Структуры реагирования на инциденты:

Цель структуры реагирования на инциденты состоит в том, чтобы облегчить создание организациями стандартизированных планов реагирования. Как правило, эти платформы создаются крупными предприятиями с обширными знаниями и опытом в области безопасности. Схемы реагирования на инциденты, разработанные Национальным институтом стандартов и технологий (NIST) и Институтом системного администратора, аудита, сети и безопасности, являются двумя наиболее известными примерами (SANS).

Структура реагирования на инциденты NIST

NIST предлагает четырехэтапную процедуру реагирования на инциденты, в которой подчеркивается, что реагирование на инциденты не является линейным процессом, который начинается с момента обнаружения события и завершается его устранением и восстановлением.

1 . Подготовка

Это требует от компаний проведения всесторонней инвентаризации своей ИТ-инфраструктуры, включая сети, серверы и конечные точки, и оценки их значимости.

2. Обнаружение и анализ

Обнаружение включает в себя сбор данных из ИТ-систем, инструментов безопасности, общедоступной информации и людей внутри и за пределами организации, а также выявление признаков того, что инцидент может произойти в будущем (предвестников), и данных, указывающих на то, что атака произошла или в настоящее время происходящие (индикаторы).

3. Сдерживание, искоренение и восстановление

Без эффективного сдерживания события безопасности могут распространяться по системам и сетям организации, предоставляя злоумышленникам неограниченный доступ.

4. Действия после инцидента

Подход NIST по реагированию на инциденты делает значительный акцент на изучении событий для улучшения всего процесса реагирования. Что касается процедуры реагирования на инциденты, специалисты по безопасности должны задавать такие вопросы, как «Что случилось?» Насколько успешно мы справились с ситуацией? Соблюдались ли процедуры и были ли они адекватными? Почему процедура ответа не удалась?

Структура реагирования на инциденты SANS

Процесс реагирования на инциденты SANS состоит из пяти шагов:

1. Подготовка

Это влечет за собой проведение компаниями оценки своей политики безопасности, которая часто включает оценку рисков для выявления уязвимостей, конфиденциальных активов и областей внимания в отношении инцидентов безопасности.

2. Идентификация

На этом этапе группы безопасности наблюдают за системами и сетями, чтобы обнаружить любое необычное поведение, возникающее во время нормальной работы, с целью выявления любых надвигающихся проблем с безопасностью.

3. Сдерживание

Если инцидент обнаружен, следующим этапом является сдерживание, на котором сотрудники службы безопасности стремятся изолировать атаку и предотвратить ее распространение.

4. Восстановление

Этот этап предполагает восстановление поврежденных систем, которые были отключены во время мероприятия. Чтобы гарантировать, что атаки не повторятся и что нормальное функционирование будет восстановлено, группы безопасности должны тестировать и контролировать скомпрометированные системы.

5. Извлеченные уроки

Команды должны проанализировать, как была решена проблема, и определить, как можно улучшить процесс реагирования на инциденты в будущих ситуациях вскоре после нападения.

Ссылки:

https://www.stickmancyber.com/cybersecurity-blog/incident-response-frameworks-nist-sans

https://www.bluevoyant.com/knowledge-center/what-is-incident-response-process-frameworks-and-tools



Создание структуры реагирования на инциденты для вашего предприятия
Структура реагирования на инциденты необходима для создания плана, чтобы ваша команда по кибербезопасности могла подготовиться, оценить,…www. techtarget.com



Автор: - Манубхав (Синдикат в лаборатории Сатоши)