KOMMENTAR

Etter hvert som det digitale landskapet blir mer forrædersk, begynner bedrifter endelig å behandle cybersikkerhet som en topp operasjonell risiko. Og for bedrifter som reviderer sine datasikkerhetsstrategier oppdatert veiledning fra National Institute of Standards and Technology (NIST), den amerikanske regjeringens viktigste rådgiver for tekniske standarder, er et godt utgangspunkt. NIST sine rammeverk for cybersikkerhet, først utgitt i 2014, har fungert som den ledende pedagogiske og akademiske guiden. Den nyeste versjonen inkluderer viktige oppdateringer, som tillegg av datastyring som en av kjernepilarene. Dessverre kommer det til kort på en betydelig måte. Den sier ikke på langt nær nok om den mest avgjørende ingrediensen i enhver omfattende og moderne cybersikkerhetsplan: evnen til å gjenopprette fra et nettangrep. 

Det er viktig å huske på at å komme seg etter et angrep ikke er det samme som katastrofegjenoppretting eller forretningskontinuitet. Det er ikke nok å bare koble gjenopprettingsfunksjonen til en bredere hendelsesresponsplan. Utvinning må være inngrodd inn i sikkerhetsstakken og i responsplanene dine. Og selv utenfor et krisescenario må det etableres en kontinuerlig tilbakemeldingssløyfe, der alle deler av cybersikkerhetsfunksjonen – inkludert gjenoppretting – alltid deler informasjon og er en del av den samme arbeidsflyten. 

Gitt det vedvarende trusselbildet og det økende antallet obligatoriske reguleringer, slik som EUs Digital Operational Resilience Act (DORA), må bedrifter snarest ta tak i hullene i deres beredskapsplaner for cybersikkerhet.

Skifte fra en frontlinjementalitet 

Mens NIST er et omfattende rammeverk, legger cybersikkerhetsindustrien (og, ved proxy, de fleste selskaper) langt mer oppmerksomhet på den delen som fokuserer på hindre nettangrep. Det er viktig, men forebygging kan aldri sikres og bør ikke gjøres på bekostning av en omfattende sikkerhetsplan. 

Et selskap som bare bruker NIST Cybersecurity Framework vil sette selskapet i en posisjon der de er underinvestert i å svare på nåværende og fremtidige cyberangrepsscenarier. Det er en risiko ingen organisasjon har råd til å ta. Du vil bli brutt. Faktisk er du brutt, du vet det bare ikke ennå. Dette betyr at restaureringsplattformen må integreres med sikkerhetsstakken for å beskytte seg selv og forretningsmiljøet for å sikre at selskapet kan komme tilbake til virksomheten – som er et av hovedmålene med dette arbeidet.

Både leverandører og kunder må sette inn ressurser på å returnere til en tilstand etter angrep: Hvordan komme dit, og hvordan teste og verifisere denne evnen. Hemmeligheten bak en robust utvinning er planlegging. For virkelig å være trygge, må bedrifter ta skritt nå for å integrere teknologien og personene som er ansvarlige for gjenoppretting, i resten av deres cybersikkerhetsfunksjon. 

Når det skjer, selv om gjenopprettingsteam fortsatt kan operere uavhengig, er det en kontinuerlig tilbakemeldingssløyfe. Så alle de forskjellige delene av sikkerhetsteamene kan fortsatt enkelt sende og motta informasjon til og fra de andre funksjonene. 

Test, test, test

Selv om selskaper ofte har tidsrammer i tankene for hvor raskt systemer må være online igjen, har langt færre fullt ut vurdert hva som skal til for å komme til den sikre tilstanden etter et angrep. 

Testing hjelper til med å informere om hvor lang tid hvert trinn i identifisering og utbedring av et brudd bør ta, slik at selskaper har en målestokk å bruke når en faktisk hendelse inntreffer. Og uten tilstrekkelig testing av sikkerhetskopieringsmiljøer, blir gjenopprettingsfunksjonen mye vanskeligere – og potensielt farligere. Ved gjenoppretting fra et uprøvd sikkerhetskopimiljø, kan selskapet utilsiktet gjenopprette implantert ondsinnet kode, gi angripertilgang eller gå tilbake til en sårbar tilstand. 

