Как выявлять инциденты безопасности и сообщать о них
В сегодняшнем обществе с сильными связями и интернетом компании все чаще вкладывают средства в управление инцидентами безопасности. Когда предотвращение проблемы становится невозможным, лучше всего сразу же предпринять правильные действия.
Вот как распознать инциденты безопасности, чтобы минимизировать их влияние.
Что такое нарушение безопасности?
Хотя эксперты по кибербезопасности иногда дают несколько разные определения инцидентов кибербезопасности, они обычно классифицируют их на два основных типа. Но, вообще говоря, инцидент безопасности – это любая попытка или успешное нарушение политик кибербезопасности и защитных механизмов компании, которое приводит к негативным последствиям. Примеры включают:
- Доказательства несанкционированного использования приложения или доступа к данным.
- Фишинговые атаки.
- Отчеты социальной инженерии.
- Взломанные учетные записи пользователей.
- Оповещения о несанкционированном использовании сети.
Какие бывают два типа инцидентов безопасности?
Угрозы безопасности не всегда приводят к проблемам. Например, сотрудник может оставить корпоративный ноутбук на заднем сиденье такси и через пять минут получить уведомление об оставленном имуществе. Анализ также может подтвердить маловероятность того, что ошибка привела к каким-либо скомпрометированным данным или взлому компьютера в этом коротком окне, особенно если оно защищено паролем.
В таких случаях событие безопасности – это наблюдаемое событие, которое может поставить под угрозу данные, сеть или компанию. Создание надежного плана реагирования на инциденты безопасности снижает вероятность того, что события безопасности станут инцидентами. Также может помочь обучение сотрудников.
Киберпреступник может рассылать фишинговые письма каждому члену команды в компании из 100 человек, что приводит к 100 событиям безопасности. Однако, если ни один сотрудник не попадется на эту уловку, ни одно из происшествий не станет инцидентом безопасности с соответствующими последствиями.
Отличаются ли инциденты, связанные с нарушением конфиденциальности, от инцидентов, связанных с безопасностью?
Люди также должны знать о нарушениях конфиденциальности. Они часто обсуждаются отдельно от инцидентов безопасности, но, тем не менее, связаны между собой.
Нарушение конфиденциальности происходит из-за раскрытия регулируемых данных. Например, утечка данных, которая ставит под угрозу Личную информацию (PII) клиентов, попадает в эту категорию.
Все нарушения конфиденциальности также являются нарушениями безопасности. Однако инциденты безопасности не могут повлиять на регулируемые данные.
Нарушения данных – еще одна важная категория. Это подтвержденные случаи несанкционированного доступа к информации, которые часто становятся нарушениями конфиденциальности.
Как люди могут обнаружить потенциальные нарушения безопасности?
Знаки, предупреждающие об инцидентах безопасности, бывают нескольких разновидностей. Например, во время одной атаки на водозабор супервизор увидел, что курсор мыши двигается сам по себе, и заметил, что кто-то удаленно поднял уровень щелока. Однако происходящие кибератаки не всегда так очевидны. Кто-то может увидеть немного более высокий уровень сетевого трафика, но не считает, что это требует дальнейшего расследования.
Отсутствие данных – еще один предупреждающий знак о возможной кибератаке. Однако это не всегда признак неприятностей. Если кто-то просто не может найти один файл, возможно, они забыли его сохранить или случайно поместили не в то место.
Проблема усугубляется, если люди сообщают о потере всех своих файлов.
Точно так же атаки программ-вымогателей происходят, когда хакеры блокируют все файлы в сети и требуют оплаты за их восстановление. В таких случаях люди видят сообщения, которые явно подтверждают атаку и инструктируют, как отправить деньги. Однако сначала они могут увидеть другие сообщения.
Когда атака с использованием программ-вымогателей нанесла ущерб ирландской службе здравоохранения , она началась, когда сотрудник щелкнул ссылку, чтобы получить помощь после того, как компьютер перестал работать.
Также проблематично, если многие люди сообщают о внезапной невозможности доступа к своим учетным записям. Кроме того, они могут получать электронные письма с сообщениями об изменении адреса электронной почты или пароля, несмотря на то, что не редактировали данные учетной записи.
Что наиболее важно сделать, если вы подозреваете нарушение безопасности?
Когда люди подозревают инцидент с безопасностью, они могут сразу почувствовать себя подавленными и не знать, что делать в первую очередь.
Наиболее подходящим начальным ответом на инциденты безопасности во всех случаях является сообщение о ситуации правильной стороне. Затем ответственные лица могут предпринять быстрые действия, чтобы ограничить потерю данных и возможное время простоя. Они также получат подробную информацию для отчета об инциденте безопасности от любого, кто знает о том, что произошло.
Руководители компании должны максимально упростить людям возможность делиться деталями предполагаемых инцидентов. Одна из возможностей – включить ссылку на форму инцидента в нижнем колонтитуле каждого электронного письма. Другой вариант – разместить номера телефонов для сообщений об инцидентах безопасности на видных местах, таких как комнаты отдыха, туалеты и лифты.
Как только группа безопасности подтверждает инцидент безопасности, им может потребоваться уведомить внешние стороны, такие как сотрудники правоохранительных органов или национальные регулирующие органы. Например, у компаний, работающих или обслуживающих клиентов в ЕС, есть 72 часа на то, чтобы проинформировать регулирующие органы, узнав о нарушениях.
Почему управление инцидентами безопасности эффективно
Не существует единого гарантированного способа остановить все нарушения безопасности. Вот почему большинство подходов сосредоточено на реагировании на инциденты безопасности и управлении ими.
Создание плана реагирования на инциденты – отличный первый шаг к охвату всех баз.
Наличие одного увеличивает шансы на быстрое восстановление компании после возникновения проблемы. Это также ограничивает вероятность повторения инцидента. Компаниям следует придерживаться нескольких авторитетных концепций.
Они включают действия по подготовке к будущему инциденту, его выявлению и анализу, сдерживанию и устранению угрозы и предотвращению будущих проблем.
Эти формальные инциденты в основном относятся к людям, работающим в организациях, в которых действуют средства предотвращения инцидентов в области кибербезопасности. Это связано с тем, что управление инцидентами безопасности работает хорошо только тогда, когда каждый человек имеет четко определенную роль в смягчении инцидентов и понимает, как ее выполнять.
Управление инцидентами безопасности – ответственность каждого
Человек по-прежнему может играть решающую роль в реагировании на инциденты безопасности, работая не в сфере кибербезопасности. Их обязанности могут просто распространяться на сообщение о проблеме руководителю и выключение их компьютера; Тем не менее, эти, казалось бы, незначительные действия могут снизить серьезность инцидента кибербезопасности.
Кроме того, каждый должен предпринять личные действия, чтобы ограничить доступ хакера. Может помочь установка уникальных сложных паролей, а также использование многофакторной аутентификации, когда это возможно.
Инциденты в области безопасности, вероятно, станут еще более заметными по мере того, как мир становится все более зависимым от цифровых технологий. Однако представленная здесь информация может помочь людям стать более активными в их предотвращении.