Čo je dôležité pre udržanie kontinuálnej schopnosti reakcie na bezpečnostný incident? Prakticky prosím.
Aby ste na vzniknutý bezpečnostný incident dokázali efektívne reagovať, je potrebné zabezpečiť niekoľko vecí.
Treba mať dobre premyslený, naplánovaný a odsúhlasený proces riadenia bezpečnostných incidentov, „ušitý“ na mieru. Kritické je, aby proces nebol iba formalitou, ale aby bol zavedený a používaný v praxi, pravidelne testovaný a revidovaný.
Ak máte správne zostavený, kvalifikovaný a dobre pripravený tím, bude schopný pri reakcii na incident rýchlo a efektívne spolupracovať.
Počas incidentu budete potrebovať na jeho identifikáciu, analýzu, riešenie a zdokumentovanie sadu nástrojov a technických prostriedkov. Nezabudnite na vzťahy a spoluprácu s tretími stranami, ako sú poskytovatelia IT či služieb kyber bezpečnosti, telekomunikační operátori, právnici, regulátori a podobne.
Vašu schopnosť reakcie na incident veľmi pravdepodobne otestujú skôr či neskôr priamo reálni útočníci. Nemusí to byť hneď kybernetická katastrofa s odstavením celej organizácie, ale ak máte pocit, že vo Vašej infraštruktúre sa nič podozrivého nedeje, odporúčame zlepšiť detekčné schopnosti.
Je metodika ITIL vhodná ako základ pri nastavení Security Incident Management procesu?
ITIL obsahuje zbierku best practices a rámcových návodov z oblasti IT služieb, a preto môže byť aj vhodným základom pre nastavenie procesu riadenia bezpečnostných incidentov. Ďalšou inšpiráciou môžu byť voľne dostupné publikácie Computer Security Incident Handling Guide od NIST a Good Practice Guide for Incident Management od ENISA. Je však veľmi dôležité si uvedomiť, že každá organizácia má vlastné špecifiká v oblasti bezpečnosti a preto by aj proces riadenia bezpečnostných incidentov mal byť „ušitý” na mieru.
Kto by mal podľa vášho názoru či skúsenosti tvoriť Incident Response tím, napríklad v spoločnosti spadajúcej pod zákon o kybernetickej bezpečnosti?
Základ incident response tímu budú určite tvoriť profesionáli z oddelenia IT a špecialisti na kybernetickú bezpečnosť. Aby však tím dokázal efektívne reagovať na rôzne typy situácií, mali by jeho členovia predstavovať širšiu paletu schopností a skúseností aj mimo IT. Nemali by tam chýbať zástupcovia z najvyššieho vedenia, právneho oddelenia, HR a špecialisti na externú aj internú komunikáciu. Výber rôl a ich obsadenia bude veľmi závisieť od povahy a veľkosti organizácie, jej služieb, činností, geografického záberu a ďalších faktorov. Vôbec nie je nevyhnutné, aby bola každá expertná rola v tíme obsadená interným zamestnancom. Je celkom bežné, že niektoré činnosti, napríklad krízová komunikácia, forenzné analýzy a podobne sa dopĺňajú externými dodávateľmi vopred kontrahovanými.
Ako si pri poskytovateľoch služby SOC as a service vie zákazník spoľahlivo overiť ich kompetentnosť ešte pred výberom?
Schopnosti a skúsenosti každého tímu SOC odporúčame overiť z niekoľkých pohľadov. Prvým je vyspelosť poskytovania a riadenia služieb kybernetickej bezpečnosti, ktorú reprezentujú relevantné certifikácie napríklad ISO 20000 a 27000 a členstvá v renomovaných organizáciách ako sú TF-CSIRT Trusted Introducer a FIRST. Druhým faktorom môžu byť doterajšie skúsenosti SOC tímu a spokojnosť klientov s ich službami. Tie si môžete overiť tak, že si vyžiadate referencie od súčasných či minulých zákazníkov SOC poskytovateľa. Tretím aspektom je odbornosť, ktorá sa tradične overuje technickými certifikátmi členov SOC tímu. Odporúčame ju však doplniť aspoň o jednu osobnú návštevu v poskytovateľovom SOCu, spojenú s technickou diskusiou napríklad o riešení modelových incidentov s jeho špecialistami. Pomôže vám to doplniť formálne kvalifikácie o ľudský rozmer a aspoň čiastočne získať predstavu, ako by spolupráca v realite vyzerala.
Martin Lohnert riaditeľ centra kybernetickej bezpečnosti Void SOC Soitron
