В ежегодном анализе аварийных ситуаций, проводимом Uptime Institute, 60 % руководителей и операторов центров обработки данных заявили, что за последние три года в их организациях случались значительные или серьезные аварии. Исследование также показало, что кибератаки и программы-вымогатели становятся все более частой причиной сбоев, что означает простои в работе.
Но неважно, что стало причиной аварии – землетрясение или злонамеренная атака, ведь любой простой обходится дорого.
Именно поэтому ваша организация должна разработать план реагирования на аварийные ситуации, в котором будут прописаны все действия, необходимые для быстрого и полного восстановления независимо от причины.
В настоящее время многие организации этого не сделали. Независимое глобальное исследование Arcserve показало, что предприятия по-прежнему теряют критически важные данные, поскольку, хотя 95 % респондентов заявили, что у их компании есть план аварийного восстановления, только 24 % имеют готовый план, который хорошо документирован, протестирован и обновлен.
Учитывая это, ниже представлено подробное руководство по подготовке, реагированию и ликвидации последствий катастроф, которое обеспечит более быстрое и эффективное восстановление и постоянное совершенствование ваших действий в случае аварийных ситуаций.
1. Проанализируйте происшествие
Первый шаг в любой катастрофе – собрать как можно больше информации об инциденте. Тип инцидента диктует свой подход, но после катастрофы – особенно после нарушения кибербезопасности – понимание ее масштабов необходимо для эффективного реагирования. Вот основные шаги, программы и инструменты, которые вы можете использовать для достижения этой цели.
Первоначальное обнаружение и идентификация
Прежде чем принимать ответные меры, вы должны сначала узнать, что произошел инцидент. Обнаружив потенциальную брешь, вы должны определить, какие аспекты вашей организации были затронуты.
Средства обнаружения и идентификации
Системы обнаружения вторжений (IDS) отслеживают сетевой трафик на предмет подозрительных и неизвестных угроз.
Системы управления информацией и событиями безопасности (SIEM) обеспечивают анализ в реальном времени сигналов безопасности, генерируемых приложениями и сетевым оборудованием.
Средства обнаружения и реагирования на конечные точки (EDR) отслеживают и реагируют на угрозы на конечных точках, таких как рабочие станции и серверы.
Брандмауэры и антивирусное программное обеспечение обеспечивают первую линию защиты, предоставляя ценные журналы и оповещения.
Инструменты для оценки масштаба
После обнаружения нарушения необходимо определить его масштаб. Для этого необходимо определить, какие системы, данные и сети были затронуты.
Средства сканирования и картографирования сети помогут вам визуализировать топологию сети и выявить скомпрометированные узлы.
Инструменты отслеживания данных позволяют отслеживать перемещение данных по сети, чтобы понять, к каким данным был получен доступ или они были удалены.
Средства анализа журналов позволяют просмотреть активность серверов, приложений и устройств безопасности, чтобы получить представление о сроках нарушения и затронутых им областях.
Методы и инструменты оценки воздействия
Системы оценки рисков, такие как Cybersecurity Framework Национального института стандартов и технологий (NIST), помогут вам оценить последствия на основе конфиденциальности, целостности и доступности данных.
Инструменты анализа воздействия на бизнес, например, доступные на сайте Ready.gov, помогут вам оценить потенциальные финансовые и операционные последствия утечки.
Инструменты оценки соответствия – например, оценка программы соответствия Университета Корнелла – позволяют сопоставить нарушение с отраслевыми и нормативными требованиями. Это особенно важно, когда речь идет о конфиденциальных данных.
Постоянный мониторинг и обновление
Регулярно обновляйте средства защиты, чтобы обнаружить и устранить известные уязвимости.
Организуйте постоянные программы обучения и повышения осведомленности сотрудников, которые позволят им быстро выявлять и сообщать о возможных нарушениях.
В рамках плана аварийного восстановления назначьте команду реагирования на инциденты. Эта команда должна быть обучена и готова к реагированию на инциденты безопасности и вооружена четкими процедурами и необходимыми инструментами для быстрого реагирования.
