Tip č. 1: Každá vteřina se počítá

Když je organizace napadena, záleží na každé vteřině. Existuje ale řada důvodů, proč týmům může trvat reakce příliš dlouho. Nejčastějším je, že nechápou závažnost situace, ve které se ocitly, a tato nedostatečná informovanost vede k pomalé reakci. Útočníci zpravidla udeří v nejnevhodnější dobu - o svátcích, o víkendech a uprostřed noci. Vzhledem k tomu, že většina týmů pro reakci na incidenty má nedostatek pracovníků, může to pochopitelně vést k přístupu „zítra se k tomu dostaneme“. Ale zítra už může být pro minimalizaci dopadu útoku pozdě.

Tip č. 2: Neunáhlete se

Při reakci na bezpečnostní incident nestačí jen léčit symptomy. Důležité je léčit nemoc samotnou. Když je zjištěna hrozba, je třeba nejprve provést okamžité vyšetření útoku. To může zahrnovat odstranění spustitelného souboru ransomwaru nebo bankovního trojského koně či zablokování exfiltrace dat. Často se však stává, že bezpečnostní týmy zastaví prvotní útok, ale neuvědomí si, že ve skutečnosti nevyřešily jeho hlavní příčinu. Úspěšné odstranění malwaru a odstranění výstrahy ještě neznamená, že útočníkovy aktivity byly z prostředí odstraněny. Je také možné, že to, co bylo zjištěno, byl pouze test útočníka, aby zjistil, proti jaké obraně stojí. Pokud má útočník stále přístup do vašeho prostředí, pravděpodobně zaútočí znovu, často destruktivněji.

Tip č. 3: Mějte přehled

Při navigaci v případě útoku není nic, co by obranu organizace ztěžovalo víc než let naslepo. Je důležité mít přístup ke správným a kvalitním datům, která umožňují přesně identifikovat potenciální signály útoku a určit jeho hlavní příčinu. Efektivně pracující bezpečnostní týmy shromažďují správná data, která včas signalizují podezřelé chování v síti, dokážou tyto signály oddělit od šumu a vědí, které signály jsou nejdůležitější a je třeba jim dát přednost.

Tip č. 4: Nestyďte se požádat o pomoc

Žádná organizace nechce řešit pokusy o narušení bezpečnosti. Při reakci na bezpečnostní incidenty však zkušenosti nic nenahradí. V praxi to často vypadá tak, že reakcí na bezpečnostní incidenty jsou pověřeny IT týmy, které jsou pod vysokým tlakem vrženy do situací, na jejichž řešení jednoduše nemají schopnosti; a hovoříme zde o situacích, které mají často obrovský dopad na podnikání. Nedostatek kvalifikovaných zdrojů pro vyšetřování incidentů a reakci na ně je jedním z největších problémů, kterým dnes odvětví kybernetické bezpečnosti čelí. Tento problém je velmi rozšířený, což dokládá i studie společnosti ESG Research, podle které „34 % res­pon­den­tů uvádí, že jejich největším problémem je nedostatek kva­li­fi­ko­va­ných zdrojů pro vyšetřování kybernetických útoků pos­ti­hu­jí­cích koncové body s cílem určit základní příčinu a řetězec útoku“.

Tento nedostatek dal prostor ke vzniku nové alternativy v podobě řízených bezpečnostních služeb. Konkrétně se jedná o službu řízené detekce a reakce na hrozby (MDR), která nabízí outsourcing bezpečnostních operací zajišťovaných týmem specialistů a funguje jako prodloužená ruka bezpečnostního týmu zákazníka. Tyto služby, např. služba Sophos Managed Threat Response (MTR), kombinují lidmi v reálném čase vedené vyšetřování, vyhledávání a monitorování hrozeb a reakci na incidenty se souborem technologií pro shromažďování a analýzu zpravodajských informací. Podle společnosti Gartner¹ „do roku 2025 bude 50 % organizací využívat služby MDR“, což signalizuje trend, že si organizace uvědomují, že budou při provozování kompletního programu bezpečnostních operací a reakcí na incidenty potřebovat pomoc.

Služba Sophos Rapid Response

Pro organizace, které reagují na aktivní útok a nevyužívají služby MDR, jsou služby specialistů na reakci na incidenty vynikající volbou. Specialisté pro reakci na incidenty se zapojují v případě, že je interní bezpečnostní tým přetížen a potřebuje externí odborníky, kteří útok vyhodnotí a zajistí neutralizaci protivníka. I organizace, které mají tým kvalifikovaných bezpečnostních analytiků, mohou využít spolupráce se službou reakce na incidenty, jako je Sophos Rapid Response, aby doplnily mezery v pokrytí, typicky například v noci, o víkendech či svátcích, a specializované role, které jsou při reakci na incidenty potřeba a na které zpravidla nejsou běžní IT a bezpečnostní pracovníci vycvičeni.

¹⁾ Gartner, Market Guide for Managed Detection and Response Services, 26. srpna 2020, Analytici: Toby Bussa, Kelly Kavanagh, Pete Shoard, John Collins, Craig Lawson, Mitchell Schneider