fbpx
preloader

תגובה לאירועי אבטחה – Incident Response

לא משנה כמה חזקה ההגנה שלנו תהיה, לפעמים דברים ישתבשו ונחווה תקרית אבטחה, ולכן עלינו להבין כיצד ליישם את נהלי התגובה שלנו בהתאם לתרחישים השונים. 

התגובות לתקריות האבטחה כוללות את השיטות, המדיניות והנהלים המשמשים את הארגון בשביל להגיב למתקפה. מטרת התגובה היא להגביל את השפעת התקיפה, להעריך נזקים וליישם תהליכי התאוששות.

יש כמה סוגי אירועי אבטחה –

  • Security event – אירוע אבטחה המתרחש ברשת, מערכת או תוכנה. הוא לא חייב להיות זדוני (לדוגמא – משתמש המנסה להתחבר עם הפרטים שלו מערכת).
  • Adverse security event – אירוע אבטחה שלילי שיוצר השלכות (לדוגמא חשיפת מידע רגיש).
  • Security incident – אירוע אבטחה שלילי שמאיים או פוגע בארגון (לדוגמא הדבקות המערכת בתוכנת כופרה).

בזמן ולקראת התמודדות עם תקריות אבטחה, מאוד חשוב לפעול על פי צעדים ספציפיים –

  1. תכנון והכנה -  חובת קיימות של לצוות תגובה ייעודי שיוכל לזהות את הפרצה ולהגביל את הנזקים בזמן האירוע.
  2. זיהוי וניתוח ראשוני – זה הוא השלב שבו הבעיה מתגלה לראשונה. יש לנתח את האירוע בשביל לסווג את חומרתו ולפעול בהתאם עפ''י הנחיות הנקבעות מראש לפי רמת החומרה (מי מגיב לאירוע, הליכי חקירה, נהלי סיכום אירוע).
  3. בידוד – יישום תוכנית מקיפה הכוללת פתרון למניעת התפשטות הבעיה לכלל המערכות בארגון ומניעת נזק ככל האפשר. בשלב הזה גם ינסו לבודד את התוקף או ללכוד אותו במלכודת דבש (תלוי מדיניות הארגון ושלב התקיפה).
  4. הסרת האיום – בידוד המערכת הנגועה מכלל המערכות.
  5. החלמה – בקרת נזקים ופגיעות, תיקון המערכות שנפגעו וסריקות מקיפות לגילוי שאריות של קוד זדוני במערכות.
  6. הפקת לקחים – למידת לקחי האירוע והגדרת נקודות שימור ושיפור. מתעדים את כל התהליך, מקצה לקצה ומוסיפים אותו ל Security PlayBook שממנו הצוות ילמד ויתרגל לתרחישים הבאים.

יש לוודא שבזמן אירוע, תהיה הגבת תקשורת ומידור רק לצוותים הרלוונטיים, מאחר ואירוע שכזה עלול להשפיע על החברה באופן כלכלי ולפגוע בקשרי לקוחות קיימים. אם חלילה ידלוף מידע מסווג בזמן טיפול באירוע, החקירה כולה עלולה לעמוד בסיכון.

חשוב מאוד לוודא שיש לכלל הצוותים דרכי תקשורת אמינות ומאובטחות בזמן טיפול באירוע ולהתייעץ עם צוות משפטי בזמן ניהול המשבר.

צוות התגובה יצטרך להיות זמין 24/7 ומוכן לכל תרחיש. הצוות אמור לכלול אנשי ניהול אירוע, מומחים טכניים (חקירה פורנזית, אנשי פיתוח ואנשי וירטואליזציה), דוברי תקשורת וצוות אבטחה פיזי בחלק מהמקרים. כמובן שגם ישנה האפשרות לשכור שירותי IR מספק חיצוני אך חשוב מאוד לעשות זאת מבעוד מועד מאשר להתעכב בזמן אירוע אמת.

אף פעם אין 100 אחוז באבטחה אך חשוב מאוד לנסות ולהתכונן ככל הניתן, להגדיל מודעות ולשפר יכולות באופן תמידי.  בסופו של יום, זה לא עניין של האם החברה תיפגע אלא עניין של מתי זה יקרה.

About qmasters

QMasters was founded in 2015 to help Israeli governmental, military, niche security, and municipality offices protect themselves from cyber-attacks. As the cyber security threats grow year after year, so does our list of customers. We are a team of 30+ security experts committed to solving security challenges with the right combination of strategies and technologies.

you might also like:

FortiOS Flaw Exploited as Zero-Day in Attacks

On December 12, Fortinet reported on a heap-based buffer overflow...

ClearPass Vulnerability Alert

Aruba has informed us about a new security advisory for...

VIDEO: Carbon Black Webinar - Investigating an Incident

This video link has expired. Please contact Michelle at [email protected]...

1 2 3 6

Join our newsletter!

x
c
o
n
t
a
c
t

u
s
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram