- Kasunod ng isang insidente, mahalagang tukuyin ang uri ng pag-atake, ang aktwal na saklaw nito, at ang mga asset na nakompromiso bago gumawa ng aksyon.
- Ang pagpapanatili ng ebidensya at detalyadong dokumentasyon ay susi sa forensic analysis at pagsunod sa mga batas.
- Dapat na ligtas at inuuna ang pagbawi, sinusuportahan ng mga beripikadong backup at pinatibay na sistema.
- Ang pagsasara ng siklo sa pamamagitan ng pagsusuri pagkatapos ng insidente ay nagbibigay-daan para sa mga pagpapabuti sa mga kontrol, mga plano sa pagtugon, at pagsasanay ng mga kawani.
Natuklasan na ang iyong organisasyon ay dumanas lamang ng insidente sa cybersecurity Hindi ito ang pinakamagandang paraan para simulan ang araw: naka-lock ang mga sistema, naka-off ang mga serbisyo, mga tawag mula sa mga nag-aalalang customer, at ang tech team na mukhang takot na takot. Ngunit bukod sa unang pagkabigla, ang tunay na nagpapaiba ay ang ginagawa mo sa mga sumusunod na oras: kung ano ang iyong sinusuri, kung sino ang iyong inaabisuhan, kung ano ang iyong itinatago bilang ebidensya, at kung paano mo ibabalik ang mga operasyon nang hindi nag-iiwan ng anumang bakante para sa umaatake.
Tumugon nang may kalmadong ulo, bilis, at pamamaraan Ito ay mahalaga upang matiyak na ang isang pag-atake ay mananatiling isang seryosong takot at hindi lalala sa isang pinansyal, legal, at reputasyong sakuna. Sa mga sumusunod na linya, makakahanap ka ng isang komprehensibong gabay, batay sa mga pinakamahusay na kasanayan para sa pagtugon sa insidente, digital forensics, at pagpaplano ng pagpapatuloy ng negosyo, na sumasaklaw sa lahat ng dapat mong suriin pagkatapos ng isang insidente sa cybersecurity at kung paano isaayos ang pagsusuring iyon upang matuto mula sa karanasan, palakasin ang mga depensa, at sumunod sa mga legal na obligasyon.
Ano ang tunay na nangyari: Pag-unawa sa insidente at sa kalubhaan nito
Bago ka humawak ng kahit ano nang walang taros, kailangan mong maunawaan kung anong uri ng atake ang iyong kinakaharap.Ang ransomware na nag-e-encrypt ng mga kritikal na server ay hindi katulad ng isang tahimik na panghihimasok upang magnakaw ng data o hindi awtorisadong pag-access sa isang corporate website. Ang tamang pagkakakilanlan ang nagtatakda ng lahat ng kasunod nito.
Isa sa mga unang gawain ay ang pag-uuri ng insidente depende sa pangunahing pag-atake: ransomware, pagnanakaw ng kumpidensyal na impormasyon, pagkompromiso ng mga corporate account, pagbabago sa website, pagsasamantala sa mga kahinaan, atbp. Habang umuusad ang pagsusuri at natutuklasan ang mga apektadong asset, kadalasang nagbabago ang paunang klasipikasyon, kaya ipinapayong idokumento ang ebolusyong ito.
Mahalaga rin na hanapin ang input vectorMga mensaheng phishing na may mga malisyosong attachment, mga mapanlinlang na link, mga nahawaang USB drive, RDP na nakalantad sa internet, mga hindi na-patch na kahinaan ng server, mga ninakaw na kredensyal, maling pag-configure sa cloud… Ang pagtukoy sa access point na ito ay nagbibigay-daan sa iyong mas mahusay na tukuyin ang saklaw at, higit sa lahat, isara ang pinto upang maiwasan itong mangyari muli.
Ang isa pang aspeto na dapat suriing mabuti ay kung ang pag-atake ay tila naka-target o oportunista.Ang mga malawakang kampanya ng mga generic na email, mga awtomatikong pag-scan para sa mga kilalang kahinaan, o mga bot na gumagamit ng mga nakalantad na serbisyo ay karaniwang nagpapahiwatig ng isang random na pag-atake. Gayunpaman, kapag naobserbahan ang detalyadong kaalaman sa kapaligiran, mga partikular na pagtukoy sa kumpanya, o ang paggamit ng mga tool na partikular sa industriya, malamang na ito ay isang naka-target na pag-atake.
