Cyberhoten blir allt fler och alltmer avancerade. Detta innebär att företags arbete med incidentrespons ofta är en kamp mot klockan.
Därför är det viktigare än någonsin att automatisera dessa processer.
Det är dock viktigt att du gör det på rätt sätt för att det ska bli en framgångsrik strategi. Så vad behöver du tänka på innan du kan börja automatisera incidentrespons? Vilka är de eventuella fallgroparna och hur får du till en automatiserad process som är så pass pålitlig att du vinner kampen mot klockan?
Se över dina verktyg
Det första du måste göra är att förenkla och standardisera de verktyg som behövs för att identifiera och hantera cybersäkerhetsincidenter. De flesta företag använder för det mesta olika verktyg: ett verktyg för att larma, ett för sanering, ett tredje för övervakning och till och med ett fjärde för att upptäcka ytterligare hot efter att en incident skett. Därför kan det vara komplicerat, för att inte säga omöjligt, att automatisera så många verktyg eftersom de ofta inte använder samma dataformat eller har samma sätt att ansluta till varandra för att dela data. Att effektivisera dessa verktyg är därför en förutsättning för en effektiv automatisering.
Nästa steg är att anpassa ekosystemet för att göra det enklare att implementera en automatisering. Detta inkluderar att arbeta med interna processer, men också att utbilda anställda i de verktyg som används. Detta är ytterligare en anledning till att effektivisera uppsättningen verktyg. Med färre verktyg blir det nämligen färre processer att implementera och färre personer att utbilda. Dessutom underlättar effektiviseringen av verktygen kommunikationen mellan teamen, liksom datadelningen, vilket är väsentliga element för framgångsrik automatisering.
Få med dig kollegorna
Det är viktigt att inse att en automatisering av incidentresponsen måste förankras i flera delar av företaget för att fungera bra. Cybersäkerhetsteamen, som ofta är involverade i ett initialt skede när företaget har drabbats av en attack, måste givetvis spela en aktiv roll. Det är dock minst lika viktigt att även personer som är ansvariga för den övergripande operativa verksamheten inkluderas innan en automatisering av incidentresponsen implementeras. För att automationsplanen ska kunna genomföras till fullo måste den därför först stöttas av organisationens högsta ledning, och vara en del av en policy som gäller hela företaget, och på alla nivåer – i synnerhet inom IT-avdelningen. Du bör också vara beredd på att möta motstånd internt, eftersom många kommer att befara att en automatisering sker på bekostnad av mänsklig kontroll, vilket kan riskera säkerheten.
Glöm inte att sätta rätt ramverk
För att få med sig hela verksamheten i processen är det viktigt att sätta upp ett ramverk och en tydlig plan för var gränserna för automatiseringen går. Man kan i detta fall ha bankernas betalningssystem som en ledstjärna; som ofta tillåter att betalningar av mindre summor sker automatiskt, men kräver PIN-identifiering för att större summor ska kunna överföras.
Att automatisera din incidentrespons är inte lätt: du måste få med alla team, bedöma risker, effektivisera dina verktyg och anpassa ditt ekosystem av interna processer och utbildning. Det är genom att tillämpa dessa tips som företag kommer att göra automatisering till en framgång. Här kan du läsa mer om Taniums lösningar för effektiv incidentrespons.
Av Peter Dahlberg, Directorhttp://Tanium Strategic Operations Nordics på Tanium
