- Pas një incidenti, është thelbësore të identifikohet lloji i sulmit, fushëveprimi i tij aktual dhe asetet e kompromentuara përpara se të ndërmerren veprime.
- Ruajtja e provave dhe dokumentacionit të detajuar është thelbësore për analizën mjeko-ligjore dhe përputhshmërinë ligjore.
- Rimëkëmbja duhet të jetë e sigurt dhe me përparësi, e mbështetur nga kopje rezervë të verifikuara dhe sisteme të përforcuara.
- Mbyllja e ciklit me një rishikim pas incidentit lejon përmirësime në kontrolle, plane reagimi dhe trajnimin e stafit.
Zbulimi se organizata juaj sapo ka pësuar një incident të sigurisë kibernetike Nuk është pikërisht mënyra më e mirë për të filluar ditën: sisteme të bllokuara, shërbime të çaktivizuara, thirrje nga klientë të shqetësuar dhe ekipi teknik që duket i tmerruar. Por përtej tronditjes fillestare, ajo që bën vërtet ndryshimin është ajo që bëni në orët në vijim: çfarë kontrolloni, kë njoftoni, çfarë mbani si provë dhe si i rivendosni operacionet pa lënë asnjë hapësirë për sulmuesin.
Përgjigjuni me gjakftohtësi, shpejtësi dhe metodë Kjo është thelbësore për të siguruar që një sulm të mbetet një frikë serioze dhe të mos përshkallëzohet në një katastrofë financiare, ligjore dhe reputacionale. Në rreshtat e mëposhtëm, do të gjeni një udhëzues gjithëpërfshirës, bazuar në praktikat më të mira për reagimin ndaj incidenteve, forenzikën dixhitale dhe planifikimin e vazhdimësisë së biznesit, i cili mbulon gjithçka që duhet të rishikoni pas një incidenti të sigurisë kibernetike dhe si ta organizoni atë rishikim për të mësuar nga përvoja, për të forcuar mbrojtjen dhe për t'u përmbajtur detyrimeve ligjore.
Çfarë ndodhi në të vërtetë: Të kuptuarit e incidentit dhe seriozitetit të tij
Para se të prekësh diçka verbërisht, duhet të kuptosh se me çfarë lloj sulmi po përballesh.Ransomware-i që enkripton serverat kritikë nuk është i njëjtë me një ndërhyrje të heshtur për të vjedhur të dhëna ose akses të paautorizuar në një faqe interneti të korporatës. Identifikimi i saktë përcakton gjithçka që vijon më pas.
Një nga detyrat e para është klasifikimi i incidentit. në varësi të sulmit mbizotërues: ransomware, vjedhje e informacionit konfidencial, kompromentim i llogarive të korporatave, modifikim i faqes së internetit, shfrytëzim i dobësive, etj. Ndërsa analiza përparon dhe zbulohen asetet e prekura, klasifikimi fillestar shpesh ndryshon, kështu që është e këshillueshme që të dokumentohet ky evolucion.
Është gjithashtu e rëndësishme të gjesh vektorin e hyrjes.Mesazhe phishing me bashkëngjitje keqdashëse, lidhje mashtruese, disqe USB të infektuara, RDP të ekspozuara ndaj internetit, dobësi të serverit të pazbuluara, kredenciale të vjedhura, konfigurim i gabuar i cloud-it… Identifikimi i kësaj pike aksesi ju lejon të përcaktoni më mirë fushëveprimin dhe, mbi të gjitha, të mbyllni derën për të parandaluar që kjo të ndodhë përsëri.
Një aspekt tjetër që ia vlen të shqyrtohet nga afër është nëse sulmi duket i synuar apo oportunist.Fushatat masive të email-eve gjenerike, skanimet automatike për dobësi të njohura ose botët që shfrytëzojnë shërbimet e ekspozuara zakonisht tregojnë një sulm të rastësishëm. Megjithatë, kur vërehen njohuri të hollësishme të mjedisit, referenca specifike për kompaninë ose përdorimi i mjeteve specifike të industrisë, ka të ngjarë të jetë një sulm i synuar.
