Autor: EC-Council • 13. jaanuar 2021

Selleks, et kõik sujuks, peavad organisatsioonidel olema kõik vahendid intsidendi eest hoiatamiseks, selle analüüsimiseks ja leevendamiseks. Eetilise häkkimise ja infoturbealase väljaõppe koolitusi pakkuv ning sertifikaate väljastav asutus EC-Council koostas artikli efektiivse intsidentide käsitlemise parimatest praktikatest.

Kui organisatsioonid võtavad kasutusele uusi viise küberturvalisuse ohtude ja rünnakute piiramiseks, on intsidentide käsitlemine (incident handling) muutunud üheks silmapaistvamaks lahenduseks.

Intsidentide käsitlemine on turvaintsidentide tuvastamise, uurimise, analüüsimise ja haldamise protsess reaalajas. Meetod leevendab käimasolevaid intsidente ja võimaldab ennetada võimalikke küberohte.

Intsidentide käsitlemine nõuab tööriistade komplekte, erinevate valdkondade tundmist ja analüüsi oskust. Intsidentide käsitlemise protsess käivitatakse alati, kui intsident aset leiab. Pärast seda uuritakse juhtunu ulatust, et välja töötada leevendusplaan.

Tavaliselt pole organisatsioonid küberrünnakute vastu võitlemiseks piisavalt oma meeskonda ette valmistatud. Õige meeskonna ettevõttesse palkamine on kõige tõhusam viis madalate rünnakute ohjeldamiseks massiivsete võrguturbe rikkumiste vastu, hoides taastamiskulud ja -ajad minimaalsena.

Peamised turbeintsidendid on eeskirjade rikkumised kuni andmete rikkumise või mis tahes muu vormis turvalisuse kompromissideni.

Intsidentide käsitlemine viis etappi

On ülioluline omada intsidentide käsitlemise kava, mis hoolitseb IT-infrastruktuuri mitme turvaaspekti eest. ISO/IEC standard 27035 näeb ette viieastmelise protsessi:

1. Ettevalmistus

Koostage intsidentide haldamise poliitika, et tulla toime erinevate intsidentide vormidega. See nõuab ka spetsiaalse meeskonna olemasolu.

2. Identifitseerimine

Jälgige oma turvainfrastruktuuri võimalike turvaintsidentide suhtes. Kui meeskond märkab kahtlast tegevust või käitumist, teavitage sellest viivitamatult.

3. Hinnang

Hinnake intsidenti ja määrake olukorra lahendamiseks sobiv plaan. Näiteks märkige rakenduses või tarkvaras tuvastatud viga või koguge digitaalseid tõendeid, et tõendada andmeleke jms.

4. Tegutsemine

Uurige intsidenti korralikult, et seda peatada ja lahendage probleem.

5. Õppimine

Dokumenteerige kogu tegevus edaspidiseks kasutamiseks ja õppimiseks. Samuti uuendage oma tegevuskava vajalike muudatustega.

Kuidas juhtumite käitlemine töötab?

Intsidentidele reageerimine on kohandatud plaan, mis varieerub organisatsiooniti. Kuid kõik plaanid järgivad mõnda ühist sammu. Esimene samm võiks olla IT infrastruktuuri põhjalik uurimine.

Selle alusel peab küberkaitsja otsima auke igast süsteemist. Arvesse tuleks võtta iga kahtlane detail, isegi volitatud kasutajate ebatavaline käitumine.

Mõelgem näiteks serverist, mis töötab tavapärasest aeglasemalt. See on märk ebanormaalsest käitumisest. Turvameeskond peaks hindama, kas probleem on seotud mõne intsidendiga. Kui see on nii, peab meeskond nakatunud üksust täiendavalt hindama (selle stsenaariumi korral on see server).

Tuleb kindlaks teha rünnaku ulatus, koguda kokku kõik asjakohane teave ja koostada juhtumi lahendamiseks plaan. On olukordi, kus intsident vajab avalikku teavitamist või õiguskaitseasutuste kaasamist.

Neli praktikat edukaks intsidendi käsitlemiseks

Vaatamata organisatsiooni suurusele ja tüübile, vajab iga ettevõte ja asutus enda intsidendi käsitlemise plaani. Pange oma plaani järgmised sammud:

1. Koostage intsidentide käsitlemise plaan koos nõuetekohase regulatiivse poliitikaga. Need toetavad põhimõtted juhendavad meeskonda intsidenti avastamisel, sellest teatamisel, analüüsimisel ja reageerimisel. Tegevuste kontrollnimekirja koostamine hõlbustab kogu protsessi. Suureks abiks oleks ka selle plaani korrapärane ajakohastamine varasemate intsidentide lahendustega.

2. Pange kokku intsidentide käsitlemisele pühendatud meeskond. Meeskonnal peaks olema oma selge roll ja vastutus. Kriisi ajal peaks neil olema funktsionaalsed rollid ka teistes osakondades, näiteks juriidilises, rahandus-, äri-, müügi- ja haldusosakonnas.

3. Pidev oskuste täiendamine. Põhjalik perioodiline koolitusprogramm on intsidentide lahendamise kava oluline osa. CIH (certified incident handler) programmi raames nimetatakse selgelt kõik toimingud, mis tuleb teha intsidentide edukaks käsitlemiseks. Enne reaalajas kasutamist tuleks kõiki sellega seotud protseduure harjutada paljude teststsenaariumidega. Selles programmis hinnatakse meeskonna funktsionaalseid, operatiivseid ja taktikalisi oskusi.

4. Intsidendi järgne analüüs on sama oluline kui kogu intsidendi käsitlemise protsess. Kui meeskond on turvaintsidendi edukalt lahendanud, õppige vigadest ja rünnakust ning kasutage edukaid elemente. Analüüsige ja uuendage olemasolevat plaani kui vaja.

Näited küpsete intsidentide käsitlemiseks

• Pange paika erinevad kontroll-loendid ja juhendid. See samm on kasulik operatiivse hoolduse korral. Meeskonnal võib tekkida vajadus tegeleda erinevate konfiguratsioonidega, mis nõuab eraldi käivitamise, väljalülitamise, taastamise ja muid juhendeid.

• Andke juhtkonnale ja asjaosalistele aru finantsmõõdikute kohta. Juhtkond ja sidusrühmad peaksid olema teadlikud taastamiskulude kokkuhoiust ja tootlikkuse tasemest.

• Testige ja hinnake regulaarselt oma intsidentide käsitlemise kava. On ülioluline, et analüüsiksite, mis olemasoleva kavaga hästi sobis ja mis mitte. Kava kontrollimiseks võite alustada paberitestide, lauaharjutuste ja simuleeritud rünnakutega.

Lisaks uurige paberkontrolli käigus dokumentatsiooni, et selles ei oleks lahknevusi, ega puuduks mõni oluline samm või muu vajalik detail. Lauaharjutuste käigus läbivad sidusrühmad mitu intsidendistsenaariumi, et läbi mängida määratletud toimingud. Täielikult simuleeritud rünnak toob meeskonna reaalsetele olukordadele lähemale. See aitab meeskonnal mõista nii nende rolle kui ka protseduure oma kohustuste täitmiseks.

Rahvusvaheline e-kaubanduse konsultantide nõukogu (International Council of E-Commerce Consultants) ehk EC-Council on maailma suurim eetilise häkkimise ja infoturbealase väljaõppe koolitusi pakkuv ning sertifikaate väljastav asutus. IT Koolitus on nende koostööpartner Eestis.

Loe rohkem intsidentide sertifitseeritud käsitlemise programmi kohta: