Tipy vycházejí z reálných zkušeností týmů Sophos Managed Threat Response a Sophos Rapid Response, které společně reagovaly již na tisíce kybernetických bezpečnostních incidentů.

Tip č. 1: Každá vteřina se počítá

Když je organizace napadena, záleží na každé vteřině. Existuje ale řada důvodů, proč týmům může trvat reakce příliš dlouho. Nejčastějším je, že nechápou závažnost situace, ve které se ocitly, a tato nedostatečná informovanost vede k pomalé reakci. Útočníci zpravidla udeří v nejnevhodnější dobu - o svátcích, o víkendech a uprostřed noci. Vzhledem k tomu, že většina týmů pro reakci na incidenty má nedostatek pracovníků, může to pochopitelně vést k přístupu „zítra se k tomu dostaneme“. Ale zítra už může být pro minimalizaci dopadu útoku pozdě.

Tip č. 2: Neunáhlete se

Při reakci na bezpečnostní incident nestačí jen léčit symptomy. Důležité je léčit nemoc samotnou. Když je zjištěna hrozba, je třeba nejprve provést okamžité vyšetření útoku. To může zahrnovat odstranění spustitelného souboru ransomwaru nebo bankovního trojského koně či zablokování exfiltrace dat. Často se však stává, že bezpečnostní týmy zastaví prvotní útok, ale neuvědomí si, že ve skutečnosti nevyřešily jeho hlavní příčinu. Úspěšné odstranění malwaru a odstranění výstrahy ještě neznamená, že útočníkovy aktivity byly z prostředí odstraněny. Je také možné, že to, co bylo zjištěno, byl pouze test útočníka, aby zjistil, proti jaké obraně stojí. Pokud má útočník stále přístup do vašeho prostředí, pravděpodobně zaútočí znovu, často destruktivněji.

Tip č. 3: Mějte přehled

Při navigaci v případě útoku není nic, co by obranu organizace ztěžovalo víc než let naslepo. Je důležité mít přístup ke správným a kvalitním datům, která umožňují přesně identifikovat potenciální signály útoku a určit jeho hlavní příčinu. Efektivně pracující bezpečnostní týmy shromažďují správná data, která včas signalizují podezřelé chování v síti, dokážou tyto signály oddělit od šumu a vědí, které signály jsou nejdůležitější a je třeba jim dát přednost.

Tip č. 4: Nestyďte se požádat o pomoc

Žádná organizace nechce řešit pokusy o narušení bezpečnosti. Při reakci na bezpečnostní incidenty však zkušenosti nic nenahradí. V praxi to často vypadá tak, že reakcí na bezpečnostní incidenty jsou pověřeny IT týmy, které jsou pod vysokým tlakem vrženy do situací, na jejichž řešení jednoduše nemají schopnosti; a hovoříme zde o situacích, které mají často obrovský dopad na podnikání. Nedostatek kvalifikovaných zdrojů pro vyšetřování incidentů a reakci na ně je jedním z největších problémů, kterým dnes odvětví kyber­ne­tic­ké bezpečnosti čelí. Tento problém je velmi rozšířený, což dokládá i studie společnosti ESG Research, podle které „34 % respondentů uvádí, že jejich největším problémem je nedostatek kvalifikovaných zdrojů pro vyšetřování kybernetických útoků postihujících koncové body s cílem určit základní příčinu a řetězec útoku“.

Tento nedostatek dal prostor ke vzniku nové alternativy v podobě řízených bezpečnostních služeb. Konkrétně se jedná o službu řízené detekce a reakce na hrozby (MDR), která nabízí outsourcing bezpečnostních operací zajišťovaných týmem specialistů a funguje jako prodloužená ruka bezpečnostního týmu zákazníka. Tyto služby kombinují lidmi v reálném čase vedené vyšetřování, vyhledávání a monitorování hrozeb a reakci na incidenty se souborem technologií pro shromažďování a analýzu zpravodajských informací. Podle společnosti Gartner „bude 50 % organizací do roku 2025 využívat služby MDR“, což signalizuje trend, že si organizace uvědomují, že budou při provozování kompletního programu bezpečnostních operací a reakcí na incidenty potřebovat pomoc.