Bedrifter må aktivt kjøre simulerte eller virkelige øvelser som tester alle fasetter av deres cyberresiliens for å avdekke svake punkter, inkludert eventuelle problemer som kan påvirke et selskaps evne til å få IT-systemene i drift igjen. 

Koble sammen trinnene  

Å integrere gjenopprettingsverktøy i det større hendelsesresponsarsenalet kan gi verdifull etterretning, både når det gjelder å forberede seg på og svare på et angrep. 

I disse dager kan moderne gjenopprettingssystemer aktivt overvåke sikkerhetskopieringslager og regelmessig sende tilbakemeldinger til sikkerhetsteamene for å oppdage unormal oppførsel langt raskere enn tidligere – en viktig funksjon ettersom angripere i økende grad retter sin innsats mot datasentrene som går på siste mil. Og etter hvert som en cyber-resilient restaureringsplattform blir integrert i den moderne sikkerhetsstakken, må den kobles til systemene som transformerer intelligensen fra de ulike systemene og tjenestene for å gi sikkerhetsteam bedre kontekst om hendelsene som også skjer i deres miljø. ettersom det kreves bedre revisjon i henhold til ulike samsvar og forskrifter rundt om i verden. 

Justere menneskene til prosessen 

Mens mange organisasjoner har eksperter knyttet til alle andre prosesser i NIST-rammeverket, er det få som har team eller til og med enkeltpersoner dedikert til å håndtere utvinning. 

Ofte faller funksjonen mellom domenet til Chief Information Security Officer (CISO) og Chief Information Officer (CIO), noe som fører til at begge antar at den andre eier den. Det overarbeidede sikkerhetsteamet ser vanligvis på gjenoppretting som kjedelig – og noe som bare skjer på slutten av en kaotisk prosess som bør håndteres av IT-teamet. 

I mellomtiden kan IT-teamet, med mindre de er gjennomsyret av sikkerhet, ikke engang vite hva NIST-rammeverket er. Når de står overfor en syndflod av klager, fokuserer de på ganske enkelt å få miljøet på nett igjen så raskt som mulig, og de er kanskje ikke klar over hvor farlig en uplanlagt, forhastet bedring kan være. 

Å ta dette på alvor innebærer å dedikere ressurser til å overvåke gjenoppretting, og sørge for at dette trinnet ikke blir oversett i den pågående planleggingen og testingen – enn si i kaoset som ofte følger med et brudd. 

Når den gis strategisk retning fra C-suiten, og tildeles det riktige løpende ansvaret, kan gjenopprettingspersonen eller teamet sikre at responsprotokollene testes regelmessig, samt fungere som broen til å koble gjenoppretting med resten av cybersikkerhetsfunksjonen.  

Det mest vitale trinnet

I denne epoken når enhver virksomhet bør anta at de blir brutt, må gjenoppretting anerkjennes som like viktig som de andre trinnene i NIST-rammeverket. Eller kanskje til og med mer viktig.

Selskaper som kun spiller cyberforsvar vil til slutt tape. De spiller en kamp der de tror poengsummen betyr noe. Forsvarere kan ha 1,000 poeng, men vil tape mot en angriper som scorer én gang. Det er rett og slett ingen måte å garantere seier mot en motstander som spiller utenfor reglene og kontrollerer når og hvordan spillet spilles.

Bedrifter må allokere ressurser for å forberede seg på nettangrep. Uten en testet responsplan for å gjenoppta driften trygt og sikkert, vil selskaper ikke ha noe annet valg enn å kapitulere for angripernes krav, betale løsepenger og dermed oppmuntre en angriper.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/vulnerabilities-threats/rebalancing-nist-why-recovery-cant-stand-alone