Реагировать быстро и решительно
Реагировать быстро и решительно
Как красноречиво говорят нам надписи на футболках, в жизни чего только не бывает. Поэтому, если хакер вторгся в вашу систему, несмотря на все принятые вами меры защиты, выполните хотя бы следующее.
Действуйте быстро!
Бесспорной истиной безопасности является то, что чем медленнее вы реагируете, тем больше вероятность ухода взломщика от наказания вместе с вашей информацией, причем неопознанного и готового нанести повторный удар.
Придерживайтесь плана действий
Главная цель заблаговременного написания процедур реагирования на инцидент состоит в том, что вы (или ваши сотрудники) можете реагировать немедленно и не раздумывая. Не пытайтесь как-либо истолковывать план — просто выполняйте его!
Записывайте все!
Как только возникнут подозрения, что система подвергается атаке, крайне важно получать об этом информацию. Сделайте «моментальный снимок» системы. Любая собранная вами информация имеет ценность для расследования и может оказаться решающей для установления источника атаки и привлечения взломщика к ответственности.
При необходимости прибегайте к эскалации проблемы
Эскалация — это привлечение к решению проблемы вышестоящего руководства[8] В процедуре реагирования на инцидент должно быть указано, при каких обстоятельствах нужно прибегать к эскалации — как внутренней, так и внешней.
Внутренняя эскалация — это передача проблемы на более высокий уровень руководства внутри компании. Она требуется, когда масштаб взлома выходит за пределы знаний, имеющихся у группы обслуживания. Внешняя эскалация заключается в вызове эксперта со стороны, и к ней прибегают, когда инцидент слишком сложен для сотрудников компании.
Также важно иметь в плане способ эскалации в условиях конфликта интересов. Он необходим, если под подозрение попадает кто-нибудь из группы обслуживания. (В случае с First Fidelity главный подозреваемый входил в группу безопасности. Эскалация при конфликте интересов могла бы разрядить стрессовую ситуацию и последующие проблемы с персоналом.)
Создайте надежную систему отчетов
Разумным будет создание механизма составления отчета обо всех вторжениях, даже тех, которые не причинили системе какого-либо очевидного вреда. Отчеты о взломах дают общую картину состояния безопасности сети. Они также помогают обнаружить участки в вашей сети, представляющие угрозу ее безопасности.