Jaka jest najskuteczniejsza strategia reakcji na incydent?

Skąd możesz wiedzieć, jak najlepiej reagować na atak ukierunkowany, zanim do niego dojdzie? Trudne pytanie, prawda? Według naszego badania 42% organizacji nie zna na nie odpowiedzi. Co ciekawe, nie potrafiła

Skąd możesz wiedzieć, jak najlepiej reagować na atak ukierunkowany, zanim do niego dojdzie? Trudne pytanie, prawda? Według naszego badania 42% organizacji nie zna na nie odpowiedzi. Co ciekawe, nie potrafiła na nie odpowiedzieć również większość (a dokładniej 63%) specjalistów z obszaru bezpieczeństwa informacji, którzy wzięli udział we wspomnianym badaniu. A przecież trzeba to wiedzieć zawczasu.

Podejście „poczekamy, zobaczymy”

Klasyczna strategia bezpieczeństwa informacji polega przeważnie na stosowaniu technologii zapobiegających oraz zasad, których zasadniczym celem jest uniemożliwienie osobom obcym penetrowania infrastruktury informacyjnej. Podejście to dobrze się sprawdza w odniesieniu do zagrożeń, które są szeroko rozpowszechnione; jednak jeśli chodzi o złożone ataki ukierunkowane, są one tak przygotowane, aby ominąć tę strategię. Gdy dojdzie do cyberincydentu, wiele osób, w tym również pracownicy działów odpowiedzialnych za bezpieczeństwo informacji, próbuje zorganizować jakieś działania defensywne.

W wielu przypadkach firma dochodzi wówczas do wniosku, że najlepszą strategią jest… brak reakcji. Oczywiście może dojść do utraty bonusów; z pewnością zostaną także wydane polecenia podjęcia takich kroków, które są wymagane, aby zapobiec nawrotowi podobnego incydentu w przyszłości (innymi słowy, zostanie zlecone ulepszenie środków prewencyjnych). Następnie firma zaczyna działać jak wcześniej. Powodem podjęcia takiej decyzji jest fakt, że zarząd obawia się wystąpienia dodatkowych strat. W końcu śledztwo w sprawie cyberincydentu może doprowadzić do zatrzymania działania systemów krytycznych dla kluczowych procesów w firmie.

Tymczasem po ataku niezmiernie istotne jest przeanalizowanie, co się stało, jakie informacje uzyskali atakujący, jak długo mieli dostęp do systemów, a także jak się do nich dostali. Czy uzyskali dane logowania do bankowości? A może zdobyli dane kart kredytowych klientów? W takim wypadku należy podjąć zdecydowane kroki; w przeciwnym razie incydent może skutkować jeszcze większymi stratami.

Ujednolicony proces reagowania na incydenty

Aby zminimalizować liczbę niechcianych niespodzianek w przypadku cyberincydentu, konieczne jest przygotowanie procesu reakcji na ataki złożone i ukierunkowane zawczasu. Jednym z nowych narzędzi, które mogą wzmocnić wszystkie dostępne strategie, jest system klasy Endpoint Detection and Response (EDR). Pomaga on wykrywać zaawansowane zagrożenia w celu eliminowania kosztów i zakłóceń działalności biznesowej, uzupełniając centra operacyjne bezpieczeństwa o metody kolejnej generacji, takie jak polowanie na zagrożenia.

Taki system umożliwia specjalistom ds. bezpieczeństwa informacji zgromadzenie ze wszystkich stacji roboczych wszystkich danych potrzebnych do przeprowadzenia szczegółowej analizy. Specjaliści ci mogą zdalnie badać anomalie, usuwać lub blokować zagrożenie z chirurgiczną precyzją, a także uruchamiać procedury przywracania. Wszystko dzieje się w sposób całkowicie nieodczuwalny dla użytkownika, bez konieczności uzyskiwania fizycznego dostępu do sprzętu oraz nie zakłócając procesów firmowych.

W wielu przypadkach rozwiązanie EDR umożliwia zidentyfikowanie incydentu na jego wczesnym etapie: gdy atakujący dopiero przedostali się do sieci, lecz jeszcze nie wyrządzili znaczących szkód i nie przesłali informacji poza obręb infrastruktury.

Prawdą jest, że istnieje wiele systemów EDR, a nie wszystkie spełniają potrzeby każdego działu cyberbezpieczeństwa. Dobrze dobrane rozwiązanie EDR może poprawić strategię bezpieczeństwa; źle dobrane może przynieść szkody procesom zabezpieczającym, a nawet może wpłynąć na zgodność systemu z przepisami. Dlatego przygotowaliśmy  dokument „A Buyer’s Guide to Investing in Endpoint Detection & Response for Enterprises 2017-2018”, który pomaga w podjęciu decyzji, który wybór będzie najlepszy.

A Buyers Guide to Investing in Endpoint Detection and Response for Enterprises 2017-2018 od Kaspersky Lab

Więcej informacji na temat tego, jak właściwie reagować na cyberincydenty, znajdziesz w naszym badaniu „New Threats — New Approaches: Risk Preparedness for Protecting Against Complex Attacks”.

Szczegółowe informacje związane z naszym produktem EDR, który obecnie jest w fazie pilotażowej, znajduje się na stronie Kaspersky Endpoint Detection and Response.

Porady