Incident response -suunnitelma on jäsennelty ja koordinoitu joukko protokollia, joita organisaatio noudattaa vastatakseen tehokkaasti ja hallitakseen turvallisuuspoikkeamia. Se on suunniteltu havaitsemaan, rajoittamaan, poistamaan ja toipumaan poikkeamista, kuten kyberhyökkäyksistä, tietomurroista, järjestelmien tunkeutumisista tai mistä tahansa luvattomasta pääsystä, joka voisi vaarantaa organisaation tietojärjestelmien ja tietojen eheyden, saatavuuden tai luottamuksellisuuden.
Incident response -suunnitelmat tarjoavat organisaatioille puitteet reagoida nopeasti ja tehokkaasti turvallisuuspoikkeamiin, minimoiden vaikutuksia ja vähentäen seisokkiaikaa. Ne määrittelevät henkilöstön, kuten IT-ammattilaisten, turvallisuustiimien, johdon ja ulkopuolisten sidosryhmien, roolit, vastuut ja toimenpiteet jokaisessa incident response -elinkaaren vaiheessa.
Valmistelu: Tämä vaihe sisältää kattavan incident response -suunnitelman kehittämisen ja dokumentoinnin, joka on räätälöity organisaation erityistarpeisiin ja infrastruktuuriin. Se sisältää incident response -tiimin määrittelyn, heidän roolinsa ja vastuunsa sekä viestintäkanavat raportointiin ja eskalointiin. Organisaatioiden tulisi myös luoda suhteita ulkoisiin resursseihin, kuten lainvalvontaviranomaisiin tai incident response -palveluntarjoajiin, mahdolliseen yhteistyöhön poikkeamatilanteissa.
Havaitseminen ja Analyysi: Incident response -suunnitelman tulisi määritellä menettelytavat ja työkalut, joilla turvallisuuspoikkeamat voidaan havaita nopeasti. Tämä voi tarkoittaa turvallisuustiedon ja tapahtumien hallintajärjestelmien (SIEM), tunkeutumisen havaitsemisjärjestelmien (IDS) tai verkko- ja järjestelmälokien reaaliaikaista seurantaa. Kun poikkeama havaitaan, on kriittistä arvioida vaikutukset, laajuus ja vakavuus, mikä ohjaa seuraavia toimenpiteitä ja päätöksiä.
Rajoittaminen ja Poistaminen: Kun poikkeama on vahvistettu, suunnitelman tulisi sisältää askeleet poikkeaman leviämisen rajoittamiseksi, lisävahinkojen tai kompromissien minimoimiseksi ja uhan poistamiseksi haittaohjelma. Tämä voi edellyttää vaikuttaneiden järjestelmien eristämistä, vaarantuneiden tilien deaktivointia, haitallisten IP-osoitteiden estämistä tai tietoturvakorjausten ja päivitysten toteutusta.
Toipuminen: Toipumisvaihe keskittyy vaikuttaneiden järjestelmien, palvelujen ja tietojen palauttamiseen turvalliseen tilaan ja normaaliin toimintaan palaamiseen. Incident response -suunnitelman tulisi sisältää menettelytavat tietojen varmuuskopiointiin ja palauttamiseen, järjestelmien uudelleen rakentamiseen, haavoittuvuuksien arvioimiseen ja poikkeamatilanteesta oppimiseen.
Poikkeamatilanteen jälkeinen Analyysi: Kun poikkeama on ratkaistu, on olennaista suorittaa perusteellinen analyysi response-pyrkimyksistä parannuskohteiden tunnistamiseksi. Tämä voi tarkoittaa incident response -suunnitelman tehokkuuden arviointia, toimenpiteiden ajoissa ja tehokkuudessa onnistumista sekä mahdollisten puutteiden tai heikkouksien tunnistamista, jotka on korjattava. Analyysin havainnoista tulee käyttää incident response -suunnitelman jatkuvaa päivittämistä ja parantamista.
