NedsÀnkt i en cyberattack Àr det inte dags att ta reda pÄ hur man ska svara. En expert ger förslag pÄ hur man skapar en företagsspecifik incident-responsplan.
Bild: iStockphoto/ipopbaDitt lilla företag mÄr bra. Du hoppas att Ärets julsÀsong kommer att bli en storsÀljare. Förra Äret förstörde covid nÀstan verksamheten. I Är borde vara annorlunda: Prognoserna ser bra ut.
MÄste lÀsa sÀkerhetstÀckning
Det Ă€r sent pĂ„ natten, varför skulle min partner ringa mig nu? “Vad Ă€r det Harry?”
“Hej Tom, kan du försöka komma in i nĂ€tverket? jag kan inte.”
“LĂ„t mig försöka. Det Ă€r konstigt; Jag kan inte komma in i databasen â Ă„tkomst nekas.â
“Det Ă€r vad jag fĂ„r ocksĂ„.”
Dessa företagsÀgare kommer att ha flera svÄra dagar och Ätminstone ett svÄrt beslut att fatta. Deras verksamhet upplever en ransomware-attack. Deras anstÀllda kan inte arbeta. Kunder ringer eftersom företagets hemsida inte fungerar. De har ingen aning om vad de ska göra nu. Det Àr en röra.
SER: Responspolicy för sÀkerhetsincidenter (TechRepublic Premium)
Tekniska medier och marknadsförare har alla möjliga lösningar, varav de flesta Àr för dyra för smÄföretagare med snÀva budgetar. De spelar hellre pÄ att bli lÀmnade ensamma av cyberskurkarna. Det slutar dock med att bli ett problem om företaget utsÀtts för en cyberattack. Vem gör vad och nÀr?
Att misslyckas med att planera Àr planering att misslyckas
Varje företag har en affÀrsplan. Jim Bowers, sÀkerhetsarkitekt pÄ TBI, anser att Àven de minsta företag bör ha en cybersÀkerhetsincident-responsplan, utformad för att hjÀlpa dem som svarar pÄ en cybersÀkerhetshÀndelse pÄ ett meningsfullt sÀtt.
Bowers förstÄr att smÄföretagare kan vara tveksamma till att sjÀlvstÀndigt skapa ett dokument och en process som kan göra eller förstöra deras företag. För att hjÀlpa till att lindra deras rÀdslor har Bowers skapat följande disposition som utgÄngspunkt för att bygga en företagsspecifik incident-responsplan. Bowers delar in konturen i tre tidsperioder: den första timmen, den första dagen och nÀr dammet lÀgger sig.
Under den första timmen: BegrÀnsa och isolera brottet
Efter att ha upptÀckt att det har skett en cyberattack Àr det första steget att begrÀnsa hotet, Àven om det innebÀr att allting Àr offline. NÀsta steg innebÀr att lokalisera skadan, faststÀlla vilka system som var inblandade och identifiera om data har Àventyrats. Detta sÀkerstÀller att situationen inte gÄr utom kontroll.
OvanstĂ„ende steg kan krĂ€va att man kallar in experter som redan Ă€r bekanta med företagets digitala infrastruktur och affĂ€rstillgĂ„ngar, sĂ„ det Ă€r viktigt att ha deras kontaktinformation tillgĂ€nglig. Med det i Ă„tanke, anvĂ€nd inte traditionella kommunikationsmetoder â angriparen kan fĂ„nga upp konversationerna (e-post eller digital röst). Bowers sa: “Angriparen vill sprida sig över företagets infrastruktur, sĂ„ digital trafik mĂ„ste dirigeras om för att förhindra att attacken sprids.”
SER: Hur man hanterar lösenord: BÀsta metoder och sÀkerhetstips (gratis PDF) (TechRepublic)
Om intrĂ„nget involverar ransomware föreslog Bowers att du inte skulle betala. “Det finns ingen garanti för att cyberbrottslingarna kommer att ge tillbaka Ă„tkomst till de sekvestrerade uppgifterna om de fĂ„r betalt,” sa han. “Och om cyberbrottslingarna fĂ„r betalt finns det ingen garanti för att de inte kommer att försöka igen.”
Under den första dagen: Dokumentera och arbeta med ÄterhÀmtning
Ett brott upphör inte nĂ€r det vĂ€l har Ă„tgĂ€rdats. Angriparna hoppas att det Ă€r fallet, eftersom de tenderar att lĂ€mna bakdörrar för att förenkla deras Ă„terkomst. Bowers sa, “Gör det till en hög prioritet att bestĂ€mma angriparens ingĂ„ngspunkt och arbeta för att stĂ€nga det gapet och andra potentiella ingĂ„ngspunkter.”
SER: Ransomware-attack: Varför ett litet företag betalade 150 000 $ lösen (TechRepublic)
Följande lista innehÄller förslag som bör utföras inom de första 24 timmarna efter cybersÀkerhetsincidenten:
- IT-chefer bör debriefa och arbeta med att ta bort alla kÀnda spÄr av attacken och utföra en systemomfattande undersökning för ytterligare svagheter relaterade till cyberattacken.
- Engagera interna parter (marknadsförings-, juridiska och PR-team) och externa parter (rÀttsbekÀmpande och statliga myndigheter) som behöver veta eller uppfylla de myndighetskrav som krÀvs.
- NÀr de interna teamen har en chans att kommunicera och skapa en strategi mÄste kunderna informeras.
- Det Ă€r viktigt att dokumentera all information om attacken â vad som fungerade och vad som inte hjĂ€lpte nĂ€r man försökte stoppa attacken. Denna information ska sedan anvĂ€ndas för att korrigera och förbĂ€ttra incident-responsplanen.
NÀr dammet vÀl har lagt sig: LÀr dig av det
NĂ€r dammet har lagt sig och verksamheten Ă€r online igen bör en allomfattande revision â inklusive ett penetrationstest â göras. Bowers sa att detta Ă€r viktigt sĂ„ att incident-responsplanen kan uppdateras för att hjĂ€lpa ansvariga parter att lĂ€ra sig hur man reagerar snabbare. Kostnaden kommer att vara mindre Ă€n att behöva utsĂ€ttas för ytterligare en cyberattack.
Det Àr ocksÄ viktigt att rutinmÀssigt testa incident-responsplanen. Digital infrastruktur och processer kan förÀndras och testning kommer att belysa nya svagheter som kontaktinformation som inte lÀngre Àr giltig.
FĂ„ mer information om din plan
Bowers Àr medveten om att konturen bara Àr en startpunkt, men den fÄr bollen i rullning innan det outsÀgliga hÀnder. För en mer detaljerad incidentresponsplan, vÀnligen kolla in National Institute of Standards and Testings Cybersecurity Framework.
