Пришло время подготовиться к завтрашнему реагированию на инцидент. Это не то, что было вчера, и компании, которые не понимают разницы, могут оказаться в отчаянном положении, когда произойдет бедствие.

Ассоциация реакция на инцидент пейзаж сильно изменился за последний год. Отчасти это связано с изменением моделей работы, когда люди перешли на гибридную работу. Большее изменение связано с изменением отношения страховых компаний и, в некоторой степени, бизнес-клиентов.

Страховщики и клиенты тщательно проверяют безопасность
Страховщики напуганы ростом числа выплаты, связанные с кибербезопасностью принимают более активное участие в реагировании на инциденты. Мы видели, как некоторые требовали привлечения своего предпочтительного партнера по кибербезопасности, когда клиент сообщал об инциденте в качестве условия подачи претензии. Другие ограничивают свою ответственность, вводя положения, исключающие клиентов из сферы покрытия в первые часы или дни инцидента.

Компании также сталкиваются с давлением со стороны своих бизнес-клиентов, которые требуют уделять больше внимания кибербезопасности. Безопасность цепи поставок стал центром внимания для большего количества компаний с тех пор, как SolarWinds и Касея терпит поражение, в котором скомпрометированные продукты создали проблемы для тысяч последующих пользователей. Это привело к тому, что все больше компаний потребовали от своих поставщиков подтверждения надлежащего круглосуточного покрытия кибербезопасности, и это создало более широкий круг ответственности для страховщиков, которые необходимо учитывать при определении покрытия.

Планы реагирования на инциденты должны быть адаптированы
Что это значит для группы реагирования на инциденты? Наиболее важным элементом является повышенное внимание к скорости. Это, в свою очередь, подчеркивает необходимость сосредоточиться на инцидентах более ранней стадии, которые могут предшествовать серьезному взлому. Целью является реагирование на «небольшие» инциденты до того, как они станут «крупными» событиями.

Жертвы атак, не охваченные в течение первых часов инцидента, должны реагировать быстро, чтобы ограничить финансовые последствия. К сожалению, злоумышленники усложняют задачу.

Преступники-вымогатели наиболее активны в нерабочее время. Они знают, что в это время службы безопасности будут плохо укомплектованы, если они вообще будут в офисе. Партнер Nuspire Cybereason недавно опрошенных 1,200 компаний, подвергшихся атаке программ-вымогателей в нерабочее время. Половина из них в результате реагировала медленнее, отчасти потому, что было сложно собрать членов команды в выходные или праздничные дни, даже при наличии плана реагирования на инциденты. По словам респондентов, это часто приводило к увеличению потерь доходов от атак программ-вымогателей.

Некоторые навыки, такие как цифровая криминалистика, вообще трудно внедрить внутри компании. Эти специализированные навыки редко используются, но они имеют решающее значение, когда это необходимо.

Компаниям нужен континуум реагирования на инциденты
Существует два уровня реагирования на инциденты. Первый — тот, который понимает большинство компаний: реакция на громкие, грандиозные события. Это вещи, которые не дают вам спать по ночам: кража записей о клиентах, катастрофа программы-вымогателя или компрометация деловой электронной почты, которая выкачивает миллионы долларов из казны компании. Это можно рассматривать как традиционное «реагирование на крупные инциденты».

Другой тип реагирования на инциденты включает в себя более мелкие изолированные события. Это может быть заражение одного ноутбука программой-вымогателем, одно фишинговое письмо или единичный случай несанкционированного доступа. Люди часто относятся к ним как к повседневным инцидентам — эпизодам, которые раздражают администраторов, но которые рано или поздно решаются. Некоторые считают это мелочью, над которой не нужно париться.

Это уже не так. Программы-вымогатели и другие формы вредоносных программ теперь распространяются быстрее, чем когда-либо. Сегодняшний единичный инцидент может стать катастрофой завтрашнего утра.

Страховщики и клиенты все больше понимают это и хотят доказательств того, что вы решаете эти проблемы, чтобы избежать крупных нарушений позже. Это означает, что реагирование на инцидент больше не является дискретным процессом; это континуум, который начинается с первого оповещения об инциденте (и, надеюсь, заканчивается там).

Мы также должны лучше понимать, что происходит на другом конце спектра реагирования на инциденты, когда могут вмешаться страховые компании. Это начинается еще до того, как специалисты-криминалисты приступят к делу.

Четкое общение со страховыми компаниями перед крупными инцидентами имеет решающее значение для понимания их ожиданий. Так же как и понимание законности процесса реагирования на инциденты, включая то, с кем жертва связывается в первую очередь. Например, страховщики могут потребовать, чтобы жертва сначала связалась с ними, но сначала разговор с адвокатом может сделать некоторую информацию конфиденциальной, чтобы предотвратить ее раскрытие позже. Есть нюансы и в том, что говорит потерпевший. Даже использование слова «нарушение» в общении может привести к установлению крайнего срока для информирования регулирующих органов или клиентов.

Компании должны создать сильную команду с четкой цепочкой подчинения, чтобы все понимали, у кого есть контроль в условиях кризиса. Затем эти команды должны проводить регулярные командные учения для отработки сценариев крупных нарушений. Важно знать, кто что делает.

Компании должны справиться с этим, особенно учитывая необходимость быть столь же усердными в нерабочее время. Сейчас, как никогда раньше, когда дело доходит до решения проблем кибербезопасности, скорость имеет решающее значение.

• Коинсмарт. Лучшая в Европе биржа биткойнов и криптовалют.
• Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. БЕСПЛАТНЫЙ ДОСТУП.
• КриптоХок. Альткоин Радар. Бесплатная пробная версия.
• Источник: https://www.darkreading.com/vulnerabilities-threats/why-it-s-time-to-rethink-incident-response.