Svar på cyberincidenter. Bara utan gissningar

Cyber Security betraktar ett ransomware-angrepp och använder VISULOX för incidenthantering

Ingen vill svara på en cyberincident eller dataintrång - för det betyder oundvikligen att något stort har hänt. I vilken utsträckning och med vilka konsekvenser kan vanligtvis inte besvaras på allvar vid tidpunkten för inresa och identifiering. Naturligtvis är det ibland högsta prioritet att förhindra en cyberincident. Detta är dock inte alltid möjligt. Och då är det dags att rulla upp handen på hjärtat, rulla upp ärmarna och börja så snart som möjligt för att avvärja faran, stänga luckor, städa upp infrastrukturen, återställa normal drift och slutligen dra väggarna lite högre igen för senare.

En säkerhetsincident eller ett dataintrång är ofta en högtryckssituation och för många deltagare långt borta från vardagen. Förplanerade åtgärder för hantering av säkerhetsincidenter hjälper organisationer att reagera omedelbart och organiserat, och helst förhindra onödig driftspåverkan och anseendeskada.

Om du vill skydda ditt företag från skadliga attacker bör du lära dig mer om reparationstekniker och varför loggning från slutpunkt till slutpunkt och synlighet för alla privilegierade aktiviteter i infrastrukturen är viktiga för ditt cybersäkerhetsteam.

I den här artikeln lär vi oss mer om vikten av ett strukturerat tillvägagångssätt för att hantera cybersäkerhetsöverträdelser och varför omfattande och robust dokumentation efter en incident är värd sin vikt i guld.

Planen för incidenthantering

Planering är halva slaget. Kärnan i frågan, men också prioriteringen av att lösa ett säkerhetsbrott, är att förbereda en plan för hantering av cyberincidenter i förväg. Eftersom stegen för att identifiera säkerhetsöverträdelser eller incidenter, från hotidentifiering till att hitta den tekniska gatewayen för den eventuella komprometten, bör fastställas och övas regelbundet. Utan sådan förberedelse är kaos oundvikligt.

Processen kan och kommer säkert att variera från företag till företag och från hot till hot. Sällan matchar komprometterade konton och system, laterala rörelsemönster och använda attackvägar de som redan är kända. Eftersom du vanligtvis varken vet tidpunkten för attacken eller målet och det planerade sättet att komma dit, kräver de nämnda övningarna särskild uppmärksamhet. Ju fler scenarier som är kända, desto lättare är det att kombinera olika perspektiv. Allt detta är den organisatoriska grunden för att lösa cyberincidenter och måste bäras av företagsledningen i full ansträngning.

Här är de incidentsvars- eller reparationssteg som krävs som standard för en sådan plan:

1. Förberedelse

Förberedelser är allt. Ibland är det viktigaste steget den avsiktliga förberedelsen för en nödsituation. Vilka åtgärder är nödvändiga för att sammankalla en nödsituation? Vem pratar med vem och hur kommuniceras internt och externt. Förberedelsen och initieringen av en responsplan visar hur väl organisationen kommer att klara av virveln. Specifikt bör en robust incidenthanteringspolicy, en effektiv svarsstrategi och en fast processorganisation upprättas.

2. Identifiering

En incident måste tydligt identifieras och namnges som en cyberincident. I en nödsituation måste det utsedda svarsteamet avgöra om incidenten är akut och, beroende på tillgänglig information från olika källor, såsom intrångsdetekteringssystem, brandväggsloggar eller upptäckta avvikelser etc., härleda vilken typ av hot det är.

3. Inneslutning

Nästa steg är att begränsa ytterligare följdskador genom att avsiktligt isolera komprometterade nätverkssegment eller (vid behov) stänga av produktionsservrar på ett ordnat sätt. För att få fram evidens och till exempel för att känna igen hur system infiltrerades är det viktigt att dessa steg dokumenteras och att det finns en tydlig bild av situationen före händelsen.

Vem gjorde vad och när och var?
Svara på det.

