów lub nieautoryzowanych użytkowników, ale także niezamierzone naruszenia polityki bezpieczeństwa przez uprawnionych użytkowników. Lista zagrożeń jest bardzo długa. Od ransomware, malware, phishingu i inżynierii społecznej, przez ataki DDoS, ataki na łańcuch dostaw aż po wspomniane powyżej zagrożenia wewnętrzne. Incydent bezpieczeństwa zawsze stanowi poważne wyzwanie dla procesu zarządzania bezpieczeństwem.
Opracuj plan reagowania na incydenty
Czym jest reagowanie na incydenty? Reagowanie na incydenty (incident response lub incident management) to jasno ustalone procesy i technologie w organizacji przeznaczone do wykrywania i reagowania na zagrożenia, naruszenia bezpieczeństwa i cyberataki. Jeszcze prościej można powiedzieć, że reakcja na incydent to strategiczna i zorganizowana reakcja organizacji na cyberatak. Istotą jest fakt, że podjęte działania są wykonywane zgodnie z zaplanowanymi procedurami. Te ostatnie mają na celu ograniczenie szkód i naprawę naruszonych luk w systemach. W najlepszym scenariuszu organizacja definiuje procesy i technologie reagowania na incydenty w formalnie ustalonym planie reagowania na incydenty. Dokładnie określa, w jaki sposób różne rodzaje cyberataków powinny być identyfikowane i powstrzymywane. Istotą planu jest wyciąganie konkretnych wniosków i ich implementacja, w celu eliminacji zagrożeń w przyszłości.
Jak powinien wyglądać twój plan reagowania na incydenty?
W uproszczeniu powinien składać się z sześciu etapów. Krok pierwszy – przygotowanie. Najważniejsza faza planu reagowania na incydenty, ponieważ określa, jak dobrze organizacja będzie w stanie zareagować w przypadku ataku. Żadna organizacja nie przygotuje skutecznej reakcji na incydenty w kilka minut. Czas reakcji jest sprawą kluczową, a ten zaś zależy od sprawności podejmowanych działań. Musi istnieć plan zarówno zapobiegania zdarzeniom, jak i reagowania na nie. Etap drugi dotyczy wykrywania i określania, czy doszło do incydentu. Na tym etapie ustala się również wagę zdarzenia. W trakcie kolejnego kroku, po zidentyfikowaniu zagrożenia organizacja musi ograniczyć straty i zapobiec dalszym. Krok czwarty, to faza usunięcia i przywrócenia systemów dotkniętych incydentem bezpieczeństwa.
Wyciągaj wnioski
Po poważnym incydencie (np. atak hakerski) obowiązkowe powinno być zebranie wniosków z udziałem wszystkich odpowiednich stron. W kolejnym kroku następuje przywrócenie dotkniętych systemów do pracy i zapewnienie, że nie dojdzie do kolejnego incydentu. Bardzo ważne jest, aby organizacje dokonały przeglądu swoich reakcji na incydenty i dostosowały swoje podejście względem przyszłych ataków.
MDR, czyli nie jesteś sam
Z dotychczasowych ustaleń jasno wynika, że plan reagowania na incydenty jest nieodzownym elementem walki z cyberzagrożeniami. Jego brak jest zamykaniem oczu na ryzyka, które dawno już przestały być fikcją i tematem licznych filmów o romantycznych, pełnych dobrych pobudek hakerach wykradających dane korporacjom niszczącym ekosystem planety. Cyberprzestępcy wyrządzają dziś potężne szkody. Paradoksalnie, często koncentrują się na mniejszych przedsiębiorstwach, które niejednokrotnie nawet mając świadomość zagrożeń nie są w stanie udźwignąć kosztów całych zespołów mających na celu zapewnienie pełnego cyfrowego bezpieczeństwa.
Z pomocą przychodzi wyspecjalizowana usługa MDR (Managed Detection & Response System). To zewnętrzna usługa bezpieczeństwa łącząca zaawansowane techniki wykrywania i reagowania na zagrożenia. Zewnętrzni, zorganizowani specjaliści w trybie 24 godzin na dobę prowadzą monitoring i analizy. Ich wysiłki mają na celu identyfikowanie i łagodzenia skutków cyberataków w czasie rzeczywistym.
Jak działają usługi MDR?
Zasada i istota usług MDR polega na tym, że są świadczone przez zewnętrznego dostawcę, który specjalizuje się w dziedzinie cyberbezpieczeństwa. Dostawca monitoruje sieć i systemy klienta poszukując podejrzanej lub nietypowej aktywności. Wykorzystuje do tego celu zautomatyzowane narzędzia oraz wiedzę najwyższej klasy specjalistów ds. bezpieczeństwa. Co kluczowe, w momencie wykrycia zagrożenia dostawca podejmuje odpowiednie działania. Przykładowo, działania obejmują blokowanie niebezpiecznego ruchu sieciowego, izolowanie zainfekowanych systemów czy udzielanie zaleceń mających na celu wyeliminowanie podatności. Podsumowując, monitoruje i proaktywnie reaguje na incydenty. W ten sposób skutecznie odciąża objęte ochroną przedsiębiorstwo pod względem zasobów ludzkich, jak i finansowych.
Bezpieczeństwo informacji jest kluczowe
W dobie poważnych zagrożeń cybernetycznych przedsiębiorstwa nie mogą sobie pozwolić na nieposiadanie planu reagowania na tego typu zagrożenia. U podstawy planu leży solidna i uczciwa analiza możliwych ataków i wycieków oraz potencjalnych kosztów braku ich odparcia. Mając gotową mapę i pełną świadomość sytuacji warto rozważyć opcję powierzenia bezpieczeństwa zasobów danych w ręce zewnętrznego dostawcy. Koszty takiego rozwiązania mogą okazać się znacząco niższe od budowy i utrzymywania całego działu odpowiedzialnego za cyberbezpieczeństwo w organizacji. Zaoszczędzone środki będzie można zainwestować w inne obszary działalności z zyskiem dla wszystkich stron. Polskie przysłowie mówi – okazja czyni złodzieja. Nie pozwól, by dobrą okazję przestępcy znaleźli za twoimi cyfrowymi drzwiami.
Dowiedz się więcej
Jeżeli chcesz poznać różnicę między zdarzeniem, alertem a incydentem, zapraszam
tutaj.
Redaktor Net Complex Blog