Procesy riešenia incidentov
V prípade ransomvérového útoku častokrát ide o veľmi krátke časové obdobie, kde vieme minimalizovať jeho následky. Preto je nevyhnutné mať ustálený proces na riešenie incidentov a mať konkrétne návody a metodiky na zvládanie ransomvérového incidentu.
Pri všeobecnom procese riešenia incidentov je dôležité, aby mala organizácia zadefinované role a zodpovednosti nie len v prípade samotného riešenia incidentov, ale aj pri aktivitách pred jeho vznikom – typicky monitoringu a vyhodnocovaní bezpečnostných udalostí. Proces riešenia incidentov by mal byť jednoduchý a priamo hovoriť, kto má čo robiť pri jednotlivých krokoch a komu eskalovať prípadné problémy s vykonávaním jednotlivých úkonov.
Návod na zvládanie ransomvérového útoku by mal následne uvádzať, aký špeciálny postup by mal byť uplatnený pri riešení ransomvérového útoku. V takomto návode môžete uviesť, akým spôsobom sa narába so zariadením, ktoré bolo infikované ako prvé, ako efektívne zastaviť šírenie infekcie, kde sa nachádzajú informácie o sieťovej typológii organizácie (najmä preto, aby sme vedeli, ktoré zariadenia sú na spoločnej sieti a teda je možné predpokladať, že ransomvér sa rozšíri aj na ne), ako vykonať prvotné forenzné kroky (obraz disku a pamäte, efektívna izolácia infikovaného zariadenia), kedy a ako vykonať obnovu, postupy na vyhľadávanie dekryptorov a podobne.
Proces riešenia incidentov musí byť pravidelne testovaný a cvičený nie len za účasti osôb zodpovedných za riešenie incidentu, ale aj bežných zamestnancov ako aj vedenia spoločnosti. Na základe testovania a cvičení je potom možné identifikovať medzery a nedostatky tohto procesu a následne proces upraviť tak, aby bol efektívny a dal sa reálne vykonávať. To platí aj o návode na zvládanie ransomvérového útoku.
⚠️ Dokumenty, ktoré zahŕňajú proces riešenia incidentov ako aj návod na zvládanie ransomvérového útoku sú veľmi dôležité. Nenechávajte ich len v elektronickej podobe a už vôbec nie na verejnom zdieľanom priečinku, ktorý bude prvým miestom, ktoré potenciálny ransomvér zašifruje. Majte vytlačené fyzické kópie pre každú zodpovednú osobu a tá nech si ich uloží na miesto, kde k nim bude mať okamžitý prístup aj keď výpočtová technika zlyhá.