Alors, examen post-incident

Alors, examen post-incident

Lucas Morel

La réponse aux incidents n’est pas clairement définie, les sections de sécurité sont définies et prises en charge. C’est un abdingbar, cela aussi dans un processus structuré nachzubereiten.

Angenommen, Ihr Unternehmen wird von Cyberkriminellen Angegriffen, kommt dabei aber mit un bleu auge davon, weil die Attacke zwar spät, aber noch rechtzeitig entdeckt and abgewehrt werden konnte – sans grand impact commercial. Jetzt einfach wie bisher weiterzumachen and die Sache zu vergessen, wäre allerdings kontraproduktiv. Schließlich haben die Angreifer un Weg gefunden, Ihre System zu kompromittieren et dabei Abwehrmaßnahmen zu umgehen.

Il s’agit d’une étude essentielle de cette étude post-incident : un processus structuré, dans lequel des personnes analysées ont été analysées,

  • était gut gelaufen ist,
  • n’était pas, et
  • wie die Performance in Zukunft verbessert werden kann.

Il s’agit d’un premier simple – les allerdings dorés sont un seul problème pour la plage, une solide stratégie d’examen post-incident pour l’entwickeln. Welche das sind, haben wir im Gespräch mit verschiedenen Sicherheitsexperten herausgearbeitet.

1. Zeitnah handeln

Ce n’est pas pour cela que l’analyse est effectuée, et le timing des incidents de sécurité est effectué par l’utilisateur final. Laissez-vous d’abord une femme ou un homme dans votre pays, avant un examen post-incident, vous verrez le risque, l’élément qui se trouve dans la zone de sécurité et la sécurité et vos équipes ont une image plus large de l’Angriff.

David Taylor, directeur général de la société IT-Beratung Protiviti, a déclaré à ce sujet qu’il avait un mot à dire sur le sujet : « Une revue d’un incident a été transmise, tous les détails sont encore frais dans le magasin et il est vrai qu’il s’agit d’un gefühl von Dringlichkeit ». Zudem könnten die Review-Beteiligten auf this Weise auch akkurate Timeline der Ereignisse eraarbeiten, so the Chefberater.

Cette chronologie a été gestaltet werden sollte, weiß Heather Clauson Haughian, Mitbegründerin and geschäftsführende Partnerin der auf Datenschutz spezialisierten Anwaltskanzlei CM Law : « Zunächst doré es, festzuhalten, was genau passiert ist – von den ersten Anzeichen eines Problèmes jusqu’à la seiner Bewältigung.

Das stutze alle Beteiligten dabei, nachzuvollziehen, an welchen Stellen es zu Verzögerungen oder Fehlern gekommen ist – and an welchen nicht. «C’est un sujet qui m’intéresse, de l’avant-garde, dans une «histoire» polyvalente à raconter et à apprendre à comprendre», a déclaré l’avocat expert.

2. Ursachenanalyse fahren

Le meilleur support pour les examens post-incidents est une analyse urgente (avec analyse des causes profondes) – pour savoir si vous avez des incidents qui peuvent être évités.

Cette présentation est celle de Michael Brown, RSSI de terrain du Presidio du service informatique : « Les tâches d’identification sont essentielles. Les équipes doivent trouver une solution pour une technologie suisse, une approche menschliche ou un processus technologiquement avancé. handelt. Nur so lässt sich sicherstellen, dass nicht nur Symptome behandelt werden.

3. Recherche d’identifiants

Un examen post-incident devrait également permettre d’évaluer les performances des équipes de sécurité en cliquant sur le processus établi (et le plan de réponse aux incidents). Le responsable de Protiviti Taylor, Taylor, a déclaré que l’équipe d’experts s’efforce de répondre à ces questions : « Ils peuvent obtenir des informations sur les optimisations innovantes, l’identification des difficultés et les insuffisances dans la phase de réaction. »

Le Presidio a été mis en place avec un bon aperçu de la situation, comme le RSSI de terrain Brown l’a dit : « Je suis en route pour les examens post-incidents avec la formation de nos équipes de réponse aux incidents dans un cadre de travail approfondi – ainsi que la détection, le temps de réaction, la communication, la coordination ou la stratégie de travail. »

4. Analyses d’impact sur les entreprises

L’analyse d’un certain nombre de facteurs de sécurité s’applique aux analyses difficiles, c’est-à-dire une analyse approfondie de l’environnement, tant quantitative que qualitative. Ersteres sollte laut Sicherheitsentscheider Brown beispielsweise Aspekte wie finanzielle Einbußen, verlorene Marktanteile oder Kundenaufträge beinhalten.

Deux autres charnières avec des fragments sont comme :

  • Pourquoi la continuité des activités n’est-elle pas intégrée ?
  • Wurden die zuständigen Behörden rechtzeitig informiert?
  • Sind Reputationsschäden entstanden?

5. Utilisation du contexte

Un autre acteur de l’analyse post-incident est au-delà du contexte des chutes de sécurité. Je vous le dis, c’est clair, quand il s’agit de créer une chronologie de l’incident aufzusetzen, au cours de toutes les lectures anticipées.

