Planlegging før en hendelse: 5 ting som bør dokumenteres i en hendelseshåndteringsplan
Planlegging før en hendelse:
For når det skjer, har du ikke tid til å slå dette opp.
De fleste veiledninger for forberedelse innen IT-sikkerhet fokuserer på hva du skal gjøre etter at et angrep har startet. Isolere infiserte enheter. Kontakte ditt incident response-firma. Varsle juridisk avdeling. Alt er gode råd, men de er bare nyttige hvis du allerede vet hvem du skal ringe, hvor sikkerhetskopiene dine ligger, og hvilke systemer virksomheten ikke kan klare seg uten.
Problemet er at de første timene av et ransomware-angrep er kaotiske. Beslutninger som burde ta minutter, tar mye lengre tid når informasjonen som trengs, er spredt i e-posttråder, i organisasjonens kollektive hukommelse eller i systemer som nå kan være utilgjengelige. Dette er ikke en teknologisvikt. Det er en dokumentasjonssvikt — og den kan helt forebygges.
Det som følger, er ikke en beredskapsplan for hendelser. Det er noe mindre og mer umiddelbart praktisk: fem kritiske kategorier med informasjon som teamet ditt må ha dokumentert og tilgjengelig før en hendelse oppstår. Å utarbeide denne listen tar ikke lang tid. Å ikke ha den når du trenger den, vil koste langt mer tid enn det sparer.
Når en sikkerhetshendelse oppstår, er den første reaksjonen som regel å gripe telefonen. Problemet er at mange team ikke alltid vet hvem de bør ringe.
Eskaleringdokumentasjonen din bør inneholde kontaktinformasjon til ditt incident response-team, hovedkontakter og DFIR-partner. Inkluder også aktiveringsprosessen, kontaktinformasjon til juridisk rådgiver (med erfaring innen personvern) og skadekontakt hos din cyberforsikringsleverandør, sammen med polisenummeret ditt.
Eskaleringdokumentasjonen bør inneholde nøkkelkontakter og polisedetaljer som er nødvendige ved en hendelse. Spesifikt bør den inkludere:
Incident response-team og ansvarlige
Kontaktinformasjon til deres interne incident response-team og dets hovedkontakter
DFIR-partner
Kontaktinformasjon til deres partner for Digital Forensics and Incident Response (DFIR), inkludert aktiveringsprosessen.
Juridisk rådgiver
Kontaktinformasjon til deres eksterne juridiske rådgiver, og sørg for at vedkommende har erfaring innen personvern.
Cyberforsikring
Skadekontakten hos din cyberforsikringsleverandør og ditt polisenummer.
Det siste punktet er det som oftest mangler. Cyberforsikringer inneholder vanligvis spesifikke varslingsfrister, og å overse dem kan skape komplikasjoner med kravet ditt akkurat når du minst har råd til det. Å kjenne til skadekontakten og polisenummeret før en hendelse oppstår, er en nødvendighet.
En siste merknad om cyberforsikring: Oppbevar polisen sikkert og atskilt fra dine primære systemer. Trusselaktører som har oppholdt seg i nettverket ditt før de startet krypteringen, kan ha tilgang til dokumenter som er lagret der. Poliseinformasjonen din bør ikke være tilgjengelig der de kan finne den.
Når alt går raskt, vil du ikke måtte lete etter et telefonnummer.
Trusselaktører retter seg mot sikkerhetskopier først. Dette er ikke spekulasjon. Det er et gjennomgående mønster DriveSavers har observert i mange ransomware-hendelser. Før produksjonssystemer krypteres, vil angripere ofte identifisere og kompromittere backup-infrastrukturen for å fjerne offerets mest direkte gjenopprettingsmulighet. Når krypteringen starter, kan sikkerhetskopiene allerede være borte.
