Basisstappen in het reactieproces op cyberbeveiligingsincidenten die u moet begrijpen

Nu de huidige situatie van netwerkbeveiliging in het algemeen steeds ingewikkelder wordt, wordt systeembeveiliging urgenter dan ooit, voor elk individu, bedrijf en zelfs elke overheidsinstelling. Met name bedrijven zijn het favoriete doelwit van cybercriminele activiteiten vanwege de aard van de hoeveelheid gegevens en informatie met extreem hoge economische waarde die zij verwerken en opslaan.

We hebben lange tijd veel gesproken over hoe we de beveiliging van datawarehouses kunnen beschermen, hoe we een effectief verdedigingssysteem op afstand kunnen bouwen, of hoe we plannen kunnen ontwikkelen om de infrastructuur, beveiliging en informatienetwerken op ondernemingsniveau op de juiste manier te verbeteren en te beschermen, maar soms vergeten we te betalen aandacht voor een andere even belangrijke taak, namelijk hoe "standaard" een netwerkbeveiligingsincident moet worden afgehandeld, om de schade te minimaliseren en de voorwaarden te scheppen voor onderzoek en herstel van toekomstige gevolgen.

• Cybersecuritytools die elk bedrijf zou moeten kennen

Systeembeveiliging wordt urgent in het licht van de huidige onstabiele netwerkbeveiligingssituatie

Slachtoffer worden van cyberaanvallen is zelfs voor grote bedrijven nooit een prettige ‘ervaring’ geweest vanwege de enorme financiële schade die ze veroorzaken, dus verdediging op afstand is van essentieel belang en moet altijd de hoogste prioriteit krijgen. Als het incident zich echter al heeft voorgedaan, is het nog urgenter wat er nu moet gebeuren om de gevolgen te minimaliseren.

Een belangrijk ding om te onthouden is dat het implementeren van incidentresponsstappen een zorgvuldig gepland proces moet zijn en geen geïsoleerde, ‘geïmproviseerde’ gebeurtenis. Om een ​​echt succesvol incidentresponsproces te hebben, moeten organisaties en bedrijven een goed gecoördineerde en effectieve aanpak tussen de taken hebben. Er zijn 5 hoofdtaken (stappen) bij het reageren op incidenten om de effectiviteit te garanderen.

• Wat is diepe pakketinspectie (DPI)? Hoe werkt het en hoe werkt het in netwerkbeveiliging?

Het minimaliseren van de gevolgen is de taak van het reactieproces op netwerkbeveiligingsincidenten

Wat zijn de vijf basisstappen in het reactieproces op cyberveiligheidsincidenten? We zullen het binnenkort samen ontdekken.

5 basisstappen in het reactieproces op beveiligingsincidenten

• Voorbereiding en situatiebeoordeling
• Detectie en rapportage
• Analyse
• Voorkomen
• Reconstructie na het incident

Voorbereiding en situatiebeoordeling

Voorbereiding is de sleutel tot het succes van elk plan

De sleutel tot het creëren van een effectief reactieproces op cyberbeveiligingsincidenten is voorbereiding en nauwkeurige beoordeling van de situatie. Soms kunnen zelfs de beste teams van cybersecurity-experts een situatie niet effectief aanpakken zonder de juiste begeleiding of planning. Net als in het voetbal is het onwaarschijnlijk dat een club met een met sterren bezaaid team succes zal kunnen boeken zonder een goede coach die redelijke tactieken weet te bedenken en vooral hoe hij effectief met elkaar in contact kan komen. veld. Daarom is het niet overdreven om te zeggen dat ‘voorbereiding’ de belangrijkste stap is in het hele reactieproces op cyberveiligheidsincidenten.

• Bewustzijn en ervaring: de belangrijkste factor in elk netwerkbeveiligingsproces

Enkele elementen die moeten worden opgenomen in een paraatheidsplan of situatiebeoordeling nadat zich een beveiligingsincident heeft voorgedaan, zijn onder meer:

• Zoeken, ontwikkelen en synthetiseren van passende incidentresponsmanagementdocumenten, -beleid en -procedures.
• Stel een communicatiestandaard op zodat groepen en individuen in het incidentresponsteam soepel en nauwkeurig met elkaar kunnen coördineren.
• Combineer feeds met informatie over beveiligingsdreigingen, voer continue analyses uit en synchroniseer feeds.
• Ontwikkel, stel voor en test vele oplossingen om incidenten aan te pakken om de meest proactieve en optimale aanpak te verkrijgen.
• Beoordeel de huidige capaciteiten voor het detecteren van bedreigingen van de organisatie en vraag indien nodig om hulp van externe bronnen.

Detectie en rapportage

Het detecteren en rapporteren van potentiële veiligheidsbedreigingen is het volgende wat u moet doen nadat u de situatie heeft voorbereid en beoordeeld.

De tweede in de reeks noodzakelijke stappen in het reactieproces op cyberveiligheidsincidenten is het detecteren en rapporteren van potentiële veiligheidsbedreigingen. Deze fase omvat een aantal factoren:

Monitor

Firewalls, IP-systemen en tools voor de preventie van gegevensverlies kunnen u allemaal helpen bij het monitoren van elke beveiligingsgebeurtenis die ooit in het systeem heeft plaatsgevonden. Dit zijn uiterst noodzakelijke gegevens om de situatie te analyseren, evalueren en voorspellen.

