Το να ανακαλύψετε ότι πέσατε θύμα παραβίασης είναι πάντα μία δυσάρεστη κατάσταση. Μπορεί τα δεδομένα των πελατών σας να κλάπηκαν και να βρίσκονται εκτεθειμένα στο αχανές Διαδίκτυο. Ενδεχομένως και να διακυβεύεται η πνευματική ιδιοκτησία και τα εμπορικά μυστικά της επιχείρησης σας. Θα μπορούσατε μάλιστα να ανησυχείτε ακόμα για το αν οι επιτιθέμενοι εξακολουθούν να παραμένουν ενεργοί εντός του δικτύου σας.
Αν βρίσκεστε ή έχετε βρεθεί σε αυτή τη θέση (ή δεν έχετε βρεθεί αλλά θέλετε να ενεργήσετε «proactively»), τότε θα πρέπει να πάρετε τα μέτρα σας, συμπεριλαμβανομένης της δημιουργίας ενός καλά οργανωμένου σχεδίου ανταπόκρισης και της συνεργασίας με έναν διακεκριμένο φορέα παροχής ψηφιακής εγκληματολογίας και ανταπόκρισης περιστατικών (DFIR). Και τα δύο θα συμβάλλουν στο να μην χρειαστεί, αυτές τις δύσκολες ώρες που επικρατεί πραγματικό χάος, να κινητοποιήσετε κάποια στρατηγική και να αναζητήσετε βοήθεια από ειδικούς.
Επομένως, πρέπει να κινηθείτε άμεσα. Παρακάτω, μπορείτε να διαβάσετε για όλα όσα είναι απαραίτητο να έχετε κάνει τις ώρες, μέρες, εβδομάδες ή και μήνες μετά την ανακάλυψη του περιστατικού παραβίασης. Μέρος του βάρους, όπως είναι φυσικό, θα πέσει στους ώμους σας, αλλά διαθέσιμη είναι σε κάθε περίπτωση και η εξωτερική βοήθεια, αν χρειαστεί, για να ενισχύσει τις προσπάθειές σας ή να αντισταθμίσει τις εσωτερικές ελλείψεις σε πόρους.
1) Καλέστε βοήθεια.
Αν δεν μπορείτε να χειριστείτε μόνοι σας το πλήρες φάσμα της ανταπόκρισης σε μία παραβίαση, επικοινωνήστε αμέσως με έναν ερευνητή DFIR. Όσο πιο γρήγορα μπορεί να ξεκινήσει η έρευνα, τόσο το καλύτερο.
2) Καταγράψτε την κατάσταση.
Πριν ξεκινήσετε οποιαδήποτε αποστολή, προβείτε στην τεκμηρίωση της κατάστασή σας. Καταγράψτε όλα τα συστήματα/ δεδομένα που επηρεάστηκαν από την παραβίαση, τις μεθόδους που θα μπορούσαν να περιορίσουν την κατάσταση και τον τρόπο με τον οποίο αυτές οι μέθοδοι μπορεί να επηρεάσουν τις λειτουργίες, τα δεδομένα και τα αποδεικτικά στοιχεία σας.
3) Και καταγράψτε λίγο ακόμα.
Ο χρόνος θα επιταχυνθεί καθώς διερευνάτε τη παραβίαση. Θα εργάζεστε πάνω σε αυτή, ενώ παράλληλα θα παρέχετε ενημερώσεις σε άλλους και θα υπολογίζετε τα επόμενα βήματα που πρέπει να κάνετε. Λόγω της πίεσης, είναι εύκολο να ξεχάσετε τα βήματα κατά την διάρκεια αν δεν τα καταγράφετε. Διατηρήστε αρχείο σχετικά με τις ενέργειες που γίνονται καθώς και το πότε γίνονται. Αυτή η λεπτομέρεια θα σας βοηθήσει πάρα πολύ καθώς επαναφέρετε τα συστήματα και παρακολουθείτε τα στοιχεία.
4) Δημιουργήστε αντίγραφα.
