Пять важных моментов касательно плана ИБ

10 ноябрь, 2020 - 14:45Евгений Куликов

Пять важных моментов касательно плана ИБ

Оперативное и эффективное реагирование на инциденты является важной составляющей стратегии информационной безопасности. По мере того, как кибер-атаки развиваются стремительными темпами, ИТ-отделы начинают подвергать сомнению традиционные методы борьбы с новыми угрозами, и понимать, что нет единого или простого способа противостоять им, учитывая сложность цифровой среды.

В наши дни действенный план ИБ для предприятий требует стратегий, основанных на сочетании следующих факторов: автоматизация, обнаружение, поведенческий анализ, блокирование горизонтального перемещения, отслеживаемость, интеллектуальная классификация, расследование, реагирование, корреляция и видимость – все это позволяет обеспечивать более высокий уровень защиты в условиях растущей сложности кибер-угроз.

За последние десятилетия борьба за ИБ претерпела глубокие изменения. Злоумышленники превратились из горстки хакеров-любителей в хорошо финансируемые и организованные кибер-преступные группы, стремящиеся монетизировать свою деятельность и подвергнуть испытанию доселе непроницаемые сети.

Чтобы программа ИБ была успешной, необходимо инвестировать в скорость операций. Очень важно иметь возможность применить средства защиты и восстановить работу тысяч компьютеров за считанные часы. И это может быть достигнуто за счет скорости, емкости, гибкости и масштабируемости искусственного интеллекта и облачных вычислений.

Для обеспечения безопасности и защиты ИТ-инфраструктуры стратегия кибер-защиты также должна быть способна предотвращать и обнаруживать сложные угрозы, иметь интеллектуальные технологии безопасности и придерживаться политики нулевого доверия, которая предотвращает запуск вредоносных приложений и процессов в системах.

Пять ключевых моментов

Исходя из предпосылки, что ни одна организация не может быть абсолютно безопасной, тем не менее, существует множество стратегий смягчения последствий, которые значительно снижают риски, и дополнительные меры безопасности для минимизации ущерба от потенциальной кибер-атаки.

Подготовка и предотвращение. Очень важно быть готовым заранее и иметь четкий план реагирования, который поможет предотвратить нарушения безопасности.

Обнаружение и анализ с помощью средств интеллектуальной безопасности. После обнаружения угрозы необходимо определить причину инцидента, чтобы сдержать атаку. В этот момент отслеживается траектория атаки, регистрируется и классифицируется инцидент, а меры по реагированию распределяются по приоритетам в соответствии с уровнем серьезности атаки. Интеллектуальная система, насыщенная огромным объемом данных, автоматически отслеживает всю активность на конечных устройствах, выявляя подозрительное поведение, классифицируя его и идентифицируя его источник.

Сортировка и анализ. На этом этапе оцениваются варианты, способные обеспечить наилучшую реакцию на инцидент. Виды анализа, выполняемые на этом этапе, должны включать: бинарный анализ, анализ конечных устройств и, в идеале, сервис поиска угроз, который предлагает дополнительный уровень анализа и исследования.

Сдерживание, устранение и восстановление. После того, как был обнаружен инцидент, и была исследована и установлена причина, ущерб должен быть локализован. Должны быть созданы резервные копии всех скомпрометированных устройств, систем или сетей для дальнейшего экспертного анализа.

Последствия инцидента и подход с нулевым доверием. Наконец, соответствующим образом должна быть изменена стратегия информационной безопасности, чтобы в будущем предотвратить повторение подобного инцидента. Кроме того необходимо обновить и план реагирования на инциденты, чтобы отразить в нем все новые процедуры.