Основные ошибки, связанные с реагированием на инциденты

Как и везде в кибербезопасности, проактивность побеждает

Прежде всего, роль IR почти всегда будет зависеть от общего состояния безопасности организации, инструментов и приоритетов кибербезопасности. Говоря в общем, если компания не уделяет должного внимания кибербезопасности, любой член IR-команды рискует выгореть.

Кто-то может сказать, что реагирование на инциденты может быть утомительным, но это зависит от многих факторов. В некоторых (к сожалению) случаях IR может напоминать бесконечную игру «Ударь крота». Но если организация занимает активную позицию, чтобы понять, как происходят инциденты, и постоянно стремится улучшать меры безопасности, новые инциденты можно предотвратить, а количество ложных срабатываний свести к минимуму.

Независимый исследователь безопасности Род Сото работал в нескольких группах реагирования на инциденты и считает, что наиболее распространенным случаем «ожидания против реальности» является мнение, что большинство планов IR применимы к большинству организаций.

«Очень сложно иметь универсальный план IR, — сказал Сото. «Необходимо иметь план и команду, но помнить о неожиданных событиях и недостатках, которые могут возникнуть во время инцидентов. Планы и процедуры могут обеспечить объем действий, но они должны быть гибкими и способными распространяться на масштаб инцидента».

Еще одно распространенное убеждение IR, которое Сото часто развеивает, — это ложное чувство безопасности, что команда может охватить все.

«На большинстве предприятий просто невозможно предусмотреть каждый сценарий, — сказал он. «Вы можете подготовиться к тем, которые вы считаете крайне важными и затратным, но помимо этого будут неожиданные сценарии и угрозы, которые просто нельзя предвидеть».

Хорошо, но каково это на самом деле — работать специалистом по реагированию на инциденты?

В зависимости от организации ваш опыт работы в качестве специалиста по реагированию на инциденты может варьироваться. Некоторые специалисты по реагированию на инциденты воспринимают свою работу как своего рода службу поддержки по кибербезопасности — скорее роль начального уровня, которая предоставит большой доступ к инструментам и опыту для подготовки к другим ролям. Даже те, кто разделяет это мышление, воспринимают эту роль как ступеньку к прибыльной карьере в области кибербезопасности.

С другой стороны, некоторым специалистам по реагированию на инциденты нравится обнаруживать угрозы, управлять ими и устранять их, особенно если они не сталкиваются с угрозами одного и того же типа каждый день. Это возвращает нас к важности проактивной организации: если команда IR изо дня в день имеет дело с одними и теми же угрозами и должна научиться отключаться от ложных срабатываний, работа будет утомительной.

Группы IR, которые сталкиваются с новыми и интересными угрозами, обычно более вовлечены и, в свою очередь, играют решающую роль в замыкании цикла обратной связи, чтобы убедиться, что они не видят постоянно одни и те же угрозы и инциденты.

Каковы пределы того, что могут сделать специалисты по реагированию на инциденты, по сравнению с тем, что они должны делать? Как это влияет на их повседневную жизнь?

По словам Сото, ожидания, возлагаемые на специалистов по реагированию на инциденты, значительны: они должны выполнять множество обязанностей, обладать разнообразными навыками, соблюдать нереалистичные сроки и иметь дело с несколькими отделами и третьими сторонами. «Часто командам IR приходится идти по тонкой грани из-за корпоративных и юридических последствий, которые могут повлиять на их карьеру», — сказал он.

Вопрос о том, как организация должна планировать реагирование на инциденты, выходит за рамки этой статьи. Но для специалистов по реагированию на инциденты есть несколько способов облегчить работу.

Во-первых, важно, чтобы IR-команды получали поддержку от высшего руководства и других отделов. В то время как специалисты по реагированию на инциденты и ИТ-отдел возглавляют усилия по реагированию на инциденты, участие как можно большего числа бизнес-подразделений может иметь большое значение для улучшения рабочего дня специалиста по реагированию на инциденты.

Далее, роли и обязанности для всех членов команды должны быть определены как можно более четко и конкретно. Роли также должны быть задокументированы и сообщены, чтобы команда могла более эффективно координировать свои действия в случае возникновения инцидента.

И, конечно же, эффективное общение является ключевым. Хотя общение имеет решающее значение для любого проекта, оно особенно актуально для IR. Общение и документирование того, кто, как и когда связывается со всеми соответствующими сторонами (как внутренними, так и внешними), упрощает процесс и только упрощает его.

Но в конечном счете, как и в других профессиях в области кибербезопасности, все сводится к следующему: вам нужно найти правильный баланс между работой и личной жизнью, который подходит именно вам.

Если вы талантливы и имеете солидную репутацию, у вас всегда будет работа. Если вы недовольны, вероятно, будет много других возможностей. Задайте как можно больше вопросов, прежде чем соглашаться на роль, и убедитесь, что ваши ожидания ясны. Предпримите столько шагов, сколько необходимо, чтобы избежать выгорания, которое так часто встречается в индустрии кибербезопасности.

IR может быть прекрасным опытом или монотонным. Но когда организации проявляют инициативу в отношении кибербезопасности, жизнь сегодняшних специалистов по реагированию на инциденты чаще бывает прежней.

Источник:
https://securityintelligence.com/articles/what-people-get-wrong-incident-responders/

Автор:
Mark Stone

Перевод:
Галимова Э.И.