Кибербезопасность начинается с ваших сотрудников

Все мы знакомы с медведем Смоки и слоганом «Только вы можете предотвратить лесные пожары». В 2015 году Smokey обновили, и по всей стране появилась новая реклама «Получите медвежьи объятия». В рекламе Смоки выбегает из леса и крепко обнимает туриста, чтобы тот тщательно проверил костровые угли. Новая, более удобная версия Smokey вознаграждает отдыхающих за принятие ответственных решений, а не ругает их за предотвращение пожаров. Страх и беспокойство не всегда являются лучшими мотиваторами, и многие люди лучше реагируют на положительную мотивацию с помощью информационных мероприятий.

Октябрь - Национальный месяц осведомленности о кибербезопасности. В 2003 году он был создан для того, чтобы у американцев были ресурсы, необходимые для того, чтобы оставаться в безопасности в Интернете. Октябрь - прекрасное время для малых и средних производителей (SMM), чтобы рассказать сотрудникам о жизненно важной роли, которую они играют в защите бизнеса от кибератак, обеспечивая при этом позитивное сообщение о кибербезопасности. Хороший способ сделать это - создать план реагирования на инциденты кибербезопасности и сообщить о важной роли, которую каждый сотрудник играет в предотвращении инцидента и реагировании на него.

Инцидент кибербезопасности определяется как «событие, которое фактически или потенциально ставит под угрозу конфиденциальность, целостность или доступность информационной системы или информации, которую система обрабатывает, хранит или передает, или которое представляет собой нарушение или неминуемую угрозу нарушения политик безопасности, процедуры безопасности или политики допустимого использования ». Примеры включают:

• Попытки получить доступ к системам или данным из неавторизованных источников.
• Незапланированное прерывание обслуживания или отказ в обслуживании.
• Несанкционированная обработка или хранение данных.
• Несанкционированные изменения системного оборудования, прошивки или программного обеспечения.

План реагирования на инциденты - это набор письменных инструкций или процедур для вашей компании по обнаружению, реагированию и ограничению последствий злонамеренной кибератаки. План включает подготовку, обнаружение и анализ, локализацию, ликвидацию и восстановление. План реагирования на инциденты должен быть разработан до того, как произойдет нападение, чтобы ограничить нанесенный ущерб. Это также поможет сократить время и стоимость восстановления после атаки.

1. Подготовка

Когда дело доходит до кибербезопасности, хорошее практическое правило - планировать худшее. Число кибератак растет, и SMM являются основными целями киберпреступников, учитывая, что многие такие компании не имеют адекватных превентивных мер.

Ваша способность реагировать быстро (и надлежащим образом) может помочь уменьшить ущерб. Вам нужно будет определить ключевых людей, которых необходимо уведомить, и каждый человек должен понимать свои роли и обязанности, когда происходит инцидент, и быть обученным им.

Вы также захотите создать и поддерживать список активов - людей, процессов и технологий, которые помогают вашей компании поддерживать ее повседневную деятельность.

2. Обнаружение и анализ

Важно устанавливать и регулярно обновлять антивирусные, антишпионские и другие антивирусные программы, потому что компьютерам регулярно угрожают новые вирусы и тактика киберпреступников.

Кроме того, вы должны вести и отслеживать журналы, которые автоматически документируют операции компьютера и его пользователя, такие как доступ к веб-сайтам, создание и изменение файлов. Журналы предоставляют подробные записи о действиях, которые можно использовать для восстановления последовательности взломанной сети или системы. С помощью этих файлов журнала можно отследить и проанализировать временную шкалу, источник заражения и зараженные устройства или серверы. Это не только поможет вам обнаружить инцидент, но и поможет выявить любые потенциальные уязвимости и устранить их.

3. Сдерживание

Используя собранную вами информацию, вы захотите сдержать инцидент и бороться с ним. Кому-то потребуются полномочия, чтобы быстро принимать решения о необходимых шагах по сдерживанию инцидента. Этим будет легче управлять, если вы уже определили ключевых людей, которых следует уведомить о происшествии. Обязательно регулярно обновляйте контактную информацию и следите за тем, чтобы она была легко доступна необходимому персоналу. Может потребоваться временная приостановка нормальной операционной деятельности до разрешения инцидента.

4. Искоренение и восстановление

Теперь, когда вы локализовали инцидент, вы захотите удалить причину и восстановить системы до их нормального функционирования. Это может быть простое удаление вируса с сервера или устройства или восстановление данных из резервной копии. Возможно, потребуется поэтапно возвращать системы в оперативный режим. По этой причине важно запланировать инкрементное резервное копирование, так как инцидент может произойти в любое время.

Вам также следует учитывать уроки, извлеченные после инцидента, и вносить любые улучшения в процессы, процедуры или технологии.

План реагирования на инциденты в действии

Недавно на СММ была совершена целенаправленная фишинговая атака. Целевой фишинг - это атака, цель которой - украсть конфиденциальную информацию компании, например финансовые данные, или получить доступ к сети компании через электронную почту, которая кажется безобидной.

Сотрудник производителя получил электронное письмо от поставщика, содержащее вредоносное ПО, замаскированное в файле PDF. Электронное письмо оказалось законным и было ответом на фактические электронные письма, отправленные сотрудником компании накануне. Злоумышленники использовали социальную инженерию, чтобы адаптировать электронное письмо к сотруднику бухгалтерии, который отвечал за оплату счетов. Когда сотрудник компании открыл файл PDF, вредоносный код был внедрен в сеть компании.

К счастью, производитель только что работал со своим местным центром MEP, чтобы улучшить свою кибербезопасность. Компания разработала и внедрила план реагирования на инциденты. Они обучили своих сотрудников распознавать фишинговые атаки и что делать в случае инцидента кибербезопасности. Компания обнаружила угрозу, исходящую от вредоносного кода, и с новым планом реагирования на инциденты смогла немедленно отреагировать. Сотрудники знали, что им нужно делать, вытащили план и начали действовать. Поскольку был заражен только один компьютер, ИТ-специалисты удалили его из сети, и вредоносный код был остановлен.

Важнейшая роль сотрудников

Ваши сотрудники - ваша первая линия защиты от кибератак. Наличие плана реагирования на инциденты и обучение ваших сотрудников способам реагирования обеспечивает позитивный подход к кибербезопасности. Многие SMM до сих пор не знают и не заботятся о своих киберрисках.

Тридцать четыре процента всех задокументированных атак нацелены на производителей, и SMM особенно уязвимы. Киберпреступники часто рассматривают эти компании как легкие входы в цепочку поставок. Более 90 процентов вредоносных программ доставляются по электронной почте, и достаточно одного неверного щелчка мышки, чтобы поставить под угрозу ваш бизнес. Киберпреступники знают, что если они взломают вашу систему, они смогут получить доступ к вашей сети и собрать конфиденциальную информацию о ваших клиентах.

Хотя вы можете не думать, что преступники ищут информацию о вашей компании, вы можете быть уверены, что они заинтересованы в имеющейся у вас конфиденциальной информации о своих клиентах. Хотя статистика и информационные мероприятия, указывающие на угрозы для ваших систем, могут вызывать страх у SMM, они не всегда приводят к действиям. Я считаю, что нам нужно двигаться в направлении более позитивного сообщения о кибербезопасности для ваших сотрудников. Как и Смоки, давайте перейдем от страшного медведя к большому медвежьему объятию.

Чтобы узнать больше по этому поводу, вы можете посетить страницу ресурсов по кибербезопасности NIST MEP или связаться с вашей местной национальной сетью MEP ^TM Центр вопросов и поддержки.