« Tout cela se passe souvent au niveau des connaissances du contexte, dans les situations qui se produisent, se déroulent de manière excessive », a déclaré le responsable de la sécurité d’Eireann Leverett et a déclaré : « Documentez votre situation de manière à ce qu’elle s’échappe – nur das Ergebnis. entwickeln sich im Zeitverlauf – et l’équipe, das ce oursbeitet, kann selten vorab auf sämtliche Fakten zugreifen.

Jedeneue Entdeckung – et avec un clic sur l’Einfallstor pour den Angriff, seinen Scope ou les outils d’Angreifern utilisés, vous trouverez le support des équipes, donc Leverett : « Alors que le confinement a commencé, vous pouvez planifier un projet de récupération. Lorsque vous suivez, lorsque vous voulez et que vous avez besoin de fonds de financement, vous devez vous rendre au prochain niveau, où les masses ergriffen wurden.

6. Abteilungsübergreifend kollaborieren

Un examen post-incident en détail, est le dossier du RSSI – ou d’autres services de sécurité ou de développement informatique. Les informations sont fournies par des personnes avec d’autres Abteilungen einzubinden, le potentiel d’Insights peut être obtenu. Ainsi, l’expert en sécurité Leverett, de l’équipe post-incident d’un collège au sein de la gouvernance, du droit et de la gestion des risques, s’est adressé à eux : « Cette série d’incidents peut être mieux adaptée à tous les aspects, mais elle est également riche en lignes directrices dans le cadre de la liaison. »

Il s’agit d’un travail de levier au-delà des activités financières et personnelles, donc – je nach Art et Schwere des Vorfalls – auch Vorstandsmitglieder. Il s’agit de signaler une stratégie de priorisation et de prendre en charge des études techniques sur les risques liés à la gouvernance et à l’environnement, par l’expert en charge.

« Ce qui est important, c’est que tous les avantages du mot se qualifient – ​​sans aucune difficulté pour votre position ou votre rôle », a déclaré Protiviti-Mann Taylor. Ce drame n’est pas possible, les services de sécurité doivent s’assurer des opérations de sécurité et doivent être établis par une coopérative d’Umfeld.

7. Schuldzuweisungen vermeiden

Im Rahmen eines Post-Incident Reviews « Fingerpointing » zu betreiben, ist mit hoher Wahrscheinlichkeit nicht productiv. Il s’emploie également à l’IT-Anwältin Haughian, dans le cadre de son étude, de sa lecture et de son optimisation : « Les mesures de sécurité ne vous amènent pas plus loin. C’est doré, den tatsächlichen Ablauf der Ereignisse aufzudecken, Entscheidungsprozesse zu verstehen und alle Faktoren zu identifizieren, die zu Fehlern beigetragen haben. Cette analyse peut vous aider à créer des stratégies stratégiques dans les outils, les études et les lignes de richesse.

Auch Leverett ne s’oppose pas à une culture de la protection de l’enfance : « Il ne s’agit pas d’une chose, mais d’un individu le mieux placé pour obtenir une éducation riche ou non. Vielmehr gilt es Fragen zu klären comme: ‚War das Team unter den gegebenen Umständen in der Lage, gute Entscheidungen zu treffen? À propos de : « Vous avez une meilleure documentation, d’autres outils ou un meilleur budget pour une meilleure gestion des ressources ? »

8. Activités actives

Sämtliche Erkenntnisse, die im Rahmen eines Post-Incident Reviews gewonnen werden, sind relativ nutzlos, wenn im Nachgang nichts passéiert. Soll heißen: Den Erkenntnissen müssen konkrete Maßnahmen folgen.

Un des meilleurs umzusetzen, empfiehlt Rechtsexpertin Haughian, schriftlich genau festzuhalten, et welchen Stellen optimiert werden muss, wann das geschehen soll et nous sommes dafür verantwortlich zeichnet : « Diese Verbesserungen können etwa Softwareaktualisierungen, Des lignes directrices ou de nouvelles initiatives de formation sont nécessaires pour que cette étude post-incident s’effectue d’abord en toute simplicité, et ce n’est pas le cas d’un emploi universitaire. hält die Datenschutzexpertin fest. (fm)

Avez-vous d’autres études intéressantes sur le thème de la sécurité informatique ? Notre newsletter gratuite liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

vgwort

Réponse aux incidentsPratiques de sécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Display Showing Stages of Hacking in Progress: Exploiting Vulnerability, Executing and Granted Access.
Un bug DS modulaire offre aux pirates un accès instantané à l’administrateur WordPress
AppGuard Critiques AI Hyped Defenses; Expands its Insider Release for its Next-Generation Platform
AppGuard critique les défenses hyperactives de l’IA ; étend sa version Insider pour sa plateforme de nouvelle génération
Cisco building exterior with sign
Cisco corrige enfin une faille zero-day vieille de sept semaines dans les produits Secure Email Gateway