V každoroční analýze výpadků, kterou provádí Uptime Institute, 60 % odpovídajících manažerů a provozovatelů datových center uvedlo, že jejich organizace za poslední tři roky zažila závažný výpadek. Průzkum také zjistil, že kybernetické útoky a ransomware se stávají stále častějšími příčinami výpadků.
Bez ohledu na příčinu, zda se jedná o zemětřesení nebo kybernetický útok, je každý výpadek nákladný. Proto mějte vypracovaný Disaster Response plán, ve kterém budou popsány všechny kroky potřebné pro rychlé a úplné zotavení bez ohledu na příčinu.
Podle nezávislé globální studie společnosti Arcserve jsou společnosti stále vystaveny riziku ztráty kritických firemních dat. Ačkoliv 95 % respondentů uvedlo, že jejich společnost disponuje Disaster Recovery plánem, pouze 24 % z nich má takový plán, který je řádně zdokumentovaný, otestovaný a aktuální.
(Zdroj: https://www.arcserve.com/blog/how-respond-disaster)
Zde je podrobný průvodce přípravou, reakcí a řízením katastrof, který vám zajistí rychlejší a efektivnější obnovu a neustálé zlepšování reakce na incidenty:
1. Analyzujte incident
Prvním krokem při každé katastrofě je shromáždit co nejvíce informací o události. Typ incidentu určuje váš přístup. V případě katastrofy, zejména při narušení kybernetické bezpečnosti, je pro účinnou reakci nezbytné porozumět jejímu rozsahu. Zde jsou klíčové kroky, programy a nástroje, které k tomu můžete použít:
Prvotní detekce a identifikace
Než začnete reagovat, musíte si nejprve uvědomit, že došlo k incidentu. Jakmile je potenciální narušení detekováno, musíte potvrdit, které aspekty vaší organizace byly ovlivněny.
Nástroje pro detekci a identifikaci
Intrusion detection systems (IDS) monitorují síťový provoz a hledají podezřelé a neznámé hrozby.
Security information and event management (SIEM) systems poskytují analýzu bezpečnostních výstrah generovaných aplikacemi a síťovým hardwarem v reálném čase.
Nástroje Endpoint Detection and Response (EDR) monitorují hrozby na koncových bodech, jako jsou pracovní stanice a servery, a reagují na ně.
Firewall a antivirový software poskytuje první linii ochrany a upozornění.
Nástroje pro hodnocení rozsahu napadadení
Jakmile jste narušení identifikovali, dalším krokem je určení, které systémy, data a sítě jsou zasaženy.
Skenování a mapování sítě vám pomůže s vizualizací topologie sítě a identifikací napadených uzlů.
Nástroje pro sledování dat sledují pohyb dat v síti, takže víte, k jakým datům mohl útočník získat přístup nebo jaká data mohla být exfiltrována.
Analýza protokolů umožňuje prověření aktivity serverů, aplikací a bezpečnostních zařízení, což vám pomůže získat přehled o časové ose narušení a postižených oblastech.
Metody a nástroje posuzování dopadů
Rámce pro hodnocení rizik, jako je například rámec kybernetické bezpečnosti Národního institutu pro standardy a technologie (NIST), vám pomohou vyhodnotit dopady na základě důvěrnosti, integrity a dostupnosti dat.
Nástroje pro analýzu dopadů na podnikání, například ty, které jsou k dispozici na webu Ready.gov, vám pomohou posoudit potenciální finanční a provozní dopady narušení.
Nástroje pro posouzení souladu s předpisy.
Průběžné monitorování a aktualizace
Pravidelně aktualizujte bezpečnostní nástroje, abyste zjistili a zmírnili známé zranitelnosti.
Zavádějte průběžná školení zaměstnanců a programy zvyšování povědomí, které vašim zaměstnancům poskytnou znalosti potřebné k rychlému odhalení a nahlášení potenciálních narušení.
Jmenujte tým pro reakci na incidenty jako součást Disaster Recovery plánu. Tento tým musí být vyškolen a připraven reagovat na bezpečnostní incidenty s jasnými postupy a potřebnými nástroji pro rychlou reakci.