4. Utrotning

Efter att de första bränderna har släckts är det nödvändigt att börja "utrota" hotet på ett meningsfullt och ordspråkligt sätt. Målet med interventionsteamet är nu att stänga de gateways som används, att kontrollera systemen för ytterligare skadlig kod och att rulla ut dem med hänsyn till mottagandet av all information och tillgångar, säkerhetsuppdateringar och korrigeringar. Alla aktiviteter i denna fas måste dokumenteras.

5. Återvinning

Dataåterställning och integritet säkerställs genom en ren start och testning av systemen - det här är målen för den femte fasen av incidenthanteringsplanen. Svarsteamet bör fortsätta att övervaka berörda nätverk och system och logga avvikelser även efter att ha bekräftat att de har återställts korrekt.

6. Lärdomar

Insatsteamet bör skriva en rapport om händelsen för att få insikt i vad som gick bra och vad man ska leta efter i en nästa övning. En sådan rapport fungerar också som en möjlig omvänd bevisbörda i händelse av ett försäkringsanspråk, fungerar som utbildningsmaterial för anställda för att mildra effekterna av eventuella framtida incidenter eller som grund för ytterligare härdningsåtgärder.

Trots en incidentsvarsplan kan hotaktören ha fått åtkomst till känsliga autentiseringsuppgifter. Detta innebär att inga lösenord eller nycklar ska återvinnas. Eskaleringen av privilegierade användarkonton användes troligen för att flytta skadligt i sidled i infrastrukturen. Hanteringen och framför allt den noggranna hanteringen av känsliga autentiseringsuppgifter är en grundläggande aspekt av Privileged Access Management (PAM).

Håll utkik efter privilegierade användarkonton

Nedan följer fördelarna med en PAM-lösning och hur den hjälper dig att städa upp efter en cyberincident och få dig tillbaka i kontroll över situationen.

  1. I det ögonblick då cyberincidenten upptäcks är det möjligt för dig att automatiskt inaktivera alla privilegierade konton och ta bort användare från infrastrukturen. Tidigare har privilegierade användare inte tillåtits att återanvända dina autentiseringsuppgifter.
  2. Få en översikt över hur många administrativa konton som alltid används i din infrastruktur, i vilket syfte. Eliminera eller kontrollera onödiga privilegierade användarkonton om det behövs.
  3. Kontrollera och avanonymisera funktions- och tjänstkonton.
  4. Sök specifikt efter misstänkt användaraktivitet under specifika tidsperioder eller platser i historiska data.
  5. Få sömlös dokumentation och spårning av administrativa aktiviteter av intern och extern administrativ personal när som helst genom att spela in möten

En central lösning för styrning och dokumentation i händelse av en nödsituation.

VISULOX Privileged Access Management är den centrala åtkomstkomponenten mellan användaren och hans uppgifter. På detta sätt är det möjligt att dokumentera vem som har tillgång till vilken applikation och när och vem som godkände den och när. VISULOX Privileged Access Management används också för att presentera ett program och dokumenteras också. Detta ger dig kontroll och en överblick över alla aktiviteter i systemet. Och allt detta utan ändringar i klienten eller servern, under drift.

VISULOX-privileged-access-management

Styra  Du får central åtkomst till alla privilegierade användare till intern IT och
OT-system

Harmonisera  Du har heterogena åtkomstkrav enligt organisationens krav

Lämna  Du kan komma åt revisionssäkra register över varje aktivitet inom IT och OT när som helst, var som helst

VISULOX har utvecklats av amitego i Tyskland sedan 2003 och används över hela världen av små till medelstora, upp till DAX30-företag, inom alla branscher.

Vi har ännu fler ämnen som vi gillar att skriva om.

Så här skyddar du data från utflöde

Så här skyddar du data från utflöde

Vill du själv styra överföringen av data och information mellan IT-system? Med VISULOX enligt informationsklassificeringar för att skydda mot dataläckage.

Cookie-samtycke med riktig cookie-banner