Nga aty, të gjitha asetet potencialisht të kompromentuara duhet të listohen.stacionet e punës, Serverat LinuxBazat e të dhënave, shërbimet cloud, aplikacionet e biznesit, pajisjet mobile dhe çdo sistem që ndan një rrjet ose kredenciale me ekipin e prekur fillimisht. Sa më i saktë ky inventar, aq më e lehtë do të jetë të përcaktohet fushëveprimi i vërtetë i incidentit dhe të përcaktohet përparësia e reagimit.
Mbledh dhe ruan provat pa kompromentuar provat
Pasi të zbulohet incidenti, tundimi natyror është formatimi, fshirja dhe fillimi nga e para.Por ky është zakonisht një gabim i madh nga pikëpamja mjeko-ligjore dhe ligjore. Nëse doni të paraqisni një ankesë, të bëni një kërkesë për dëmshpërblim nga sigurimi ose thjesht të kuptoni se çfarë ka ndodhur, duhet të ruani prova të vlefshme.
Hapi i parë është izolimi i sistemeve të prekura pa i mbyllur ato papritur.Për të parandaluar humbjen e të dhënave në memorie ose ndryshimin e të dhënave kritike, procedura e zakonshme është shkëputja nga rrjeti, bllokimi i aksesit në distancë dhe ndalimi i shërbimeve jo-thelbësore, por mbajtja e pajisjeve të ndezura derisa të mund të merren imazhe mjeko-ligjore.
Krijimi i kopjeve të plota të disqeve dhe sistemeve është një praktikë themelore.Rekomandohet fuqimisht të krijoni të paktën dy kopje: një në një medium vetëm për shkrim (p.sh., DVD-R ose BD-R) për ruajtje forenzike dhe një tjetër në një medium të ri që do të përdoret për përpunim, analizë dhe, nëse është e nevojshme, rikuperim të të dhënave. Disqet e forta të hequra nga sistemet duhet të ruhen në një vend të sigurt, së bashku me kopjet e krijuara.
Informacioni kyç duhet të dokumentohet për secilin medium të përdorur.Kush e bëri kopjen, kur, në cilin sistem, me cilat mjete dhe kush më pas i qaset atyre mediave. Mbajtja e një zinxhiri rigoroz të ruajtjes bën gjithë ndryshimin nëse këto prova duhet t'i paraqiten më vonë një gjyqtari ose një kompanie sigurimi.
Përveç imazheve të diskut, duhet të sigurohen edhe regjistrat dhe gjurmët. të të gjitha llojeve: regjistra sistemi, aplikacione, firewall-e, VPN, servera postare, proxy, pajisje rrjeti, zgjidhje EDR/XDR, SIEM, etj. Këto regjistra shërbejnë si për të rindërtuar sulmin ashtu edhe për të identifikuar lëvizjen anësore, nxjerrjen e të dhënave ose këmbënguljen e sulmuesit.
Është e këshillueshme që të vlerësohet sa më shpejt të jetë e mundur nëse do të ndërmerren veprime ligjore.Në këtë rast, rekomandohet fuqimisht të keni një ekspert të specializuar mjeko-ligjor i cili mund të drejtojë mbledhjen e provave, të përdorë mjetet e duhura dhe të përgatisë raporte teknike ligjërisht të vlefshme. Sa më shpejt të përfshihen ata, aq më i vogël është rreziku i ndotjes ose humbjes së provave të dobishme.
Dokumentimi i incidentit: çfarë duhet të shkruhet
Ndërsa sulmi po përmbahet dhe sistemet po shpëtohen, është e lehtë të neglizhosh dokumentacionin.Por më pas kjo mungon si për analiza të mëvonshme ashtu edhe për përmbushjen e detyrimeve rregullatore. Kjo është arsyeja pse është e rëndësishme të shkruash gjithçka që nga fillimi.
Është shumë e dobishme të caktoni me saktësi datën dhe kohën e zbulimit.si dhe simptoma e parë e vërejtur: alarm nga një mjet sigurie, anomali të performancës, llogari të bllokuara, mesazh ransomware, ankesa të përdoruesve, etj. Nëse dihet, duhet të shënohet edhe koha e përafërt e fillimit të sulmit ose shkeljes së sigurisë.