Mula roon, dapat ilista ang lahat ng mga potensyal na nakompromisong asset.: mga workstation, Mga server ng LinuxMga database, serbisyo sa cloud, mga aplikasyon sa negosyo, mga mobile device, at anumang sistema na nagbabahagi ng network o mga kredensyal sa unang naapektuhang pangkat. Kung mas tumpak ang imbentaryong ito, mas madaling matukoy ang tunay na saklaw ng insidente at unahin ang pagtugon.
Mangolekta at mag-ingat ng ebidensya nang hindi isinasakripisyo ang patunay
Kapag natukoy na ang insidente, natural na tukso ang i-format, burahin, at magsimulang muli mula sa simula.Pero kadalasan, malaking pagkakamali iyon mula sa pananaw ng forensic at legal na pagsusuri. Kung gusto mong maghain ng reklamo, maghain ng insurance claim, o simpleng intindihin ang nangyari, kailangan mong magtago ng wastong ebidensya.
Ang unang hakbang ay ihiwalay ang mga apektadong sistema nang hindi biglang pinapatay ang mga ito.Upang maiwasan ang pagkawala ng datos sa memorya o pagbabago ng mga kritikal na talaan, ang karaniwang pamamaraan ay ang pagdiskonekta mula sa network, pagharang sa malayuang pag-access, at pagpapahinto sa mga hindi mahahalagang serbisyo, ngunit panatilihing nakabukas ang kagamitan hanggang sa makuha ang mga forensic na imahe.
Ang paggawa ng mga kumpletong kopya ng mga disk at sistema ay isang pangunahing kasanayanLubos na inirerekomenda na gumawa ng kahit dalawang kopya: isa sa isang write-only medium (hal., DVD-R o BD-R) para sa forensic preservation, at isa pa sa isang bagong medium na gagamitin para sa pagproseso, pagsusuri, at, kung kinakailangan, pagbawi ng data. Ang mga hard drive na tinanggal mula sa mga system ay dapat itago sa isang ligtas na lokasyon, kasama ang mga kopyang nagawa.
Dapat idokumento ang mahahalagang impormasyon para sa bawat midyum na gagamitin.Sino ang gumawa ng kopya, kailan, sa anong sistema, gamit ang anong mga kagamitan, at sino ang kalaunan ay naka-access sa mga media na iyon. Ang pagpapanatili ng isang mahigpit na kadena ng kustodiya ay gumagawa ng malaking pagkakaiba kung ang ebidensyang ito ay kailangang iharap sa ibang pagkakataon sa isang hukom o isang kompanya ng seguro.
Bukod sa mga disk image, dapat ding i-secure ang mga log at trace. ng lahat ng uri: mga system log, application, firewall, VPN, mail server, proxy, network device, EDR/XDR solution, SIEM, atbp. Ang mga log na ito ay nagsisilbing buuin muli ang pag-atake at tukuyin ang lateral movement, data exfiltration, o attacker persistence.
Makabubuting suriin agad kung dapat bang gumawa ng legal na aksyon.Sa ganitong kaso, lubos na inirerekomenda na magkaroon ng isang dalubhasang eksperto sa forensik na maaaring mangasiwa sa pangongolekta ng ebidensya, gumamit ng mga naaangkop na kagamitan, at maghanda ng mga legal na balidong teknikal na ulat. Kung mas maaga silang kasangkot, mas maliit ang panganib na mahawa o mawala ang mga kapaki-pakinabang na ebidensya.
Dokumentasyon ng insidente: ano ang kailangang isulat
Habang pinipigilan ang pag-atake at sinasagip ang mga sistema, madaling makaligtaan ang dokumentasyon.Ngunit pagkatapos ay hindi ito napapansin para sa pagsusuri sa hinaharap at para sa pagsunod sa mga obligasyon sa regulasyon. Kaya naman mahalagang isulat ang lahat mula sa simula.
Napakahalaga na tumpak na itakda ang petsa at oras ng pagtuklas.pati na rin ang unang naobserbahang sintomas: alerto mula sa isang security tool, mga anomalya sa pagganap, mga naka-lock na account, mensahe ng ransomware, mga reklamo ng user, atbp. Kung alam, dapat ding tandaan ang tinatayang oras ng pagsisimula ng pag-atake o paglabag sa seguridad.
