С незапамятных времен преступники грабили частных лиц, дилижансы, поезда и банки. Почему? Потому что, как сказал Уилли Саттон: «Вот где деньги». В наши дни преступники стали умнее и занимаются мошенничеством, воровством и шпионажем через киберпространство.
Киберпреступность представляет собой огромную угрозу для организаций, поскольку имеет долгосрочные последствия. Кража интеллектуальной собственности или коммерческой тайны отрицательно влияет на прибыль бизнеса. Аналогичным образом, кража личных данных приводит к ухудшению кредитоспособности и потере личных ресурсов отдельных лиц.
Экономика киберпреступности ориентирована на преступников. Следовательно, реагирование на киберпреступность является непростой задачей. Человеку достаточно ноутбука, чтобы сеять хаос среди людей и организаций без каких-либо затрат и с небольшим риском. В предстоящие времена передовые технологии и защитные меры будут сдерживать подозрительное поведение, помогая сотрудникам службы безопасности обуздать угрозу киберпространства. Тем временем, пользователи цифровых технологий должны соблюдать базовые правила гигиены кибербезопасности, чтобы оставаться защищенными от киберпреступлений. В этой статье мы поможем вам принять важные меры в ответ на киберпреступность.
1. Будьте готовы
Иногда кибератака обнаруживается уже после того, как ущерб уже нанесен. Следовательно, крайне важно обеспечить, чтобы кибератака не оставалась незамеченной в течение длительного времени. Ключом к сохранению бдительности является частое проведение мониторинга и диагностики в масштабах всего предприятия.
Кроме того, у вас должен быть доступ к ресурсам для устранения повреждений, когда возникнет такая необходимость. Например, Федеральная торговая комиссия (ФТК) может вмешаться и провести официальное расследование, если киберпреступление связано с нарушением конфиденциальности и безопасности данных и приводит к раскрытию информации потребителей.
Итак, вам нужен адвокат Федеральной торговой комиссии, чтобы отреагировать на расследование Федеральной торговой комиссии, используя упреждающий и стратегический подход. Поэтому убедитесь, что вы хорошо подготовлены и связаны с надежным консультантом Федеральной торговой комиссии. Выдающийся юрист Ник Оберхайден, обладающий опытом в подобных делах, часто утверждает, что хорошая подготовка — идеальная защита от киберпреступлений.
2. Сортировка
Мы не можем исправить ущерб, уже нанесенный кибератакой. Однако мы, безусловно, можем ограничить ущерб, чтобы обеспечить минимальные потери. Главное — изолировать инцидент и сосредоточить внимание на его последствиях.
Знание сетевой среды предприятия играет жизненно важную роль в этом сценарии. Такие факторы, как серьезность, сложность и срочность инцидента, помогут вам решить, должно ли соответствующее реагирование включать полномасштабное расследование в соответствии с планом реагирования на киберпреступность.
А) Расследовать:
В ходе расследования необходимо выяснить, как и когда произошла компрометация, ее первопричину и влияние на организацию. Срочность и секретность имеют решающее значение для процесса расследования. Для достижения обоих этих аспектов каждая организация должна иметь хорошо организованную и реальную группу реагирования на киберпреступления с соответствующими направлениями деятельности и исполнительными функциями, с определенными ролями и обязанностями, а также внутренними и внешними протоколами связи.
Команда должна состоять из менеджеров по персоналу, ИТ-менеджеров, члена правления и юристов. Вам также следует проверить эффективность плана с помощью настольных упражнений.
1. Выявить, собрать и задокументировать доказательства
Вам следует быстро и эффективно собрать все доказательства на хосте, имеющие решающее значение для типа инцидента. Ищите любые запущенные процессы, открытые порты и удаленных пользователей. Сетевые файлы журналов, такие как маршрутизаторы, межсетевые экраны, серверы и датчики системы обнаружения вторжений (IDS), могут раскрыть важную информацию. Так что бегло просмотрите их. Кроме того, проведите внутренние и внешние интервью, чтобы глубже изучить уязвимость.
2. Провести судебно-медицинскую экспертизу и анализ данных.
Проведите детальную судебно-медицинскую экспертизу, чтобы определить вектор атаки, степень и глубину компрометации. Остерегайтесь несанкционированных учетных записей или групп пользователей, а также мошеннических процессов и служб. Также следует изучить точки несанкционированного доступа, существующие в экосистеме.
3. Соедините точки, понимая закономерности фактов
Важнейшим аспектом является выяснение того, кто в этом замешан. Выяснив участников, соедините точки и получите четкую картину всего происшествия, ответив на вопросы: что, когда, где и как. Будьте готовы к необходимым раскрытиям информации по мере развития фактов.
4. Сделайте выводы и дайте рекомендации
Расследование должно позволить вам понять весь инцидент и ответить на важные вопросы. Вы должны быть в состоянии ответить, почему произошло нарушение? и какие лазейки существуют в системе? Составьте отчет с рекомендациями, включающий такие моменты, как раскрытие информации, улучшение программы, дисциплина и исправление ошибок.
Ключевым моментом является обнаружение и устранение уязвимостей, существующих в среде. Цель должна заключаться в том, чтобы затруднить атакующему возможность вернуться в будущем. Вам следует создавать системы, чтобы такие атаки в будущем обнаруживались заблаговременно, и вы были хорошо подготовлены к событиям по искоренению.
Немедленная реакция на инцидент всегда тактическая. Однако со временем это должно трансформироваться в стратегический ответ. Вам следует провести учения по атаке и проникновению, чтобы проанализировать эффективность тактических мер.
4. Искоренить:
В большинстве случаев злоумышленники пытаются восстановить свое присутствие и проникнуть в сеть. Следовательно, ваши планы по искоренению должны быть хорошо скоординированы и выполняться быстро и точно. Работу над событием, связанным с ликвидацией, следует начинать на этапе расследования, чтобы гарантировать, что ликвидация начнется сразу после завершения расследования.
5. Решите:
Собирайте и документируйте данные в зависимости от гибких требований нормативной отчетности, страховых претензий и споров, судебных разбирательств и уведомлений клиентов. Трансграничное сотрудничество может быть очень эффективным. Разным заинтересованным сторонам требуются разные типы информации. Например, членам совета директоров нужна более подробная информация, чем поставщикам. Так что выясните, что раскрывать различным заинтересованным сторонам.