Paralelisht, duhet të përpilohet një listë e sistemeve, shërbimeve dhe të dhënave të prekura.duke treguar nëse asetet janë kritike për biznesin apo asete mbështetëse. Ky informacion do të jetë thelbësor për përcaktimin e përparësive të rikuperimit dhe llogaritjen e ndikimit ekonomik dhe operacional të incidentit.
Çdo veprim i ndërmarrë gjatë reagimit duhet të regjistrohet.Çfarë është hequr nga lidhja, çfarë ndryshimesh në fjalëkalime janë bërë, çfarë përditësimesh janë aplikuar, cilat shërbime janë ndaluar ose rivendosur, çfarë masash përmbajtjeje janë marrë dhe kur. Kjo nuk ka për qëllim të jetë një roman, por më tepër një kronologji e qartë dhe e kuptueshme.
Gjithashtu është e nevojshme të regjistrohen emrat e të gjithë personave të përfshirë. Në menaxhimin e krizave: kush koordinon, cilët teknikë janë të përfshirë, cilët pronarë biznesesh informohen, cilët ofrues të jashtëm ndihmojnë, etj. Kjo më pas ndihmon në shqyrtimin e performancës së ekipit dhe përshtatshmërisë së roleve të përcaktuara në planin e reagimit.
Një aspekt që ndonjëherë harrohet është mbajtja e një kopjeje të komunikimeve përkatëse.Email-et e shkëmbyera me klientët, mesazhet e shpëtimit, bisedat me siguruesin, shkëmbimet me autoritetet, bisedat e brendshme rreth vendimeve kritike, etj. Ky informacion mund të jetë i vlefshëm për hetimet mjeko-ligjore, për të demonstruar kujdesin e duhur ndaj rregullatorëve dhe për përmirësimin e protokolleve të komunikimit në kriza.
Njoftime për agjencitë, klientët dhe palët e treta të përfshira
Kur reja fillestare e pluhurit fillon të vendoset, është koha për të njoftuar personin e duhur.Nuk është një çështje opsionale: në shumë raste rregulloret e kërkojnë këtë, dhe në të tjera transparenca është jetike për të ruajtur besimin.
Nëse incidenti përfshin të dhëna personale (klientë, punonjës, përdorues, pacientë, studentë…), është e nevojshme të rishikohen detyrimet sipas Rregullores së Përgjithshme për Mbrojtjen e të Dhënave (GDPR) dhe legjislacionit vendor. Në Spanjë, kjo do të thotë njoftimi i Agjencisë Spanjolle për Mbrojtjen e të Dhënave (AEPD) kur ekziston një rrezik për të drejtat dhe liritë e individëve, zakonisht brenda një maksimumi prej 72 orësh nga marrja e dijenisë për shkeljen.
Kur incidenti mund të përbëjë krim (ransomware, zhvatje, mashtrim, vjedhje e informacionit të ndjeshëm, kërcënime ndaj infrastrukturës kritike), këshillohet që këto incidente të raportohen te Forcat e Sigurisë Shtetërore. Në Spanjë, njësi të tilla si Brigada e Hetimit Teknologjik e Policisë Kombëtare ose Grupi Telematik i Krimeve i Guardia Civil zakonisht ndërhyjnë, dhe ato gjithashtu mund të koordinohen me organizatat ndërkombëtare.
Në nivel shtetëror ka qendra të specializuara që ia vlen t'i kushtoni vëmendje., siç është INCIBE-CERT për qytetarët dhe subjektet private, ose CSIRT të tjera specifike për sektorin. Informimi i tyre mund të ofrojë mbështetje teknike shtesë, qasje në inteligjencë mbi kërcënime të ngjashme, mjete deshifrimi ose të dhëna rreth fushatave në vazhdim.
Kompanitë me polica sigurimi kibernetik duhet të rishikojnë kushtet e njoftimit.Kjo për shkak se shumë sigurues kërkojnë të informohen brenda afateve shumë të shkurtra dhe mbulimit të kushteve mbi ndjekjen e udhëzimeve të caktuara të reagimit dhe përdorimin e ofruesve të miratuar.
