Planering före en incident: 5 saker att dokumentera i en incidenthanteringsplan
Planering före en incident:
För när det händer kommer du inte att ha tid att slå upp det här.
De flesta guider för förberedelser inom IT-säkerhet fokuserar på vad man ska göra efter att en attack har inletts. Isolera infekterade enheter. Kontakta ert incident response-företag. Informera juridikavdelningen. Allt är goda råd, men de är bara användbara om ni redan vet vem ni ska ringa, var era säkerhetskopior finns och vilka system verksamheten inte kan överleva utan.
Problemet är att de första timmarna av en ransomware-incident är kaotiska. Beslut som borde ta minuter tar betydligt längre tid när den information som behövs är utspridd i e-posttrådar, i organisationens kollektiva minne eller i system som nu kan vara otillgängliga. Det är inte ett teknikfel. Det är ett dokumentationsfel — och det är helt förebyggbart.
Det som följer är inte en incidenthanteringsplan. Det är något mindre och mer omedelbart praktiskt: fem kritiska informationskategorier som ert team behöver ha dokumenterade och tillgängliga innan en incident inträffar. Att ta fram denna lista tar inte lång tid. Att sakna den när den behövs kommer att kosta betydligt mer tid än den någonsin sparar.
När en säkerhetsincident inträffar är den första reaktionen oftast att ta upp telefonen. Problemet är att många team inte alltid vet vem de ska ringa.
Er eskaleringsdokumentation bör innehålla kontaktuppgifter till ert incident response-team, huvudkontakter och er DFIR-partner. Inkludera även aktiveringsprocessen, kontaktuppgifter till er juridiska rådgivare (med erfarenhet av dataskydd) samt skadeanmälans kontakt hos er cyberförsäkringsgivare tillsammans med ert försäkringsnummer.
Eskaleringsdokumentationen bör innehålla nyckelkontakter och försäkringsuppgifter som är nödvändiga vid en incident. Närmare bestämt bör den innehålla:
Incident response-team och ansvariga
Kontaktuppgifter till ert interna incident response-team och dess ansvariga kontaktpersoner
DFIR-partner
Kontaktuppgifter till er partner inom Digital Forensics and Incident Response (DFIR), inklusive aktiveringsprocessen.
Juridisk rådgivare
Kontaktuppgifter till er externa juridiska rådgivare, och säkerställ att de har erfarenhet av dataskydd.
Cyberförsäkring
Kontaktuppgifter för skadeanmälan hos er cyberförsäkringsgivare samt ert försäkringsnummer.
Den sista punkten är ofta den viktigaste. Cyberförsäkringspolicys är ofta måltavlor för hotaktörer som försöker radera dem efter att ha fått kännedom om försäkringsbeloppen.
Rekommendation: Förvara din försäkringspolicy säkert och separat från dina primära system. Hotaktörer som har tillbringat tid i ditt nätverk innan de påbörjar kryptering kan ha åtkomst till dokument som lagras där. Din policyinformation bör inte finnas på en plats där de kan hitta den. Skriv även ut en kopia och förvara den i ett kassaskåp.
När allt går snabbt vill du inte behöva leta efter ett telefonnummer.
Hotaktörer riktar in sig på säkerhetskopior först. Det är inte spekulation. Det är ett återkommande mönster som DriveSavers har observerat i många ransomware-incidenter. Innan produktionssystem krypteras identifierar och komprometterar angripare ofta backupinfrastrukturen för att undanröja offrets mest direkta återställningsväg. När krypteringen väl inleds kan säkerhetskopiorna redan vara borta.
Detta bör styra hur ni ser på dokumentation av säkerhetskopior. Det räcker inte att veta att säkerhetskopior finns. Teamet måste snabbt kunna bedöma säkerhetskopiornas integritet under en incident, vilket innebär att arkitekturen måste vara tillräckligt väl dokumenterad för att möjliggöra den bedömningen innan någon står under press.
Dokumentera var säkerhetskopiorna finns (lokalt, externt och i molnet), hur backup-jobb körs och enligt vilket schema, samt steg-för-steg-procedurer för återställning.
Utgå från att era säkerhetskopior kan vara komprometterade tills ni har verifierat motsatsen.
Vid en säkerhetsincident kommer ni inte att kunna återställa allt på en gång. Beslut om vad som ska återställas först fattas snabbt, under press, av personer som kanske har sovit mycket lite. Sådana beslut blir avsevärt bättre när de fattas i förväg, utan press.
Er lista över kritiska data bör identifiera de system som verksamheten inte kan fungera utan, de dataset som krävs för den dagliga driften samt en tydlig prioriteringsordning för återställning: måste-ha kontra bra-att-ha.
Var ärlig med vad verksamheten faktiskt är beroende av jämfört med vad som bara är viktigt. Den ärligheten är betydligt svårare att uppnå mitt under en pågående incident. Prioritera de dataset som måste återställas innan ni jagar det som bara är bra att ha. Allt kan inte komma tillbaka först, och att veta det i förväg är en betydande operativ fördel.
Vid en säkerhetsincident handlar återställning inte bara om att återställa data – utan om att återställa rätt data först.
Vid en säkerhetsincident handlar återställning inte bara om att återställa data – utan om att återställa rätt data först.
I de flesta miljöer av betydande storlek sträcker sig backupinfrastrukturen över flera platser. Ansvarsdokumentationen bör ange vem som äger varje backupmiljö, åtkomstuppgifter till säkerhetskopior, snapshots och repliker samt var sekundära system och kopior kan finnas.
Ta hänsyn till att samma data ofta finns i flera former: en primär säkerhetskopia, en snapshot, en replik eller en arkiverad kopia på band eller i en sekundär molnmiljö. I scenarier där primära säkerhetskopior har komprometterats kan vetskapen om var man annars ska leta göra en betydande skillnad.
En grundlig ägandekarta är i praktiken en karta över er återställningsyta. Ju mer komplett den är före en incident, desto fler alternativ har ni under själva händelsen.
Samma data finns ofta i flera former. Att veta var man ska leta utökar återställningsalternativen.
En framgångsrik operativ återhämtning efter en cyberattack är i hög grad beroende av de leverantörer som tillhandahåller de produkter och tjänster som upprätthåller er infrastruktur. Därför är det avgörande att dokumentera deras eskaleringsvägar och supportkanaler innan en incident inträffar.
Leverantörslistan bör inkludera de leverantörer som krävs för att återställa kärnverksamheten, deras supportkanaler och eskaleringsvägar samt en data recovery-partner för scenarier där säkerhetskopior och dekrypteringsverktyg har misslyckats.
Den tredje punkten är den som de flesta organisationer helt utelämnar. Misslyckade säkerhetskopior och dekrypteringsverktyg är inte sällsynta undantag. De är realistiska utfall av en väl genomförd cyberattack. Att ha en professionell data recovery-partner identifierad och dokumenterad före en incident innebär att ni inte behöver utvärdera leverantörer vid den sämsta tänkbara tidpunkten för organisationen. Det innebär också att ert IR-team har en parallell återställningsväg att följa i stället för att vänta på en enda lösningspunkt.
Att dokumentera dessa relationer i förväg säkerställer att när återställningen påbörjas, genomför ert team en plan – i stället för att leta efter en.
English (United States) 
English (Australia) 
French (France) 
English (UK) 
French (Canada) 
English (Canada) 
Spanish (Mexico) 
German 
Dutch 
Italian 
Finnish 
Polish 
Norwegian 
Swedish 
Danish 
Spanish (Spain) 
Chinese 
Japanese 
German (Austria)