Search

Säkra före det osäkra – The golden hour of Incident Response

Incident response

Kamp eller flykt

Spring skrikande iväg när utomjordingarna landar, tryck på panikknappen när alla servrar går ner, beordra en omedelbar attack när du blir beskjuten... Det är bara en vanlig filmscen där beslutet att slåss eller fly fattas.  

Men innan någon åtgärd vidtas brukar det finnas en paus. En stillbild där karaktären tittar förvånat på scenen, bedömer situationen och bestämmer sig för vad som är det bästa alternativet. 

Detta är likadant i verkliga kamp- eller flygsituationer, eftersom vår kropp och vårt sinne bara behöver några sekunder för att bestämma sig för vad som är den bästa åtgärden. Stanna kvar och slåss eller släppa allt och fly. 

Vid en kritisk cybersäkerhetsincident är det oftast inte ett klokt beslut att springa iväg. Men för att kunna bestämma hur man ska agera i situationen lönar det sig att ha några åtgärder på plats som du vet att du kan lita på. Det förbättrar din förmåga att bekämpa. Särskilt när det gäller kritiska cybersäkerhetsincidenter kommer en effektiv hantering av den första timmen att ha en enorm inverkan på hur problemet åtgärdas.

 

Förberedelse är viktigt

För att kunna reagera snabbt i kritiska situationer är det viktigt att ha tillräcklig kunskap om infrastrukturen, rollerna och ansvaret. IT-infrastrukturen har utvecklats snabbt under de senaste åren. Vi har till exempel sett en ökande övergång till molntjänster och datalagring. Den snabbt föränderliga IT-miljön kräver ofta att analytiker uppdaterar sina färdigheter, t.ex. genom att lära sig om molnsäkerhet

Därför måste analytikerna ha praktisk erfarenhet och upprätthålla en fullständig bild av topologin i alla system. I den verkliga världen bör externa CSIRT-analytiker snabbt identifiera alla tillgångar under deras ansvar. Samtidigt bör de interna CSIRT-analytikerna också aktivt delta i sårbarhetshanteringen och skanningsprocesserna. 

Förutom kunskap om den interna infrastrukturen och processerna måste analytikerna vara medvetna om de potentiella hot som företaget står inför. För att effektivt kunna förbereda sig för incidenthantering är kunskap om hotbilden mot cybersäkerheten avgörande.

Handla efter kunskapen

Om du har robusta rutiner och checklistor på plats kan det hjälpa dig att identifiera vad du ska göra under den första kritiska timmen. I många scenarier kan CSIRT-analytiker dock vara benägna att tappa bort information, inte kunna genomföra en lösning inom en begränsad tidsram och sakna operativ behörighet. I sådana situationer måste incidenthanteringsteamet ta saken i egna händer, tydligt uttrycka sina yrkeskunskaper och driva igenom sin verksamhet. 

Under den första timmen är tiden viktig. Precis som vid ett prov, där tiden är begränsad, ska du hoppa över de frågor som du inte kan svara på först. 

Numera förenklas ofta processen för att begränsa incidenter på grund av den allmänt antagna EDR-tekniken (Endpoint Detection and Response), som erbjuder möjligheter att begränsa nätverk med en knapptryckning. Men även med traditionella verktyg för att begränsa nätverket är det inte alltid lätt att begränsa nätverket. Människor väljer inte alltid det säkraste alternativet när det finns tillgängligt. Men som ordspråket säger, det är alltid bättre att vara säker än att vara ledsen!

 

Fortsätt att pussla och täta luckorna

Efter den första timmen kan det hända att det fortfarande saknas pusselbitar. Efter den första kritiska timmen är det en bra idé att ta sig tid att reflektera över alla möjligheter och göra en lista. 

I det här skedet måste du samla in så mycket data som möjligt från händelsen. Hur exakt har tjänsten äventyrats? Vilken information hade angriparna för att komma fram till detta stadium? Vad var deras exakta mål?  

Svaret på dessa frågor kommer att hjälpa till att åtgärda problemet och kommer också att stärka förfarandena och planerna för eventuella framtida scenarier.  

Under analysen efter intrånget kan CSIRT-analytiker då och då stöta på problem när det gäller att koppla ihop punkterna. Men sanningen kommer alltid att segra om man har tillräckligt med tålamod och rätt inställning.

 

Vad du bör tänka på gällande Incident Response

Sammanfattningsvis kräver en effektiv hantering av den viktiga timmen efter en kritisk händelse mer än att man lär sig på plats. 

Förutom tekniska specialiteter kommer erfarna CSIRT-analytiker också att dra nytta av omfattande förberedelser om sina tillgångar och sina motståndare, prioritering av uppgifter och snabba beslut när det behövs, samt att kunna urskilja jordnära fakta med hjälp av elimineringsprocessen.

Security Navigator

Detta är en berättelse från skyttegravarna som finns i Security Navigator. Där finns fler berättelser och andra intressanta saker, t.ex. redogörelser för nödinsatser och en kriminalforskares syn på utpressning på nätet, samt massor av fakta och siffror om säkerhetslandskapet i allmänhet. Hela rapporten kan laddas ner, så ta en titt. Det är värt det!

Ladda ner

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.