Kroki postępowania w zakresie poważnego incydentu cyberbezpieczeństwa.
Jest to lista głównych kroków, które należy wykonać, gdy specjalista techniczny uzna, że doszło do poważnego incydentu, a organizacja nie ma możliwości reagowania na incydenty. Jest to podstawowe źródło informacji o tym, co należy zrobić dla osoby, która stoi w obliczu kryzysu i nie ma czasu na przeczytanie całego dokumentu.
- Dokumentuj wszystko. Dokumentuj każdą wykonaną czynność, każdy dowód i każdą rozmowę z użytkownikami, właścicielami systemów i innymi osobami na temat incydentu.
- Znajdź współpracownika, który może udzielić pomocy. Obsługa incydentu będzie znacznie łatwiejsza, jeśli dwie lub więcej osób będzie ze sobą współpracować. Na przykład jedna osoba może wykonywać działania, a druga je dokumentować.
- Przeanalizuj dowody, aby potwierdzić, że doszło do zdarzenia. W razie potrzeby przeprowadź dodatkowe badania (np. wyszukiwarki internetowe, dokumentacja oprogramowania), aby lepiej zrozumieć dowody. Skontaktuj się z innymi specjalistami technicznymi w organizacji, aby uzyskać dodatkową pomoc.
- Zawiadomienie odpowiednich osób w organizacji. Powinny to być: dyrektor ds. informacji (CIO), szef bezpieczeństwa informacji oraz lokalny kierownik ds. bezpieczeństwa. Zachowaj dyskrecję, omawiając szczegóły incydentu z innymi osobami; powiedz tylko tym, którzy muszą wiedzieć i użyj mechanizmów komunikacji, które są w miarę bezpieczne. (Jeśli atakujący naruszył usługi poczty elektronicznej, nie wysyłaj e-maili na temat incydentu).
- Powiadom US-CERT i/lub inne organizacje zewnętrzne o pomocy w rozwiązaniu problemu.
- Zatrzymanie incydentu, jeśli jest on nadal w toku. Najczęstszym sposobem jest odłączenie od sieci systemów, których dotyczy incydent. W niektórych przypadkach konieczna może być modyfikacja konfiguracji zapory sieciowej i routera, aby zatrzymać ruch sieciowy będący częścią incydentu, np. atak typu DoS (Denial of Service).
- Zachowaj dowody związane z incydentem. Wykonaj kopie zapasowe (najlepiej kopie obrazów dysków, a nie kopie systemu plików) systemów dotkniętych incydentem. Wykonaj kopie plików dziennika, które zawierają dowody związane z incydentem.
- Usuńcie wszystkie skutki incydentu. Działania te obejmują infekcje złośliwym oprogramowaniem, nieodpowiednie materiały (np. pirackie oprogramowanie), pliki koni trojańskich i wszelkie inne zmiany wprowadzone do systemów w wyniku incydentu. Jeśli system został całkowicie skompromitowany, odbuduj go od podstaw lub przywróć go z dobrej kopii zapasowej.
- Zidentyfikuj i zniweluj wszystkie luki, które zostały wykorzystane. Do incydentu mogło dojść poprzez wykorzystanie luk w systemach operacyjnych lub aplikacjach. Bardzo ważne jest zidentyfikowanie takich podatności i wyeliminowanie ich lub zniwelowanie w inny sposób, aby incydent nie powtórzył się.
- Potwierdź, że operacje zostały przywrócone do normy. Upewnij się, że dane, aplikacje i inne usługi dotknięte incydentem zostały przywrócone do normalnego działania.
- Sporządzenie raportu końcowego. Raport ten powinien zawierać szczegóły procesu obsługi incydentu. Powinien również zawierać streszczenie tego, co się wydarzyło i w jaki sposób formalna zdolność reagowania na incydenty pomogłaby w szybszym opanowaniu sytuacji, zmniejszeniu ryzyka i ograniczeniu szkód.