Oman incident response -tiimin luominen: Organisaatioiden tulisi perustaa tiimi, jossa on määritellyt roolit ja vastuut turvallisuuspoikkeamien käsittelemiseen. Tällä tiimillä tulisi olla tarvittava asiantuntemus ja koulutus vastata tehokkaasti poikkeamiin ajoissa.
Suunnitelman testaaminen ja päivittäminen säännöllisesti: Incident response -suunnitelmaa tulisi tarkistaa, testata ja päivittää säännöllisesti sen varmistamiseksi, että se on tehokas kehittyviä uhkia vastaan. Pöytäharjoitukset, simulaatiot ja incident response -harjoitukset voivat auttaa tunnistamaan mahdolliset puutteet tai epäkohdat, jotka on korjattava.
Koulutus- ja tietoisuusohjelmien tarjoaminen: On tärkeää kouluttaa työntekijöitä heidän rooleistaan ja vastuistaan incident response -prosessissa. Säännölliset koulutustilaisuudet ja tietoisuusohjelmat voivat auttaa työntekijöitä tunnistamaan mahdolliset turvallisuuspoikkeamat, raportoimaan ne nopeasti ja noudattamaan oikeita response-menettelyjä.
Tässä on esimerkki incident response -suunnitelman rakenteesta, joka havainnollistaa hyvin jäsennellyn suunnitelman eri vaiheita ja elementtejä:
Johdanto: Antaa yleiskuvan incident response -suunnitelmasta, sen tarkoituksesta, laajuudesta ja tavoitteista.
Roolit ja Vastuut: Määrittelee incident response -tiimin jäsenien roolit ja vastuut, mukaan lukien incident response -koordinaattori, tekniset asiantuntijat, viestintähenkilöstö ja johtoryhmän edustajat.
Viestintä: Määrittelee viestintäkanavat, joita käytetään incidentin aikana, sekä sisäisesti että ulkoisesti, varmistamaan tehokas ja oikea-aikainen tiedonvaihto.
Valmistelu: Kuvaa tarpeelliset toimenpiteet poikkeamatilanteisiin valmistautumiseksi, kuten incident response -tiimin perustaminen, yhteystietoluettelon luominen ja organisaation resurssien, verkkojen sekä kriittisten järjestelmien dokumentointi.
Havaitseminen ja Analyysi: Yksityiskohtaisesti määrittelee, millaisia menetelmiä ja työkaluja käytetään turvallisuuspoikkeamien havaitsemiseen, analysointiin ja arviointiin, mukaan lukien tunkeutumisen havaitsemisjärjestelmät, lokianalyysi ja uhkatiedustelusyötteet.
Rajoittaminen ja Poistaminen: Määrittelee toimenpiteet, joilla poikkeama rajoitetaan ja torjutaan, kuten vaikuttaneiden järjestelmien eristäminen, salasanojen vaihtaminen, korjausten tekeminen tai verkosta irrottaminen.
Toipuminen: Kuvaa menettelytavat järjestelmien, palvelujen ja tietojen palauttamiseen turvalliseen tilaan. Tämä voi sisältää tietojen varmuuskopiot, järjestelmien uudelleen rakentamisen, haavoittuvuuksien arvioinnin ja jäljellä olevien uhkien testauksen.
Poikkeamatilanteen jälkeinen Analyysi: Kuvaa prosessin, jossa tarkastellaan ja analysoidaan incident response -toimenpiteitä, dokumentoidaan opitut asiat ja päivitetään incident response -suunnitelma vastaavasti.
Viitteet ja Liitteet: Sisältää viitteitä relevantteihin käytäntöihin, menettelyihin ja ulkoisiin resursseihin, kuten yhteystiedot lainvalvontaviranomaisille, incident response -palveluntarjoajille tai oikeudellisille neuvonantajille.
Threat Intelligence: Tietoa mahdollisista tai nykyisistä hyökkäyksistä, jotka voivat auttaa organisaatioita valmistautumaan, reagoimaan ja estämään turvallisuuspoikkeamia.
Security Information and Event Management (SIEM): Teknologia, joka tarjoaa reaaliaikaista analyysia verkon laitteistojen ja sovellusten tuottamista turvallisuushälytyksistä.