Më në fund, është koha të mendojmë për komunikimin me klientët, partnerët dhe punonjësit.Nëse të dhënat janë kompromentuar ose shërbimet kritike janë prekur, është e preferueshme që punonjësit të informohen drejtpërdrejt nga organizata, në vend që të informohen përmes rrjedhjeve të informacionit ose raporteve në shtyp. Mesazhet e qarta dhe të sinqerta, që shpjegojnë se çfarë ka ndodhur në terma të përgjithshëm, çfarë informacioni mund të preket, çfarë masash po merren dhe çfarë hapash rekomandohen për ata që preken, janë zakonisht strategjia më e mirë për mbrojtjen e reputacionit.
Për të përmbajtur, izoluar dhe kufizuar përparimin e sulmuesit.
Sapo konfirmohet se ka një incident të vërtetë, fillon një garë me kohën. për të parandaluar sulmuesin të lëvizë më tej, të vjedhë më shumë të dhëna ose të shkaktojë dëme shtesë, siç është enkriptimi i kopjeve rezervë ose kompromentimi i më shumë llogarive.
Hapi i parë është izolimi i sistemeve të kompromentuara nga rrjeti.Kjo vlen si për lidhjet me tel ashtu edhe për ato pa tel. Në shumë raste, mjafton thjesht shkëputja e ndërfaqeve të rrjetit, rikonfigurimi i VLAN-ve ose zbatimi i rregullave specifike të firewall-it për të bllokuar komunikimet e dyshimta. Qëllimi është të përmbahet sulmuesi pa shkatërruar provat ose pa i mbyllur sistemet pa dallim.
Së bashku me izolimin fizik ose logjik, është thelbësore të rishikohet edhe qasja në distancë.VPN, desktopë të largët, lidhje të palëve të treta, akses i privilegjuar, etj. Mund të jetë e nevojshme të çaktivizoni përkohësisht akses të caktuar derisa të jetë e qartë se cilat kredenciale mund të jenë kompromentuar.
Bllokimi i llogarive dhe kredencialeve të dyshimta duhet të bëhet me saktësi.Duke filluar me llogaritë me privilegje të larta, llogaritë e shërbimeve të ekspozuara, përdoruesit e përfshirë drejtpërdrejt në ndërhyrje ose ata që shfaqin aktivitet të pazakontë, këshillohet të zbatohen ndryshime të gjera të fjalëkalimeve pasi situata të jetë më nën kontroll, duke i dhënë përparësi së pari llogarive kritike.
Një hap më teknik është forcimi i segmentimit dhe filtrimit të trafikut. Për të parandaluar lëvizjen anësore dhe komunikimet e komandës dhe kontrollit, hyjnë në lojë rregullat e firewall-it, zgjidhjet IDS/IPS, EDR/XDR dhe kontrolle të tjera, duke mundësuar bllokimin e domeneve, IP-ve dhe modeleve të trafikut keqdashës të identifikuara gjatë analizës.
Në të njëjtën kohë, kopjet rezervë duhet të mbrohen.Nëse kopjet rezervë janë në internet ose të arritshme nga sisteme të kompromentuara, ekziston rreziku që ato të jenë të enkriptuara ose të manipuluara. Rekomandohet t'i shkëputni ato, të verifikoni integritetin e tyre dhe t'i rezervoni për fazën e rikuperimit, pasi të jeni të sigurt se janë të pastra.
Forenzika dixhitale: rindërtimi i sulmit dhe gjetja e dobësive
Me kërcënimin e përmbajtur, fillon pjesa aktuale e "forenzikës dixhitale".Ajo punë e imët e rindërtimit hap pas hapi të asaj që bëri sulmuesi, si hyri brenda, çfarë preku dhe sa kohë qëndroi brenda.
