Egyszerűsített nézet TELJES NÉZET

Incidensek vizsgálata, nyomelemzés és intézkedési terv
(Cybersecurity Forensics, Digital Forensics, Incident Management)

Egy kiberbiztonsági incidens (pl.: zsarolóvírus, adatszivárgás, stb.) nem zárható le az éppen aktuális probléma megoldásával, vagy felvállalásával. A munka neheze még csak ezután következik, ugyanis intézkedés hiányában továbbra is fennállnak azok a körülmények, amik lehetővé tették az aktuális és a jövőbeli incidensek bekövetkezését.

Ha nem járunk utána, ismét bekövetkezik

Egy kiberbiztonsági incidens nem a semmiből jön és szakmai ismeretek nélkül nem tudható le azzal, hogy „nincs feltörhetetlen rendszer”, tehát problémának törvényszerűen be kellett következnie. Minden kiberbiztonsági incidensnek megvannak a saját okai és körülményei, amikkel végül bekövetkezhetett.

Legyen szó zsarolóvírus-támadásról, adatvesztésről, vagy üzleti adatok kiszivárgásáról, mindegyik visszavezethető néhány hiányosságra, amik megszüntetésével a jövőben sokkal nagyobb eséllyel kerülhetőek el a hasonló esetek.

A védelem kialakítása és a jövőbeli támadások ellehetetlenítése érdekében tehát alapos incidensvizsgálat, azon belül is topológiavizsgálat, nyomelemzés (cybersecurity forensics), munkaállomás- és kiszolgálóvizsgálat, valamint az ezeknek megfelelő intézkedési terv létrehozása szükséges.

Zsarolóvírus, ransomware támadás

Manapság rengeteg magánszemély és gazdasági szervezet válik zsarolóvírus (ransomware) áldozatává, aminek következtében a titkosított fájlok visszaállítását kérik tőlünk. A felkéréseknél viszont fel sem vetődik az incidensvizsgálat addig, amíg mi fel nem ajánljuk.

Holott minden érintettnek tisztában kell lennie azzal, mik voltak azok az események, amik végül odáig vezettek, hogy egy zsarolóvírus bejutott a rendszerbe és minden fontos fájlt (fotók, dokumentumok, adatbázisok, stb.) titkosított, hogy aztán sokmilliós váltságdíjat követeljen értük.

Az elhibázott lépések és a mulasztások ismeretében viszont hatékonyan fel lehet készülni a következő támadási kísérletre, aminél már hatékony védelmi megoldások fogják biztosítani a rendszereket, valamint mindenki tudja, hogy mi a teendő és mi a gyanús.

Kibertámadások, betörések, adatszivárgások

Kibertámadás során bárki és bármi lehet célpont – egy magánszemély, egy szervezet, de akár egy infrastruktúra is. Persze nem kell azonnal összeesküvés-elméleteket szőni, de az biztos, hogy manapság senki sincs teljes biztonságban, a kiberbűnözők és az ipari kémek pedig csak arra várnak, hogy elmaradjon egy biztonsági javítás telepítése, valaki rákattintson egy ártatlannak tűnő e-mail csatolmányra, vagy olyan helyen adja meg a belépési azonosítóit, ami csak megjelenésében egyezik a megbízható login felülettel.

Az ilyen támadások lehetnek célzottak vagy kiterjedtek, de ha már érintettek vagyunk, maximum csak a kezelés módjában lehet érdemi különbség, súlyát tekintve minden incidens kiértékeléséhez egységesen nagy alapossággal kell hozzáállni.

Ön incidensben lehet érintett, ha…

nem-publikus üzleti titkok és/vagy egyéb érzékeny adatok (fotók, dokumentumok, videók, stb.) szivárogtak ki az internetre az Ön birtokából – pl.: adatszivárgás
kiemelt jogosultságú és/vagy érzékeny adatok birtokában lévő munkavállaló hagyja el a céget – pl.: adatokkal való visszaélés
akadozik a céges hálózat és/vagy az internetelérés – pl.: DoS/DDoS támadás
szokatlan hibák jelentkeznek az e-mail kommunikációban – pl.: hálózati lehallgatás
szokatlanul magas processzorterhelés mutatkozik szervereken vagy munkaállomásokon – pl.: cryptojacking
fájlok nagyobb mennyiségben válnak megnyithatatlanná, vagy kerülnek tömegesen átnevezésre – pl.: zsarolóvírus
szokatlan tartalmú vagy váratlan e-mailek érkeznek – pl.: adathalászat
megváltozik a céges weboldal kinézete – pl.: weboldal-feltörés

Kiértékeljük a nyomokat és a hiányosságokat

Az incidensvizsgálat során olyan adatokat, információkat gyűjtünk be az informatikai infrastruktúra elemeiről, amik bizonyítékul szolgálhatnak egy esetleges kiberbiztonsági incidens során. Ilyenek lehetnek:

E-mailek és csatolmányaik
Böngészési előzmények, gyorsítótár (cache), süti (cookie) adatok
Rendszer- és alkalmazásnaplók
Hálózati eszközök naplói
Dokumentumok, fotók és egyéb fájlok vizsgálata
Szándékosan törölt, vagy tartalmilag manipulált fájlok
Fájlrendszerek, fájlok és könyvtárstruktúrák

Az incidenskezelés, incidensmenedzsment folyamata

Incidensgyanús biztonsági esemény (riasztás, napló, hiba, stb.) észlelése
Esemény és/vagy annak okainak beazonosítása
Aktuális állapot stabilizálása
Fenyegetési vektorok elhárítása, megszüntetése
Helyreállítási terv kidolgozása és jóváhagyatása
Üzletmenetfolytonossághoz szükséges folyamatok helyreállítása
Esetlegesen sérült adatok helyreállítása
Nyomelemzéshez (forensics) szükséges információk begyűjtése és feldolgozása
Incidensvizsgálati jelentés összeállítása
Aktuálisan érvényben lévő adminisztratív védelmi intézkedések felülvizsgálata
Informatikai biztonsági szabályzat és az incidenskezelési eljárásrend javítása vagy pótlása
Kiberbiztonsági fejlesztésekre felhasználható keretösszeg meghatározása
Alkalmazott védelmi technológiák (tűzfal, antivírus, IPS/IDS, naplógyűjtő, stb.) állapota
Védelmi technológiák frissítése, újrakonfigurálása és új komponensekkel való kiegészítése
Biztonságtudatossági továbbképzések szerepkörönkénti felépítése

Keressen minket, és felkutatjuk az incidens okait!

Vállalkozásunk már számos kiberbiztonsági incidens kezelését segítette végig már a legelső naptól, amely során nemcsak az aktuális probléma elhárításában és orvoslásában segédkeztünk, hanem a jövőben esedékes további fenyegetések ellen való felkészülésben is.

Kattintson az Árajánlat gombra, mi pedig további részletekkel és segítséggel szolgálunk a témával kapcsolatban!

Kapcsolódó szolgáltatások és termékek

Social engineering vizsgálat és biztonságtudatossági oktatás IT biztonsági tanácsadás és oktatás vállalkozások számára Kiberfenyegetési riasztások – Cyber Threat Intelligence Zsarolóvírus, ransomware és hackertámadás elleni védelem Mit tegyünk zsarolóvírus-támadás esetén?

Incidensek vizsgálata, nyomelemzés és intézkedési terv (Cybersecurity Forensics, Digital Forensics, Incident Management)