Svare på et Network Security Breach

November 24  by Eliza

Uansett hvor forsiktig du er, og uansett hvor sikker systemene er, dårlige ting skje. Elektroniske komponenter mislykkes. Programvare kan bli funnet å være buggy. Folk gjør feil. Og, bare noen ganger, folk gjør ugagn med hensikt å gjøre skade på nettverket. Naturen kan påvirke om nettverket ditt fungerer eller ikke, også. Alle disse situasjonene krever at du svarer til legevakten for hånden raskt og effektivt.

Ring i SWAT, um, CERT-teamet

Den beste måten å være forberedt på en nettverkssikkerhet krise, er å ha et CERT på plass CERT står for Computer Emergency Response Team (eller CIRT, Computer Incident Response Team) -. Et lag du satt opp til å håndtere kriser i din egen organisasjon. Uansett hvordan du stave det, er det disse Ghostbusters av datanettverk; de finner den dårlige ting og rot det ut.

Forretningsmodellen av en Computer Emergency Response Team, er å svare på nødhjelp mye på samme måte brannmenn og politi gjøre. De reagerer, identifisere situasjonen, isolering av området, og gå på jobb. Og fordi ingen noen gang vet hvor lang tid det vil ta å inneholde en nødssituasjon, de ofte jobber lange, harde timer under enormt stress.

Konserter består av dyktige mennesker som varierer i sine fagfelt, men er kryss opplært til å dekke alle eventualiteter. Disse gruppemedlemmer må

  • Ha en grundig forståelse av nettverk, operativsystemer og applikasjoner, slik at de kan gjenkjenne når noe er galt.
  • Være i stand til å identifisere virus og utrydding teknikker.
  • Vet hacking teknikk og system sårbarheter
  • Bruke mange plattformer nettverk verktøy. Noen av disse verktøyene er faktisk hacking verktøy og andre brukes til å oppdage system inntrenging ..
  • Være i stand til å jobbe som et team og være kul under press.
  • Være i stand til å kommunisere med andre som ikke har så høy grad av forståelse som de gjør. Det er viktig å være i stand til å gi statusrapporter og å anbefale endringer i sikkerhet for å hindre ytterligere forekomster.

Fordi CERT teammedlemmene er så dyktige, kan et selskap ikke råd til å ansette en CERT lag bare for å sitte rundt for måneder på slutten gjør ingenting. Gruppemedlemmene har vanligvis heltidsstillinger gjør noe annet enn beredskap. Sjelden de noensinne holder mer enn tilsyns- eller middel lederstillinger. Men når de reagerer på en kritisk situasjon, må de ha myndighet og autonomi til å ta utøvende nivå beslutninger. Livet av din bedrift kan avhenge raske beslutninger.

Du bør ha en seksjon i sikkerhetspolitikk og prosedyrer dokument som staver ut bedriftens ordninger for en CERT, uansett om det er internt eller outsourcet. Roller og ansvar bør være klare og tydelige samt hvem som bør ringe teamet til handling og når de bør kalles.

Svare på en ansvarlig

Nettverket ditt har vært konstituert morsomt i det siste, eller du har sett noen merkelige ting som gjør at du tror en inntrenger er i nettverket ditt. Første punkt på agendaen er Do not Panic! Ring i din CERT så snart du kan. Sjansen er at inntrengeren har vært der en stund, men dette er bare første gang du har lagt merke til. Inntrengere er som mort infestations - de trenger ikke bare skje over natten. CERT vil ta sin tid og arbeide systematisk for å bli kvitt den plagsomme. Og med mindre de legger merke til at filer på serverne blir ødelagt i et urovekkende tempo, vil de ikke stenge ned nettverket ditt.

Du må ta noen grunnleggende trinn før CERT kommer inn og begynner å jobbe. Disse trinnene kan variere litt i rekkefølge, avhengig av situasjonen. For eksempel, i noen tilfeller kan du ringe i CERT før du melder næringslivsledere fordi det er viktigere å få team som arbeider først. I alle fall gjøre alle de følgende trinnene, og ikke utelate noe. Først og fremst, men -. Ikke slå av eller starte noen systemer Dette kan hemme gjenopprettingsprosessen.

1. Begynn å ta notater.

Ikke begynn å skrive kommandoer som gale prøver å finne inntrengeren. La CERT gjøre det. Det er mer viktig på dette punktet at du får en ny notatbok og skrive ned alt du har lagt merke til, og hva du gjorde. Det er veldig viktig at du tar opp tid og dato for alt. Denne bærbare kan bli avgjørende bevis i rettssaker senere.

2. Informer ledelsen.

Ikke send e-postmeldinger som de kunne tipse inntrengeren. Forhåpentligvis hadde du forberedt en samtale-ark på forhånd med navn og telefonnumre til de som trenger å vite. Den mest effektive måten å håndtere varsling er for deg å ringe to personer og deretter ha dem ringe resten av listen. Ellers kan du tilbringe timer på telefonen å forklare situasjonen om og om igjen til dusinvis av mennesker. Tiden er dyrebar og bør brukes på akutten - ikke på hånda.

3. Ring i din CERT.

Gjør dette rolig og uten fanfare. Du ønsker ikke hele selskapets arbeid for å komme til en stillstand fordi du har kalt en generell alarm. Når CERT blir det, orientere dem og deretter la dem være i fred til å gjøre jobben sin.

4. Håndheve et "need-to-know" -politikk.

Ikke fortell ansatte noe er opp med mindre de virkelig trenger å vite. Inntrengeren kan ha en innvendig medskyldig, eller det kan være en falsk alarm og ikke en forstyrrelse. Du ønsker ikke sladder å komme utenfor kontoret til dine kunder, presse, eller dine konkurrenter. Du kan alltid si at selskapet opplever "nettverksproblemer" som de fleste vil akseptere at forklaringen uten flere spørsmål.

5. Noen i selskapet bør være poenget person i tilfelle det offentlige blir klar over situasjonen.

Hvis du har en PR-avdeling, det er jobben deres. Du ønsker ikke en mediestorm på hånden, slik at bare den utnevnte person eller personer har lov til å snakke med pressen og kunder. Noen ganger en hendelse er ikke en hendelse i det hele tatt, men en feilkonfigurasjon i nettverket. Minne pressen og offentligheten at ting er ikke alltid som de ser ut.

6. Gi støtte til CERT.

De jobber sannsynligvis lange harde timer uten pauser. Sørge for at de får måltider og forfriskninger som sendes inn i dem. (Dette kan bety mer enn bare brus og godteri barer.) Hvis det blir nødvendig lettelse gruppemedlemmer, sette dem på vakt og sette opp en skiftplan. Håndheve planen, også. Mange gruppemedlemmer vil være motvillige til å gi opp sine stillinger, men de kan lett brenne ut etter en dag eller to. Dersom laget er i behov av mer utstyr som reserve disker og nettverksenheter, få dem raskt.

7. Ta kontakt med juridisk avdeling.

La dem vite situasjonen. De kan avgjøre om noen lover har blitt brutt. Hvis de anbefaler deg å ta kontakt med politi, gjøre det.

8. Gjennomføre orienteringer og møter etter oppryddingen.

Fortelle alle hva som skjedde og hvorfor og hva du kan / må / vil gjøre for å sørge for at det ikke skjer igjen. Ikke peke fingre; lære av dine feil.

Gjør ingen feil at dette vil være en stressende affære for mange og at temperamentet kan og vil blusse. Ikke falle i fellen med å bli så fanget opp i det øyeblikk at du glemmer hva du skal gjøre.