Detecteer

Beveiligingsbedreigingen kunnen worden gedetecteerd door waarschuwingen in de SIEM-oplossing te correleren.

Waarschuwing

Waarschuwingen en meldingen over beveiligingsincidenten worden vaak door het verdedigingssysteem gecreëerd vanaf het moment dat het incident zich voor het eerst vormt totdat het het verdedigingssysteem overwint. Deze gegevens moeten worden vastgelegd, vervolgens worden samengevoegd en geanalyseerd om een ​​incidentclassificatieplan te verkrijgen – een belangrijke factor bij het bepalen van de volgende stappen.

Rapport

Alle meldingsprocedures moeten manieren omvatten om situaties te escaleren volgens de regelgeving.

• Endpoint Threat Detection and Response, een opkomende beveiligingstechnologie

Analyse

Analyse helpt bij het verkrijgen van de nodige kennis met betrekking tot de dreiging

Het meeste inzicht in een veiligheidsbedreiging wordt verkregen door het analyseren van de responsstappen op incidenten. Bewijs wordt verzameld uit gegevens die worden verstrekt door tools in het verdedigingssysteem, waardoor het incident nauwkeurig kan worden geanalyseerd en geïdentificeerd.

Analisten van beveiligingsincidenten moeten zich op deze drie belangrijke gebieden concentreren:

Eindpuntanalyse

• Zoek en verzamel eventuele sporen die na het incident door een kwaadwillende actor zijn achtergelaten.
• Verzamel alle benodigde componenten om de tijdlijn met gebeurtenissen opnieuw te creëren.
• Analyseer systemen vanuit een computerforensisch perspectief.

Binaire analyse

Analyseer alle binaire gegevens of kwaadaardige tools waarvan wordt aangenomen dat ze door de aanvaller worden gebruikt, en registreer vervolgens alle gerelateerde gegevens, vooral hun functies. Dit kan gedaan worden door middel van gedragsanalyse of statische analyse.

Analyseer interne systemen

• Onderzoek het volledige systeem en het gebeurtenislogboek om te bepalen wat er is gecompromitteerd.
• Documenteer alle gecompromitteerde accounts, apparaten, tools, programma's, enz. om passende herstelmaatregelen te kunnen treffen.

Voorkomen

Preventie is een van de belangrijkste stappen in het reactieproces op beveiligingsincidenten

Preventie is de vierde stap in het reactieproces op cyberbeveiligingsincidenten en is ook een van de belangrijkste factoren: het lokaliseren, isoleren en neutraliseren van bedreigingen op basis van alle vastgestelde indicatoren, verzameld via het analyseproces in stap drie. Na herstel kan het systeem weer normaal functioneren.

Verbreek de systeemverbinding

Zodra alle getroffen locaties zijn geïdentificeerd, moeten ze worden losgekoppeld om mogelijke verdere gevolgen te beperken.

Opschonen en refactoring

Na het loskoppelen moeten alle betrokken apparaten worden opgeschoond, waarna het besturingssysteem op het apparaat wordt gerefactored (vanaf nul opgebouwd). Bovendien moeten wachtwoorden en authenticatie-informatie van alle accounts die door het incident zijn getroffen, volledig worden gewijzigd.

Vereisten voor het beperken van bedreigingen

Als de in beslag genomen domeinnaam of het in beslag genomen IP-adres wordt geïdentificeerd en wordt aangetoond dat deze door kwaadwillende actoren wordt gebruikt, moet u vereisten voor bedreigingsbeperking instellen om alle toekomstige communicatie tussen de apparaten in het systeem met deze domeinnamen en IP-adressen te blokkeren.

• Wat is COBIT? Welke rol speelt het voor bedrijven?

Reconstructie na het incident

Reconstructie is de laatste stap in het reactieproces op beveiligingsincidenten

Er is nog veel werk aan de winkel, zelfs nadat de negatieve gevolgen van cyberveiligheidsincidenten met succes zijn voorkomen. Reconstructie is de laatste stap in een typisch reactieproces op cyberbeveiligingsincidenten, inclusief de volgende basisvereisten:

• Maak een volledig incidentrapport, waarin u alle informatie die u over het incident hebt verkregen, systematiseert en elke stap in het herstelproces beschrijft.
• Houd de prestaties van getroffen apparaten en programma's nauwlettend in de gaten, zelfs nadat ze na het incident weer normaal werken.
• Werk de dreigingsinformatie regelmatig bij om soortgelijke aanvallen te voorkomen.
• Last but not least in de incidentresponsstappen: onderzoek en implementatie van nieuwe preventieve maatregelen.

Een effectieve cyberbeveiligingsstrategie vereist dat bedrijven aandacht besteden aan elk gebied en aspect dat door aanvallers kan worden uitgebuit. Tegelijkertijd zal dit ook de aanwezigheid vereisen van alomvattende toolkits en oplossingen om snel alle gevolgen van het incident te boven te komen, en meer negatieve gevolgen te vermijden die tot een mondiale ineenstorting kunnen leiden.

Uitgebreide toolset voor netwerkmonitoring