Sự cố an ninh xảy ra. Vấn đề không phải là ‘nếu’ mà là ‘khi nào.’ Có các sản phẩm và quy trình bảo mật đã được thực hiện để tối ưu hóa quy trình IR, vì vậy, từ góc độ ‘an ninh-chuyên nghiệp’, mọi thứ sẽ được quan tâm.
Tuy nhiên, nhiều chuyên gia bảo mật đang làm rất tốt công việc xử lý các sự cố nhận thấy rằng việc giao tiếp hiệu quả quy trình đang diễn ra với ban quản lý của họ là một nhiệm vụ khó khăn hơn nhiều.
Có một chút ngạc nhiên – các nhà quản lý thường không am hiểu về bảo mật và không thực sự quan tâm đến các bit và byte mà các chuyên gia bảo mật làm chủ. Cynet giải quyết khoảng cách này với Mẫu PPT Báo cáo IR cho Quản lý, cung cấp cho CISO và CIO một công cụ rõ ràng và trực quan để báo cáo cả quá trình IR đang diễn ra và kết luận của nó.
Mẫu IR for Management cho phép các CISO và CIO trao đổi với nhau về hai điểm chính mà ban quản lý quan tâm – đảm bảo rằng sự cố được kiểm soát và hiểu rõ ràng về các hàm ý và nguyên nhân gốc rễ.
Kiểm soát là một khía cạnh quan trọng của các quy trình IR, theo nghĩa là tại bất kỳ thời điểm nào, có đầy đủ tính minh bạch về những gì được giải quyết, những gì đã biết và cần được khắc phục, và cần điều tra thêm để tiết lộ các phần của cuộc tấn công. vẫn chưa được biết.
Ban quản lý không nghĩ về trojan, khai thác và di chuyển bên, mà họ nghĩ về năng suất kinh doanh – thời gian ngừng hoạt động, giờ làm việc, mất dữ liệu nhạy cảm.
Lập bản đồ mô tả cấp cao về lộ trình tấn công dẫn đến thiệt hại dẫn đến là điều tối quan trọng để ban quản lý hiểu và tham gia, đặc biệt nếu quy trình IR đòi hỏi chi tiêu bổ sung.
Mẫu tuân theo khung SANS NIST IR và bao gồm các giai đoạn sau:
Nhận biết
Sự hiện diện của kẻ tấn công được phát hiện ngoài nghi ngờ. Việc phát hiện có được thực hiện trong nhà hay bởi bên thứ 3 không, mức độ trưởng thành của cuộc tấn công (xét về tiến trình của nó dọc theo chuỗi tiêu diệt), rủi ro ước tính là gì và các bước sau sẽ được thực hiện với nguồn lực nội bộ hay có cần thiết không để thu hút một nhà cung cấp dịch vụ?
Sự ngăn chặn
Sơ cứu để cầm máu ngay lập tức trước khi điều tra thêm, nguyên nhân gốc rễ của cuộc tấn công, số lượng thực thể được thực hiện ngoại tuyến (điểm cuối, máy chủ, tài khoản người dùng), trạng thái hiện tại và các bước tiếp theo.
Diệt trừ
Dọn sạch hoàn toàn tất cả cơ sở hạ tầng và hoạt động độc hại, báo cáo đầy đủ về lộ trình của cuộc tấn công và các mục tiêu giả định, tác động kinh doanh tổng thể (giờ làm việc, dữ liệu bị mất, tác động của quy định và những thứ khác theo bối cảnh khác nhau)
Hồi phục
Tỷ lệ khôi phục về điểm cuối, máy chủ, ứng dụng, khối lượng công việc đám mây và dữ liệu.
Bài học kinh nghiệm
Các yếu tố kích hoạt cuộc tấn công là gì (thiếu công nghệ bảo mật thích hợp, thực tiễn lực lượng lao động không an toàn, v.v.) và cách chúng có thể được sửa chữa, và phản ánh về các giai đoạn trước đó trong suốt dòng thời gian của quy trình IR để tìm kiếm những gì cần bảo tồn và những gì cần cải thiện.
Đương nhiên, không có một sự cố bảo mật nào là phù hợp cả. Ví dụ: có thể có những trường hợp trong đó việc xác định và ngăn chặn sẽ diễn ra gần như ngay lập tức cùng nhau, trong khi trong các sự kiện khác, việc kiểm soát có thể lâu hơn, đòi hỏi một số bản trình bày về trạng thái tạm thời của nó. Đó là lý do tại sao mẫu có dạng mô-đun và có thể dễ dàng điều chỉnh theo bất kỳ biến thể nào.
Giao tiếp với ban lãnh đạo không phải là điều tốt đẹp cần có mà là một phần quan trọng của chính quá trình IR. Mẫu PPT Báo cáo IR cuối cùng cho Ban quản lý cho phép tất cả những người làm việc chăm chỉ để tiến hành các quy trình IR chuyên nghiệp và hiệu quả trong tổ chức của họ để thực hiện các nỗ lực và kết quả rõ ràng cho cấp quản lý của họ.
Tải xuống mẫu PPT Báo cáo IR cuối cùng cho Ban quản lý tại đây.
