Serpentine

Conference

utveckla steg för Incident Response

Incident response planer är ovärderliga åtgärder som varje organisation bör ha på plats eftersom — låt oss inse det — kontroller kan misslyckas. Incidenter (dock mindre) är mer benägna än att inte inträffa. Men att ha rätt incident svar steg på plats kan minimera skadan.

nedan diskuterar vi fem steg som hjälper till att skydda din organisation. Använd dem för att utveckla din svarsplan, eller jämföra dem med din befintliga incidentresponsstrategi och fråga dig själv: är mitt företag redo?

Steg 1: detektion och identifiering

När en incident inträffar är det viktigt att bestämma dess natur. Börja dokumentera ditt svar när du identifierar vilka aspekter av ditt system som har äventyrats och vad den potentiella skadan är. Detta steg är beroende av att övervaka ditt nätverk och system så att eventuella oegentligheter flaggas omedelbart. När du har upptäckt en incident måste du bestämma:

  • Typ: Är det datastöld, en nätverksattack eller en kombination av hot?
  • svårighetsgrad: kommer detta att störa interna system? Front-end tjänster? Har någon kund-eller affärskritisk information äventyrats eller förlorats?
  • andra konsekvenser: har händelsen gjort dig i strid med standarder eller kontrakt?

steg 2: inneslutning

ett snabbt svar är avgörande för att mildra effekterna av en incident. I detta skede i dina incidentsvarssteg är tiden av kärnan. Dina förberedelser borde ha säkerställt att du har rätt verktyg och färdigheter för att hantera uppgiften. Dina åtgärder här bör innehålla:

  • steg för att innehålla överträdelsen på kort sikt-stänga av program eller system och koppla från nätverk
  • åtgärder för att innehålla överträdelsen och förhindra framtida överträdelser på lång sikt-uppdatera skydd efter behov, granska och stärka åtkomstuppgifterna vid behov
  • identifiering och karantän av skadlig kod upptäckt
  • identifiering och borttagning av all personal som är involverad

steg 3: Sanering

nästa steg i din cybersecurity incident response steg är att eliminera vad som orsakade brottet och börja arbeta med att reparera skadan. Vid denna tidpunkt bör du också vidta disciplinära åtgärder mot eventuell intern personal som befunnits ha bidragit till händelsen.

  • se till att alla artefakter av händelsen har tagits bort helt från ditt system
  • reparera eller uppdatera system efter behov
  • kontrollera att alla programfixar är aktuella och skydd stärks
  • se till att säkerhetskopior är på plats och fungerar korrekt

Cybersecurity Incident Recovery

steg 4: återställning

När du har bestämt att hotet har eliminerats och skadan reparerats kan du börja få saker igång igen. Försiktighet är nyckeln i detta skede av din incident återhämtning steg. Kontinuerlig övervakning är avgörande för att säkerställa att händelsen har lösts fullständigt och att du inte har upptäckt några ytterligare potentiella hot. Återställ dina system från säkerhetskopiering och återuppta operationer.

Nu är det också dags att reparera eventuella skador på ditt varumärke som har uppstått till följd av händelsen. Ett proaktivt, transparent svar hjälper till att visa kunder att du tar deras erfarenhet på allvar.

  • testa alla system för återstående eller nya sårbarheter orsakade av överträdelsen eller saneringsprocessen

Steg 5: Bedömning

sammanställa en rapport om händelsen med hjälp av dokumentationen för varje steg som du tog i ditt svar. Detta kommer att bidra till att liknande händelser inte händer igen i framtiden. Några frågor som kan hjälpa till i din bedömning (och framtida förberedelser) inkluderar:

  • vad hände?
  • Hur har systemet brutits?
  • vilka förebyggande åtgärder har vidtagits / behövs?
  • behövs fler ändringar för att säkra dina system?
  • Vem behöver inkluderas i förändringar eller nya förebyggande strategier?

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *