Co to jest reagowanie na incydenty | VMware Glossary

Co to jest reagowanie na incydenty?

Reagowanie na incydenty (IR) to działania mające na celu szybkie zidentyfikowanie ataku, zminimalizowanie jego skutków, ograniczenie szkód i usunięcie przyczyn w celu zmniejszenia ryzyka wystąpienia incydentów w przyszłości.

Zdefiniujmy reagowanie na incydenty

Prawie każda firma posiada, na pewnym poziomie, proces reagowania na incydenty. Jednak dla tych firm, które chcą ustanowić bardziej formalny proces, istotne pytania, które należy zadać, to:

Jakie kroki należy podjąć, aby aktywować odpowiedzialne strony zaangażowane w reakcję na incydent, jeśli taki się pojawi?
Jak kompleksowy i szczegółowy powinien być Twój plan reakcji?
Czy masz wystarczająco dużo ludzi (i właściwych ludzi), aby odpowiednio zareagować?
Jakie są Twoje akceptowalne SLA’s dla reakcji na incydent i powrotu do normalnych operacji?

Najprawdopodobniej odpowiedzi na te pytania nie będą optymalne, ponieważ według badań przeprowadzonych przez Ponemon Institute większość firm nie radzi sobie w jednym lub więcej obszarów:

77% firm nie ma formalnego, konsekwentnie stosowanego planu

57% wskazuje na wydłużenie czasu na reakcję

77% twierdzi, że ma trudności z zatrudnieniem i utrzymaniem pracowników zajmujących się bezpieczeństwem*

Średnio, zidentyfikowanie złośliwego lub przestępczego ataku zajmuje 214 dni, a opanowanie go i przywrócenie do normalnego stanu trwa 77 dni. Jest oczywiste, że lepsze zarządzanie reagowaniem na incydenty jest niezbędne, aby w pełni chronić organizacje przed rosnącą i coraz szybszą liczbą zagrożeń, z którymi stykają się każdego dnia.

*BadanieIBM: Responding to Cybersecurity Incidents Still a Major Challenge for Businesses

The ABCs of Incident Response

A. Odpowiedni zespół – Aby zapewnić najbardziej efektywne reagowanie na incydenty, eksperci branżowi sugerują, aby w zespole znalazły się następujące osoby, niezależnie od wielkości firmy. Oczywiście, zespół techniczny będzie odgrywał wiodącą rolę, ale są też inne obszary funkcjonalne w firmie, które powinny być zaangażowane w działania, szczególnie w przypadku poważnego ataku. Po zidentyfikowaniu osób pełniących te role, należy poinformować ich o tym, co będzie należało do ich obowiązków w przypadku poważnego, rozległego ataku o szerokich konsekwencjach: Reagowanie na incydenty, Analiza bezpieczeństwa, IT, Badania zagrożeń, Prawne, Zasoby ludzkie, Komunikacja korporacyjna, Zarządzanie ryzykiem, Kadra kierownicza i Zewnętrzni eksperci kryminalistyczni ds. bezpieczeństwa.

B. Właściwy plan – Kompleksowy plan reagowania na incydenty obejmuje co najmniej następujące taktyki i procesy:

Przygotowanie i przygotowanie zespołu do obsługi każdego rodzaju zagrożenia
Wykrywanie i identyfikacja rodzaju i powagi incydentu po jego wystąpieniu
Zatrzymanie i ograniczenie szkody
Określić jego wpływ i związane z nim ryzyko
Znaleźć i zlikwidować przyczynę źródłową
Zająć się atakiem i rozwiązać go
Analizować i modyfikować plan poataku, aby zapobiec przyszłym

Komunikacja jest kluczowa, gdy atak jest w toku, więc upewnij się, że ustanowiłeś dobry przepływ komunikacji jako część swojego planu reagowania.

C. Właściwe narzędzia – Wraz z rosnącą liczbą nieznanych ataków, właściwe narzędzia mogą być w stanie zaoszczędzić Twojej firmie dużo czasu i pieniędzy – a to pomoże chronić Twoich klientów i lojalność Twojej marki.

Informacja jest krytycznym aktywem dla każdego planu reagowania na incydenty. Z tego powodu rozwiązania bezpieczeństwa punktów końcowych oparte na chmurze zazwyczaj zapewniają najbardziej wszechstronne narzędzia do łagodzenia ataków w najszybszy sposób, w tym dostęp do kluczowych danych poprzez:

Niefiltrowane przechwytywanie danych zapewnia zespołom reagowania wgląd w zachowanie punktów końcowych, a nie tylko wcześniej odkryte wzorce i zachowania związane z atakami. Jest to klucz do skrócenia dochodzenia w sprawie ataku z dni do minut, zwłaszcza biorąc pod uwagę rosnącą liczbę nieznanych metod ataku wykorzystywanych obecnie.
Analityka danych zapewnia wgląd w całą aktywność punktów końcowych, zarówno obecną, jak i historyczną. Dzięki odpowiednim danym można zobaczyć, gdzie rozpoczął się atak i zidentyfikować ścieżkę, którą podążał, co pomoże w szybszej remediacji.
Zewnętrzna analiza zagrożeń pomaga szybko zidentyfikować zagrożenia, których Ty jeszcze nie zauważyłeś, ale inne firmy już tak. Ponownie, jeśli wiesz, z czym masz do czynienia, możesz szybciej zareagować.
Możliwości reagowania na żywo pomagają w remediacji zdalnych punktów końcowych i eliminują niepotrzebne ponowne obrazowanie.