2. Соберите доказательства
Сбор доказательств после катастрофы – особенно инцидента, связанного с кибербезопасностью, – это важный шаг, к которому следует подходить методично. Здесь представлено подробное руководство по эффективному сбору доказательств:
Поместите взломанные системы в карантин с помощью инструментов сегментации сети, чтобы изолировать их от вашей сети и предотвратить дальнейшую потерю данных.
Создайте цифровые криминалистические образы, включая все жесткие диски и другие устройства хранения данных, с помощью таких инструментов цифровой криминалистики, как EnCase or Forensic Toolkit, чтобы создать точные цифровые копии данных.
Сбор и анализ цифровых доказательств с серверов, устройств безопасности и приложений с помощью инструментов анализа журналов, средств восстановления данных для извлечения удаленных или поврежденных файлов, а также инструментов анализа сетевого трафика для выявления признаков вредоносной деятельности в трафике, захваченном во время инцидента.
Сбор вещественных доказательств нарушений физической безопасности или несанкционированного использования оборудования с помощью фотодокументов, а также физическая защита скомпрометированного оборудования для дальнейшего изучения.
Проконсультируйтесь с экспертами по правовым вопросам и используйте стандартизированные процедуры для обеспечения соблюдения соответствующих законов и нормативных актов и допустимости доказательств, если это необходимо для судебного разбирательства.
3. Активируйте план антикризисного управления
Ваш план антикризисного управления должен постоянно обновляться. Основные компоненты плана должны включать:
Четкое определение ролей и обязанностей, чтобы каждый мог незамедлительно принять меры в случае возникновения чрезвычайной ситуации.
Постоянно обновляемые списки контактов всех важных сотрудников и заинтересованных сторон для обеспечения быстрого реагирования.
Запланированные стратегии коммуникации внутри и вне вашей организации, включая СМИ и клиентов.
Установленные процедуры эскалации, определяющие, что считать кризисом, и шаги, которые следует предпринять, когда инцидент выходит за установленные рамки.
Одним из важнейших компонентов реагирования является план резервного копирования и аварийного восстановления (BDR).
4. Оцените свои усилия по ликвидации последствий катастрофы
Оценка мер, принятых после кризиса, необходима для совершенствования стратегии реагирования на аварийные ситуации и управления ими. Всесторонний обзор того, как происходило управление инцидентом, с определением эффективности и областей, требующих улучшения, также должен быть частью ваших мер реагирования на аварийные ситуации. Вот некоторые из важнейших элементов анализа ситуации после инцидента:
Проведение структурированных, всесторонних обсуждений с участием всех подразделений для выяснения того, что произошло, как это было сделано и каковы последствия, чтобы получить целостное представление об инциденте.
Используйте эффективные методологии и инструменты оценки, такие как отчеты о последействии (AAR), анализ первопричин (RCA) и анализ ключевых показателей эффективности (KPI), связанных с реагированием, включая время реагирования, время восстановления и общее воздействие.
Соберите и проанализируйте данные из различных источников: от журналов регистрации инцидентов – подробных журналов, которые всегда следует вести во время кризиса, – до отзывов сотрудников и клиентов.
Оцените соответствие стандартам, чтобы определить, насколько ваша реакция соответствует отраслевым и нормативным требованиям.
Обновите планы реагирования на кризисные ситуации и аварийного восстановления на основе полученных знаний и определите области, требующие улучшения, и стратегии их устранения. Усильте программы обучения и внутреннюю коммуникацию, чтобы устранить пробелы и уменьшить уязвимость, а также документируйте и распространяйте все обновления, чтобы все были вовлечены в процесс.
Инвестируйте в решения по обеспечению непрерывности бизнеса, резервному копированию данных и аварийному восстановлению, которые гарантируют, что ваша организация будет устойчива, данные всегда можно будет восстановить, а время простоя сведено к минимуму.
Будьте готовы: Планируйте заранее
Подготовка – лучшая страховка от разрушительных последствий аварийных ситуаций. Ваши стратегии коммуникации, процедуры сбора доказательств и процесс управления кризисом должны быть четко прописаны и понятны всем членам вашей команды, ведь в условиях кризиса каждая минута на счету.
Источник: How to Respond to a Disaster
