Анализ первопричин: как добраться до сути нарушения

Кибербезопасность — главная забота большинства компаний и потребителей. Ландшафт угроз развивается и расширяется, что делает все больше предприятий уязвимыми для инцидентов кибербезопасности. Одной из основных целей программы кибербезопасности любой компании является предотвращение инцидентов. Однако не существует панацеи, которую компании могли бы использовать для предотвращения атак.

Одним из методов, который может помочь организации улучшить состояние кибербезопасности, является анализ первопричин. Продолжайте читать, чтобы узнать об анализе первопричин и о том, почему он становится все более популярным методом кибербезопасности.

Что такое анализ основных причин?

Анализ основных причин (RCA) является методом кибербезопасности команды используют, чтобы добраться до сути утечки данных или инцидента кибербезопасности. Когда происходит кибератака, команда SecOps должна объединиться и, как следует из названия, найти «коренную причину» проблемы, проведя анализ.

Взломы и атаки происходят по-разному. Например, атаки могут подпадать под несколько категорий< /strong> например, вредоносное ПО, фишинг и неправомерное использование инсайдерской информации. В результате каждый кибер-инцидент имеет уникальную, единственную или несколько причин. Не все инциденты имеют одну и ту же причину, поэтому ИТ-специалисты используют метод RCA.

Проблемы с безопасностью иногда возникают из-за нескольких основных причин. Расследование основной причины обычно выявляет ряд проблем, скрывающихся под поверхностью. Выявив их с помощью анализа первопричин, можно снизить вероятность повторения атаки в будущем.

Преимущества анализа первопричин

Каковы основные преимущества анализа первопричин? Изучите несколько примеров ниже:

* Уменьшает количество ошибок, возникающих по одной и той же основной причине * Размещает инструменты и решения для предотвращения или решения проблем в будущем * Позволяет командам более эффективно разрешать инциденты * Реализует инструменты для регистрации и отслеживания потенциальных проблем

Цель ИТ-команд — узнать как можно больше об инциденте, чтобы удалить угрозу из своих систем. Организации могут анализировать каждое звено в цепочке событий, приведших к инциденту.

Есть несколько случаев, когда полезно провести анализ первопричины, например, когда проблемы впервые выявлены или требуется быстрое исправление.

3 типа первопричин

Коренная причина может относиться к одной из трех категорий: физическая, человеческая или организационная. Узнайте больше о каждом типе ниже.

Физический

Если физический элемент оборудования выйдет из строя или выйдет из строя, это может вызвать потенциальную проблему безопасности для ИТ-персонала. Киберпреступники будут использовать любые средства, чтобы получить доступ к корпоративной сети, и поиск сломанного оборудования не является исключением.

Человек

Неудивительно, что 81 % утечек данных, связанных со взломом была первопричиной слабых или украденных паролей у сотрудников. Сотрудники-люди являются первой защитой от внешних угроз кибербезопасности, поэтому обучение так важно. Среднестатистический сотрудник может недостаточно знать о кибербезопасности, чтобы соблюдать правила кибергигиены, что подвергает компании большему количеству киберрисков.

Организация

Коренные причины в организационной категории возникают, когда руководители компании совершают административные ошибки. Например, если маркетинговая команда не обновит свое программное обеспечение для управления контентом (CMS), это может сделать ее уязвимой для киберинцидентов.

Три метода анализа первопричин

Организации могут выбрать один из трех методов анализа основных причин — сопоставление, «5 почему» и Fishbone — для реагирования на инциденты безопасности. Узнайте больше об этих трех методах ниже.

Сопоставление

После возникновения инцидента команды могут использовать метод сопоставления анализа основных причин, который включает создание подробной карты причин. Карта создает визуализацию данных, чтобы помочь руководителям правильно отреагировать на инцидент. Он должен отвечать на три основных вопроса:

* Какой тип инцидента произошел * Почему произошел инцидент * Какие действия предпринять, чтобы предотвратить подобные инциденты в будущем

Карта должна соединить все отдельные причинно-следственные связи, чтобы в итоге выявить первопричину инцидента.

