Vedoucí IT bezpečnostních týmů se tak v současnosti soustředí nejen na prevenci útoků, ale i na způsoby, jak včasně a správně minimalizovat škody způsobené útokem.
Mít připravenou strategii, jak reagovat na incident, je nutností. Spousta CISO manažerů je ale v úzkých, když přijde na organizování a procesování jednotlivých kroků. Přinášíme proto pět klíčových faktorů, které by bezpečnostní manažeři měli zvážit při organizování reakce na incidenty ve svých firmách:
1. Nedostatek kvalifikovaných odborníků
Často se můžeme setkat se špatným pochopením celého konceptu reakce na incidenty (IR), kdy si manažeři myslí, že její první fázi představuje náprava škod po kybernetickém incidentu. Vše ale začíná podstatně dříve, ještě před tím, než k nějakému incidentu dojde. A samozřejmě nekončí s vyřešením útoku. Všeobecně můžeme říct, že se reakce na incident skládá ze čtyř fází. První fáze je přípravná, kdy je nutné všem zúčastněným zaměstnancům vysvětlit, co a jak mají dělat v případě hackerského útoku. Druhá fáze zahrnuje detekování samotného incidentu. V dalším kroku by měly odpovědné týmy odborníků eliminovat útok a uvést napadené systémy zpátky do běžného stavu. Poslední fáze následující po vyřešení incidentu by se měla ohlédnout za aplikovanou strategií reakce na incident. Díky tomu mohou týmy podobným případům v budoucnu předejít a minimalizovat tak rizika.
Protože jde o celou řadu různorodých aktivit, vyžaduje každá z nich pozornost různých odborníků. Kde je ale na současném pracovním trhu brát, když například podle průzkumu Kaspersky má 43 % CISO obtíže najít malwarové analytiky? Dalších 20 % bezpečnostních IT manažerů nemohlo najít ani specialisty zaměřené na bezprostřední reakce na útoky. Problém představuje také fluktuace zaměstnanců. IT odborníci jsou si totiž vědomi velkého zájmu o jejich služby, a tak se často nechají zlákat lepšími podmínkami v konkurenční společnosti. Vzhledem k těmto faktorům je pro společnosti stále těžší sestavit interní tým, který by byl schopný celý proces reakce na incidenty provádět samostatně.
2. Výběr vhodných dodavatelů
Umět si vybrat správné dodavatele také není vždy jednoduché. Aby outsourcované služby plnily svůj účel a byly efektivní, musí pokrývat všechny oblasti reakce na incident. Mezi ně v první řadě patří výzkum hrozeb, malwarová analýza a forenzní činnosti v digitálním prostředí. Outsourcovaná firma by měla tyto schopnosti doložit nezávislými certifikáty a svými oborovými zkušenostmi. Výhodou je, když kontraktor pracuje pro více zákazníků z různých průmyslových odvětví. V takovém případě se pravděpodobně setkávají s větším množstvím incidentů, které jsou schopni porovnávat, hledat mezi nimi podobnosti a díky tomu lépe a rychleji zareagovat na hrozby v budoucnu.
Některé firmy při výběru svých partnerů, kterým mohou delegovat část svých vedlejších a podpůrných činností, svazují vlastní nebo oborová nařízení a omezení. Je proto nutné při výběru hledět i na tato kritéria.
3. Cena za reakci na incidenty
Zřízení interního IR týmu specializujícího se na reakce na incidenty je nákladné. Společnosti v takové chvíli musí platit zaměstnance s velmi vzácnými a také drahými dovednostmi. Musí rovněž nakupovat softwarové služby a řešení pro rozpoznávání hrozeb, analýzu dat a nápravu proběhlých útoků.
Roste také cena za zpracování dat – společnosti v současnosti zaplatí průměrně 1,23 milionu dolarů, což je oproti roku 2017 24% zvýšení nákladů. S rostoucími náklady na nápravu IT incidentů si společnosti uvědomují, že musí upřednostňovat výdaje na kybernetickou bezpečnost.
Některé společnosti považují flexibilní model outsourcingu za nákladově efektivnější, neboť jim umožňuje platit pouze za obdržené služby. Podnikům, které se zabývají bezpečnostními incidenty často, se však interní IR tým vyplatí. Přesto mohou najít nákladově efektivnější model, když zaměstnají osoby odpovědné za první fázi incidentu. Tento interní tým by měl být schopen nejprve analyzovat incident a buď ho zpracovat podle připravených postupů nebo předat externím odborníkům.
4. Synergie s IT oddělením
Když dojde k incidentu, IT tým může rozhodnout o vypnutí infikovaných počítačů, aby tím snížil bezpečnostní dopad. Pro IR specialisty je však důležité shromáždit důkazy, což znamená, že „místo činu“ by po incidentu mělo být po určitou dobu nedotčeno. Shromažďování protokolů a jejich ukládání po dobu pouze tří měsíců a odpojování infikovaných počítačů práci IR týmů značně stěžuje.
Aby se takovým nesrovnalostem předešlo, měl by interní IR tým připravit pro své kolegy z IT oddělení podrobné pokyny nebo zavést speciální školení pro všechny IT odborníky, kteří by měli mít ohledně kybernetické bezpečnosti pokročilejší znalosti. Tato iniciativa zajistí, aby interní i externí týmy byly na stejné vlně.
5. Zpoždění v odezvě na akci
Společnosti poskytující IR služby mohou všechny procesy provádět rychleji. Externí IR tým je vždy po ruce, aby v případě potřeby vstoupil do dění a incident vyřešil. To však přináší možné problémy. Společnost a třetí strana například musí uzavírat smlouvy a poskytovat souhlasy před tím, než je provedena jakákoliv práce. To může vést ke zpoždění reakce na incident.
Často dochází k tomu, že se bezpečnostní tým zákazníka vrátí po víkendu do práce, aby zjistil, že společnost byla během víkendu napadena. Několik dní se snaží problém vyřešit sami. Později si uvědomují, že se s napadením sami vypořádat nedokážou a rozhodnou se obrátit na externí odborníky. To už je ale pátek a společnost se tak ve spěchu snaží schválit všechny dohody, aby se IR tým konečně mohl pustit do práce. Pokud má společnost interní tým, může každý případ lépe posoudit a rychleji delegovat odpovědnost.
Autor: Maxim Frolov, viceprezident pro globální prodeje v Kaspersky