Analiza mjeko-ligjore fillon me përpunimin e provave të mbledhura.Imazhet e diskut, kapjet e memories, regjistrat e sistemit dhe rrjetit, mostrat e malware, skedarët e modifikuar, etj., duke mësuar gjithashtu nga incidente të botës reale si p.sh. dështimet në zgjidhjet EDRMjete të specializuara përdoren për të rindërtuar afatet kohore, për të ndjekur ndryshimet e konfigurimit, për të identifikuar procese të dyshimta dhe për të hartëzuar lidhjet e pazakonta të rrjetit.
Një nga objektivat kryesore është gjetja e dobësive të shfrytëzuara dhe boshllëqeve të sigurisë.Kjo mund të përfshijë softuer të vjetëruar, konfigurime të paracaktuara, porta të hapura të pajustifikuara, llogari pa autentifikim me dy faktorë, leje të tepërta, gabime zhvillimi ose dështime të segmentimit të rrjetit. Kjo listë dobësish do të formojë më pas bazën për masa korrigjuese, si dhe mjete për Menaxhimi i Qëndrimit të Sigurisë së Aplikacionit (ASPM).
Analiza përcakton gjithashtu fushëveprimin e vërtetë të sulmit.Kjo përfshin përcaktimin se cilat sisteme janë kompromentuar në të vërtetë, cilat llogari janë përdorur, cilat të dhëna janë aksesuar ose janë nxjerrë jashtë kontrollit dhe për sa kohë sulmuesi ka pasur mundësinë të lëvizë lirisht. Në mjedise komplekse, kjo mund të kërkojë ditë ose javë shqyrtimi të detajuar.
Kur ka indikacione për nxjerrje jashtë, regjistrat e rrjetit dhe të bazës së të dhënave shqyrtohen në thellësi më të madhe. për të përcaktuar sasinë e informacionit që është rrjedhur, në cilat destinacione dhe në çfarë formati. Ky informacion është thelbësor për vlerësimin e ndikimit ligjor dhe reputacional, si dhe detyrimet e njoftimit ndaj autoriteteve dhe palëve të prekura.
E gjithë kjo punë pasqyrohet në raportet teknike dhe ekzekutive.Këto raporte duhet të shpjegojnë jo vetëm aspektet teknike të sulmit, por edhe implikimet e tij për biznesin dhe rekomandimet për përmirësim. Ato shërbejnë si bazë për justifikimin e investimeve në siguri, shqyrtimin e proceseve të brendshme dhe forcimin e trajnimit të stafit.
Vlerësoni dëmet, të dhënat e kompromentuara dhe ndikimin në biznes
Përtej aspekteve thjesht teknike, pas një incidenti, shifrat dhe pasojat duhet të vihen në diskutim.Kjo do të thotë, të vlerësohet ndikimi në terma operacionalë, ekonomikë, ligjorë dhe reputacionalë.
Së pari, analizohet ndikimi operacional.Këtu përfshihen: shërbimet që kanë qenë jashtë funksionit, ndërprerjet e prodhimit, ndërprerjet e sistemeve kritike, vonesat në dërgesa ose projekte, pamundësia për të faturuar, anulimi i takimeve ose ndërhyrjeve, etj. Ky informacion është baza për vlerësimin e humbjeve për shkak të ndërprerjes së biznesit.
Pastaj të dhënat e prekura duhet të shqyrtohen shumë nga afër.informacion personal i klientëve, punonjësve, furnizuesve ose pacientëve; të dhëna financiare; sekrete tregtare; pronë intelektuale; kontrata; të dhënat mjekësoreTë dhënat akademike, e kështu me radhë. Çdo lloj i të dhënave ka rreziqe dhe detyrime të ndryshme shoqëruese.
Për të dhënat personale, duhet të vlerësohet niveli i ndjeshmërisë. (për shembull, të dhënat shëndetësore ose financiare kundrejt informacionit të thjeshtë të kontaktit), vëllimi i të dhënave të ekspozuara dhe mundësia e përdorimit keqdashës si mashtrimi, vjedhja e identitetit ose shantazhi. Ky vlerësim përcakton nëse duhet të njoftohet Agjencia Spanjolle e Mbrojtjes së të Dhënave (AEPD) dhe palët e prekura, si dhe cilat masa kompensuese duhet të ofrohen.
