In cazul unui incident de securitata organizatia trebuie sa aiba “game plan” bine pus la punct si insusit de echipa de raspuns pentru a putea trata eficient evenimentele care au loc. In timpul unui atac de securitate fiecare trebuie sa stie ce are de facut si care sunt urmatorii pasi care trebuie urmati. Raspunsul la incident trebuie sa fie rapid, altfel riscul ca atacul sa aiba succes si sa provoace pagube creste semnificativ.
Checklist-ul de mai jos enumera cei mai importanti pasi care trebuie sa fie facuti in modul in care este tratat un incident de securitate. In functie de natura atacului si de tipul acestuia, precum si de pregatirea analistilor de securitate, acesti pasi pot fi urmati in intregime sau unii dintre ei pot fi sariti.
ACTIUNE – DETECTIE SI ANALIZA
- Determina daca a avut loc un incident
- Analizeaza precursorii atacului si indicatorii de compromitere
- Coreleaza evenimentele (loguri, alerte, tichete din parte utilizatorilor)
- Cauta informatii despre potentialele semne de atac (Google, site-uri ca https://nvd.nist.gov sau site-urile vendorilor solutiilor de securitate folosite de organizatie)
- De indata ce un analist crede ca intra-adevar are loc un incident, documenteaza investigatia si colecteaza probe si dovezi
- Prioritizeaza raspunsul la incident in functie de factori precum impactul asupra functionalitatii serviciilor, efortul necesar pentru restaurarea functionalitatii, impactul asupra credibilitatii organizatiei, etc.
- Raporteaza evenimentul personalului intern corespunzator si organizatiilor externe relevante
ACTIUNE – IZOLARE, ERADICARE SI RECUPERARE
- Obtine, conserva si securizeaza probele si dovezile colectate in etapa anterioara
- Izoleaza incidentul
- Eradicheaza incidentul
- identifica si rezolva toate vulnerabilitatile care au fost exploatate
- inlatura malware-ul de pe sistemele afectate
- daca sunt detectate mai multe statii afectate (noi infectii cu malware), se revina la etapa de detectia si analiza pentru a identifica toate statii afectate, apoi se trece la izolare si eradicare
- Recuperarea dupa incident
- Sistemele afectate vor fi aduse intr-o stare de functionare anterioara incidentului
- Confirma ca statiile afectate functioneaza normal
- Implementeaza masuri de monitorizare pentru a detecta posibile activitati malitioase ulterioare
ACTIUNE – ACTIVITATE POST INCIDENT
- Creaza un raport de follow-up care documenteaza natura incidentului, vectorul de atac, resursele afectate
- Tine o sedinta de tipul “Ce am invatat din acest incident” cu toate partile relevante
- Implementeaza masuri de securitate care sa previna incidente similare pe viitor
Mihai Dumitrascu, Sr Systems Engineer