Veritas security

Kako napadi postaju sve sofisticiraniji i češći, 86% direktora za bezbednost informacija (CISOs) se slaže da su sajber-incidenti unutar njihovih kompanija neminovni. Tako da nije iznenađujuće to što većina (76%) veruje da su brzina i kvalitet odgovora na incident najznačajniji faktori u merenju njihovog performansa. Ovo znači da su direktori sektora za IT bezbednost sada fokusirani ne samo na sprečavanje napada, već i na prepoznavanje problema na vreme kako bi se šteta minimizovala.

Dok je odgovor na incident kao proces neophodan, direktori za bezbednost informacija se i dalje suočavaju sa dilemom oko njegovog organizovanja. Maksim Frolov (Maxim Frolov), potpredsednik sektora za globalnu prodaju u kompaniji Kaspersky Lab navodi pet faktora koje rukovodioci u odeljenjima za IT bezbednosti treba da razmotre kada odlučuju o odgovorima na incident u svojoj organizaciji:

  1. Nedostatak kvalifikovanih profesionalaca

Odgovor na incident je često pogrešno shvaćen kao uskakanje u fazu iskupljenja kada se incident već dogodio. Ipak, ovaj proces počinje čak i pre nego što se napad desi i nije gotov kada se napad završi. Generalno, odgovor na incident se sastoji iz četiri stadijuma. Prvi je priprema kako bi se obezbedilo to da svi odgovorni zaposleni znaju kako da se ponašaju u slučaju napada. Druga faza uključuje prepoznavanje incidenta. U narednoj fazi tim za odgovor na incident treba da eliminiše napad i povrati sve pogođene sisteme. Nakon što je problem rešen, strategija za odgovor na incident treba da bude pregledana na osnovu ovog iskustva, da bi se smanjila mogućnost ponavljanja sličnih slučajeva.

Ove aktivnosti zahtevaju angažovanje različitih profesionalaca. Nažalost, ovih stručnjaka nema dovoljno.  Prema istraživanju kompanije Kaspersky Lab, 43% direktora za bezbednost informacija misli da je teško naći analitičara malvera, 20% da je teško pronaći stručnjake koji znaju da odgovore na napad, i 13% ne mogu da nađu  lovce na pretnje. Još jedan problem je zadržavanje radnika. Stručnjaci znaju da su traženi i lako mogu da pređu u konkurentsku organizaciju ukoliko im se ponudi veća plata. Zbog ovih faktora, kompanijama je sve teže da zaposle interni tim koji može da sprovede čitav proces odgovora na incident.

  1. Odabir odgovarajućih spoljnih saradnika

Odabir izvođača posla takođe nije zanemarljiv zadatak. Zarad efikasnosti, timovi koji se angažuju sa strane moraju da pokriju sve bitne delokruge procesa odgovora na incident; pre svega istraživanje pretnji, analizu malvera i digitalnu forenziku. Važno je da saradnici koji dolaze spolja imaju sertifikate koji su nezavisni od vendora kako bi dokazali svoju umešnost. Takođe, bitno je i njihovo iskustvo u datoj ulozi. Što više rade za različite klijente u raznim industrijama, to su imali više šansi da se redovno susreću sa tipičnim incidentima i mogu pronaći sličnosti u naizgled različitim slučajevima.

Za kompanije u industrijama koje su strogo regulisane, mogu postojati dodatne restrikcije kada je reč o izboru spoljnih timova za odgovor na incidente. Zbog toga će, dakle, moći da biraju samo one ljude koji zadovoljavaju specifične zahteve.

  1. Trošak odgovora na incident

Uspostavljanje unutrašnjeg procesa je skupo. Organizacije moraju da obezbede platu zaposlenima sa retkim i skupim veštinama, koji rade puno radno vreme. Takođe moraju da kupe rešenja i usluge (bezbednosne informacije) neophodne za lov na pretnje, analizu podataka i saniranje napada.

Ipak, prosečan trošak kada je u pitanju upad u bazu podataka se takođe povećava na globalnom nivou – sa prodorima koji sada iznose prosečno 1.23 miliona dolara po preduzeću (što je porast od 24% u odnosu na  992,000 dolara u 2017. godini). Sa porastom troškova IT incidenata, preduzeća shvataju da troškovi sajber bezbednosti moraju biti prioriteti.

Pojedine organizacije fleksibilan spoljni model smatraju isplatljivijim, s obzirom na to da im omogućuje plaćanje isključivo primljenih usluga. Ipak, za preduzeća koja se nose sa mnogobrojnim incidentima je nužno da imaju interni tim za odgovor na incident. Svejedno, i dalje mogu naći isplatljiviji model kada zapošljavaju ljude koji odgovaraju na incidente prvog nivoa. Ovaj interni tim treba biti sposoban da najpre analizira incident, i onda se ili nosi sa njim u skladu sa procedurama ili ga prosledi spoljnim saradnicima.

  1. Sinergija sa IT odeljenjem

Kada dođe do incidenta, IT tim može izabrati da isključi pogođene mašine kako bi smanjio njegov uticaj. Ipak, za ljude koji odgovarju na incidente, važno je najpre prikupiti dokaze – što znači da „mesto zločina” treba ostati netaknuto neko vreme nakon incidenta. Prikupljanje podataka i njihovo skladištenje na samo tri meseca, i diskonektovanje zaraženih mašina čine stvari mnogo težim za tim.

Da bi se izbeglo takvo neslaganje, interni tim za odgovor na incident treba za svoje IT kolege da spremi specijalno kreiran vodič ili da predstavi specijalnu obuku za svakog IT stručnjaka kome je potrebno više od najosnovnijeg znanja o sajber bezbednosti, ali mu nisu potrebne dubinske bezbednosne veštine. Ova inicijativa će obezbediti to da su i interni i spoljni tim međusobno usklađeni.

  1. Odlaganje sprovođenja odgovora

Organizacije koje koriste spoljni tim za odgovor na incident mogu sprovesti proces brže, jer je spoljni tim uvek dostupan da reši incident kada je to potrebno. Ipak, ovo podrazumeva i moguće zamke. Na primer, kompanija i treća strana moraju potpisati ugovore i kreirati dogovore pre nego što je bilo kakav posao sproveden. Ovo može dovesti do odlaganja odgovora na incident.

Prema našem iskustvu, tim za klijente često dođe na posao u ponedeljak i otkrije da je došlo do prodora u kompaniju tokom vikenda. Nekoliko dana pokušavaju sami da reše problem. Kada shvate da ne mogu da se nose sa situacijom, odluče da se obrate spoljnim stručnjacima. Ako organizacija ima interni tim, bolje će moći da proceni svaki slučaj i brzo delegira odgovornost.


Omogućite notifikacije OK Ne, hvala