Wszystko, co powinieneś wiedzieć o Zespole odpowiadającym na incydenty

utworzone przez | lip 2, 2021

()

Dziś poruszymy pojęcia takie jak CIRT, plan obsługi incydentu i proces jego obsługi. Mam nadzieję, że zainteresuje Cię ten temat, ponieważ jeśli nie pracujesz dla jakiejś gigantycznej korporacji, incydenty będziesz opędzać Ty.

Wstęp – czym jest CIRT

CIRT, czyli Computer Incident Response Team. Każda firma chciałaby go mieć, ale większości na to nie stać. Zespół, który odpowiada za incydenty to fajna sprawa i tak naprawdę przydałoby się, by każda firma miała taki zespół. Lecz koszty są spore, ponieważ potrzeba minimum czterech specjalistów, by nazwać to zespołem.

Jeśli nie prowadzisz firmy i nigdy nie prowadziłeś, to musisz wiedzieć, że firma szuka oszczędności poprzez jak najmniejsze koszty. Pamiętaj zatem, że do czasu wystąpienia dużego incydentu bezpieczeństwa zespół CIRT generuje koszty, a nie przynosi realnego zysku firmie.

Mam nadzieję, że tym wstępniakiem wyjaśniłem Ci, dlaczego większość tej pracy spadnie na Ciebie jako osobę od bezpieczeństwa. Co prawda do takiego zespołu wybiera się odpowiednie osoby z organizacji, o czym zaraz powiem. Ale to nie zmienia faktu, że firma zawsze będzie szukała tańszego rozwiązania.

Z kogo składa się zespół zajmujący się Incydentami

W wypadku CIRT są to osoby posiadające wiedzę, jak poradzić sobie z incydentem bezpieczeństwa, który wystąpił w organizacji. Oraz jak poprawnie uzupełnić dokumentację po incydencie, który nastąpił. Teraz więc zobaczmy, jak to teoretycznie powinno wyglądać, gdy tworzymy taki zespół w swojej organizacji:

  • Team Leader będzie osobą, która zajmuje się tym, by każdy wiedział, za co jest odpowiedzialny. Przydzieli odpowiednio zadania, gdy nastąpi taki incydent. Jest też odpowiedzialny za kontakt np. z UODO i musi wiedzieć, do jakich organów ma się zgłosić z danym incydentem.
  • Specjalista Techniczny – no tutaj jest dużo zabawy. Specjalista ten ma za zadanie przejąć incydent od technicznej strony. Musi sprawdzić skalę incydentu i musi wiedzieć, jak go naprawić. W zespole może być wiele osób zajmujących się daną gałęzią i specjalizujących się tylko w danej dziedzinie.
  • Specjalista od dokumentacji to osoba, która zajmuje się dokumentacją zdarzenia, zna cały proces odpowiedzi na incydent. Zapisuje go odpowiednio w dokumentacji. Zapisuje, co było powodem zdarzenia oraz jak zostało ono rozwiązane.
  • Prawnik – no i tutaj ktoś musi się znać na prawie i regulacjach obowiązujących organizację. Wiem, że chciałbyś wiedzieć wszystko, ale nie jesteś w stanie. Prawo to zawiły temat i pozostawmy go prawnikom, a my zajmijmy dbaniem o bezpieczeństwo firmy. Do takiej osoby możesz się zgłosić z wszelkimi problemami z wiązanymi z prawem. Nie wstydź się, uderzaj od razu, jeśli tylko masz najmniejsze wątpliwości.

A poniżej, jak to wygląda najczęściej w rzeczywistości

A poniżej, jak to wygląda najczęściej w rzeczywistości przy mniejszych firmach:

Specjalista do spraw bezpieczeństwa – będziesz zajmował się wszystkim poza tym, co robi prawnik. Prawdopodobnie nie będzie Team Leadera oraz specjalisty od dokumentacji i to Ty będziesz zajmował się tymi tematami.

Prawnik tutaj jak powyżej.

Plan obsługi incydentu

Jak już udało nam się zbudować zespół bądź jak opędzasz wszystko sam, możesz zacząć myśleć nad planem obsługi incydentu. Plan taki powinien zawierać informacje jak identyfikować różnego rodzaju incydenty, kto ma jaką rolę podczas incydentu i tak dalej i tak dalej.

Pamiętaj, gdy tworzysz plan, nie rób go, jak napisałem powyżej. To znaczy nie zapisuj wszystkiego na siebie – pamiętaj, że organizacja może się rozrosnąć i będziesz w stanie oddelegować część obowiązków.

Zawsze gdy tworzysz jakieś procedury czy polityki, czy tak naprawdę cokolwiek, rób to z myślą o przyszłości. Wiadomo, że trzeba wracać i poprawiać plan, czy procedurę wielokrotnie. Ale zrób sobie mniej pracy i pomyśl o przyszłości już dziś ;).