Trzecie doroczne badanie dotyczące cyberodporności organizacji

Puls branży: Czy outsourcing jest odpowiedzią na słabe reagowanie na incydenty?

Prawie każde badanie dotyczące wyzwań w zakresie bezpieczeństwa, przed jakimi stoją firmy, zawiera statystyki dotyczące trudności z zatrudnieniem i utrzymaniem wykwalifikowanego personelu bezpieczeństwa, podobnie jak 77% osób w powyższym badaniu Ponemon. Brakuje prawie dwóch milionów osób na krytyczne stanowiska związane z bezpieczeństwem, co szybko zbliża się w skali globalnej.

Brak odpowiednich osób zajmujących się bezpieczeństwem może mieć poważny wpływ na reakcję na incydenty, do tego stopnia, że firmy szukają outsourcingu funkcji bezpieczeństwa. Gartner uważa, że wydatki na usługi outsourcingowe w zakresie bezpieczeństwa osiągną w 2018 r. poziom ponad 18 mld USD, co stanowi drugi co do wielkości segment wydatków na bezpieczeństwo po konsultingu.

Zważywszy na trudności z zatrudnieniem odpowiednich osób, ma to sens, ponieważ usługi zarządzane mogą szybko wypełnić wszelkie luki w zespole bezpieczeństwa. Może pomóc w nadawaniu priorytetów alarmom, odkrywaniu nowych zagrożeń i przyspieszaniu dochodzeń. Usługi te są zwykle obsadzane przez wysoko wykwalifikowanych ekspertów ds. zagrożeń, którzy mogą stale obserwować środowisko firmy, identyfikując pojawiające się zagrożenia i zapewniając dostęp do krytycznych usług bezpieczeństwa, gdy zespół najbardziej potrzebuje pomocy.

*Gartner przewiduje, że wydatki na bezpieczeństwo na świecie osiągną 96 miliardów dolarów w 2018 r., co oznacza wzrost o 8 procent w porównaniu z 2017 r.

Odpowiedź: Właściwi ludzie, plan, narzędzia – i właściwy dostawca

Nawet jeśli masz właściwych ludzi, właściwy plan i narzędzia w firmie, nadal istnieje możliwość, że coś się wymknie, więc po co ryzykować? Pomocna jest współpraca z odpowiednim dostawcą, który może zaoferować Ci platformę bezpieczeństwa punktów końcowych opartą na chmurze – jak również zaawansowane możliwości polowania na zagrożenia.

Jak wspomniano powyżej, zarządzani eksperci ds. polowania na zagrożenia mogą czuwać nad Twoim środowiskiem i powiadamiać Twój zespół o pojawiających się zagrożeniach. Eksperci ci mogą:

Analizować, sprawdzać poprawność i nadawać priorytety alertom, aby pomóc w podejmowaniu właściwych działań.
Identyfikować wczesne sygnały ostrzegawcze i trendy oraz proaktywnie wysyłać powiadomienia, aby zapewnić pewną reakcję.
Odkrywanie przyczyn źródłowych dzięki mapom drogowym, które zapewniają dodatkowy kontekst, aby usprawnić dochodzenie i analizę przyczyn źródłowych.

Zespół łowców zagrożeń może również zapewnić pokrycie i triage zagrożeń w całym wdrożeniu punktów końcowych, dzięki czemu Twój zespół może skupić się na najbardziej krytycznych alertach. A Ty będziesz mieć dostęp do globalnej informacji o zagrożeniach, która pomoże Ci być o krok przed przyszłymi atakami.

Powiązane tematy

Działanie Threat Intelligence
Zapora ogniowa następnej generacjiGeneration Firewall

Produkty i rozwiązania bezpieczeństwa firmy VMware

Nowe podejście do bezpieczeństwa – Intrinsic security to fundamentalnie inne podejście do zabezpieczania Twojej firmy.

Polegaj na rozproszonej, stateful Layer 7 internal firewall, zbudowanej na NSX, aby zabezpieczyć ruch w centrum danych w obrębie obciążeń wirtualnych, fizycznych, skonteneryzowanych i chmurowych.

W prosty i bezpieczny sposób dostarczaj i zarządzaj dowolną aplikacją na dowolnym urządzeniu dzięki VMware Workspace ONE, platformie cyfrowej przestrzeni roboczej opartej na inteligencji.