3 Panduan untuk Membangun Rencana Respons Insiden yang Lebih Baik

Pandemi COVID-19 telah menyoroti kebutuhan mendesak bagi organisasi keamanan untuk menerapkan rencana respons insiden yang terstruktur, terperinci, dan dipraktikkan dengan baik. Sementara dinding organisasi telah meluas dari kantor perusahaan ke ruang keluarga karyawan, efektivitas kontrol keamanan telah melemah di atas jaringan rumah dan aset yang tidak dikelola. tapak. Konser aktivitas ancaman yang meningkat dan visibilitas yang berkurang menjadikannya penting bagi organisasi untuk menginvestasikan waktu dalam mengembangkan rencana respons insiden yang efektif untuk mengurangi dampak bisnis jika organisasi mereka mengalami kompromi yang signifikan.

Untuk itu, mari kita bahas blok bangunan utama untuk membangun dan menguji rencana respons insiden yang efektif.

Blok Bangunan Utama untuk Respons Insiden yang Efektif

Tujuan utama dari rencana respons insiden adalah untuk meminimalkan dampak bisnis dan operasional dari insiden keamanan, tentu saja. Meskipun sangat penting untuk program keamanan secara keseluruhan, rencana IR melampaui pengembangan pemantauan keamanan yang efektif untuk menjaga ancaman, seperti meningkatkan otomatisasi pusat operasi keamanan (SOC) dan manajemen peringatan, dan mereka mengasumsikan status pasca-kompromi untuk menggambarkan bagaimana sebuah organisasi merespons secara holistik ketika aktor ancaman jahat hidup bersama dalam lingkungan jaringan.

Kontrol keamanan adalah komponen penting untuk strategi pertahanan yang berarti, tetapi bukan pengganti untuk berinvestasi dalam rencana IR untuk menangani peristiwa siber yang signifikan. Secara keseluruhan, proses perencanaan memberi ruang bagi organisasi untuk menilai program mereka, membangun hubungan dengan vendor pihak ketiga, dan membangun respons mereka sebelum potensi pelanggaran untuk memaksimalkan kualitas keputusan alih-alih menetapkan kecepatan keputusan.

1: Menilai Program Anda

Salah satu elemen inti untuk membangun rencana respons insiden yang berkualitas adalah keterusterangan. Ini membutuhkan evaluasi objektif kasus penggunaan sensitif waktu yang muncul dari insiden keamanan dan menentukan apakah bangku Anda saat ini sesuai dengan tugas. Pertanyaan kunci untuk diajukan meliputi:

<

ul>

  • Jika tim keamanan saya diberi tahu tentang aktivitas jahat, apakah mereka memiliki keterampilan, pelatihan, alat, dan proses untuk menyelidiki, mendokumentasikan, dan mengomunikasikan insiden secara efektif kepada pemangku kepentingan internal?liu

    <

    ul>iApakah organisasi saya memiliki kemampuan untuk secara cepat menanggapi dan memulihkan ancaman aktif?liu

    <

    ul>iKapan kita akan menjalankan rencana tanggap-insiden kita? Apakah ada persyaratan pengungkapan atau pelaporan publik khusus untuk organisasi saya?liu

      iApakah kita memiliki rencana komunikasi internal dan eksternal yang sesuai saat aktivitas ancaman meningkat di suatu lingkungan?

    Penting untuk dicatat bahwa menjadi hebat dalam manajemen insiden tidak berarti melakukan semuanya sendiri . Mengajukan pertanyaan-pertanyaan sulit memandu organisasi untuk membangun hubungan, keterampilan, dan proses internal atau eksternal yang tepat untuk sepenuhnya diperlengkapi untuk tamu yang tidak diinginkan.

    2: Membangun Jembatan ke Mitra untuk Hasil yang Lebih Baik

    Mengevaluasi kasus penggunaan inti selama acara respons akan memandu proses perencanaan ke fase berikutnya; Relationships.

    Layanan keamanan terkelola dan mitra respons insiden dapat membantu memperkuat celah yang teridentifikasi di bangku keamanan Anda, tetapi manajemen insiden melampaui keamanan informasi untuk menyertakan penasihat hukum dan bahkan tim eksekutif.

    Banyak organisasi kesulitan mengatur waktu terkait komunikasi internal dan eksternal selama suatu kejadian. Membina kolaborasi antara keamanan informasi dan mitra hukum perusahaan akan membantu organisasi mengurangi ketidakpastian eskalasi untuk respons kualitas yang lebih tinggi. Ingat, rencana respons insiden bukan hanya tentang bit-and-byte, tetapi tentang meminimalkan risiko perusahaan secara keseluruhan yang mencakup pendefinisian pesan, eskalasi penegakan hukum, dan mematuhi persyaratan pengungkapan industri.

    Ini juga membantu jika perusahaan memiliki kontak utama untuk keadaan darurat, kriteria eskalasi yang menentukan tingkat keparahan atau prioritas insiden, cara untuk melacak seluruh proses dan setidaknya satu nomor konferensi yang selalu tersedia saat dibutuhkan.

    3: Menguji Proses

    Jika tiga “L” real estat adalah “lokasi, lokasi, lokasi,” tiga “Ps” dari rencana respons insiden adalah “latihan, praktik, praktik.” Rencana respons insiden memerlukan sponsor eksekutif, koordinasi penasihat hukum, dan respons keamanan informasi untuk pelaksanaan yang efektif.

    Rencana terbaik adalah yang diuji secara rutin melalui latihan di atas meja dengan semua pemangku kepentingan yang berpartisipasi dengan pembaruan rutin berdasarkan temuan latihan, perubahan lanskap ancaman, dan Pedoman ATT&CK NIST dan MITER. Keputusan berkualitas tertinggi seputar insiden selalu dibuat sebelum berada dalam panasnya pertempuran.

    Intinya: Berinvestasi

    Rencana respons insiden yang baik mengharuskan semua pemangku kepentingan untuk berinvestasi, dan memiliki praktik yang konsisten, dan pada akhirnya akan memudahkan organisasi untuk meminimalkan dampak bisnis. Keputusan berkualitas tinggi yang dirinci dalam rencana respons Anda mengarah pada pengurangan biaya insiden, karena kerugian akibat serangan siber atau ketidakpatuhan jauh lebih tinggi daripada berinvestasi dalam program, hubungan, dan proses yang tepat sebelumnya.

    Grant Oviatt adalah direktur respons insiden engagements di Red Canary.

    Nikmati wawasan tambahan dari komunitas Infosec Insiders Threatpost dengan mengunjungi situs mikro kami.

    SPECIAL EXECUTIVE BRIEFING:

    Keamanan siber untuk lingkungan multi-cloud sangat menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost pada Selasa, 16 November pukul 2 siang. ET untuk “Pengantar OSquery dan CloudQuery”, percakapan interaktif LIVE dengan Eric Kaiser, teknisi keamanan senior Uptycs, tentang bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.

    Daftar SEKARANG untuk acara LIVE dan kirim pertanyaan sebelumnya ke Becky Bracken dari Threatpost di [email protected]
    Tulis komentar
    Bagikan artikel ini:

  • Breachliu

    <

    ul>iCloud Securityliu

    <

    ul>iHacksliu

    <

    ul>iInfoSec Insiderliu

    <

    ul>iMobile Securityliu

      iKeamanan Web