Jak używać NIST CSF 2.0 do identyfikacji luk w zabezpieczeniach? Część 5

Dotarliśmy do ostatniej funkcji NIST CSF 2.0 (Recover). Ta faza po wystąpieniu zagrożenia dotyczy tego, jak organizacje są przygotowane do radzenia sobie z naruszeniem i przywracania działalności do normalnego funkcjonowania. Duża część tej fazy obejmuje wstępne planowanie, testowanie i uruchamianie symulacji i jest ściśle powiązana z wieloma działaniami, które organizacje wdrażają w fazie 1.

Naruszenie (po wystąpieniu zagrożenia)

Organizacje muszą mieć odpowiedni plan radzenia sobie ze skutkami naruszenia, radzić sobie z konsekwencjami regulacyjnymi i prawnymi, utrzymywać ciągłość biznesową i odbudowywać zaufanie klientów. NIST CSF 2.0 określa kategorie i podkategorie, które pomagają organizacjom skupić się na opracowaniu odpowiedniego planu odzyskiwania.

Odzyskiwanie

Chociaż ta funkcja jest ostatnia w kolejności i zajmuje się skutkami incydentu, większość pracy powinna być wykonywana podczas fazy przygotowawczej. Aby właściwie poradzić sobie z odzyskiwaniem po naruszeniu, organizacje muszą mieć wdrożone plany i procesy, które zostały dokładnie przetestowane, aby zapewnić, że będą mogły „odzyskać” prawidłowo i szybko. Oto kluczowa lista rzeczy, które mogą pomóc organizacjom przygotować się do prawidłowego odzyskania po naruszeniu:

1. Utwórz plan odzyskiwania po awarii i ciągłości działania firmy (DR/BC)

• Ustal metryki do pomiaru odzyskiwania.
• Przygotowanie i przekazywanie informacji interesariuszom.
• Zintegruj plan odzyskiwania dla kluczowych interesariuszy biznesowych.

2. Testuj i waliduj plany i procesy

3. Przeprowadź analizę po incydencie.

4. Tworzenie i wdrażanie ulepszonych procedur bezpieczeństwa.

Opracowanie planu DR/BC

Opracowanie tego planu od podstaw zajmie większość pracy i prawdopodobnie będzie wymagało zaangażowania interesariuszy z różnych operacji biznesowych w organizacji. Jednak po zakończeniu utrzymanie planu jest prostsze i powinno wymagać mniej pracy.

Całkowity plan odzyskiwania powinien być przeglądany co najmniej raz w roku i aktualizowany lub dostosowywany, aby uwzględniać zmiany w środowisku biznesowym lub organizacyjnym, a także zmiany w krajobrazie cyberbezpieczeństwa i obecność nowych zagrożeń i typów ataków. Ponownie, ten plan powinien koncentrować się na wszystkich rzeczach, które organizacja musi zrobić, aby odzyskać się po incydencie i utrzymać ciągłość biznesową, minimalizując szkody i wpływ naruszenia w jak największym stopniu.

1. Zacznij od zdefiniowania zakresu działań odzyskiwania

• Na przykład: odzyskiwanie danych, przywracanie krytycznych systemów i przywracanie operacji biznesowych do działania.
• Odzyskiwanie sekwencji na podstawie wpływu na działalność biznesową i współzależności.
• Opracowanie procesów odzyskiwania i zarządzania dokumentacją konfiguracyjną.

2. Określ cele czasu odzyskiwania (RTO) i cele punktu odzyskiwania (RPO)

• RTO: Maksymalny dopuszczalny czas przestoju dla systemów krytycznych.
• RPO: Maksymalna dopuszczalna utrata danych mierzona w czasie (np. 4 godziny utraty danych).

3. Ustal role i obowiązki oraz zdefiniuj ścieżki eskalacji i uprawnienia decyzyjne

• Zespół reagowania na incydenty.
• Specjaliści ds. odzyskiwania danych IT.
• Właściciele danych.
• Zespół ds. komunikacji (do aktualizacji wewnętrznych i zewnętrznych).
• Kadra zarządzająca wyższego szczebla.

4. Wdrożenie prawidłowego procesu tworzenia kopii zapasowych, przywracania i odzyskiwania danych

• Określ lokalizację kopii zapasowych (lokalnie, w chmurze, poza siedzibą firmy).
• Określ częstotliwość i czas przechowywania kopii zapasowych.
• Upewnij się, że kopie zapasowe są szyfrowane i bezpieczne.
• Opracuj szczegółowe instrukcje krok po kroku dotyczące odzyskiwania danych z kopii zapasowych.
• Kontrole walidacyjne w celu zapewnienia integralności danych po przywróceniu.

5. Określ, jak radzić sobie z komunikacją (zarówno wewnętrzną, jak i zewnętrzną)

• Powiadom odpowiednie strony zainteresowane o postępach i harmonogramach odzyskiwania.
• Informuj klientów, partnerów i organy regulacyjne w razie potrzeby.
• Wstępnie zatwierdzone szablony komunikatów prasowych, FAQ i powiadomień.

