Реалістичний підхід до безпеки полягає в тому, щоб траплялися інциденти. Хоча в ідеалі CISO хотів би запобігти всім цим, на практиці деякі з них досягнуть певного успіху, зробивши здатність ефективно керувати процесом реагування на інциденти обов’язковою навичкою для будь-якого CISO.

Більше того, окрім управління фактичним процесом реагування, CISO також має бути в змозі ефективно повідомляти поточні дії та статус до виконавчого рівня.

Хоча процес IR здебільшого технічний, звітування перед керівництвом організації має відбуватися на набагато вищому рівні, щоб це могли зрозуміти керівники, які не обізнані з безпекою.

Щоб допомогти CISO у виконанні цих завдань, Cynet створив шаблон PowerPoint для керування інфрачервоними зв’язками та звітності (завантажити тут), який не тільки забезпечує ефективну структуру реагування, але також є зрозумілим та інтуїтивно зрозумілим для виконавчого рівня.

Давайте докладніше розглянемо два аспекти шаблону:

ІК-менеджмент

Шаблон створено на базі SANSNIST, яка включає наступні етапи:

• Ідентифікація — Цей етап включає всі дії, пов’язані з початковим виявленням шкідливої ​​присутності та діяльності. Він охоплює широкий діапазон потенційних сценаріїв – виявлення, здійснене групою внутрішньої безпеки або зовнішньою організацією, чи це було в контексті стандартних протоколів безпеки чи простий збіг. Цей етап також включає початкову оцінку ризику для подальших кроків.

• Політика стримування — Після початкової ідентифікації існує критична потреба в негайних діях для протистояння та пом’якшення виявленої загрози — перед будь-яким подальшим дослідженням першопричини та масштабу. Після виконання цього пом’якшення можна розрахувати наступні кроки.

• Ліквідація — Цей етап стосується повного обсягу розслідування, щоб визначити, звідки походить атака і наскільки вона була успішною. Це розслідування слід завершити, переконавшись у повному видаленні будь-якої шкідливої ​​діяльності, присутності та інфраструктури.
• відновлення — Після етапу викорінення окресліть усі дії, які передбачають відновлення операцій до рутинного стану, пов’язані з ІТ-об’єктами (серверами, ноутбуками, настільними комп’ютерами, обліковими записами користувачів, додатками та робочими навантаженнями в хмарі) і резервним копіюванням ресурсів даних.
• Уроки, витягнуті — Це слайд, на якому ви робите дієві висновки з атаки щодо підвищення стійкості середовища, зменшення площі атак і потенційних додаткових інвестицій у безпеку.

ІК звітність

Щоб зробити процес безпеки більш зручним для керівництва, шаблон зосереджується на двох ключових темах – діях, вжитих для контролю над інцидентом, і постійному аналізі його першопричини та масштабу. Обидва необхідні для чіткого сприйняття ризику події.

Аспект контролю, досягнутий завдяки прагненню до якомога більшої прозорості щодо того, що в атаці вже відомо, а що ще належить виявити, а також відображення здобутків і прогалин у знаннях створює впевненість, що інцидентом справді керовано.

Зрештою, керівництво компанії працює в контексті операційного простору – простої, грошові втрати, збережені або спожиті ресурси. Шаблон задовольняє цю потребу, надаючи високорівневий огляд технічних деталей компромісу, бокового переміщення та методів без файлів, щоб забезпечити переклад інциденту на фактичну та потенційну шкоду.

Хоча існує багато спільних знаменників кібератак, кожна з них має унікальні якості. Так само існує високий ступінь відмінностей між організаціями та типами управління. Шаблон розроблено спеціально для того, щоб його розбивати та використовувати модульно, налаштовуючи його відповідно до конкретних потреб кожної організації.

Спілкування з керівництвом — це не приємна частина, а критична частина процесу IR. Повний шаблон PPT звітності про ІР для керівництва дає змогу всім, хто наполегливо працює над проведенням професійних та ефективних процесів ІР у своїх організаціях, зробити свої зусилля та результати кристально зрозумілими для свого керівництва.

І управління, і звітність є важливими складовими ефективного процесу ІР. Шаблон керування інфрачервоними зв’язками та звітності намагається допомогти CISO у виконанні цих завдань – не лише виконувати найвищу реакцію на кібератаки, але й гарантувати, що цю професійну та критично важливу роботу розуміють і визнають.

Завантажити ІК-менеджмент і звітність PPT шаблон тут.