Reageren op een Network Security Breach

Maakt niet uit hoe voorzichtig je ook bent en het maakt niet uit hoe veilig uw systemen, slechte dingen gebeuren. Elektronische componenten falen. Software kan worden gevonden om buggy zijn. Mensen maken fouten. En, heel soms, mensen maken kattenkwaad met de bedoeling om kwaad te doen aan het netwerk. Natuur kan invloed hebben op de vraag of uw netwerk werkt of niet, ook. Al deze situaties vereisen dat u reageert op de eerste hulp bij de hand snel en efficiënt.

Bel in de SWAT, um, CERT-team

De beste manier om voorbereid te zijn op een netwerk security nood is aan een CERT in de plaats hebben CERT staat voor Computer Emergency Response Team (of CIRT, Computer Incident Response Team) -. Een team je opgezet om noodsituaties behandelen binnen uw eigen organisatie. Hoe je het ook spelt, dat zijn de Ghostbusters van computernetwerken; vinden ze de slechte dingen en de wortel het uit.

Het business model van een Computer Emergency Response Team is om te reageren op de noodsituaties vrijwel dezelfde manier de brandweer en de politie doen. Ze reageren, identificeren van de situatie, isoleren van de omgeving, en aan het werk gaan. En omdat niemand weet hoe lang het zal duren om een ​​noodsituatie te bevatten, ze werken vaak lange, harde uren onder enorme stress.

CERT's bestaan ​​uit hoogopgeleide mensen die variëren in hun vakgebied, maar zijn cross-opgeleid om elke eventualiteit te dekken. Deze teamleden moeten

  • Hebben een grondige kennis van netwerken, besturingssystemen en toepassingen, zodat ze kunnen herkennen wanneer er iets mis.
  • In staat zijn om virussen en uitroeiing technieken te identificeren.
  • Weet hacking techniek en systeem kwetsbaarheden
  • Gebruik maken van vele cross-platform netwerk gereedschappen. Sommige van deze tools zijn eigenlijk hacking-tools en anderen worden gebruikt om het systeem inbraken te ontdekken ..
  • In staat zijn om te werken als een team en ben koel onder druk.
  • In staat zijn om te communiceren met anderen die niet beschikken over een zo hoog niveau van begrip zoals ze doen. Dit is belangrijk om te kunnen statusrapporten geven en veranderingen in de beveiliging reviews verdere gebeurtenissen te voorkomen.

Omdat CERT teamleden zijn zo hoog opgeleid, kan een bedrijf zich niet veroorloven om een ​​CERT team inhuren om gewoon rond te zitten maandenlang niets doen. De teamleden hebben meestal full-time banen iets anders dan rampenbestrijding doen. Zelden doen ze ooit hebben meer dan toezichthoudende of middle-management posities. Echter, wanneer ze reageren op een kritieke situatie, ze moeten het gezag en autonomie om uitvoerend niveau beslissingen te nemen. De levensduur van uw bedrijf kan afhangen van snelle beslissingen.

Je moet een sectie in uw beveiligingsbeleid en procedures document dat spreuken uit afspraken van uw bedrijf voor een CERT hebben, ongeacht of het in-house of uitbesteed. De rollen en verantwoordelijkheden moeten duidelijk ook worden vermeld als die het team moet roepen tot actie en wanneer ze moeten worden genoemd.

Inspelen op verantwoorde

Uw netwerk is raar de laatste tijd of je hebt een paar vreemde dingen die je doen geloven dat een indringer is in uw netwerk zien. Het eerste punt op de agenda is Geen paniek! Roep in uw CERT zo snel als je kunt. De kans is groot dat de indringer is geweest daar voor enige tijd, maar dit is slechts de eerste keer dat je hebt gemerkt. Indringers zijn als voorn parasitaire aandoeningen - ze niet alleen 's nachts gebeuren. Het CERT zal nemen hun tijd en werk systematisch om zich te ontdoen van de overlast te krijgen. En tenzij ze merken dat bestanden op uw servers worden vernietigd in een alarmerend tempo, zullen ze niet afsluiten van uw netwerk.

