Råd och stöd
För att förebygga och hantera it-säkerhetsincidenter och it-säkerhetsrelaterade kriser kan myndigheter, företag och organisationer behöva olika typer av stöd. CERT-SE ger stöd vid inträffade eller pågående it-relaterade störningar och it-säkerhetsincidenter. Syftet är att hjälpa aktörerna i utredningen av, och vid konstaterad it-säkerhetsincident, minska konsekvenserna av det inträffade genom konkreta råd och vägledning genom incidenthanteringen. Stödet vid incidenthantering anpassas utifrån den drabbades behov men löpande tillhandahåller CERT-SE råd i det förbyggande it-säkerhetsarbetet.
CERT-SE:s incidenthanteringsprocess har mycket likheter med andra processer för incidenthantering, som till exempel SANS och NIST:s. CERT-SE arbetar främst med de tre första stegen - Förebygga, Identifiera och Begränsa – i det råd och stöd vi erbjuder i den operativa verksamheten till dem vi är i kontakt med.
Alla delprocesser behandlas helt separat och fungerar som egna entiteter. Eftersom incidenthanterare kan kallas in i en incident under t.ex. identifiera-fasen, så måste den processen vara fullständig i sig själv och inte bero på tidigare delprocesser.
Förebygga
Förebyggande arbete och förberedande åtgärder påverkar i hög grad hur väl en organisation lyckas med incidenthanteringen när en it-säkerhetsincident inträffar. På en övergripande nivå behöver man ha eskaleringsrutiner, it-säkerhetspolicys, kontinuitetplaner, krisplaner, utbildat sina användare, klargjort ansvar och mandat, etablerat kontakter och skapat kontaktlistor samt veta hur kommunikationen ska genomföras vid en incident. Läs mer om Systematisk informationssäkerhet på MSB:s webbplats.
Förutom detta behöver man ha genomfört tekniska förberedelser samt ha ett arbetssätt där man löpande omvärldsbevakar och övervakar sin it-miljö. Några av dessa beskrivs i en rapport från det nationella cybersäkerhetscentret (NCSC) Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder (se nedan)
- Prenumerera på CERT-SE:s blixtmeddelanden
- Prenumerera på CERT-SE:s veckobrev
- Rekommenderade it-säkerhetsåtgärder från Nationella cybersäkerhetscentret (ncsc.se)
Identifiera
Inledningsvis när det finns misstanke om en it-säkerhetsincident genomförs insamling samt analys av information och data för att fastställa om en it-säkerhetsincident verkligen har inträffat eller inte. I denna fas kan det vara viktigt att samla in sk. flyktig data, dvs. data om kan försvinna om systemen startas om, för att skapa sig en bild om vad som händer i nätverket.
Begränsa
När en it-säkerhetsincident är identifierad övergår incidenthanteringen i fasen som har till syfte att begränsa eller minimera spridning genom isolering och avbrott av pågående angrepp samt ytterligare insamling av bevis för vidare analys. Hur detta genomförs beror på vilken typ av incident som har identifierats eller som man misstänker pågår. Här finns exempelvis rådgivning gällande DDoS, nätfiske och ransomware:
Återställa
Återställning av system handlar till stora delar om att säkerställa att systemet fungerar som det gjorde innan incidenten, att alla användarkonton är återställda, att användare kan logga in på systemet, att tidigare funktioner är återställda och fungerar tillfredställande. En återställning efter en DDoS-attack handlar i stort sett om förebyggande åtgärder (länk till tema: DDoS). Detsamma gäller även för återställning efter ett nätfiskeangrepp, eftersom system som används finns utanför den drabbade organisationens nät finns det inte så mycket att göra i ett återställande skede när det gäller nätfiske. Det handlar även om att säkerställa att systemet är skyddat så att incidenten inte kan ske igen. Dessutom handlar det om att förebygga att andra incidenter inte kan inträffa samt att underlätta för undersökningar om organisationen blir drabbad av en incident i framtiden.
Erfarenheter
Det sista steget i incidenthanteringsprocessen är att avsluta incidenten genom att samla in de lärdomar och erfarenheter som hanteringen av incidenten har gett. Det är också vanligt att man i det här skedet sammanställer en incidentrapport. En metod som brukar fungera bra vid större incidenter är att samla in synpunkter och erfarenheter från de som deltagit i incidenthanteringen, sammanställa dessa och sedan presentera dem vid ett uppföljningsmöte där samtliga deltagare har möjlighet att diskutera rapporten. Rör det sig om mindre incidenter, med ett fåtal inblandade, kan synpunkter och erfarenheter samlas in direkt på uppföljningsmötet.
Senast uppdaterad: 2024-04-09 14:00