Poniżej parę przykładowych elementów wchodzących w plan odpowiedzi na incydent

  • Dokumentacja typów incydentów i definicje kategorii – tak jak napisałem powyżej, plan taki powinien zawierać definicje różnych typów incydentów, które mogą wystąpić w organizacji. Na przykład możesz mieć Social Engineering Attack bądź też DDOS itd. Pamiętaj też, że mamy różne typy incydentów – nie tylko ataki z zewnątrz są incydentami, ale też np. nieautoryzowany dostęp.
  • Role i odpowiedzialności – i znów, jak już to wyżej napisałem, każdy musi mieć przypisaną rolę i odpowiedzialność. Trzeba opisać, kto jakie ma zadanie przed incydentem w trakcie jak i po. Pamiętaj, że reakcja jest szybsza, gdy jesteś przygotowany. W sztukach walki czy na siłowni każdy Ci powie, że pamięć mięśniowa to najważniejsza rzecz. Skraca diametralnie czas reakcji.
  • Raportowanie i eskalacja Plan ten powinien również zawierać informację o tym, kiedy użytkownik powinien zgłosić wystąpienie potencjalnego incydentu. Podstawą musi być też osoba, do której ludzie będą się zgłaszać w pierwszej kolejności i przy jakichkolwiek zmianach trzeba ich o tym informować.

Jeśli masz zespół i masz takie szczęście, że masz parę osób, to podziel ich odpowiednio, bo ludzie się przyzwyczajają i chętniej kontaktują się z drugą osobą niż generyczną skrzynką. Prędzej dostaniesz maila na personalną skrzynkę odnośnie incydentu niż zgłoszenie. I będziesz musiał poprosić bądź sam przekierować wiadomość, by ja odpowiednio obsłużyć

  • Ćwiczenia i testy Bardzo ważnym aspektem są treningi przygotowania do incydentu. Wykonywanie ich daje tę pamięć mięśniową i zwiększa prędkość reakcji. Jak i pewność siebie osób, które obsługują incydent.

Proces obsługi incydentu

Gdy już mamy plan, przypisane role i odpowiedzialności, trzeba zdefiniować fazy postępowania z incydentem. Proces ten powinien być w całości znany wszystkim członkom zespołu. Poniżej lista poszczególnych kroków w procesie obsługi incydentu.

  1. Przygotowanie: pierwszym krokiem jest przygotowanie procedury jak i edukacja wszystkich w organizacji, na co mają zwracać uwagę i co do kogo mają zgłaszać. Jaką mają rolę w danym incydencie i co mają robić, bo niewiedza to najgorszy Twój wróg ;).
  2. Określenie incydentu: w kolejnym kroku osoba za to odpowiedzialna musi potwierdzić, że wystąpił incydent. Nie każde zgłoszenie jest incydentem. Użytkownik się na tym nie zna, to odpowiedzialna osoba musi potwierdzić, czy incydent wystąpił. Gdy już mamy potwierdzenie, użytkownik bądź osoba określająca incydent muszą przekazać sprawę dalej do CIRT. Podstawą jest, by użytkownicy wiedzieli, z kim się skontaktować.
  3. Powstrzymywanie Incydentu: Pierwszym krokiem jest odizolowanie problemu, by nie rozszedł się po organizacji. Na przykład w wypadku wirusa na sprzęcie będzie to odcięcie maszyny od sieci firmowej, by wirus nie przeszedł na inne sprzęty.
  4. Likwidacja incydentu: Kolejnym krokiem jest określenie, co było przyczyną incydentu. Następnie naprawienie skutków incydentu oraz upewnienie się, że incydent nie wystąpi ponownie.
  5. Przywrócenie po incydencie: W tej fazie przywracamy rzeczywistość 🙂 wracamy do sytuacji, w której byliśmy przed incydentem. Tu przydają się procedury przywracania.
  6. Wyciąganie wniosków: Tu jak w samym tytule wyciągamy wnioski i nauczki z lekcji i zastanawiamy się, jak zrobić, by taka sytuacja się nie powtórzyła.

Podsumowanie

Dziś dowiedziałeś się, jak wygląda proces tworzenia planu do obsługi incydentu. Czym jest sam proces jego obsługi i jakie ma fazy. Dowiedziałeś się też, czym jest CIRT i jak taki zespół sobie zbudować. Mam nadzieję, że ta wiedza pozwoli Ci w twojej prac stworzyć zespół badz dobrze zarzadzać incydentami ;). Zapraszam jak zawsze do komentowania jak i do kontaktu na priv w sprawie tego, czego chciałbyś się jeszcze dowiedzieć.

Pozdrawiam – Pusz 🙂

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Brak głosu. Kliknij proszę doceń moją prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić

468

Funkcja trackback/Funkcja pingback

  1. Ryzyka związane z outsourcingiem - […] Obsługa incydentów — Incydent to inaczej naruszenie w jakiś sposób polityki bezpieczeństwa – na przykład przekazanie maila nieodpowiedniej osobie.…

Prześlij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *