Az Egyesült Államokban működő Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség, azaz a CISA (Cybersecurity & Infrastructure Security Agency) nemrégiben adott ki egy közös kiberbiztonsági tanácsadást (CSA) a világ több országában, hogy figyelmeztesse a felhő alapú szolgáltatásokat nyújtó szolgáltatókat (MSP) a kibertámadások növekvő veszélyére. A tájékoztató arra figyelmeztet, hogy a rosszindulatú szereplők - köztük az államilag támogatott fenyegető csoportok - megpróbálhatják kihasználni a sebezhető szolgáltatókat, hogy hozzáférjenek azok ügyfeleinek adataihoz és üzleti folyamataihoz.
Jens Bothe is egyetért ezzel, aki a STORM SOAR szoftver terméktulajdonosaként és az OTRS Group információbiztonsági alelnökeként figyelemmel kíséri az IT-biztonsági helyzetet:
"Jelenleg nemcsak a különböző fogyasztói területeken történt biztonsági incidensek száma nőtt meg, hanem magukat a szoftver- és IT-ellátási láncokat is egyre több támadás éri. Legutóbb ez a Log4Shell sebezhetőséggel kezdődött, és egészen a nulladik napi kihasználásokig tartott egyes IT-gyártóknál. A támadók itt a szoftverellátási láncon belüli sebezhetőségeket használják ki, nem közvetlenül és konkrétan egyes vállalatokat célozva, hanem a széles körben használt szoftverkomponensek elterjedésével és újrafelhasználásával igyekeznek kárt okozni."
A kibertámadások okozta károk csökkentése
Annak érdekében, hogy felkészüljenek erre a fokozott fenyegetettségi helyzetre, fontos, hogy az szolgáltatók és a vállalatok - a CSA ajánlásának megfelelően - felülvizsgálják és tovább növeljék biztonsági óvintézkedéseiket. Ennek során fontos, hogy ne csak a veszély elhárítására összpontosítsanak, hanem biztonsági incidens esetén a szükséges teendők előkészítésére és megfelelő rendszerekkel való támogatására is, hogy kibertámadás esetén gyorsan lehessen cselekedni. Így elkerülhető a felesleges káosz válság esetén, és a keletkező kár a lehető legalacsonyabb szinten tartható. A biztonsági incidensek szisztematikus kezelése a lehető legjobban felkészíti a vállalatokat és alkalmazottjaikat a biztonsági incidensek kezelésére. Az olyan hatékony rendszerek, mint a STORM powered by OTRS, támogatják a vállalatokat ebben a folyamatban.
Biztonsági incidensek kezelése 6 lépésben
Az automatizált folyamatok segítenek a biztonsági incidensekkel foglalkozó csapatoknak, hogy optimálisan reagáljanak az incidensekre. A biztonsági incidensek kezelésének alapja egy olyan terv létrehozása, amelyben a feladatok és a felelősségi körök meghatározásra kerülnek. Az incidens esetére alkalmazandó reagálási tervben minden szükséges intézkedést meghatároznak, és a felelősségi köröket is egyértelműen megfogalmazzák - ehhez a következő fázisok ajánlottak:
1. Előkészítés: Incidenskezelési eszközök és folyamatok biztosítása
A bevált legjobb gyakorlatok alapján minden fontos fázist megfelelő eszközzel határozunk meg. Így egy biztonsági incidens esetén rövid idő alatt összegyűjthetők a válaszadáshoz szükséges információk. Az összes érintett fél közötti kommunikáció előkészíthető, és az elérhetőségi információk készenlétbe helyezhetők.
2. Elemzés és azonosítás: Annak eldöntése, hogy történt-e biztonsági incidens
A naplókezelő rendszerek, IDS/IPS, fenyegetésmegosztó rendszerek, valamint a tűzfalnaplók és a hálózati tevékenység adatainak elemzése segít a biztonsági incidensek osztályozásában. Ha egy fenyegetést azonosítottak, azt dokumentálni kell, és a megállapított irányelveknek megfelelően kommunikálni kell.
3. Megállítás: A terjedés megfékezése és a további károk megelőzése
A legnagyobb szerepet annak eldöntése játssza, hogy melyik stratégiát alkalmazzuk. A fő kérdés az, hogy milyen sebezhetőség tette lehetővé a behatolást. A gyors elhárítás, például egy hálózati szegmens elszigetelése sok incidens esetén az első lépés, majd gyakran igazságügyi elemzést kérnek az értékeléshez.
4. Megszüntetés: a biztonsági rések bezárása, a rosszindulatú programok megszüntetése
Miután a potenciális fenyegetést sikerült megfékezni, meg kell találni a biztonsági incidens kiváltó okát. Ehhez minden rosszindulatú programot biztonságosan el kell távolítani, a rendszereket javítani kell, frissítéseket kell alkalmazni, és szükség esetén frissíteni kell a szoftvereket. Tehát a rendszereket a legújabb javítási szintre kell frissíteni, és olyan jelszavakat kell kiosztani, amelyek megfelelnek az összes biztonsági követelménynek.
5. Helyreállítás: Rendszerek és eszközök újraindítása
A rendszer normál működésének visszaállításához folyamatosan ellenőrizni kell, hogy minden rendszer az elvárásoknak megfelelően működik-e. Ezt hosszabb időn át tartó teszteléssel és nyomon követéssel lehet biztosítani. Ebben a fázisban az incidensre reagáló csoport meghatározza, hogy mikor áll helyre a működés, és hogy a fertőzött rendszerek teljes mértékben megtisztultak-e.
6. Tanulságok: Tisztázzuk, mi ment jól és mi nem
Az 5. fázist követően az összes érintett fél részvételével záró megbeszélést kell tartani. Itt tisztázni kell a nyitott kérdéseket, és véglegesen le kell zárni a biztonsági incidenst. Az eszmecsere során szerzett tapasztalatok alapján a jövőbeni incidensekre vonatkozó fejlesztések azonosíthatók és meghatározhatók.
A STORM powered by OTRS egy biztonsági incidenskezelő szoftver, amely támogatja a biztonsági incidensek összehangolását és automatizálását. Automatizál minden folyamatot a figyelmeztetéstől a válaszadásig, és biztosítja, hogy az összes érintett ember, eszköz és szolgáltatás együtt tudjon működni a vállalaton belüli gyors incidenskezelés érdekében.
