Hlavní strana -> Zprávy
Aktuality -> Podnikové aplikace a služby - 13. 4. 2022

Čtyři základní rady od odborníků na řešení bezpečnostních incidentů

Sophos Managed Threat ResponseReakce na kritický kybernetický útok může být neuvěřitelně stresující a intenzivní. Ačkoli nic nemůže zcela zmírnit tlak spojený s řešením útoku, pochopení těchto klíčových tipů od odborníků na reakci na bezpečnostní incidenty pomůže vašemu týmu získat výhody při obraně vaší organizace. Tipy vycházejí z reálných zkušeností týmů Sophos Managed Threat Response a Sophos Rapid Response, které společně reagovaly již na tisíce kybernetických bezpečnostních incidentů.



Tip č. 1: Každá vteřina se počítá

Když je organizace napadena, záleží na každé vteřině. Existuje ale řada důvodů, proč týmům může trvat reakce příliš dlouho. Nejčastějším je, že nechápou závažnost situace, ve které se ocitly, a tato nedostatečná informovanost vede k pomalé reakci. Útočníci zpravidla udeří v nejnevhodnější dobu - o svátcích, o víkendech a uprostřed noci. Vzhledem k tomu, že většina týmů pro reakci na incidenty má nedostatek pracovníků, může to pochopitelně vést k přístupu „zítra se k tomu dostaneme“. Ale zítra už může být pro minimalizaci dopadu útoku pozdě.

Tip č. 2: Neunáhlete se

Při reakci na bezpečnostní incident nestačí jen léčit symptomy. Důležité je léčit nemoc samotnou. Když je zjištěna hrozba, je třeba nejprve provést okamžité vyšetření útoku. To může zahrnovat odstranění spustitelného souboru ransomwaru nebo bankovního trojského koně či zablokování exfiltrace dat. Často se však stává, že bezpečnostní týmy zastaví prvotní útok, ale neuvědomí si, že ve skutečnosti nevyřešily jeho hlavní příčinu. Úspěšné odstranění malwaru a odstranění výstrahy ještě neznamená, že útočníkovy aktivity byly z prostředí odstraněny. Je také možné, že to, co bylo zjištěno, byl pouze test útočníka, aby zjistil, proti jaké obraně stojí. Pokud má útočník stále přístup do vašeho prostředí, pravděpodobně zaútočí znovu, často destruktivněji.

Tip č. 3: Mějte přehled

Při navigaci v případě útoku není nic, co by obranu organizace ztěžovalo víc než let naslepo. Je důležité mít přístup ke správným a kvalitním datům, která umožňují přesně identifikovat potenciální signály útoku a určit jeho hlavní příčinu. Efektivně pracující bezpečnostní týmy shromažďují správná data, která včas signalizují podezřelé chování v síti, dokážou tyto signály oddělit od šumu a vědí, které signály jsou nejdůležitější a je třeba jim dát přednost.

Tip č. 4: Nestyďte se požádat o pomoc

Žádná organizace nechce řešit pokusy o narušení bezpečnosti. Při reakci na bezpečnostní incidenty však zkušenosti nic nenahradí. V praxi to často vypadá tak, že reakcí na bezpečnostní incidenty jsou pověřeny IT týmy, které jsou pod vysokým tlakem vrženy do situací, na jejichž řešení jednoduše nemají schopnosti; a hovoříme zde o situacích, které mají často obrovský dopad na podnikání. Nedostatek kvalifikovaných zdrojů pro vyšetřování incidentů a reakci na ně je jedním z největších problémů, kterým dnes odvětví kybernetické bezpečnosti čelí. Tento problém je velmi rozšířený, což dokládá i studie společnosti ESG Research, podle které „34 % res­pon­den­tů uvádí, že jejich největším problémem je nedostatek kva­li­fi­ko­va­ných zdrojů pro vyšetřování kybernetických útoků pos­ti­hu­jí­cích koncové body s cílem určit základní příčinu a řetězec útoku“.

Tento nedostatek dal prostor ke vzniku nové alternativy v podobě řízených bezpečnostních služeb. Konkrétně se jedná o službu řízené detekce a reakce na hrozby (MDR), která nabízí outsourcing bezpečnostních operací zajišovaných týmem specialistů a funguje jako prodloužená ruka bezpečnostního týmu zákazníka. Tyto služby, např. služba Sophos Managed Threat Response (MTR), kombinují lidmi v reálném čase vedené vyšetřování, vyhledávání a monitorování hrozeb a reakci na incidenty se souborem technologií pro shromažďování a analýzu zpravodajských informací. Podle společnosti Gartner1 „do roku 2025 bude 50 % organizací využívat služby MDR“, což signalizuje trend, že si organizace uvědomují, že budou při provozování kompletního programu bezpečnostních operací a reakcí na incidenty potřebovat pomoc.

Služba Sophos Rapid Response

Pro organizace, které reagují na aktivní útok a nevyužívají služby MDR, jsou služby specialistů na reakci na incidenty vynikající volbou. Specialisté pro reakci na incidenty se zapojují v případě, že je interní bezpečnostní tým přetížen a potřebuje externí odborníky, kteří útok vyhodnotí a zajistí neutralizaci protivníka. I organizace, které mají tým kvalifikovaných bezpečnostních analytiků, mohou využít spolupráce se službou reakce na incidenty, jako je Sophos Rapid Response, aby doplnily mezery v pokrytí, typicky například v noci, o víkendech či svátcích, a specializované role, které jsou při reakci na incidenty potřeba a na které zpravidla nejsou běžní IT a bezpečnostní pracovníci vycvičeni.

1) Gartner, Market Guide for Managed Detection and Response Services, 26. srpna 2020, Analytici: Toby Bussa, Kelly Kavanagh, Pete Shoard, John Collins, Craig Lawson, Mitchell Schneider


 
  

- PR -

Co byste měli očekávat od svého dodavatele síových řešení?

Výběr správného dodavatele síových komponent může zásadně ovlivnit úspěch vašich projektů, stejně jako celkový provoz a spolehlivost vaší síové infrastruktury.

  

- PR -

Začíná éra výkonných multigigabitových PoE přepínačů

Společnost Zyxel Networks oznámila uvedení nové produktové řady přepínačů XMG2230. Tuto řadu tvoří nejmodernější multigigabitové Layer 3 přístupové PoE přepínače XMG2230-28HP a XMG2230-52HP vyvinuté s důrazem na zjednodušení a optimalizaci sítí malých a středně velkých podniků. Nové přepínače poskytují špičkový výkon, vysokou kapacitu napájení přes ethernet a robustní design.