Odgovornost za odgovor na cyber incidente u potpunosti pada na ramena glavnog službenika za informacijsku sigurnost (CISO). Mnogi CISO-ovi značajno ulažu u tehničke procedure odgovora, vježbe na stolu i teorijske planove, samo da bi otkrili da, kada dođe do stvarnog kršenja sigurnosti, organizacija nije toliko spremna koliko bi trebala biti.
Svaki incident je jedinstven i može donijeti neočekivane komplikacije, a haos trenutka može brzo poremetiti i najbolje pripremljene planove. Međutim, CISO-ovi mogu poboljšati odgovor svojih timova i smanjiti štetu izbjegavanjem ovih uobičajenih zamki:
Zamka 1: Nedovoljno planiranje odgovora na cyber incidente
Mnoge organizacije još uvijek nemaju jasno definisan plan odgovora na incidente. Neki smatraju da je odgovor na incidente samo proces uklanjanja napadača i vraćanja sistema u funkciju. Međutim, odgovor na incidente je mnogo više od tehničke vježbe – mora uzeti u obzir uticaj na poslovanje, upravljanje reputacijom, finansijske gubitke, regulatorne kazne i pravne posljedice.
Planiranje mora uključivati specifične uloge, putanje eskalacije, strategije komunikacije i procese pregleda nakon incidenta. Efikasan plan odgovora na cyber incidente treba redovno pregledavati i testirati kako bi bio u skladu s novim prijetnjama i poslovnim ciljevima.
Oslanjanje na statičan, zastarjeli plan gotovo je jednako loše kao i nemati plan uopšte.
Zamka 2: Neefikasne vježbe na stolu (tabletop exercises)
Vježbe na stolu su ključna komponenta pripremljenosti za incidente jer omogućavaju odgovorima iz cijele organizacije da dožive simulirani scenarij napada i testiraju efikasnost svog odgovora. Mnoge organizacije angažuju vanjske facilitatorske firme koje pružaju generičke scenarije, ali oni često ne odgovaraju specifičnoj strukturi, industriji, regulatornom okruženju ili prijetnjama organizacije.
Da bi vježbe na stolu bile zaista efikasne, moraju imati internu odgovornost i biti prilagođene organizaciji. CISO-ovi trebaju osigurati da su vježbe prilagođene specifičnim rizicima, sigurnosnim slučajevima upotrebe i zahtjevima usklađenosti kompanije. Vježbe treba provoditi redovno (najmanje kvartalno) i kritički procjenjivati kako bi se osiguralo da se ishodi odražavaju u širem planu odgovora na incidente.
Bez ovih razmatranja, vježbe na stolu rizikuju da postanu samo formalnost, a ne stvarni doprinos spremnosti na odgovor.
Zamka 3: Neefikasno ili odgođeno dijeljenje informacija
Iako CISO upravlja odgovorom na cyber incidente, odgovornost za odgovor na događaje nije samo na sigurnosnom timu. U velikim cyber incidentima potrebna je efikasna koordinacija između više poslovnih funkcija, s ključnim predstavnicima koji preuzimaju ulogu u odgovoru.
Jedna od najčešćih grešaka u odgovoru na incidente je nedostatak pravovremenog dijeljenja informacija. Ključni zainteresovani, uključujući ljudske resurse, odnose s javnošću, pravne službe, rukovodioce i članove upravnog odbora, moraju biti obaviješteni o situaciji u stvarnom vremenu. Bez odgovarajućih komunikacionih kanala i unaprijed definisanih struktura izvještavanja, dezinformacije ili kašnjenja mogu dovesti do konfuzije, produženog zastoja pa čak i regulatornih kazni zbog nepravovremenog izvještavanja o incidentima.
CISO-ovi su odgovorni za proaktivno uspostavljanje jasnih komunikacionih protokola i osiguravanje da svi odgovorni i zainteresovani razumiju svoju ulogu u upravljanju incidentima.
Zamka 4: Sigurnosni propusti u odgovoru
Odgovor na incidente zahtijeva brzu, sigurnu i višekanalnu komunikaciju između odgovornih i zainteresovanih strana. Međutim, mnogi alati i platforme koje organizacije koriste – poput e-pošte, korporativnih chat platformi i sistema za masovno obavještavanje – vezani su za istu korporativnu infrastrukturu koja može biti ugrožena tokom napada.
Zbog toga je ključna sposobnost komunikacije izvan standardnih mreža (out-of-band komunikacija) kako bi se zaštitili napori odgovora od uvida napadača. Organizacije trebaju uspostaviti sigurne, nezavisne kanale za koordinaciju odgovora koji nisu vezani za korporativne mreže.
Zamka 5: Ručni procesi koji usporavaju pravovremeni odgovor
Mnoge organizacije se još uvijek oslanjaju na zastarjele, ručne procese za odgovor na incidente. Tradicionalni priručnici s pozivnim listama i generičkim scenarijima možda neće uzeti u obzir moderne taktike napada, što dovodi do odgođenih ili neučinkovitih odgovora.
Da bi poboljšale efikasnost, organizacije trebaju prihvatiti automatizaciju i dinamične priručnike za odgovor na incidente. Ovi priručnici mogu pružiti korak-po-korak upute za specifične vrste događaja i automatizirati upozorenja i akcije na osnovu unaprijed definisanih pragova.
Prigrlite automatizaciju za pojednostavljen odgovor na cyber incidente
Odgovor na incidente postaje sve složeniji. Tradicionalne politike i procedure više ne mogu zadovoljiti izazove koje donose današnji napredni scenariji napada.
Da bi poboljšali spremnost, CISO-ovi moraju dublje analizirati ključne slabosti i jedinstvene aspekte svojih strategija odgovora na incidente. Iako detekcija i odgovor na incidente primaju značajan dio sigurnosnih investicija kompanije, pripremljenost za incidente je podjednako važna.
Proaktivnim rješavanjem uobičajenih zamki, organizacije ne samo da poboljšavaju efikasnost odgovora na incidente, već i jačaju svoju ukupnu otpornost na cyber prijetnje.
Izvor:Help Net Security