Kasabay nito, dapat gumawa ng listahan ng mga apektadong sistema, serbisyo, at datos.na nagpapahiwatig kung ang mga asset ay kritikal sa negosyo o mga support asset. Ang impormasyong ito ay mahalaga para sa pagbibigay-priyoridad sa pagbawi at pagkalkula ng epekto sa ekonomiya at operasyon ng insidente.
Dapat itala ang bawat kilos na ginawa habang tumutugon.Ano ang mga tinanggal na offline, anong mga pagbabago sa password ang ginawa, anong mga patch ang inilapat, anong mga serbisyo ang itinigil o naibalik, anong mga hakbang sa pagpigil ang ginawa, at kailan. Hindi ito nilayong maging isang nobela, kundi isang malinaw at madaling maunawaang timeline.
Kinakailangan ding itala ang mga pangalan ng lahat ng taong sangkot. Sa pamamahala ng krisis: sino ang magkokoordina, sino ang mga technician na kasangkot, sino ang mga may-ari ng negosyo ang nabigyan ng kaalaman, sino ang mga panlabas na tagapagbigay ng serbisyo na tutulong, atbp. Nakakatulong ito upang masuri ang pagganap ng pangkat at ang kaangkupan ng mga tungkuling tinukoy sa plano ng pagtugon.
Ang isang aspeto na kung minsan ay nakakalimutan ay ang pagtatago ng kopya ng mga kaugnay na komunikasyon.Mga email na ipinagpapalit sa mga kliyente, mga mensahe sa pagsagip, mga pag-uusap sa kompanya ng seguro, mga palitan sa mga awtoridad, mga panloob na pag-uusap tungkol sa mga mahahalagang desisyon, atbp. Ang impormasyong ito ay maaaring maging mahalaga para sa mga imbestigasyong forensic, para sa pagpapakita ng angkop na pagsisikap sa mga regulator, at para sa pagpapabuti ng mga protocol ng komunikasyon sa krisis.
Mga abiso sa mga ahensya, kliyente at mga sangkot na ikatlong partido
Kapag nagsimulang tumila ang unang ulap ng alikabok, oras na para ipaalam sa naaangkop na tao.Hindi ito isang opsyonal na bagay: sa maraming pagkakataon ay hinihingi ito ng mga regulasyon, at sa iba naman ay mahalaga ang transparency upang mapanatili ang tiwala.
Kung ang insidente ay may kinalaman sa personal na datos (mga customer, empleyado, gumagamit, pasyente, estudyante…), kinakailangang suriin ang mga obligasyon sa ilalim ng General Data Protection Regulation (GDPR) at lokal na batas. Sa Espanya, nangangahulugan ito ng pag-abiso sa Spanish Data Protection Agency (AEPD) kapag may panganib sa mga karapatan at kalayaan ng mga indibidwal, kadalasan sa loob ng maximum na 72 oras mula sa pagkaalam ng paglabag.
Kapag ang insidente ay maaaring maituring na isang krimen (ransomware, pangingikil, pandaraya, pagnanakaw ng sensitibong impormasyon, mga banta sa kritikal na imprastraktura), ipinapayong iulat ang mga insidenteng ito sa State Security Forces. Sa Espanya, ang mga yunit tulad ng Technological Investigation Brigade ng National Police o ang Telematic Crimes Group ng Guardia Civil ay karaniwang nakikialam, at maaari rin silang makipag-ugnayan sa mga internasyonal na organisasyon.
Sa antas ng estado, may mga espesyalisadong sentro na dapat bantayan., tulad ng INCIBE-CERT para sa mga mamamayan at pribadong entidad, o iba pang CSIRT na partikular sa sektor. Ang pagpapaalam sa kanila ay maaaring magbigay ng karagdagang teknikal na suporta, access sa impormasyon tungkol sa mga katulad na banta, mga tool sa decryption, o mga pahiwatig tungkol sa mga patuloy na kampanya.
Dapat suriin ng mga kompanyang may mga patakaran sa cyber insurance ang mga kundisyon ng abisoIto ay dahil maraming kompanya ng seguro ang kinakailangang maabisuhan sa loob ng napakahigpit na mga deadline at sa saklaw ng kondisyon tungkol sa pagsunod sa ilang partikular na alituntunin sa pagtugon at paggamit ng mga aprubadong tagapagbigay ng serbisyo.
