Ennakointi ennen tietoturvapoikkeamaa: 5 asiaa, jotka tulee dokumentoida incident response -suunnitelmassa
Ennakointi ennen tietoturvapoikkeamaa:
Sillä kun se tapahtuu, sinulla ei ole aikaa etsiä tätä tietoa.
Useimmat IT-turvallisuuden valmisteluoppaat keskittyvät siihen, mitä tehdä sen jälkeen, kun hyökkäys on alkanut. Eristä tartunnan saaneet laitteet. Ota yhteyttä incident response -kumppaniisi. Ilmoita lakiosastolle. Kaikki hyviä neuvoja, mutta niistä on hyötyä vain, jos tiedät jo, kenelle soittaa, missä varmuuskopiosi sijaitsevat ja mitkä järjestelmät ovat liiketoiminnan kannalta kriittisiä.
Ongelma on, että kiristyshaittaohjelmahyökkäyksen ensimmäiset tunnit ovat kaoottisia. Päätökset, joiden pitäisi kestää vain muutamia minuutteja, vievät paljon enemmän aikaa, kun tarvittava tieto on hajallaan sähköpostiketjuissa, organisaation hiljaisessa tiedossa tai järjestelmissä, jotka saattavat nyt olla saavuttamattomissa. Kyse ei ole teknologian epäonnistumisesta. Kyse on dokumentoinnin puutteesta – ja se on täysin vältettävissä.
Seuraava ei ole incident response -suunnitelma. Se on jotain pienempää ja välittömästi käytännöllistä: viisi kriittistä tietokategoriaa, jotka tiiminne tulee dokumentoida ja pitää saatavilla ennen kuin poikkeama tapahtuu. Tämän listan laatiminen ei vie kauan. Sen puuttuminen silloin, kun sitä tarvitaan, vie huomattavasti enemmän aikaa kuin sen tekeminen koskaan säästäisi.
Kun tietoturvapoikkeama tapahtuu, ensimmäinen reaktio on yleensä tarttua puhelimeen. Ongelma on, etteivät monet tiimit aina tiedä, kenelle heidän pitäisi soittaa.
Eskalointidokumentaatiosi tulisi sisältää yhteystiedot incident response -tiimillesi, vastuuhenkilöille sekä DFIR-kumppanillesi. Sisällytä myös toimeksiantoprosessi, lakiasiainneuvonantajasi (jolla on kokemusta tietosuojasta) yhteystiedot sekä kybervakuutuksesi korvauskäsittelijän yhteystiedot ja vakuutusnumerosi.
Eskalointidokumentaation tulee sisältää keskeiset yhteystiedot ja vakuutustiedot, joita tarvitaan poikkeamatilanteessa. Tarkemmin sanottuna sen tulee sisältää:
Incident response -tiimi ja vastuuhenkilöt
Sisäisen incident response -tiiminne ja sen vastuuhenkilöiden yhteystiedot
DFIR-kumppani
Digital Forensics and Incident Response (DFIR) -kumppanisi yhteystiedot, mukaan lukien toimeksiantoprosessi.
Lakiasianajaja
Ulkopuolisen lakiasianajajan yhteystiedot, varmistaen että hänellä on kokemusta tietosuojasta.
Kybervakuutus
Kybervakuutuksesi korvauskäsittelijän yhteystiedot ja vakuutusnumerosi.
Juuri tämä viimeinen kohta puuttuu useimmiten. Kybervakuutukset sisältävät yleensä tarkat ilmoitusajat, ja niiden laiminlyönti voi aiheuttaa korvausvaateeseen liittyviä ongelmia juuri silloin, kun niihin ei olisi varaa. Korvausyhteyshenkilön ja vakuutusnumeron tunteminen ennen poikkeamaa on välttämätöntä.
Vielä yksi huomio kybervakuutuksesta: säilytä vakuutuskirja turvallisesti ja erillään ensisijaisista järjestelmistäsi. Uhka-aktorilla, joka on viettänyt aikaa verkossasi ennen salauksen käynnistämistä, saattaa olla pääsy siellä tallennettuihin asiakirjoihin. Vakuutustietojesi ei tule sijaita paikassa, josta ne voidaan löytää.
Kun kaikki tapahtuu nopeasti, et halua joutua etsimään puhelinnumeroa.
Uhka-aktorien ensimmäinen kohde ovat varmuuskopiot. Tämä ei ole spekulaatiota. Se on toistuva malli, jonka DriveSavers on havainnut monissa kiristyshaittaohjelmatapauksissa. Ennen tuotantojärjestelmien salaamista hyökkääjät tunnistavat ja vaarantavat usein varmuuskopiointiinfrastruktuurin poistaakseen uhrin suorimman palautusmahdollisuuden. Siihen mennessä kun salaus käynnistyy, varmuuskopiot saattavat jo olla poissa.
