Быстрое реагирование на инциденты - ObserveIT

Быстрое реагирование на инциденты

Самая большая проблема безопасности сегодня — люди. За более чем 90% нарушений безопасности ответственны именно инсайдеры.

Организациям необходимо контролировать привилегированных пользователей и фрилансеров и категоризировать их по группам риска. Получив видеозаписи нарушений политики и имея полные метаданные, связанные с тем, что делают люди, вы можете легко найти и посмотреть, что произошло без пересмотра журналов или проведения длительных расследований в нескольких системах безопасности.

Для того чтобы ускорить процесс реагирования на инциденты нам необходимо:

1. Одним из наиболее важных (и потенциально трудоемких) шагов в любом процессе реагирования на инциденты является подготовка к ним. Это значит, что необходимо потратить время на систематизацию политик безопасности компании и плана реагирования на инциденты.

Необходимо создать/привлечь оперативную группу сотрудников из разных подразделений компании для разработки коммуникационной стратегии с четко определенными ролями и обязанностями. Эффективное обучение реагированию на инциденты важно тем, что помогает членам группы точно понять, что должно произойти в случае фактического инцидента. Следующий шаг - моделирование инцидентов, что поможет командам определить, как реагировать на инцидент. Это также поможет выявить сильные и слабые стороны людей, процессов и технологий, участвующих в реагировании на инциденты, и скорректировать их до наступления инцидента.

На этапе подготовки к реагированию на инциденты руководители, ответственные за безопасность в организации, должны оценить технологический стек и определить, какие инструменты следует использовать на каждом этапе реагирования на инциденты. Затем следует провести тщательный процесс документирования, чтобы если инцидент безопасности когда-либо возникнет, группа безопасности могла проанализировать произошедшее и предотвратить возникновение подобных инцидентов в будущем.

2. Когда происходит инцидент с инсайдерской угрозой, вам нужно точно знать, где получить информацию о том, что произошло. Тем не менее, трудно выделить нужную информацию из системных, сетевых данных и данных журнала. Даже с помощью инструмента SIEM сложно анализировать данные и получать контекст и полную картину, необходимые для эффективного реагирования на инциденты.

Стандартные инструменты оповещения безопасности могут проинформировать вас "что "произошло, но не дадут широкой информации:  где это произошло (В приложении? В сети?); какие системы затронуты; когда это произошло и т.д.

Если у вас нет единой панели, на которой отображаются ответы на все эти вопросы, реагирование на инциденты может занять очень много времени, при этом специалистам по ИБ потребуется пройти через множество различных инструментов и просеять огромное количество журналов. Как вы сами понимаете, это никоим образом не способствует ускорению процесса реагирования на инциденты. Вместо этого, в идеале, вы инвестируете в инструменты, которые специально созданы для обеспечения прозрачности и контекста. Наличие инструментов, которые способны быстро обеспечить соответствующий контекст, может защитить репутацию и ресурсы вашей организации.

3. Многие организации совершают ошибку, не реагируя в полной мере на инцидент. Возможно, на первый взгляд кажется, что это экономит время, но если вы не делаете все три описанные ниже шага, то почти гарантированно получите серьезные последствия, для устранения которых потребуется еще больше времени.

Сдерживайте

Думайте о сдерживании как о контроле повреждений. На этом этапе группа безопасности стремится остановить любой ущерб, который, возможно, уже произошел, и предотвратить дальнейшие проблемы или эскалацию в затронутых системах. В случае инсайдерской угрозы на данном этапе может потребоваться привлечение HR или юридических групп, определяющих дальнейшие шаги для ответственной стороны или сторон.

Искореняйте

На этапе ликвидации пораженные системы должны быть сняты с производства (если это необходимо). Все вредоносное содержимое должно быть удалено из системы. Прозрачность, описанная выше, абсолютно необходима для эффективного устранения этой проблемы.

Восстанавливайте

Наконец, прежде чем системы будут приняты обратно в производство, они должны быть эффективно протестированы и проверены командой безопасности. Затем они должны быть своевременно восстановлены. Этот этап имеет решающее значение для того, чтобы не происходили новые инциденты, а сотрудники могли вернуться к работе как можно быстрее.

Следование этим трем шагам гарантирует, что не будет потеряно время на попытки выяснить степень повреждения, а исправление произойдет вскоре после происшедшего инцидента.   

Экономьте время, не жертвуя бдительностью.

Обеспечьте быстрое и эффективное реагирование на инсайдерские угрозы с полной картиной деятельности пользователя с помощью платформы управления угрозами ObserveIT.

Платформа ObserveIT упрощает и ускоряет процесс реагирования на инциденты, предоставляя подробные визуальные снимки, точные маршруты активности и прямую видимость активности пользователей и данных. Более детально о решении ObserveIT.

ObserveIT помогает остановить вредоносную или неосторожную деятельность, ставящую под угрозу бизнес, за счет ведения лог-файлов деятельности пользователей, обогащённых поведенческим контекстом.

Observeit использует самый эффективный подход по смягчению инсайдерских угроз — наблюдение за поведением пользователей. Все инциденты привязаны к пользователям и пользователи ранжируются по опасности их действий. Почти мгновенно Observeit обрабатывает входные данные, помогает упорядочить реакции на инциденты инсайдерских угроз и позволяет быстро расставить приоритеты в списке внутренних расследований, получить анализ рисков пользователей, и изменить поведение плохих парней или нечаянных нарушителей безопасности. Компания iITtraiding - является официальным партером Observe IT. У нас Вы можете выгодно купить решения и получить полный спектр информационных и технических услуг по подбору решения, которое необходимо для Вашего бизнеса.