Pre-Incident Planning: 5 Things to Document in an Incident Response Plan
Planowanie przed incydentem:
Bo kiedy to się wydarzy, nie będziesz mieć czasu, aby tego szukać.
Większość poradników dotyczących przygotowania do incydentów bezpieczeństwa IT koncentruje się na tym, co zrobić po rozpoczęciu ataku. Odizolować zainfekowane urządzenia. Skontaktować się z zespołem reagowania na incydenty. Powiadomić dział prawny. To wszystko dobre rady, ale przydatne tylko wtedy, gdy już wiesz, do kogo zadzwonić, gdzie znajdują się Twoje kopie zapasowe i bez których systemów firma nie może funkcjonować.
Problem polega na tym, że pierwsze godziny incydentu ransomware są chaotyczne. Decyzje, które powinny zająć kilka minut, trwają znacznie dłużej, gdy potrzebne informacje są rozproszone w wątkach e-mail, w pamięci instytucjonalnej lub w systemach, które mogą być teraz niedostępne. To nie jest awaria technologii. To błąd w dokumentacji — i można mu całkowicie zapobiec.
To, co następuje, nie jest planem reagowania na incydenty. To coś mniejszego i bardziej bezpośrednio praktycznego: pięć kluczowych kategorii informacji, które Twój zespół powinien mieć udokumentowane i dostępne przed wystąpieniem incydentu. Przygotowanie tej listy nie zajmie dużo czasu. Jej brak w momencie potrzeby będzie kosztować znacznie więcej czasu, niż jej stworzenie kiedykolwiek zaoszczędzi.
Gdy dochodzi do incydentu bezpieczeństwa, pierwszą reakcją jest zwykle sięgnięcie po telefon. Problem polega na tym, że wiele zespołów nie zawsze wie, do kogo powinno zadzwonić.
Twoja dokumentacja eskalacyjna powinna zawierać dane kontaktowe zespołu reagowania na incydenty, głównych osób kontaktowych oraz partnera DFIR. Należy również uwzględnić procedurę zaangażowania, dane kontaktowe doradcy prawnego (z doświadczeniem w zakresie ochrony danych) oraz kontakt do działu likwidacji szkód u ubezpieczyciela cybernetycznego wraz z numerem polisy.
Dokumentacja eskalacyjna powinna zawierać kluczowe kontakty oraz szczegóły polisy niezbędne w przypadku incydentu. W szczególności powinna obejmować:
Zespół reagowania na incydenty i osoby odpowiedzialne
Dane kontaktowe wewnętrznego zespołu reagowania na incydenty oraz osób odpowiedzialnych
Partner DFIR
Dane kontaktowe partnera ds. informatyki śledczej i reagowania na incydenty (DFIR), wraz z procedurą zaangażowania.
Doradca prawny
Dane kontaktowe zewnętrznego doradcy prawnego, z zapewnieniem, że posiada doświadczenie w zakresie ochrony danych.
Ubezpieczenie cybernetyczne
Dane kontaktowe do zgłaszania roszczeń u Twojego ubezpieczyciela cybernetycznego oraz numer polisy.
Ten ostatni element najczęściej bywa pomijany. Polisy ubezpieczenia cybernetycznego zazwyczaj zawierają określone terminy zgłoszenia szkody, a ich niedotrzymanie może skomplikować proces roszczenia dokładnie w momencie, w którym najmniej możesz sobie pozwolić na komplikacje. Znajomość kontaktu do zgłaszania roszczeń i numeru polisy przed wystąpieniem incydentu jest koniecznością.
Na koniec jeszcze jedna uwaga dotycząca ubezpieczenia cybernetycznego: przechowuj polisę w bezpiecznym miejscu i oddzielnie od głównych systemów. Podmioty zagrażające, które przebywały w Twojej sieci przed uruchomieniem szyfrowania, mogą mieć dostęp do przechowywanych tam dokumentów. Informacje o polisie nie powinny znajdować się w miejscu, gdzie mogą je znaleźć.
Gdy wszystko dzieje się bardzo szybko, nie chcesz tracić czasu na szukanie numeru telefonu.
Podmioty zagrażające w pierwszej kolejności atakują kopie zapasowe. To nie jest spekulacja. To powtarzający się schemat, który DriveSavers zaobserwował w wielu incydentach ransomware. Zanim zaszyfrują systemy produkcyjne, napastnicy często identyfikują i kompromitują infrastrukturę kopii zapasowych, aby usunąć najprostszą drogę odzyskiwania danych przez ofiarę. W momencie rozpoczęcia szyfrowania kopie zapasowe mogą już nie istnieć.