Panghuli, oras na para isipin ang komunikasyon sa mga customer, kasosyo, at empleyado.Kung ang datos ay nakompromiso o ang mga kritikal na serbisyo ay naapektuhan, mas mainam na ang mga empleyado ay direktang ipaalam sa organisasyon, kaysa sa pamamagitan ng mga leak o ulat sa press. Ang malinaw at tapat na mga mensahe, na nagpapaliwanag sa pangkalahatang nangyari, kung anong impormasyon ang maaaring maapektuhan, kung anong mga hakbang ang ginagawa, at kung anong mga hakbang ang inirerekomenda para sa mga apektado, ay karaniwang ang pinakamahusay na estratehiya para sa pagprotekta sa reputasyon.
Upang pigilan, ihiwalay, at limitahan ang pagsulong ng umaatake.
Sa sandaling makumpirma na mayroong totoong insidente, magsisimula na ang karera laban sa oras. upang pigilan ang umaatake sa paglipat pa, pagnanakaw ng mas maraming data, o pagdudulot ng karagdagang pinsala tulad ng pag-encrypt ng mga backup o pagkompromiso ng mas maraming account.
Ang unang hakbang ay ang paghiwalayin ang mga nakompromisong sistema mula sa networkIto ay naaangkop sa parehong wired at wireless na koneksyon. Sa maraming pagkakataon, ang simpleng pagdiskonekta sa mga network interface, muling pag-configure ng mga VLAN, o paglalapat ng mga partikular na patakaran sa firewall upang harangan ang mga kahina-hinalang komunikasyon ay sapat na. Ang layunin ay pigilan ang umaatake nang hindi sinisira ang ebidensya o walang habas na pinapatay ang mga sistema.
Kasama ng pisikal o lohikal na paghihiwalay, mahalagang suriin ang malayuang pag-access.VPN, mga remote desktop, mga koneksyon ng third-party, privileged access, atbp. Maaaring kailanganing pansamantalang i-disable ang ilang partikular na access hanggang sa maging malinaw kung aling mga kredensyal ang maaaring nakompromiso.
Ang pagharang sa mga kahina-hinalang account at kredensyal ay dapat gawin nang tumpakSimula sa mga high-privilege account, mga nakalantad na service account, mga user na direktang sangkot sa panghihimasok, o iyong mga nagpapakita ng maanomalyang aktibidad, ipinapayong ipatupad ang malawakang pagbabago ng password kapag mas kontrolado na ang sitwasyon, at unahin ang mga kritikal na account.
Ang isang mas teknikal na hakbang ay ang pagpapalakas ng segmentasyon at pagsala ng trapiko Upang maiwasan ang paggalaw sa gilid at mga komunikasyon sa pag-uutos at pagkontrol, ginagamit ang mga panuntunan sa firewall, IDS/IPS, mga solusyon sa EDR/XDR, at iba pang mga kontrol, na nagbibigay-daan sa pagharang ng mga malisyosong domain, IP, at mga pattern ng trapiko na natukoy sa panahon ng pagsusuri.
Kasabay nito, dapat pangalagaan ang mga backup.Kung ang mga backup ay online o naa-access mula sa mga nakompromisong system, may panganib na maaari rin itong ma-encrypt o mapakialaman. Inirerekomenda na idiskonekta ang mga ito, beripikahin ang kanilang integridad, at ilaan ang mga ito para sa yugto ng pagbawi, kapag natitiyak mong malinis ang mga ito.
Digital forensics: muling pagbuo ng pag-atake at paghahanap ng mga kahinaan
Kapag napigilan na ang banta, magsisimula na ang aktwal na bahagi ng "digital forensics"Ang masusing paggawa ng unti-unting pagbuo muli ng ginawa ng umaatake, kung paano siya nakapasok, kung ano ang kanyang nahawakan, at kung gaano siya katagal sa loob.
Nagsisimula ang forensic analysis sa pagproseso ng mga nakalap na ebidensya.Mga imahe ng disk, mga pagkuha ng memorya, mga log ng system at network, mga sample ng malware, mga binagong file, atbp., natututo rin mula sa mga totoong insidente sa mundo tulad ng mga pagkabigo sa mga solusyon sa EDRGinagamit ang mga espesyalisadong kagamitan upang muling buuin ang mga timeline, subaybayan ang mga pagbabago sa configuration, tukuyin ang mga kahina-hinalang proseso, at imapa ang mga hindi pangkaraniwang koneksyon sa network.
