Sự cố an ninh xảy ra. Vấn đề không phải là “nếu” mà là “khi nào”. Đó là lý do tại sao bạn đã triển khai các sản phẩm và quy trình bảo mật để tối ưu hóa quy trình phản ứng sự cố (IR).
Tuy nhiên, nhiều chuyên gia bảo mật đang làm rất tốt công việc xử lý các sự cố nhận thấy rằng việc giao tiếp hiệu quả quy trình đang diễn ra với ban quản lý của họ là một nhiệm vụ khó khăn hơn nhiều.
Cảm thấy quen thuộc?
Trong nhiều tổ chức, lãnh đạo không phải là người hiểu biết về bảo mật và họ không quan tâm đến các chi tiết liên quan đến tất cả các bit và byte mà các chuyên gia bảo mật nắm vững.
May mắn thay, có một mẫu mà các đầu mối bảo mật có thể sử dụng khi trình bày với ban quản lý. Nó được gọi là mẫu IR Reporting for Management, cung cấp cho CISO và CIO một công cụ rõ ràng và trực quan để báo cáo cả quá trình IR đang diễn ra và kết luận của nó.
Mẫu Báo cáo IR cho Ban quản lý cho phép các CISO và CIO trao đổi với nhau về hai điểm chính mà ban quản lý quan tâm – đảm bảo rằng sự cố nằm trong tầm kiểm soát và hiểu rõ ràng về các hàm ý và nguyên nhân gốc rễ.
Kiểm soát là một khía cạnh quan trọng của các quy trình IR, theo nghĩa là tại bất kỳ thời điểm nào, có đầy đủ sự minh bạch về những gì được giải quyết, những gì đã biết và cần được khắc phục, và cần điều tra thêm để tiết lộ các phần của cuộc tấn công. vẫn chưa được biết.
Ban quản lý không nghĩ về trojan, khai thác và di chuyển bên, mà họ nghĩ về năng suất kinh doanh – thời gian ngừng hoạt động, giờ làm việc, mất dữ liệu nhạy cảm.
Lập bản đồ mô tả cấp cao về lộ trình tấn công đến thiệt hại gây ra là điều tối quan trọng để có được sự hiểu biết và tham gia của ban quản lý – đặc biệt nếu quy trình IR yêu cầu chi tiêu bổ sung.
Mẫu Báo cáo IR cho Ban quản lý tuân theo khuôn khổ SANSNIST IR và sẽ giúp bạn hướng dẫn việc quản lý của mình qua các giai đoạn sau:
Nhận biết
Sự hiện diện của kẻ tấn công được phát hiện ngoài nghi ngờ. Làm theo mẫu để trả lời các câu hỏi chính:
Việc phát hiện được thực hiện trong nhà hay bởi bên thứ ba? Mức độ trưởng thành của cuộc tấn công (xét về tiến trình của nó dọc theo chuỗi tiêu diệt)? Rủi ro ước tính là gì? Các bước sau sẽ được thực hiện với nguồn lực nội bộ hay cần phải có sự tham gia của nhà cung cấp dịch vụ?
Sự ngăn chặn
Sơ cứu để cầm máu ngay lập tức trước khi điều tra thêm, nguyên nhân gốc rễ của cuộc tấn công, số lượng thực thể được thực hiện ngoại tuyến (điểm cuối, máy chủ, tài khoản người dùng), trạng thái hiện tại và các bước tiếp theo.
Diệt trừ
Dọn sạch hoàn toàn tất cả cơ sở hạ tầng và hoạt động độc hại, báo cáo đầy đủ về lộ trình tấn công và các mục tiêu giả định, tác động kinh doanh tổng thể (giờ làm việc, dữ liệu bị mất, tác động của quy định và những thứ khác theo bối cảnh khác nhau).
Sự hồi phục
Tỷ lệ khôi phục về điểm cuối, máy chủ, ứng dụng, khối lượng công việc đám mây và dữ liệu.
Bài học kinh nghiệm
Cuộc tấn công đó đã xảy ra như thế nào? Đó có phải là do thiếu công nghệ bảo mật phù hợp, thực tiễn lực lượng lao động không an toàn hay điều gì khác? Và làm thế nào chúng ta có thể sửa chữa những vấn đề này? Cung cấp phản ánh về các giai đoạn trước trong suốt dòng thời gian của quy trình IR, tìm kiếm những gì cần bảo tồn và những gì cần cải thiện.
Đương nhiên, không có một sự cố bảo mật nào là phù hợp cả. Ví dụ, có thể có những trường hợp trong đó việc xác định và ngăn chặn sẽ diễn ra gần như ngay lập tức cùng nhau, trong khi trong các sự kiện khác, việc kiểm soát có thể lâu hơn, yêu cầu một số bản trình bày về trạng thái tạm thời của nó. Đó là lý do tại sao mẫu này là mô-đun và có thể dễ dàng điều chỉnh cho bất kỳ biến thể nào.
Giao tiếp với ban giám đốc không phải là điều tốt đẹp cần có nhưng là một phần quan trọng của chính quá trình IR. Mẫu Báo cáo IR cuối cùng cho Ban quản lý giúp các trưởng nhóm bảo mật đưa ra những nỗ lực và kết quả rõ ràng cho ban quản lý của họ.
Tải xuống mẫu Báo cáo IR cuối cùng cho Ban quản lý tại đây.
.