5 «почему»

Подход к анализу первопричины "5 почему" – это еще один способ определить первопричину инцидента. Единственное, что нужно сделать компании при таком подходе, — это задать вопрос «Почему?» пять раз подряд. Задавая вопрос, находя ответ и задавая вопрос «Почему?» опять же, ИТ-команды могут добраться до сути проблемы.

При использовании этого подхода продолжайте задавать вопросы «почему» и другие вопросы, такие как «когда», «что» и «как». Имейте в виду, что некоторые первопричины являются симптомом другой первопричины, поэтому вам, возможно, придется задать вопрос «почему» более пяти раз!

Рыбья кость

Анализ основных причин Fishbone, также известный как диаграмма Исикавы, — это третий метод, который можно использовать для выявления основных причин. Как упоминалось ранее, инцидент может произойти из-за более крупной проблемы. Диаграмма Исикавы помогает определить симптомы проблемы по сравнению с основной причиной.

Первоначально использовалась диаграмма Исикавы контролировать вопросы контроля качества в судостроительной отрасли. Теперь диаграмма широко используется компаниями в различных отраслях, таких как кибербезопасность, маркетинг и финансы.

6 основных шагов для проведения анализа первопричин

Сотрудники со знанием предмета, опытом кибербезопасности или прямым отношением к инциденту должны участвовать во всех анализах первопричин. Независимо от того, какой метод использует компания, ИТ-специалисты и специалисты по безопасности должны работать вместе, чтобы найти основную причину инцидента кибербезопасности, чтобы повысить свою защиту и снизить будущие риски.

Вот шесть шагов, которые должны выполнить компании, чтобы провести эффективный анализ первопричин.

1. Определить событие

Следующим шагом после формирования группы действий или реагирования на инциденты является определение события. Была ли это утечка данных? Была ли это атака с использованием социальной инженерии? Определите конкретные детали инцидента.

2. Определите возможные причины

Второй шаг – выявление потенциальных причин проблемы. Было бы полезно, если бы служба безопасности классифицировала потенциальные причины как физические, человеческие или организационные.

3. Поиск первопричины

После того, как вы потратите время на размышления, используйте процесс исключения, чтобы определить основную причину киберинцидента. Сотрудник использовал слабый пароль? Кто-то использовал устаревшее программное решение? Настало время определить используемый метод атаки, подозреваемую сторону и любых затронутых клиентов, клиентов и сотрудников.

4. Найдите решение

Основная цель плана реагирования на инциденты — найти решение проблемы. Одна из причин, по которой анализ основных причин работает так хорошо, заключается в том, что после выявления основной причины специалистам по кибербезопасности становится намного легче устранить проблему.

5. Реализовать решение

Придумав подходящее решение для атаки, реализуйте его. Сообщайте всем вовлеченным сторонам о том, что произошло, и всегда будьте откровенны в отношении атак. Если данные клиентов были взломаны, очень важно, чтобы они узнали об атаке, чтобы они могли принять незамедлительные меры.

6. Монитор

После внедрения решения ИТ-специалисты и специалисты службы безопасности должны следить за его эффективностью. Ни одна организация не захочет следовать этим шагам и проводить анализ первопричин, если только проблем не удастся избежать в будущем. Этап мониторинга так же важен, как и другие этапы анализа первопричин.

Использование RCA в индустрии кибербезопасности

В отрасли кибербезопасности в целом важно собирать данные и получать ценную информацию, прежде чем принимать какие-либо решения. RCA предоставляет информацию, необходимую группе реагирования на инциденты для восстановления после атаки. Компании должны руководствоваться советами, изложенными выше, при борьбе с атаками кибербезопасности, чтобы предотвратить будущие нарушения.