2023 için olay müdahale planınızı nasıl iyileştirebilirsiniz?
Halihazırda bir IR planınız olabilir, ancak şu anda bunun ne kadar kapsamlı olduğunu düşünürseniz hissedin, gelişen siber tehdit ortamı ve kuruluşunuzdaki değişen koşullar, düzenli değişiklikler ve iyileştirmeler gerektiriyor.
Günümüzde tehdit aktörleri arasında en popüler olan saldırı vektörleri nelerdir? 2022 Unit 42 Olay Müdahale Raporu, iş e-postası ele geçirme (BEC) ve fidye yazılımı saldırılarının yaygın olduğunu ve Unit 42 Olay Müdahale ekibi tarafından ele alınan vakaların %70’ini toplu olarak oluşturduğunu tespit etti. Spesifik olarak, tehdit aktörleri için ilk üç erişim vektörü, kimlik avı, yazılım güvenlik açığından yararlanma ve kaba kuvvet kimlik bilgisi saldırılarıdır.
En yaygın saldırı türlerini göz önünde bulundurarak IR planlarımızı düzenli olarak gözden geçirmemiz çok önemlidir. Aşağıda, IR planınızı iyileştirebilecek ve genel güvenlik duruşunuzu güçlendirebilecek en iyi beş uygulama yer almaktadır.
IR planınız ve başucu kitabınız hakkında farkındalığı artırın
Birçok kuruluş olay müdahale planının (IRP) varlığından emindir, ancak bununla ne yapacaklarından genellikle tam olarak emin değildirler. Tehdide özgü bir IR oyun kitabı, olaya müdahale kaosu sırasında kolayca erişilebilir rehberlik sunabilir ve bir IR planının hayati bir unsurudur.
Bir siber güvenlik olayı meydana geldiğinde, neyin zarar gördüğünü veya çalındığını anlamak için çabalıyorsunuz ve nereden başlayacağınızı bilmemek hasarı daha da kötüleştirebilir. Oyun kitabınızı bir dizi IR standart işletim prosedürleri (SOP’ler) olarak kullanmak, her bir IR ekibi üyesinin yanı sıra şirket içindeki diğer kilit paydaşların rollerini ve sorumluluklarını tanımlayabilir ve herkesi aynı sayfada tutabilir.
Örneğin, IR ekibi, bir fidye yazılımı olayının kontrol altına alınması sırasında parolaların değiştirilmesi gerektiğini belirleyecektir, ancak hangi parolaların değiştirilmesi gerektiğini (idari, hizmet hesabı vb.) veya diğer gerekli eylemleri anlamak için oyun kitabına bakabilirler. daha hızlı çözünürlük için.
Bu olaylar “herkesin görev başında” olmasını gerektirir, ancak işlerin sorunsuz yürümesi için, her bir iş akışı için kritik irtibat noktasının kim olduğu da dahil olmak üzere, herkesin kendi bireysel rollerini ve diğerlerinin rollerini bilmesi gerekir.
Yeni teknolojiyi benimserken IR planınızı geliştirin
Teknoloji hızla ilerliyor ve değişiyor, iş operasyonlarında kaymalar ve personel ve rollerle ilgili değişiklikler var. Bu değişimler olurken, IR planınızın ince ayarı yapılmalıdır. Örneğin, verileri veya iş yüklerini buluta taşıdığınızda kuruluşunuzu yeni tehditlere açık hale getirirsiniz. Sonuç olarak, IR planınızı buluta özgü tehditleri ele alacak şekilde uyarlamanız gerekecek.
Eski planı atmak ve tamamen yeni bir plan oluşturmak gerekli değildir. Sahip olduğunuz uygulamada değişiklikler yapın ve size yol göstermesi için NIST Siber Güvenlik Çerçevesi ve CSIRT tarafından sağlananlar gibi en güncel en iyi uygulamalardan yararlanın.
Planınızı, ihtiyacınız olmadan önce proaktif olarak test edin
IR planınızı test etmek, bir tehdit aktörü ekibin planı test etmesine yardım etmeden önce kusurları öğrenmenize yardımcı olabilir. Pratik yaparak, ekip üyeleri gerçek bir olay durumunda tam olarak ne yapacaklarını ve nereye döneceklerini daha iyi bileceklerdir.
Proaktif test, IR egzersizlerini, masaüstü egzersizlerini, sızma testini ve mor takım oluşturmayı içerebilir. Plana ve sürece girdi sağladıklarından emin olmak için hukuk (dış danışman dahil), kriz iletişimi, pazarlama vb. gibi her bir kilit paydaşın bu teste dahil edilmesi de yararlıdır.
Ayrıca, IRP’nizde belirlenmiş paydaşları düzenli olarak değerlendirmek her zamankinden daha önemlidir. Ekonomideki değişiklikler, yıpranma ve çalışan devrinin bu yıl IRP’niz üzerinde daha önemli bir etki yaratması anlamına gelebilir.
Sıfır günlük bir bütçe oluşturun
Bütçe yoksa, en iyi plan bile başarısız olabilir. Kuruluşunuzun bir siber saldırıdan kurtulmaya yardımcı olacak sigortası olsa da, yan veya beklenmedik maliyetleri karşılamak için ek sermayeye ihtiyacınız olabilir.
Bir olay sırasında bütçe kararları vermek zorunda kalmamak veya bütçenin doğru şekilde yanıt verme yeteneğinizi daraltmasına izin vermemek için, ilgili oyuncularınızın bu bütçeyi nasıl güvence altına alacakları konusunda bilgilendirildiğinden ve onay verdiğinden emin olun.
Ne de olsa, iş operasyonlarınızı sürdürmek için yeni cihazlar satın almanız veya bir saldırıyı kontrol altına almaya yardımcı olacak yazılımlara yatırım yapmanız gerekebilir. IR planlama aşamasında bu ne olursa olsun konuşmaları gerçekleştiğinde, yüksek basınçlı bir durumda belirsizliği veya olası zaman kaybını ortadan kaldırırsınız.
Eğitimin bir öncelik olduğundan emin olun
Günlük iş operasyonlarının yoğun, dinamik doğası göz önüne alındığında, olay müdahale eğitimini bir kenara bırakmak kolay olabilir. Ancak bu, en önemli olduğu anda bayat planlara ve yetersiz yanıtlara yol açar.
Kuruluşun büyüklüğünden bağımsız olarak, IR eğitimi bir iş önceliği olmalı, IR planına dahil edilmeli ve buna göre bütçelendirilmelidir. Bu, herkesin sorumluluklarını anlaması için olası senaryoların tartışılmasını ve müdahale eylemlerinin uygulanmasını içermelidir.
Neyin tehlikede olduğu göz önüne alındığında, IRP’nizin etkili olması hayati önem taşır. Yanıtınızı güçlendirmek için bu en iyi uygulamaları takip etmek, güvenlik olayları meydana gelirken, dirençli bir şekilde ve iş operasyonlarını daha az etkileyerek olay boyunca işletmenize rehberlik edebileceğiniz anlamına gelir.
Kaynak:
https://www.helpnetsecurity.com/2023/01/09/how-to-improve-your-incident-response-plan-for-2023/