Tämän tulisi ohjata tapaasi ajatella varmuuskopioinnin dokumentointia. Ei riitä, että tiedetään varmuuskopioiden olevan olemassa. Tiiminne on pystyttävä arvioimaan varmuuskopioiden eheys nopeasti poikkeamatilanteessa, mikä edellyttää, että arkkitehtuuri on dokumentoitu riittävän hyvin tämän arvioinnin tueksi ennen kuin kukaan on paineen alla.
Dokumentoikaa, missä varmuuskopiot sijaitsevat (paikan päällä, muualla ja pilvessä), miten varmuuskopiointityöt suoritetaan ja millä aikataululla, sekä vaiheittaiset palautusmenettelyt.
Oleta, että varmuuskopiot voivat olla vaarantuneet, kunnes voit varmistaa toisin.
Tietoturvapoikkeaman aikana kaikkea ei voida palauttaa kerralla. Päätökset siitä, mikä palautetaan ensin, tehdään nopeasti ja paineen alla, usein hyvin vähällä unella. Nämä päätökset onnistuvat huomattavasti paremmin, kun ne tehdään etukäteen ilman painetta.
Kriittisten tietojen luettelossa tulisi tunnistaa järjestelmät, joita ilman liiketoiminta ei voi toimia, päivittäiseen toimintaan tarvittavat tietoaineistot sekä selkeä palautusjärjestys: välttämättömät versus toissijaiset.
Olkaa rehellisiä siitä, mistä liiketoiminta todella riippuu verrattuna siihen, mikä on vain tärkeää. Tämä rehellisyys on paljon vaikeampaa keskellä käynnissä olevaa poikkeamaa. Priorisoikaa välttämättömät palautettavat tietoaineistot ennen toissijaisia. Kaikkea ei voida palauttaa ensimmäisenä, ja sen tietäminen etukäteen on merkittävä operatiivinen etu.
Tietoturvapoikkeamassa palautus ei tarkoita pelkästään tietojen palauttamista, vaan oikeiden tietojen palauttamista ensin.
Tietoturvapoikkeamassa palautus ei tarkoita pelkästään tietojen palauttamista, vaan oikeiden tietojen palauttamista ensin.
Useimmissa merkittävän kokoisissa ympäristöissä varmuuskopiointi-infrastruktuuri ulottuu useisiin sijainteihin. Vastuudokumentaation tulisi kattaa, kuka omistaa kunkin varmuuskopiointiympäristön, pääsytunnukset varmuuskopioihin, snapshotteihin ja replikoihin sekä missä toissijaiset järjestelmät ja kopiot voivat sijaita.
Ota huomioon, että samat tiedot ovat usein olemassa useissa muodoissa: ensisijaisena varmuuskopiona, snapshotina, replikaationa tai arkistokopiona nauhalla tai toissijaisessa pilviympäristössä. Tilanteissa, joissa ensisijaiset varmuuskopiot ovat vaarantuneet, tieto siitä, mistä muualta etsiä, voi olla ratkaisevaa.
Perusteellinen vastuukartta on käytännössä kartta palautuspinnastanne. Mitä täydellisempi se on ennen poikkeamaa, sitä enemmän vaihtoehtoja teillä on sen aikana.
Samat tiedot ovat usein olemassa useissa muodoissa. Tieto siitä, mistä etsiä, laajentaa palautusvaihtoehtoja.
Onnistunut operatiivinen palautuminen kyberhyökkäyksen jälkeen riippuu suuresti toimittajista, jotka tarjoavat infrastruktuurianne ylläpitävät tuotteet ja palvelut. Siksi heidän eskalointipolkunsa ja tukikanavansa on dokumentoitava ennen kuin poikkeama tapahtuu.
Toimittajayhteystietoluettelon tulisi sisältää keskeisten toimintojen palauttamiseen tarvittavat toimittajat, heidän tukikanavansa ja eskalointipolkunsa sekä data recovery -kumppani tilanteisiin, joissa varmuuskopiot ja salauksenpurkutyökalut ovat epäonnistuneet.
Tuo kolmas kohta on se, jonka useimmat organisaatiot jättävät kokonaan pois. Varmuuskopioiden epäonnistuminen ja salauksenpurkutyökalujen epäonnistuminen eivät ole harvinaisia poikkeustapauksia. Ne ovat realistisia lopputuloksia hyvin toteutetusta kyberhyökkäyksestä. Kun ammattimainen data recovery -kumppani on tunnistettu ja dokumentoitu ennen poikkeamaa, ette joudu arvioimaan toimittajia organisaationne kannalta vuoden huonoimpaan aikaan. Se tarkoittaa myös, että IR-tiimillänne on rinnakkainen palautuspolku käytettävissään sen sijaan, että olisitte yhden ratkaisupisteen varassa.
Näiden suhteiden dokumentointi etukäteen varmistaa, että palautuksen alkaessa tiiminne toteuttaa suunnitelmaa – eikä etsi sellaista.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)