CISA útmutató az incidenskezeléshez és sérülékenységek kezeléséhez
A Kiberbiztonsági és Infrastruktúra Biztonsági Ügynökség (CISA) új útmutatást adott ki a kiberbiztonsági incidensek és sérülékenységek kezelésére. A „playbook” szabványosított reagálási eljárásokat tartalmaz az ilyen fenyegetésekkel szembesülő szervezetk részére. A kiadvány része az USA kormányzati szándékának, hogy biztonságosabbá tegyék a saját rendszereiket, hogy hatékonyan fellépjenek a külső hatásokkal szemben és kialakítsák a megfelelő ellenállóképességet.Az eseménykezelési útmutató lefedi azokat a lépéseket, amelyeket a szervezeteknek meg kell tenniük egy kibertérből származó támadás esetén.
Az eseménykezelési útmutató egy adminisztratív eljárási rendszerrel kezdődik, amely segítségével ki lehet alakítani a szervezeti szabályozást. Ez a rész tartalmazza az eljárások dokumentálását, a kártékony tevékenységek észlelésére szolgáló rendszerek bevezetését, az emberi tényezőt figyelembe vevő biztonság kialakítását, a felhasználók biztonságtudatossági képzését, valamint a fenyegetéselemzési adatok felhasználását.
A fenyegetéselemzési részben az azonosított események bejelentési rendjét és az megfelelő naplózási és vizsgálati eljárásokat ismerteti a CISA.
A következő lépés az elszigetelés, hogy a kártékony tartalom ne terjedjen tovább a hálózaton, ezzel biztosítva a forensic vizsgálat lehetőségét, ami biztosítja a SOC központnak a megfelelő IoC-kat, hogy képesek legyenek megtenni a megfelelő lépéseket. Ehhez tartozik a határvédelmi rendszerek frissítése, a hozzáférések korlátozása, a portok lezárása és a jelszavak, kulcsok cseréje.
A helyreállítás során a kompromittált informatikai rendszerek helyreállítása történik, a szükséges hardverek cseréjéve, bővítésével, optimális esetben a backup-okból a szoftverek adatok visszaállításával, valamint a támadókra utaló jelek keresése a hálózat egyéb részein és a biztonsági tesztelés. Ezt követi a rendszerek csatlakoztatása a hálózatokhoz és a rendellenes viselkedés figyelése.
Az incidens utáni lépések is fontosak, amelyek tartalmazzák az incidens dokumentálását, a vezetőség tájékoztatását, a jövőbeni incidensek megelőzésére irányuló intézkedéseket és a incidenskezelési tevékenységek javítását a tapasztalatfeldolgozással.
A sérülékenységek kezelésének útmutatója tartalmazza azt a folyamatot, amelyet követni kell a sürgős és kiemelt sérülékenységek kezelésekor. A dokumentum leírja az előkészítést, a sebezhetőségre való reagálási folyamatot, az azonosítást, az értékelést, a helyreállítást és a jelentési tevékenységeket. Az ajánlások közé tartozik a hatékony sebezhetőség-kezelési gyakorlatok követése, az aktívan kihasznált sebezhetőségekről szóló jelentések proaktív azonosítása, annak megállapítása, hogy létezik-e sebezhetőség a rendszerekben és mi annak a hatása a hálózatunkra. Ezt követi a sebezhetőségek javítása vagy hatásának enyhítése, valamint az információk megosztása a CISA-val, hogy az ügynökség szükség szerint megossza azt más szervezetekkel.