Je nodig hebt om een ​​aantal fundamentele stappen te nemen voordat het CERT komt binnen en begint te werken. Deze stappen kunnen enigszins variëren in orde zijn, afhankelijk van de situatie. Bijvoorbeeld, in sommige gevallen kunt u bellen met het CERT voordat je kaderleden van het bedrijf op de hoogte, want het is nog belangrijker om het team voor het eerst werkend te krijgen. In elk geval doet de volgende stappen en niets weglaten. Eerst en vooral, maar -. Niet uit te schakelen of opnieuw op te starten elke systemen Dit kan het herstel proces belemmeren.

1. Start het maken van aantekeningen.

Begin niet met het typen van commando's als een gek proberen om de indringer te vinden. Laat de CERT dat te doen. Het is belangrijker op dit punt dat u een nieuwe laptop te krijgen en schrijf alles op wat je hebt gemerkt en wat je gedaan hebt. Het is zeer belangrijk dat u de tijd en datum van alles vast te leggen. Deze notebook kan cruciaal bewijsmateriaal in rechtszaken later geworden.

2. Houd het hogere management.

Gebruik e-mailberichten niet verzenden als ze konden tippen de indringer. Hopelijk had je een call-sheet voor tijd met de namen en telefoonnummers van degenen die moeten weten voorbereid. De meest effectieve manier van omgaan met de melding is voor u om twee mensen op te roepen en dan hebben ze de rest van de lijst te bellen. Anders zou je uren aan de telefoon uitleg van de situatie over en aan tientallen mensen. Tijd is kostbaar en moet worden besteed aan de nood - niet bij de hand-holding.

3. Bel in uw CERT.

Doe dit rustig en zonder fanfare. Je wilt niet dat het werk van de hele onderneming tot stilstand te komen, omdat je een algemeen alarm heb genoemd. Wanneer het CERT krijgt daar, briefen hen en dan laat ze met rust om hun werk te doen.

4. Dwing een "need-to-know" beleid.

Medewerkers niet vertellen iets speelt, tenzij ze echt moet weten. De indringer kan een binnen medeplichtige hebben, of het kan een vals alarm en geen indringing. Je wilt niet stationair roddels krijgen buiten het kantoor aan uw klanten, de pers, of uw concurrenten. U kunt altijd zeggen dat het bedrijf ervaart "netwerkproblemen" als de meeste mensen die verklaring zonder verdere vragen zal accepteren.

5. Iemand in het bedrijf moet het punt persoon voor het geval dat het publiek zich bewust wordt van de situatie.

Als je een PR-afdeling, dat is hun werk. Je wilt niet dat een media-storm bij de hand, zodat alleen de aangewezen persoon of personen mogen aan de pers en klanten te praten. Soms is een incident is niet een incident op alle, maar een fout in de configuratie in het netwerk. Herinneren aan de pers en het publiek dat dingen niet altijd zijn wat ze lijken.

6. Geef steun aan uw CERT.

Ze lange harde uren werken waarschijnlijk zonder pauzes. Zorg ervoor dat ze maaltijden en verfrissingen in gestuurd te krijgen. (Dit kan meer dan alleen cola en snoep bars betekenen.) Als leden van opluchting team nodig zijn, leg ze op alert en het opzetten van een verschuiving schema. Dwingen de planning, ook. Veel teamleden zullen terughoudend op te geven hun posten zijn, maar ze kunnen gemakkelijk uit te branden na een dag of twee. Als het team is behoefte aan meer apparatuur zoals spare disk drives en netwerkapparaten, krijgen ze snel.

7. Neem contact op met uw juridische afdeling.

Laat ze weten de situatie. Ze kunnen beslissen of geen wetten zijn gebroken. Als zij u adviseren om contact op rechtshandhaving, doen.

8. Conduct briefings en vergaderingen na de clean-up.

Iedereen vertellen wat er gebeurd is en waarom en wat je kunt / moet / zal doen om ervoor te zorgen dat het niet weer gebeurt. Steek geen vingers wijzen; leren van je fouten.

Vergis je niet dat dit een stressvolle aangelegenheid voor velen en dat tempert kan en zal flare zal zijn. Val niet in de val van het krijgen zo verstrikt in het moment dat je vergeet wat je zou moeten doen.