Δημιουργήστε αντίγραφα ασφαλείας των συστημάτων και των δεδομένων πριν πραγματοποιήσετε οποιεσδήποτε αλλαγές. Ενδέχεται να χρειαστείτε αργότερα αυτά τα δεδομένα, αν οι αλλαγές που κάνατε δεν προχωρήσουν όπως περιμένατε ή στην περίπτωση που θελήσετε να μελετήσετε περαιτέρω τυχόν κακόβουλα προγράμματα ή ιούς σε επηρεαζόμενα συστήματα.
5) Προσδιορίστε τι άλλο μπορεί να επηρεαστεί.
Κατά τον εντοπισμό ενός περιστατικού, ο καθορισμός των συστημάτων που επηρεάστηκαν είναι το εύκολο κομμάτι. Είναι πιο δύσκολο να παρακολουθήσετε τον τρόπο με τον οποίο τα συστήματα αυτά αλληλεπιδρούν με το υπόλοιπο δίκτυο, ποιες πληροφορίες μπορεί να υπάρχουν σε αυτά και πως αυτές οι πληροφορίες θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να στραφεί σε άλλα συστήματα. Είναι καλύτερα να κάνετε λάθος και να υποθέσετε το χειρότερο από το να υποθέσετε ότι οι επιτιθέμενοι δεν προχώρησαν και πιο πέρα από τον αρχικό τους στόχο.
6) Εφαρμογή περιορισμών.
Υπάρχουν πολλές επιλογές για να σταματήσετε την αιμορραγία. Καταργήστε τα επηρεαζόμενα συστήματα, ενημερώστε τους κανόνες του τείχους προστασίας, αλλάξτε τους κωδικούς πρόσβασης και πολλά άλλα. Αυτά τα βήματα πιθανώς δεν αποτελούν την τελική λύση, αλλά θα σας δώσουν τον απαραίτητο χρόνο για να προχωρήσετε στην εφαρμογή μίας πιο ολοκληρωμένης λύσης αργότερα.
7) Ελέγξτε τις απαιτήσεις κοινοποίησης παραβίασης.
Στην ιδανική περίπτωση, έχετε ήδη διαθέσιμες αυτές τις πληροφορίες στο σχέδιο αντιμετώπισης περιστατικών, αλλά αν όχι, θα πρέπει να γνωρίζετε ότι οι απαιτήσεις ποικίλλουν ανάλογα με το κράτος, τη χώρα ή ακόμη και τη βιομηχανία. Και σε ορισμένες περιπτώσεις, θα πρέπει να προβείτε σε σχετική ειδοποίηση ή ενημέρωση για μια περιοχή, ακόμη και αν τα επηρεαζόμενα συστήματα δεν ήταν σε αυτήν την περιοχή (π.χ. εάν το προσωπικό στη συγκεκριμένη περιοχή έπεσε θύμα).
8) Συμβουλευτείτε τον νομικό σας σύμβουλο.
Ότι ακολουθούν αγωγές μετά από παραβιάσεις είναι κάτι το κοινότυπο αλλά η ευθύνη σας είναι διαχειρίσιμη. Ανάλογα με τα συστήματα και τα δεδομένα που επηρεάζονται, ίσως χρειαστείτε την βοήθεια ενός δικηγορικού γραφείου που ειδικεύεται στον κυβερνοχώρο.
9) Ειδοποιήστε τους ενδιαφερόμενους.
Εκτός από τις απαιτήσεις σας για την παροχή ειδοποιήσεων ή ενημερώσεων παραβίασης, πιθανόν να θέλετε να ενημερώσετε προληπτικά τους πελάτες, τους συνεργάτες ή άλλους ενδιαφερόμενους, αν τα δεδομένα τους επηρεαστούν ή υπάρχει περίπτωση να επηρεαστούν. Στην ειδοποίησή ή ενημέρωση σας, θα θέλετε να συμπεριλάβετε τις ενέργειες που πρέπει να αναλάβουν για την προστασία των δικών τους συστημάτων και δεδομένων (π.χ, αλλαγή κωδικών πρόσβασης κ.ά).