Isa sa mga pangunahing layunin ay ang paghahanap ng mga sinasamantalang kahinaan at mga puwang sa seguridadMaaaring kabilang dito ang hindi napapanahong software, mga default na configuration, mga hindi makatwirang bukas na port, mga account na walang two-factor authentication, labis na mga pahintulot, mga error sa pag-develop, o mga pagkabigo sa network segmentation. Ang listahang ito ng mga kahinaan ay magiging batayan para sa mga hakbang sa pagwawasto, pati na rin ang mga tool para sa Pamamahala ng Postura sa Seguridad ng Aplikasyon (ASPM).
Tinutukoy din ng pagsusuri ang tunay na saklaw ng pag-atake.Kabilang dito ang pagtukoy kung aling mga sistema ang aktwal na nakompromiso, kung aling mga account ang ginamit, kung anong data ang na-access o na-exfiltrate, at kung gaano katagal nagkaroon ng kakayahang malayang gumalaw ang attacker. Sa mga kumplikadong kapaligiran, maaaring mangailangan ito ng mga araw o linggo ng detalyadong pagsusuri.
Kapag may mga indikasyon ng exfiltration, mas malalimang sinusuri ang mga log ng network at database. upang masukat kung gaano karaming impormasyon ang nailabas, saang mga destinasyon, at sa anong format. Ang impormasyong ito ay mahalaga para sa pagtatasa ng legal at reputasyon na epekto, pati na rin ang mga obligasyon sa pagpapaalam sa mga awtoridad at mga apektadong partido.
Ang lahat ng gawaing ito ay makikita sa mga teknikal at ehekutibong ulatDapat ipaliwanag ng mga ulat na ito hindi lamang ang mga teknikal na aspeto ng pag-atake, kundi pati na rin ang mga implikasyon nito para sa negosyo at mga rekomendasyon para sa pagpapabuti. Nagsisilbi itong batayan para bigyang-katwiran ang mga pamumuhunan sa seguridad, pagsusuri sa mga panloob na proseso, at pagpapalakas ng pagsasanay ng mga kawani.
Suriin ang mga pinsala, nakompromisong data, at epekto sa negosyo
Higit pa sa mga teknikal na aspeto, pagkatapos ng isang insidente, kailangang pag-usapan pa ang mga bilang at mga kahihinatnan.Ibig sabihin, upang masuri ang epekto sa mga tuntunin ng operasyon, ekonomiya, legal at reputasyon.
Una, sinusuri ang epekto sa operasyon.Kabilang dito ang: mga serbisyong hindi gumana, mga pagkaantala sa produksyon, downtime ng mga kritikal na sistema, mga pagkaantala sa mga paghahatid o proyekto, kawalan ng kakayahang mag-invoice, pagkansela ng mga appointment o interbensyon, atbp. Ang impormasyong ito ang batayan para sa pagtantya ng mga pagkalugi dahil sa pagkaantala ng negosyo.
Kung gayon, ang apektadong datos ay dapat suriing mabuti.: personal na impormasyon ng mga customer, empleyado, supplier o pasyente; datos pinansyal; mga lihim ng kalakalan; intelektwal na ari-arian; mga kontrata; mga rekord medikalMga rekord ng akademiko, at iba pa. Ang bawat uri ng datos ay may iba't ibang kaugnay na mga panganib at obligasyon.
Para sa personal na datos, dapat tasahin ang antas ng sensitibidad. (halimbawa, datos pangkalusugan o pinansyal kumpara sa simpleng impormasyon sa pakikipag-ugnayan), ang dami ng mga rekord na nabunyag, at ang posibilidad ng malisyosong paggamit tulad ng pandaraya, pagnanakaw ng pagkakakilanlan, o blackmail. Tinutukoy ng pagtatasang ito kung aabisuhan ang Spanish Data Protection Agency (AEPD) at ang mga apektadong partido, pati na rin kung anong mga hakbang sa pagbabayad ang iaalok.