6. Współpracuj z podmiotami trzecimi i innymi dostawcami rozwiązań zabezpieczających, którzy biorą udział w planie/procesie

• Współpracuj z dostawcami usług zarządzanych (MSP), dostawcami rozwiązań reagowania na incydenty i innymi interesariuszami.

7. Zdefiniuj zgodność i dokumentację prawną

• Upewnij się, że wszystkie działania odzyskiwania są zgodne z wymogami regulacyjnymi (np. GDPR, HIPAA).

Testowanie planu

Plan DR/BC jest tak dobry, jak skutecznie realizuje swoje cele. Jedynym sposobem, aby ustalić, czy plan jest solidny, jest przeprowadzanie częstych testów w ciągu roku, aby potwierdzić, że wdrożone procesy i plany będą skuteczne.

• Testowanie kopii zapasowych i odzyskiwanie danych.
• Przetestuj odzyskiwanie systemu, aby zapewnić ciągłość działania firmy.
• Przeprowadź ćwiczenia symulacyjne i scenariusze z życia wzięte, aby przetestować procesy odzyskiwania danych po naruszeniu.

Walidacja po odzyskaniu i ciągłe doskonalenie

Częścią planu powinny być kroki wymagane do weryfikacji odzyskiwania danych, zbadania i wdrożenia sposobów poprawy ogólnego bezpieczeństwa organizacji.

1. Po naruszeniu należy podjąć działania mające na celu ograniczenie skutków incydentu i przeanalizować przyczynę incydentu

• Upewnij się, że luki lub zagrożenia, które spowodowały incydent, zostały naprawione.
• Przeprowadź analizę przyczyn źródłowych i rozwiąż problemy przed pełnym odzyskaniem.
• Monitoruj ponowne zakażenie lub trwającą złośliwą aktywność.

2. Sprawdź, czy przywrócone systemy spełniają podstawowe wymogi operacyjne i bezpieczeństwa

• Potwierdź dokładność i integralność danych.
• Upewnij się, że wszystkie objęte procesy są funkcjonalne i skuteczne.

3. Zaktualizuj plan odzyskiwania na podstawie wniosków wyciągniętych z incydentu

• Zaplanuj regularne przeglądy i testy planu odzyskiwania.
• Uwzględnij opinie interesariuszy i symulacje.

Końcowe kroki i podsumowanie

Kiedy po raz pierwszy zabrałem się za pisanie tej serii blogów, moim zamiarem było po prostu udokumentowanie na papierze (cyfrowo) zestawu pomysłów i koncepcji na rzecz zbudowania udanego programu cyberbezpieczeństwa. Przez całą moją karierę w branży cyberbezpieczeństwa, obejmującą różne firmy i branże, jedną rzeczą, której się nauczyłem i która utkwiła mi w pamięci, jest ogólne pragnienie, aby organizacje i ludzie, którzy je tworzą, pomagali innym w walce z cyberzagrożeniami na wszelkie możliwe sposoby. W związku z tym moim celem stało się zapewnienie wskazówek każdemu w jego własnej podróży do walki z cyberzagrożeniami.

Chociaż istnieje wiele ram cyberbezpieczeństwa, wybrałem NIST CSF 2.0, ponieważ jest to ten, z którym mam największe doświadczenie i z którym współpracuję od wielu lat. Myślę również, że sposób organizacji funkcji jest podobny do sposobu, w jaki wizualizuję procesy opracowywania i wdrażania programu cyberbezpieczeństwa. Wiele pomysłów i sugestii, które omówiłem w tej serii, to rzeczy, których nauczyłem się i które zebrałem w trakcie mojej ponad 10-letniej kariery w cyberbezpieczeństwie.

Dla organizacji czytających tę serię, najważniejszym wnioskiem powinno być znalezienie ram i procesu, które najlepiej sprawdzą się w Twoim przypadku. Wybierz ramy cyberbezpieczeństwa, przejrzyj je i wykorzystaj jako przewodnik do przeprowadzenia uczciwej samooceny organizacji i jej obecnych praktyk bezpieczeństwa. Użyj tego do zidentyfikowania luk w zabezpieczeniach i jako punktu wyjścia do opracowania planu działania.

Mając pozory planu, oceń wewnętrzne możliwości swojej organizacji i dostępne zasoby. Wykorzystaj inne zasoby, które stworzyliśmy, aby pomóc ustalić, czy zbudowanie czegoś wewnętrznie jest konieczne i wykonalne, czy też partnerstwo z zewnętrznym dostawcą zabezpieczeń (takim jak Bitdefender, oferującym szereg usług bezpieczeństwa) jest korzystniejsze. Następnie wykonaj ten plan.

Mamy nadzieję, że ta seria wpisów na blogu okazała się edukacyjna, informacyjna i pożyteczna.

Jeśli przeczytałeś całą serię i szukasz pomocy we wdrożeniu tych najlepszych praktyk, skontaktuj się z nami już dziś, aby dowiedzieć się więcej na temat możliwości antywirusów Bitdefender.