Когато инцидентът с киберсигурността е в ход и всичко метафорично (или буквално, ако сте наистина нещастници) гори, не е моментът да се опитвате да създадете план за реакция. Различните видове планове се обединяват, за да се изгради наистина ефективен план за злонамерена кибератака.
- Планирането на реакцията при инциденти ви подготвя да реагирате и да овладеете инцидента бързо и да активирате други планове.
- Планът за непрекъсваемост на дейността, надяваме се, ще ви позволи да продължите да работите на някакво ниво.
- Планът за възстановяване след бедствие ще ви подготви да се върнете към нормална работа след това.
- Възможно е дори да имате план за управление на кризи, в случай че планът ви за реакция при инциденти се провали.
Вашият план за реакция при кибератака обединява всички тези различни нишки, за да ви даде ясни стъпки, които да следвате в случай на инцидент. Отново, докато всичко гори, не е моментът, в който искате да се опитвате да съставите план.
Започване на работа
Добре е да започнете с моделиране на заплахите срещу вашата организация, като разгледате съществуващите заплахи, активите, които те могат да застрашат, и възможностите, които можете да използвате. Още по-добре е, че това упражнение може да се използва за подобряване на сигурността ви чрез прилагане на контрамерки. Без значение колко добра е защитата ви, трябва да имате план за случаите, когато тя се провали. Това е следващата стъпка.
Определяне на ролите
След като вече знаете активите, каквито и да са те, можете да започнете да определяте ролите. Те трябва да бъдат ясни и недвусмислени, като всички критични роли се определят с резервни варианти. В идеалния случай те трябва да се отнасят до роли, а не до отделни лица, но когато са необходими отделни лица, трябва да се предвидят пътища за ескалация в случай на недостъпност.
Заедно с ролите трябва ясно да се определят и отговорностите и правомощията на всеки от тях. Кой може да подаде сигнал за инцидент? Кой може да активира плана за непрекъснатост на дейността? Кой може да разрешава всякакви външни или вътрешни комуникации и кой ще поддържа връзка с властите или регулаторните органи при необходимост?
Колкото по-ясен е списъкът на ролите и отговорностите, толкова по-малко място има за грешки и неразбирателство по време на инцидент, който със сигурност ще бъде много стресиращ. Ще искате да включите и външните роли и контактите за спешни случаи, от които може да имате нужда – от застрахователната компания, до правоприлагащите органи и консултантите.
Като допълнителна възможност, когато важни решения трябва да бъдат взети от едно лице и не могат да бъдат делегирани на други роли, можете вместо това да накарате лицето да посочи условия или прагове. Пример за това е дали може да се извърши плащане на откуп и за каква сума, или дали може да се активира топъл сайт за архивиране въз основа на продължителността на престоя.
Изграждане на плана
На този етап можете да започнете да съставяте своя план за реакция при кибератаки. Другото планиране осигурява необходимите градивни елементи, а това ги свързва всички заедно.
Въз основа на заплахите, които сте определили за начало, разработете всяка от тях заедно с активите, които могат да бъдат компрометирани. Разработете стъпки за разследване, за да определите степента на евентуалните щети, най-добрите начини за ограничаване и свеждане до минимум на въздействията, как да защитите плановете си за непрекъснатост на дейността, след като те са в действие, и как (и разбира се, кога) атаката ще бъде обявена за приключила, за да може да започне възстановяването.
Жизненият цикъл на реагиране при инциденти се основава на редица стъпки: подготовка, откриване, анализ, ограничаване, ликвидиране, възстановяване и извличане на поуки. Съставянето на вашия план е подготовката, а инцидент около атака ще бъде предизвикан само от откриването, така че можем да пропуснем това. Останалите стъпки за възстановяване сме разгледали.
Тестване и извличане на поуки
И накрая, след всеки инцидент погледнете назад какво е направено добре, какво е направено зле и извлечете поуки, за да се подобрите за следващия път (надяваме се, че той никога няма да дойде, но по-добре да сте подготвени). Това е жизненоважна стъпка и не може да се прескача.
Един от полезните инструменти за справяне с голяма част от тези въпроси е провеждането на упражнения с настолни сценарии въз основа на идентифицираните от вас заплахи или привличането на трети страни, които да предоставят различна гледна точка за изграждане на допълнителни планове. Стъпките на провеждане на атака, дори на теория, могат да ви помогнат да изградите планове или да идентифицирате пропуски в съществуващите.