Pangatlo, kinakalkula ang direktang epekto sa ekonomiya.Kabilang sa mga gastos na ito ang mga panlabas na serbisyo sa cybersecurity, mga abogado, komunikasyon sa panahon ng krisis, pagpapanumbalik ng sistema, agarang pagbili ng mga bagong kagamitan sa seguridad, overtime, paglalakbay, atbp. Bukod pa rito, may mga hindi direktang epekto, na mas mahirap sukatin, tulad ng pagkawala ng mga customer, pinsala sa reputasyon, mga multa sa regulasyon, o mga parusa sa kontrata.
Panghuli, tinatasa ang epekto sa reputasyon at tiwala ng mga stakeholder.Kabilang dito ang reaksyon ng mga customer, mamumuhunan, kasosyo, media, at mga empleyado. Ang isang insidente na hindi maayos ang pamamahala, na may kaunting transparency o mabagal na pagtugon, ay maaaring magdulot ng pinsala sa reputasyon na magtatagal nang maraming taon, kahit na ito ay nalutas nang tama sa teknikal na paraan.
Ligtas na pagbawi: pagpapanumbalik ng mga sistema nang hindi muling ipinakikilala ang kaaway
Kapag naunawaan na ang nangyari at napatalsik na ang umaatake, magsisimula na ang yugto ng pag-restart ng mga sistema. at bumalik sa normal. Nakakasayang ang pagmamadali kung gusto mong maiwasan ang muling impeksyon o maiwang aktibo ang mga backdoor.
Ang unang hakbang ay ang pagtukoy ng mga prayoridad sa pagbawiHindi lahat ng sistema ay pantay na mahalaga para sa pagpapatuloy ng negosyo: kinakailangang tukuyin kung alin ang tunay na kritikal (pagsingil, mga order, mga sistema ng suporta, mga platform ng serbisyo sa customer, mga pangunahing komunikasyon) at ibalik muna ang mga ito, at iiwan ang mga pangalawa o purong administratibo para sa ibang pagkakataon.
Bago ibalik ang mga sistema, dapat linisin o muling i-install.Sa maraming pagkakataon, ang pinakaligtas na opsyon ay ang pag-format at muling pag-install mula sa simula, pagkatapos ay ilapat ang mga patch at pinatigas na configuration, sa halip na subukang manu-manong "linisin" ang isang nakompromisong system. Kabilang dito ang maingat na pagsusuri sa mga startup script, mga naka-iskedyul na gawain, mga service account, mga registry key, at anumang posibleng mekanismo ng persistence.
Ang pagpapanumbalik ng datos ay dapat gawin mula sa mga na-verify na backup. bilang walang kompromiso. Upang magawa ito, sinusuri ang mga backup gamit ang mga tool na anti-malware, at sinusuri ang mga petsa sa mga piling bersyon bago magsimula ang insidente. Hangga't maaari, inirerekomenda na i-restore muna sa isang nakahiwalay na kapaligiran sa pagsubok at beripikahin kung gumagana nang tama ang lahat at walang mga senyales ng malisyosong aktibidad.
Sa pagbabalik sa produksyon ng mga sistema at serbisyo, dapat na maging masinsinan ang pagsubaybay.Ang layunin ay agad na matukoy ang anumang pagtatangka ng attacker na muling kumonekta, mga hindi pangkaraniwang aktibidad, hindi inaasahang pagtaas ng trapiko, o hindi pangkaraniwang pag-access. Ang mga solusyon tulad ng EDR/XDR, SIEM, o mga managed monitoring services (MDR) ay lubos na nakakatulong sa pinahusay na pagsubaybay na ito.
Samantalahin ang yugto ng muling pagtatayo upang mapabuti ang mga kontrol sa seguridad Isa itong matalinong desisyon. Halimbawa, maaaring palakasin ang mga patakaran sa password, ang multi-factor na pagpapatunay, palakasin ang segmentasyon ng network, bawasan ang labis na mga pribilehiyo, isama ang mga whitelist ng application, o mag-deploy ng mga karagdagang tool sa pag-detect ng panghihimasok at pagkontrol ng access.
Mga aral na natutunan at patuloy na pagpapabuti kasunod ng insidente
Kapag lumipas na ang pagkaapurahan, oras na para umupo nang mahinahon. at suriin kung ano ang naging maayos, kung ano ang naging mali, at kung ano ang maaaring mapabuti. Ang pagtrato sa insidente bilang isang tunay na pagsasanay ang tunay na nagpapataas ng antas ng kapanahunan sa cybersecurity.