Së treti, llogaritet ndikimi i drejtpërdrejtë ekonomik.Këto kosto përfshijnë shërbime të jashtme të sigurisë kibernetike, avokatë, komunikim në rast krize, restaurim të sistemit, blerje urgjente të mjeteve të reja të sigurisë, orë shtesë, udhëtime etj. Përveç kësaj, ka edhe ndikime indirekte, të cilat janë më të vështira për t'u matur, siç janë humbja e klientëve, dëmtimi i reputacionit, gjobat rregullatore ose penalitetet kontraktuale.
Së fundmi, vlerësohet ndikimi në reputacion dhe besimi i palëve të interesuara.Kjo përfshin reagimin e klientëve, investitorëve, partnerëve, medias dhe punonjësve. Një incident i menaxhuar dobët, me pak transparencë ose një përgjigje të ngadaltë, mund të ketë një kosto për reputacionin që zgjat për vite me radhë, edhe nëse është zgjidhur teknikisht në mënyrë korrekte.
Rimëkëmbje e sigurt: rivendosja e sistemeve pa rikthyer armikun
Pasi të jetë kuptuar se çfarë ka ndodhur dhe sulmuesi të jetë përjashtuar, fillon faza e rinisjes së sistemeve. dhe të ktheheni në normalitet. Nxitimi bën humbje nëse doni të shmangni ri-infeksionet ose lënien aktive të dyerve të pasme.
Hapi i parë është përcaktimi i prioriteteve të rimëkëmbjesJo të gjitha sistemet janë po aq të rëndësishme për vazhdimësinë e biznesit: është e nevojshme të identifikohen se cilat prej tyre janë vërtet kritike (faturimi, porositë, sistemet e mbështetjes, platformat e shërbimit ndaj klientit, komunikimet bazë) dhe t'i rivendosen ato së pari, duke i lënë ato me natyrë dytësore ose thjesht administrative për më vonë.
Para rivendosjes, sistemet duhet të pastrohen ose të riinstalohen.Në shumë raste, opsioni më i sigurt është formatimi dhe riinstalimi nga e para, pastaj aplikimi i patch-eve dhe konfigurimeve të përforcuara, në vend që të përpiqeni të "pastroni" manualisht një sistem të kompromentuar. Kjo përfshin shqyrtimin me kujdes të skripteve të nisjes, detyrave të planifikuara, llogarive të shërbimit, çelësave të regjistrit dhe çdo mekanizmi të mundshëm të qëndrueshmërisë.
Rivendosja e të dhënave duhet të bëhet nga kopje rezervë të verifikuara. si të pakompromentuara. Për ta bërë këtë, kopjet rezervë analizohen me mjete anti-malware dhe datat rishikohen për të zgjedhur versionet para fillimit të incidentit. Sa herë që është e mundur, rekomandohet që së pari të rivendoset në një mjedis testimi të izoluar dhe të verifikohet që gjithçka funksionon siç duhet dhe pa shenja të aktivitetit keqdashës.
Gjatë kthimit në prodhim të sistemeve dhe shërbimeve, monitorimi duhet të jetë veçanërisht intensiv.Qëllimi është të zbulohet menjëherë çdo përpjekje nga sulmuesi për t'u rilidhur, aktivitet anormal, rritje të papritura të trafikut ose akses të pazakontë. Zgjidhje të tilla si EDR/XDR, SIEM ose shërbimet e monitorimit të menaxhuar (MDR) ndihmojnë shumë në këtë mbikëqyrje të përmirësuar.
Shfrytëzoni fazën e rindërtimit për të përmirësuar kontrollet e sigurisë Është një vendim i zgjuar. Për shembull, politikat e fjalëkalimeve mund të forcohen, vërtetimi me shumë faktorë, forconi segmentimin e rrjetit, zvogëloni privilegjet e tepërta, përfshini listat e bardha të aplikacioneve ose vendosni mjete shtesë për zbulimin e ndërhyrjeve dhe kontrollin e aksesit.