To powinno kształtować sposób myślenia o dokumentacji kopii zapasowych. Nie wystarczy wiedzieć, że kopie zapasowe istnieją. Zespół musi być w stanie szybko ocenić integralność kopii zapasowych w warunkach incydentu, co oznacza, że architektura powinna być na tyle dobrze udokumentowana, aby umożliwić taką ocenę, zanim ktokolwiek znajdzie się pod presją.
Udokumentuj, gdzie znajdują się kopie zapasowe (na miejscu, poza siedzibą i w chmurze), jak działają zadania tworzenia kopii zapasowych i według jakiego harmonogramu, a także szczegółowe procedury przywracania krok po kroku.
Zakładaj, że Twoje kopie zapasowe mogą być naruszone, dopóki nie zweryfikujesz, że jest inaczej.
W przypadku incydentu bezpieczeństwa nie będzie możliwe przywrócenie wszystkiego jednocześnie. Decyzje o tym, co zostanie przywrócone jako pierwsze, będą podejmowane szybko, pod presją, przez osoby, które mogą działać przy bardzo niewielkiej ilości snu. Takie decyzje są znacznie lepsze, gdy podejmuje się je wcześniej, bez presji.
Twoja lista danych krytycznych powinna wskazywać systemy, bez których firma nie może funkcjonować, zbiory danych niezbędne do codziennych operacji oraz jasną kolejność priorytetów przy przywracaniu: niezbędne versus dodatkowe.
Bądź uczciwy w ocenie tego, od czego firma faktycznie zależy, a co jest jedynie ważne. Taka szczerość jest znacznie trudniejsza do osiągnięcia w trakcie aktywnego incydentu. Nadaj priorytet zbiorom danych, które muszą zostać przywrócone, zanim zajmiesz się tymi mniej istotnymi. Nie wszystko może wrócić jako pierwsze, a świadomość tego z wyprzedzeniem stanowi istotną przewagę operacyjną.
W przypadku incydentu bezpieczeństwa odzyskiwanie nie polega jedynie na przywracaniu danych, lecz na przywróceniu właściwych danych w pierwszej kolejności.
W przypadku incydentu bezpieczeństwa odzyskiwanie nie polega jedynie na przywracaniu danych, lecz na przywróceniu właściwych danych w pierwszej kolejności.
W większości środowisk o istotnej skali infrastruktura kopii zapasowych obejmuje wiele lokalizacji. Dokumentacja odpowiedzialności powinna określać, kto odpowiada za każde środowisko kopii zapasowych, dane dostępowe do kopii zapasowych, migawek i replik oraz gdzie mogą znajdować się systemy wtórne i dodatkowe kopie.
Należy uwzględnić, że te same dane często istnieją w wielu formach: jako kopia zapasowa podstawowa, migawka, replika lub kopia archiwalna na taśmie albo w wtórnym środowisku chmurowym. W sytuacjach, gdy podstawowe kopie zapasowe zostały naruszone, wiedza o tym, gdzie jeszcze szukać, może mieć istotne znaczenie.
Dokładna mapa odpowiedzialności jest w praktyce mapą Twojej powierzchni odzyskiwania. Im bardziej kompletna jest przed incydentem, tym więcej opcji masz w jego trakcie.
Te same dane często istnieją w wielu formach. Wiedza o tym, gdzie szukać, zwiększa możliwości odzyskiwania.
Skuteczne przywrócenie działalności po cyberataku w dużej mierze zależy od dostawców zapewniających produkty i usługi podtrzymujące Twoją infrastrukturę. Dlatego kluczowe jest udokumentowanie ich ścieżek eskalacji i kanałów wsparcia przed wystąpieniem incydentu.
Lista kontaktów dostawców powinna obejmować dostawców niezbędnych do przywrócenia kluczowych operacji, ich kanały wsparcia i ścieżki eskalacji oraz partnera ds. odzyskiwania danych w sytuacjach, gdy kopie zapasowe i narzędzia deszyfrujące zawiodły.
Ten trzeci punkt to ten, który większość organizacji całkowicie pomija. Awaria kopii zapasowych i narzędzi deszyfrujących nie są rzadkimi, skrajnymi przypadkami. To realistyczne skutki dobrze przeprowadzonego cyberataku. Wcześniejsze wskazanie i udokumentowanie profesjonalnego partnera ds. odzyskiwania danych oznacza, że nie musicie oceniać dostawców w najgorszym możliwym momencie dla organizacji. Oznacza to również, że zespół reagowania na incydenty ma równoległą ścieżkę odzyskiwania, zamiast czekać na jedno rozwiązanie.
Udokumentowanie tych relacji z wyprzedzeniem zapewnia, że w momencie rozpoczęcia odzyskiwania zespół realizuje plan, zamiast dopiero go szukać.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)