Karaniwang nag-oorganisa ng pagsusuri pagkatapos ng insidente Kasama sa pulong na ito ang mga kinatawan mula sa IT, seguridad, negosyo, legal, komunikasyon, at, kung naaangkop, mga panlabas na vendor. Sinusuri nito ang mga timeline, mga desisyong nagawa, mga hamong nakaharap, mga bottleneck, at mga blind spot sa pagtuklas o pagtugon.
Isa sa mga resulta ng pagsusuring ito ay ang pagsasaayos ng plano sa pagtugon sa insidente.: muling tukuyin ang mga tungkulin at mga kontak, pagbutihin ang mga template ng komunikasyon, pinuhin ang mga teknikal na pamamaraan, linawin ang mga pamantayan sa pagpapataas ng kaso, o magdagdag ng mga partikular na kaso ng paggamit (hal., mga pag-atake ng ransomware, pagtagas ng data, o mga insidente sa cloud).
Ang isa pang mahalagang solusyon ay ang pagbibigay-priyoridad sa mga hakbang sa kaligtasan ng istruktura Batay sa mga natuklasang kahinaan: pag-patch ng mga sistema, pagpapalakas ng mga configuration, pag-segment ng mga network, pagsusuri ng mga patakaran ng firewall, pagpapatupad ng MFA kung saan hindi pa ito naipapatupad, paglimita sa remote access, paglalapat ng prinsipyo ng least privilege, at pagpapabuti ng imbentaryo ng asset.
Kasabay nito, karaniwang itinatampok ng insidente ang pangangailangan para sa higit na pagsasanay at kamalayan.Ang mga pagsasanay sa phishing, mga praktikal na workshop sa pagtugon, mga sesyon sa mga pinakamahuhusay na kagawian para sa paghawak ng impormasyon, at mga pagsasanay sa ibabaw ng mesa ay tumutulong sa mga kawani na malaman kung paano kumilos at mabawasan ang panganib ng pagkakamali ng tao na nagdudulot ng napakaraming paglabag.
Maaaring isaalang-alang ng mga organisasyong may mas kaunting panloob na mapagkukunan ang pag-outsource ng mga pinamamahalaang serbisyo. tulad ng 24/7 na pagsubaybay, pinamamahalaang pagtuklas at pagtugon (MDR), o mga panlabas na pangkat ng pagtugon sa insidente na umaakma sa mga panloob na CSIRT. Ito ay lalong mahalaga kapag ang patuloy na pagsubaybay ay hindi maaaring mapanatili o kapag ang mga kapaligiran ay lubos na kumplikado.
Sa huli, ang bawat insidente na masusing sinusuri ay nagiging isang instrumento para sa pagpapabuti. Pinapalakas nito ang katatagan, pinapabilis ang kakayahan sa pagtugon, at binabawasan ang posibilidad na ang katulad na pag-atake ay maging pantay na matagumpay sa hinaharap. Ang pagtingin sa pamamahala ng insidente bilang isang patuloy na siklo ng paghahanda, pagtuklas, pagtugon, at pagkatuto ang siyang nagpapaiba sa mga organisasyong "nagpapaapula lamang ng apoy" mula sa mga tunay na lumalabas na mas malakas sa bawat dagok.
Pagpapanatili ng komprehensibong pananaw sa kung ano ang dapat hanapin pagkatapos ng isang insidente sa cybersecurity —mula sa pagtukoy sa pag-atake hanggang sa pagpapanatili ng ebidensya, pakikipag-ugnayan sa mga ikatlong partido, ligtas na pagbawi, at mga aral na natutunan— ay nagbibigay-daan sa iyong lumipat mula sa pansamantalang pagkataranta patungo sa isang propesyonal at nakabalangkas na tugon, na may kakayahang limitahan ang pinsala, sumunod sa mga regulasyon, at direktang palakasin ang seguridad ng organisasyon.
Masigasig na manunulat tungkol sa mundo ng mga byte at teknolohiya sa pangkalahatan. Gustung-gusto kong ibahagi ang aking kaalaman sa pamamagitan ng pagsusulat, at iyon ang gagawin ko sa blog na ito, ipakita sa iyo ang lahat ng mga pinaka-kagiliw-giliw na bagay tungkol sa mga gadget, software, hardware, teknolohikal na uso, at higit pa. Ang layunin ko ay tulungan kang mag-navigate sa digital na mundo sa simple at nakakaaliw na paraan.