Mësimet e nxjerra dhe përmirësimi i vazhdueshëm pas incidentit
Pasi të ketë kaluar urgjenca, është koha të uleni me qetësi. dhe të analizojnë se çfarë shkoi mirë, çfarë shkoi keq dhe çfarë mund të përmirësohet. Trajtimi i incidentit si një ushtrim i vërtetë trajnimi është ajo që e rrit vërtet nivelin e pjekurisë së sigurisë kibernetike.
Është e zakonshme të organizohet një shqyrtim pas incidentit Ky takim përfshin përfaqësues nga IT-ja, siguria, biznesi, juridiku, komunikimi dhe, nëse është e aplikueshme, shitës të jashtëm. Ai shqyrton afatet kohore, vendimet e marra, sfidat e hasura, pengesat dhe pikat e verbëra në zbulim ose reagim.
Një nga rezultatet e këtij shqyrtimi është përshtatja e planit të reagimit ndaj incidenteve.ripërcaktoni rolet dhe kontaktet, përmirësoni shabllonet e komunikimit, rafinoni procedurat teknike, sqaroni kriteret e përshkallëzimit ose shtoni raste specifike përdorimi (p.sh., sulme ransomware, rrjedhje të dhënash ose incidente në cloud).
Një zgjidhje tjetër thelbësore është përcaktimi i përparësive të masave të sigurisë strukturore. Bazuar në dobësitë e zbuluara: azhurnoni sistemet, forconi konfigurimet, segmentoni rrjetet, rishikoni rregullat e firewall-it, zbatoni MFA aty ku nuk është ende në vend, kufizoni aksesin në distancë, zbatoni parimin e privilegjit më të vogël dhe përmirësoni inventarin e aseteve.
Në të njëjtën kohë, incidenti zakonisht nxjerr në pah nevojën për më shumë trajnim dhe ndërgjegjësim.Stërvitjet për phishing, punëtoritë praktike për reagim, sesionet mbi praktikat më të mira për trajtimin e informacionit dhe ushtrimet në tavolinë ndihmojnë stafin të dijë se si të veprojë dhe të zvogëlojë rrezikun e gabimit njerëzor që shkakton kaq shumë shkelje.
Organizatat me më pak burime të brendshme mund të marrin në konsideratë dhënien e shërbimeve të menaxhuara nga jashtë. siç janë monitorimi 24/7, zbulimi dhe reagimi i menaxhuar (MDR), ose ekipet e reagimit ndaj incidenteve të jashtme që plotësojnë CSIRT-et e brendshme. Kjo është veçanërisht e rëndësishme kur monitorimi i vazhdueshëm nuk mund të mbahet ose kur mjediset janë shumë komplekse.
Në fund të fundit, çdo incident që analizohet plotësisht bëhet një levë për përmirësim. Kjo forcon qëndrueshmërinë, përshpejton aftësitë e reagimit dhe zvogëlon gjasat që një sulm i ngjashëm të jetë po aq i suksesshëm në të ardhmen. Të parit të menaxhimit të incidenteve si një cikël i vazhdueshëm përgatitjeje, zbulimi, reagimi dhe të mësuari është ajo që dallon organizatat që thjesht "shujnë zjarre" nga ato që dalin vërtet më të forta me çdo goditje.
Mbajtja e një pamjeje gjithëpërfshirëse të asaj që duhet kërkuar pas një incidenti të sigurisë kibernetike —nga identifikimi i sulmit deri te ruajtja e provave, komunikimi me palët e treta, rikuperimi i sigurt dhe mësimet e nxjerra— ju lejon të kaloni nga paniku i improvizuar në një përgjigje profesionale dhe të strukturuar, të aftë për të kufizuar dëmet, për të përmbushur rregulloret dhe për të forcuar ndjeshëm sigurinë e organizatës.
Shkrimtar i apasionuar pas botës së bajteve dhe teknologjisë në përgjithësi. Më pëlqen të ndaj njohuritë e mia përmes shkrimit, dhe kjo është ajo që do të bëj në këtë blog, duke ju treguar të gjitha gjërat më interesante në lidhje me pajisjet, softuerin, harduerin, tendencat teknologjike dhe më shumë. Qëllimi im është t'ju ndihmoj të lundroni në botën dixhitale në një mënyrë të thjeshtë dhe argëtuese.