Reagowanie na incydenty to jest ciągły wyścig z czasem. W tej walce chodzi o to aby czas między skutecznym przełamaniem ochrony a wykryciem i neutralizacją był jak najkrótszy. Ten okres nazywany Detection Deficit. O ile czas potrzebny na skuteczny atak jest liczony w minutach o tyle wykrywanie to są często dni a nawet miesiące. Coraz więcej organizacji ma dedykowane zespoły reagowania na incydenty. Zespoły zdobywają kompetencje i doświadczenie, co skraca czas potrzebny na wykrycie incydentu bezpieczeństwa, jednak hakerzy również rozwijają się w swoim fachu przez co Detection Deficit pozostaje duży.
Detection Deficit
Detection Deficit
Przyglądnijmy się co można zrobić aby zwiększyć efektywność procesu reagowania na incydenty bezpieczeństwa informacji i walczyć i minimalizacje Detection Deficit.
Detection Deficit
1. Regulacje wewnętrzne (Polityki i Standardy)
Polityka Bezpieczeństwa Informacji jest dla każdego cyberbezpiecznika podstawowym dokumentem w organizacji. Obejmuje swoim zakresem nie tylko sieć komputerową przedsiębiorstwa czy instytucji, ale także całość zagadnień związanych z ochroną danych będących w dyspozycji firmy. Powinna definiować poprawne i niepoprawne – w sensie bezpieczeństwa – sposoby zachowania użytkowników i operacje na danych przechowywanych w systemie.
Zapisy polityki bezpieczeństwa powinny z jednej strony wyznaczać kierunek rozwoju infrastruktury cyberbezpieczeństwa w organizacji, a swego rodzaju specyfikacją istotnych warunków zamówienia z drugiej.
Zadania do wykonania:
- Przeprowadzić analizę postanowień Polityki Bezpieczeństwa Informacji i ich realizacji.
- Zweryfikować szczegółowe zasady dotyczące postępowania z incydentami i ich implementacje w systemach
- Zweryfikować szczegółowe zasady dotyczące zapobiegania i ich implementacje w systemach
Przeprowadzić analizę postanowień Polityki Bezpieczeństwa Informacji i ich realizacji.
Zweryfikować szczegółowe zasady dotyczące postępowania z incydentami i ich implementacje w systemach
Zweryfikować szczegółowe zasady dotyczące zapobiegania i ich implementacje w systemach
2. Sprawny model komunikacji
Komunikacja to ważny element w każdej organizacji a komunikacja, gdy mamy do czynienia z incydentem bezpieczeństwa, staje się krytycznym czynnikiem, który będzie miał wpływ na prace zespołu reagowania podczas walki z zagorzeniem. W war room’ie, każdy z grupy pracującej nad incydentem musi otrzymywać właściwe i prawdziwe informacje pozwalające wykonywać zdefiniowane w procedurach obowiązki. Komunikacja wewnętrzna to także wymiana informacji z kierownictwem, decydentami, osobami mającymi umocowanie do podejmowania kluczowych decyzji. Ścieżka powinna być dostosowane do krytyczności incydentu z jakim mamy do czynienia.
W wyniku incydentu bezpieczeństwa organizacji może grozić wyciek danych, utrata reputacji. W takim wypadku ważna jest dobrze zorganizowana i przygotowana na taką ewentualność komunikacja zewnętrzna, do partnerów, klientów lub mediów.
Zadania do wykonania:
- sprawdzenie procedur komunikacji wewnętrznej
- opracowanie lub weryfikacja procedur komunikacji zewnętrznej
sprawdzenie procedur komunikacji wewnętrznej
opracowanie lub weryfikacja procedur komunikacji zewnętrznej
3. Przeszkolony, doświadczony i kompetentny zespół
Budowa dobrego zespołu cyberbezpieczeństwa to długi i trudny proces. Mimo, że ekspertów w zakresie bezpieczeństwa przybywa, to jednak dalej jest ich stanowczo za mało na naszym rynku. Z tego względu firmy często decydują się na outsourcing usługi, albo jej części np. 1, 2 lub 3 linii SOC. Jeżeli jednak budujemy własny zespół, warto zadbać o strategie budowy zespołu, koniecznych kompetencji i doświadczenia, a następnie regularnie, np. co pół roku weryfikować gdzie jesteśmy, jak ją realizujemy, jakie mamy mocne i słabe strony. A potem rekrutować najpotrzebniejsze kadry.
Zadania do wykonania:
- Aktualizacja strategii budowy zespołu
- Analiza SWOT zespoł
Aktualizacja strategii budowy zespołu
Analiza SWOT zespoł
4. Program szkoleń
Bardzo ważnym elementem podnoszącym efektywność pracy zespołu jest program szkoleń.
Dla zespołu do reagowania na incydenty bezpieczeństwa program szkoleń powinien obejmować szkolenia z technik i zasad cyberbezpieczeństwa jak i z konkretnych narzędzi wykorzystywanych w organizacji. Warto go uzupełnić szkoleniami miękkimi z pracy zespołowej, zarządzania zespołem, zarządzania projektem.
Dla wszystkich pracowników przedsiębiorstwa powinien zostać zbudowany plan szkoleń security awareness. Ważne aby to nie było jedno szklenia a program, najlepiej uzupełniony o jakąś formę weryfikacji postępów i zaangażowania.
security awareness
Zadania do wykonania:
- aktualizacja planu szkoleń dla zespołu
- budowa lub aktualizacja programu security awareness.
aktualizacja planu szkoleń dla zespołu
budowa lub aktualizacja programu security awareness.
security awareness
5. Specjalistyczne narzędzia
Narzędzia cyberbezpieczeństwa można podzielić na trzy grupy:
- systemy zabezpieczeń (takie jak NGFW VPN, Sandbox, AV, WAF, DAM, NAC, MailGW, WebGW)
- systemy zarządzanie bezpieczeństwem (takie jak SIEM, IDM, VA, PAM, Log MGMT, SOAR, IRP)
- narzędzia do analizy powłamaniowej
systemy zabezpieczeń (takie jak NGFW VPN, Sandbox, AV, WAF, DAM, NAC, MailGW, WebGW)
systemy zarządzanie bezpieczeństwem (takie jak SIEM, IDM, VA, PAM, Log MGMT, SOAR, IRP)
narzędzia do analizy powłamaniowej
Które z powyższych narządzi wdrożymy w pierwszej kolejności a które w kolejnej powinno wynikać z polityki bezpieczeństwa oraz analizy ryzyka obszaru IT.
Zadania do wykonania:
- Weryfikacja i aktualizacja strategii rozwoju IT w zakresie cyberbezpieczeństwa
Weryfikacja i aktualizacja strategii rozwoju IT w zakresie cyberbezpieczeństwa
Prawdziwa efektywność pojawi się, gdy ocena ryzyka zewnętrznego i wewnętrznego będzie połączona z dogłębną analizą kultury bezpieczeństwa i procesów w organizacji. Do jej wykonania potrzebne są narzędzia oraz kompetentni i zaangażowani ludzie, którzy pozwolą uzyskać kompleksowy obraz poziomu cyberbezpieczeństwa i ryzyka IT z nim związanego.
