Mẫu trình bày 'Quản lý và báo cáo IR' dứt khoát

Cách tiếp cận thực tế để bảo mật là sự cố xảy ra. Trong khi lý tưởng, CISO muốn ngăn chặn tất cả trong số họ, trên thực tế, một số người sẽ thành công ở một mức độ nhất định – làm cho khả năng quản lý hiệu quả quá trình xử lý sự cố trở thành một kỹ năng bắt buộc đối với bất kỳ CISO nào.

Ngoài ra, ngoài việc quản lý quá trình phản hồi thực tế, CISO còn phải có khả năng truyền đạt hiệu quả các hoạt động và trạng thái đang diễn ra đến cấp điều hành.

Mặc dù quy trình IR chủ yếu là về kỹ thuật, việc báo cáo cho ban quản lý của tổ chức nên diễn ra ở cấp độ cao hơn nhiều để các giám đốc điều hành không bảo mật hiểu được.

Để hỗ trợ CISO với các tác vụ này, Cynet đã tạo mẫu PowerPoint Quản lý và Báo cáo IR (tải xuống tại đây), ngoài việc cung cấp khung phản hồi có thể thực hiện được, còn rõ ràng và trực quan cho cấp điều hành.

Hãy đi sâu vào hai khía cạnh của mẫu:

Quản lý IR

Mẫu được xây dựng trên khung Sans NIST bao gồm các giai đoạn sau:

• Nhận dạng – Giai đoạn này bao gồm tất cả các hoạt động liên quan đến phát hiện ban đầu về sự hiện diện và hoạt động độc hại. Nó bao gồm một loạt các kịch bản tiềm năng – phát hiện được thực hiện bởi nhóm bảo mật nội bộ hoặc bởi một thực thể bên ngoài, là trong bối cảnh của các giao thức bảo mật tiêu chuẩn hoặc chỉ là sự trùng hợp ngẫu nhiên. Giai đoạn này cũng bao gồm ước tính rủi ro ban đầu cho các bước tiếp theo.



• Ngăn chặn – Sau khi xác định ban đầu, có một nhu cầu quan trọng đối với hành động ngay lập tức để đối đầu và giảm thiểu mối đe dọa được phát hiện – trước khi có thêm bất kỳ điều tra nào về nguyên nhân và phạm vi gốc. Khi việc giảm thiểu này được thực hiện, các bước tiếp theo có thể được tính toán.



• Diệt trừ – Giai đoạn này đề cập đến phạm vi điều tra đầy đủ để xác định cuộc tấn công bắt nguồn từ đâu và đến mức nào nó đã thành công. Điều tra này nên được kết luận bằng cách đảm bảo rằng mọi hoạt động độc hại, sự hiện diện và cơ sở hạ tầng đều được loại bỏ hoàn toàn.
• Phục hồi – Sau giai đoạn xóa, phác thảo tất cả các hoạt động đòi hỏi khôi phục hoạt động trở lại thói quen, liên quan đến các thực thể CNTT (máy chủ, máy tính xách tay, máy tính để bàn, tài khoản người dùng, ứng dụng và khối lượng công việc đám mây) và sao lưu tài nguyên dữ liệu.
• Bài học kinh nghiệm – Đây là slide nơi bạn rút ra kết luận có thể hành động từ cuộc tấn công nhằm tăng cường khả năng phục hồi môi trường, giảm bề mặt tấn công và có khả năng đầu tư bảo mật bổ sung.

Báo cáo IR

Để biến quy trình bảo mật dễ tiêu hóa hơn cho quản lý, mẫu tập trung vào hai chủ đề chính – các hành động được thực hiện để kiểm soát sự cố và hiểu biết liên tục về nguyên nhân và phạm vi gốc của nó. Cả hai đều được yêu cầu để xóa nhận thức rủi ro của sự kiện.

Khía cạnh kiểm soát có được thông qua việc cố gắng minh bạch càng nhiều càng tốt về những gì trong cuộc tấn công đã được biết và những gì chưa được khám phá, cũng như vạch ra những lợi ích và lỗ hổng kiến ​​thức, tạo ra sự đảm bảo rằng sự cố thực sự được quản lý.

Vào cuối ngày, các giám đốc điều hành của công ty hoạt động trong bối cảnh không gian hoạt động – thời gian chết, mất tiền, tiết kiệm tài nguyên hoặc tiêu thụ. Mẫu giải quyết nhu cầu này bằng cách cung cấp một cái nhìn tổng quan ở mức độ cao về các chi tiết kỹ thuật của sự thỏa hiệp, chuyển động bên và các kỹ thuật không có màng để chuyển bản dịch của sự cố thành thiệt hại thực tế và tiềm năng.

Trong khi có nhiều mẫu số chung cho các cuộc tấn công mạng, có những phẩm chất duy nhất cho mỗi người. Tương tự, có một mức độ khác nhau cao giữa các tổ chức và các loại quản lý. Mẫu được xây dựng có mục đích để được chia nhỏ và sử dụng theo cách thức mô đun, tùy chỉnh mẫu theo nhu cầu cụ thể của từng tổ chức.

Truyền thông tới quản lý không phải là một phần tốt đẹp mà là một phần quan trọng của quy trình IR. Mẫu Báo cáo IR cho Quản lý IR dứt khoát cho phép tất cả những ai làm việc chăm chỉ để thực hiện các quy trình IR chuyên nghiệp và hiệu quả trong các tổ chức của họ để nỗ lực và kết quả rõ ràng cho quản lý của họ.

Cả quản lý và báo cáo đều là các khối xây dựng thiết yếu trong quy trình IR hiệu quả. Mẫu báo cáo và quản lý IR cố gắng hỗ trợ CISO thực hiện các nhiệm vụ này – không chỉ thực hiện phản hồi cạnh trên đối với các cuộc tấn công mạng mà còn đảm bảo rằng công việc chuyên môn và quan trọng này được hiểu và thừa nhận.

Tải xuống mẫu PPT Quản lý và Báo cáo IR tại đây.