Dette bør forme hvordan dere tenker om dokumentasjon av sikkerhetskopier. Det er ikke nok å vite at sikkerhetskopier finnes. Teamet må raskt kunne vurdere integriteten til sikkerhetskopiene under en hendelse, noe som betyr at arkitekturen må være godt nok dokumentert til å støtte denne vurderingen før noen er under press.
Dokumenter hvor sikkerhetskopiene ligger (på stedet, eksternt og i skyen), hvordan backup-jobber kjøres og etter hvilken tidsplan, samt trinnvise gjenopprettingsprosedyrer.
Gå ut fra at sikkerhetskopiene kan være kompromittert inntil du kan bekrefte noe annet.
Ved en sikkerhetshendelse vil dere ikke kunne gjenopprette alt samtidig. Beslutninger om hva som skal komme tilbake først, tas raskt, under press og av personer som kanskje har fått svært lite søvn. Slike beslutninger blir betydelig bedre når de tas på forhånd, uten press.
Deres liste over kritiske data bør identifisere systemene virksomheten ikke kan fungere uten, datasettene som kreves for daglig drift, samt en tydelig prioriteringsrekkefølge for gjenoppretting: må-ha kontra ønskelig.
Vær ærlig om hva virksomheten faktisk er avhengig av, kontra hva som bare er viktig. Den ærligheten er langt vanskeligere å finne midt i en aktiv hendelse. Prioriter datasettene som må gjenopprettes før dere fokuserer på de som bare er ønskelige. Ikke alt kan komme tilbake først, og å vite det på forhånd er en betydelig operativ fordel.
Ved en sikkerhetshendelse handler gjenoppretting ikke bare om å få tilbake data – men om å gjenopprette de riktige dataene først.
Ved en sikkerhetshendelse handler gjenoppretting ikke bare om å få tilbake data – men om å gjenopprette de riktige dataene først.
I de fleste miljøer av betydelig størrelse spenner backup-infrastrukturen over flere lokasjoner. Ansvarsdokumentasjonen bør beskrive hvem som eier hvert backup-miljø, tilgangslegitimasjon for sikkerhetskopier, snapshots og replikaer, samt hvor sekundære systemer og kopier kan befinne seg.
Ta høyde for at de samme dataene ofte finnes i flere former: en primær sikkerhetskopi, et snapshot, en replika eller en arkivert kopi på tape eller i et sekundært skymiljø. I situasjoner der primære sikkerhetskopier er kompromittert, kan det å vite hvor ellers man skal lete utgjøre en betydelig forskjell.
Et grundig eierskapskart er i praksis et kart over deres gjenopprettingsflate. Jo mer fullstendig det er før en hendelse, desto flere alternativer har dere underveis.
De samme dataene finnes ofte i flere former. Å vite hvor man skal lete utvider gjenopprettingsmulighetene.
Vellykket operativ gjenoppretting etter et cyberangrep er i stor grad avhengig av leverandørene som leverer produktene og tjenestene som opprettholder infrastrukturen deres. Derfor er det avgjørende å dokumentere deres eskaleringsveier og støttekanaler før en hendelse oppstår.
Leverandørkontaktlisten bør inkludere leverandørene som er nødvendige for å gjenopprette kjerneoperasjoner, deres støttekanaler og eskaleringsveier, samt en data recovery-partner for situasjoner der sikkerhetskopier og dekrypteringsverktøy har sviktet.
Det tredje punktet er det de fleste organisasjoner helt utelater. Feil i sikkerhetskopier og dekrypteringsverktøy er ikke sjeldne unntakstilfeller. De er realistiske utfall av et vellykket cyberangrep. Å ha en profesjonell data recovery-partner identifisert og dokumentert før en hendelse betyr at dere ikke må evaluere leverandører på det verst tenkelige tidspunktet for organisasjonen. Det betyr også at IR-teamet har en parallell gjenopprettingsvei å forfølge, i stedet for å være avhengig av ett enkelt løsningspunkt.
Å dokumentere disse relasjonene på forhånd sikrer at når gjenopprettingen starter, gjennomfører teamet en plan – i stedet for å lete etter en.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)