Miért és hogyan érdemes az incidenskezelésre koncentrálni?

EURO ONE NIS2 care

Incidenskezelésről beszélve először azt kell tisztázni, hogy mit is értünk ez alatt. Leggyakrabban a NIST CyberSecurity Framework-öt használjuk referenciapontként, amely hat fő képességet sorol fel, ami szükséges az információbiztonság kialakításához. Ezek közül kettő, a detekciós (detect) és a válasz (respond) képességek azok, amelyek az incidenskezelést adják.

Ha történik egy esemény, ami negatív hatással lehet az információbiztonságra, akkor ezt észlelni kell, valamint olyan válaszlépéseket adni, amivel minimalizálható az üzletmenetre gyakorolt hatása.
Akkor lesz megfelelő az incidenskezelési képesség, ha a szükséges technológiai, folyamat és humán komponensek összehangolásra kerülnek.

Az incidenskezelés egy jól meghatározott koreográfia, mindig ugyanazokat a lépéseket végezzük, függetlenül attól, hogy egy kártékony kód támadásról, egy jogosulatlan hozzáférésről, vagy akár egy fizikai biztonságot is érintő incidensről van szó.

Hogyan néz ki ez az incidenskezelés?

Tudni kell mi történik a védendő rendszereken belül, szükség van tehát egy folyamatos felügyeletre. Fel kell ismerni egy potenciális incidenst. Technológia szinten ebben segítenek a SIEM rendszerek, az XDR, XDR-SIEM, vagy Threat Detection Platformok. Ezek a rendszerek logok és hálózati forgalom begyűjtése után előre definiált szabályrendszer alapján, vagy valamilyen ML algoritmust használva riasztásokat generálnak, a különböző sérülékenység információkat és a threat intelligence információkat is figyelembe véve. Ha észlelésre kerül egy incidens, valamilyen módszer alapján prioritást és súlyosságot kell hozzárendelni, illetve kategorizálni.

A következő lépés a körülhatárolás (containment), vagy izoláció, hogy további károk ne keletkezzenek az adott incidensből. Majd a mélyebb elemzés során különböző forensics és kártékony kód vizsgálatok történnek, amelyek eredményeként fel lehet építeni a válaszlépéseket. Az elemzést követően az incidens felszámolását és a helyreállítást az érintett rendszereket üzemeltető csapatok végzik. Fontos, hogy nem csak technikai lépésekre van szükség, kommunikációs és koordinációs feladatokat is el kell látnia az incidenskezelési csapatnak.

Mivel minden egyes incidensre ugyanezeket a magasszintű lépéseket kell elvégezni, megjelentek a különböző SOAR (Security Orchestration Automation and Response) rendszerek, amelyek ezeknek a lépéseknek az automatizált, központosított elvégzését segítik elsősorban.

Milyen környezetben lehet szükség kiberbiztonsági incidenskezelésre?

Az IT környezetek mellett a kiberfizikai (köztük az ipari, OT) rendszerek esetében, a felhős és akár DevOps környezetekben is szükség van az incidenskezelésre. Valamint már az AI, LLM rendszerek esetén is át kell gondolni az esetleges incidensek kezelésének módját.

Mire érdemes figyelni a hatékony incidenskezelési képesség kialakításához?

Az üzleti igényekhez kell igazítani a kialakítást. Figyelembe kell venni hol van az adatvagyon, amit védeni kell, milyen környezetek vannak, milyen szabályozások vonatkoznak a szervezetre. Nem feltétlenül csak a folyamat szintjén kell igazítani az incidenskezelésen a környezetektől függően, sokszor a felhasznált technológiai komponensekben lehetnek eltérések.

Törekedni kell az egységes felügyelet kiépítésére, hogy minden releváns esemény nyomonkövetésre kerüljön. A detekciós tartalmaknak naprakészeknek kell lenniük, a kockázati portfólióhoz, a releváns fenyegetésekhez igazítottan.  
Csak kellően érett folyamatokat érdemes automatizálni, különben a kisebb-nagyobb problémák lesznek felnagyítva.

Végül fontos a megfelelő incidenskezelési kultúra kialakítása, az incidenskezelés nem működhet silóként, a szervezet minden tagjának közreműködésére szükség van.