Jak vytvořit Disaster Recovery plán
2. Shromažďujte důkazy
Po kybernetickém bezpečnostním incidentu je shromáždění důkazů, včetně stávajícího stavu systémů, důležitým krokem. Zde je podrobný návod pro efektivní shromažďování důkazů:
Pomocí nástrojů pro segmentaci sítě izolujte napadené systémy od sítě a zabraňte tak další ztrátě dat nebo dat.
Vytvořte digitální forenzní obrazy, včetně všech pevných disků a dalších úložných zařízení, pomocí digitálních forenzních nástrojů, jako je EnCase nebo Forensic Toolkit, abyste vytvořili přesné digitální kopie dat.
Shromážděte a analyzujte digitální důkazy ze serverů, bezpečnostních zařízení a aplikací pomocí nástrojů pro analýzu protokolů, nástrojů pro obnovu dat k obnovení smazaných nebo poškozených souborů a nástrojů pro analýzu síťového provozu k určení, zda některý provoz zachycený během incidentu vykazuje známky škodlivé činnosti.
Shromažďujte fyzické důkazy o narušení fyzické bezpečnosti nebo manipulaci s hardwarem pomocí fotografické dokumentace. Zároveň fyzicky zabezpečte veškerý napadený hardware pro další zkoumání.
Používejte standardizované postupy, abyste zajistili soulad s příslušnými zákony a předpisy a přípustnost důkazů.
3. Aktivujte plán krizového řízení
Váš plán krizového řízení musí být neustále aktualizován. Klíčové součásti vašeho plánu by měly zahrnovat:
Jasně definované role a odpovědnosti, aby každý mohl okamžitě jednat, když dojde k incidentu.
Průběžně aktualizované seznamy kontaktů na všechny důležité pracovníky a zúčastněné strany, aby byla zajištěna rychlá reakce.
Plánované komunikační strategie uvnitř i vně vaší organizace, včetně médií a zákazníků.
Zavedené eskalační postupy, které definují, co se považuje za krizi, a kroky, které je třeba podniknout, když incident překročí stanovené meze.
Zdroje, kterými se můžete řídit při plánování reakce na krizové situace, najdete na webových stránkách Ready.gov.
Jednou z nejdůležitějších součástí vaší reakce je vypracovaný Backup and Disaster Recovery plán (BDR).
Dárek pro odběratele newsletteru
Jak vybudovat úspěšný Disaster Recovery plán
Průvodce s praktickými tipy, jak vybudovat DRP a zkrátit tak dobu výpadku z týdnů/dnů na hodiny, nebo dokonce minuty.
4. Vyhodnoťte své úsilí o reakci na katastrofy
Hodnocení reakce v krizových situacích představuje klíčový krok k vylepšení strategií a řízení katastrofických událostí. Nezbytnou součástí takové reakce je komplexní přezkoumání postupů, které umožní identifikovat úspěchy a oblasti potřebující zlepšení. Následující body představují klíčové prvky tohoto pořadí:
Proveďte strukturované hlášení, zapojte všechna oddělení, abyste získali komplexní pohled na událost. Lépe tak porozumíte průběhu události, postupům použitým v rámci reakce a jejich dopadům.
Využijte efektivní metodiky a nástroje hodnocení, jako jsou zprávy po akci (AAR), analýza hlavních příčin (RCA) a analýza klíčových výkonnostních ukazatelů (KPI) souvisejících s reakcí. Tato opatření umožní zhodnotit dobu reakce, obnovy a celkový dopad.
Analyzujte data z různých zdrojů, včetně záznamů o událostech a zpětné vazby od zaměstnanců a zákazníků, abyste získali komplexní obraz události.
Zkontrolujte soulad s předpisy a normami, abyste zajistili, že vaše reakce splňuje veškeré relevantní oborové a regulační požadavky.
Aktualizujte Response a Disaster Recovery plány na základě získaných poznatků a identifikujte oblasti pro zlepšení. Posilte školicí programy a interní komunikaci, abyste minimalizovali zranitelnost a zajistili, že všechny aktualizace budou sdíleny s celým týmem.
Investujte do řešení pro zajištění kontinuity provozu, zálohování dat a Disaster Recovery, což zajistí odolnost organizace a minimalizuje případné výpadky.