Етапи кіберінцидентів

Всі говорять про те, як штучний інтелект буде знаходити всі кіберінциденти й посувати пов’язані проблеми. Поки що ми не в такому світі, й люди-оператори повинні шукати кіберінциденти й зрозуміти джерела проблем. Ці оператори виконують три етапи в життєвому циклі кіберінциденту.

Перший — Відкриття

Відкриття розслідування інциденту, особливо для безпечної системи, найскладніший етап. Оператори й кіберінструменти отримують дані від кількох логів. Операції комп’ютерних систем змінюються щодня. Тому не можна припустити, що вся дивна діяльність — це погана діяльність. Оператори повинні уникати втому від попереджень (коли є більш розслідування ніж час, щоб закрити їх).

Кіберінструмент може автоматично відкрити розслідування інциденту, або оператори можуть відкрити його. Зазвичай є оператори виявлення, які шукають підозрілу діяльність для розслідування. Як тільки штучний інтелект стає кращим, він починає брати на себе завдання виявлення. Кібер-оператори тому більш зосереджуються на розслідуванні після автоматичного відкриття.

Збагніть важливу несхожість між представленим визначенням слова “інцидент” та визначенням у Рамці кібербезбеки (https://www.nist.gov/cyberframework). У Рамці кібербезпеки інцидент має вплив на комп’ютерну систему, але тут інцидент тільки є підозрілою діяльністю, для якої оператор вирішив виконати розслідування. Перше визначення надто теоретичне для використання в справжньому житті.

Другий — Збагачення

Розслідування відкрилося через індикатори у системних датчиках, але цих індикаторів часто не вистачає. Ці дані від датчиків відповідають на запитання “Щось дивне або погане відбулося?” Після цього залишаються запитання “Що саме відбулося? Хто це спричинив? Як можна це виправити?” Для цих запитань потребується більше даних.

Процес знаходження цих відповідей називається збагаченням, бо нам потрібна “багатша” інформація. Оператори часто знаходять цю інформацію в логах та в образах дисків. Вони навіть можуть знайти потрібну інформацію в темній мережі, якщо хакери там продають інформацію або хваляться.

Третий — Вирішення

Після збагачення інциденту, оператор має всю необхідну інформацію для вирішення інциденту. З технічного погляду, це найпростіший етап. Всі деталі інциденту вже знайомі, й кваліфікований оператор знає вплив свого діла.

З погляду менеджменту, етап не такий простий. Менеджери рідко дозволяють кібер-операторам перебивати бізнес з вирішенням кіберінцидентів. Кібер-команда повинна переконати лідерства, що бізнесу варто робити зміни. Після успішного переконання, менеджери зазвичай тільки дозволяють такі зміни поза робочим часом.

Висновок

Три етапи кіберінцидентів є відкриття, збагачення, і вирішення. Це недалеко від процесу кримінального судочинства. У сфері кіберзахисту, ми навіть називаємо збір інформації про інцидент “справою.” Техніки різні, але процес схожий.

I write about computer science, computer security, and cyber policy.

I write about computer science, computer security, and cyber policy.