Företagen är mer medvetna än någonsin om hur cyberbrott kan påverka deras rykte och deras lönsamhet idag.
Årliga rapporter som Verizon Data Breach Investigations Report och Verizon Insider Threat Report fortsätter att flagga för de cyberbott och trender som borde vara på varje organisations radar. Även om kunskap är nödvändigt när det kommer till att förstå cyberhotbilden så är förberedelserna för att kunna handskas med en cybersäkerhetsincident något som kräver ett mer övergripande tillvägagångssätt.
Verizon Incident Preparedness and Response Report (VIPR) ger organisationer strategisk rådgivning kring hur de kan skapa effektiva IR-planer. Rapporten är baserad på tre år (2016-2018) av bedömningar för Incident Response (IR)-planer och simulationer av dataintrång utförda av Verizon, för sina kunder.
Företag tror att med IR-plan på lager betyder det att de är förberedda på en cyberattack. Ofta har inte dessa planer rörts eller uppdaterats, eller övats på under flera år och är inte redo för att motstå en cyberattack. Att ha en utdaterad plan är precis lika illa som att inte ha någon plan alls. IR-planer bör behandlas som levande dokument som uppdateras regelbundet och där intrångsscenarion övas på för att de verkligen ska vara effektiva.
IR-planer kan hållas färska genom att inkludera feedback från berörda intressenter, erfarenheter från intrångssimuleringar och med insikter från de senaste cybertaktikerna som används. Detta möjliggör planen att konstant återskapa sig själv och då återspegla läget för cybersäkerhet, något som är i ständig förändring.
Sex typiska faser varje IR-plan bör innehålla
Verizons experter har identifierat sex typiska faser varje IR-plan bör innehålla med det viktigaste att ta med sig i varje fas för att hjälpa organisationer. En överblick nedan:
- Planera och förbered – Skapa IR-planen och inkludera de viktigaste berörda intressenterna och tredjepartsaktörer som är kritiska för att effektivt svara på en incident.
- Upptäckt och validering – Upptäck och klassificera cybersäkerhetsincidenter på hur pass allvarliga de är och gör detta tidigt i IR-processen.
- Begränsa och avsluta – Fokusera på att begränsa och avsluta cybersäkerhetshotet.
- Insamling och analys – Samla in och analysera bevis för att bättre förstå cybersäkerhetsincidenter, vilket hjälper till med att effektivt begränsa dataintrången, avsluta dem, råda bot på dem och återställningen efteråt.
- Bota och återställ – Erbjud bot- och återställningsmått och beskriv särskilt de handlingar som inte bara ser till att det operativa återställs till det normala men också de som kan förhindra eller minska framtida incidenter.
- Bedömning och justering – Mata in vad vi lärt oss efter incidenten tillbaka in i IR-planen för att förbättra metrik, styrning och utförande för cybersäkerheten.
VIPR Report innefattar också fem “Breach Simulations Kits” som består av scenarier hämtade från verkliga händelser för att erbjuda organisationer innehåll för att förenkla deras egna övningar för att testa och slipa på deras IR-plan med inblandade intressenter. Dessa scenarier inkluderar insiderbrott med crypto-jacking, ett utbrott av skadlig kod, cyberspioneri samt en molnbaserad cyberattack.