Как команде ИБ подготовиться к новогодним праздникам?

О чём надо позаботиться команде ИБ перед долгими новогодними праздниками, чтобы после их окончания не потерять контроль над событиями безопасности?

Если у компании есть зрелый SOC, то вопрос организации работы в праздники лежит полностью в его компетенции. Как правило, в таких случаях для сотрудников уже прописаны все кейсы взаимодействия. Однако если по каким-то причинам процессы не настроены и нет команды, работающей 24/7, то будет полезно подготовиться.

Составили для ИБ-команд чек-лист, который поможет безболезненно пережить праздники:

1) Определить ответственных лиц за ИС

2) Выстроить матрицу ответственности и эскалации

3) Проинформировать сотрудников, куда обращаться и по каким причинам

4) Проверить бэкапы и сделать контрольный – дополнительную резервную копию, чтобы обеспечить максимально актуальный набор данных для восстановления; разместить её в надёжном и защищённом месте, чтобы она была недоступна для случайного удаления, повреждения или компрометации.

5) Настроить мониторинг критичных систем

6) Подготовить план экстренного реагирования. Он должен включать ответы на такие вопросы, как, например, кто и как в случае чрезвычайной ситуации поедет в филиал. Возможно, стоит заранее договориться с подрядчиком, который сможет оперативно подстраховать на месте при необходимости.

Совет: если в компании установлен дорогостоящий SIEM, то необязательно расширять его лицензию на неделю. Вместо этого можно «сложить» логи в OpenSearch и, если в дальнейшем потребуется анализ исторических событий, проанализировать их доступными инструментами или подключить к имеющемуся хранилищу для ретропоиска. При использовании SIEM Alertix сделать это будет проще благодаря поддержке Elastic: система выполняет полнотекстовый поиск по ненормализованным событиям. Это упрощает расследование инцидентов и помогает команде экономить ресурсы.

Автор: Илья Одинцов, менеджер по продукту NGR Softlab