¿Qué significa «una hora» significa para respuesta a incidentes?

Ayer, 8 de enero de 2014, fue el cumpleaños número 11 de TaoSecurity Blog. Por favor, echa un vistazo a mi feliz cumpleaños 10mo puesto si quieres saber por qué no escribo mucho! En resumen: Twitter.

Acabo de leer una historia que me pareció obligado a más de 140 caracteres de atención: OMB revisión de los requisitos de notificación de violación de datos de Jason Miller. Dice en parte:

GAO encontró requisito de la OMB a presentar información sobre las violaciones de datos al Equipo de Preparación de Emergencia DHS EE.UU. Computer (US-CERT) dentro de una hora después de descubrir la infracción es de poco valor …

«Los funcionarios de los organismos y US-CERT de acuerdo en que el requisito actual de que los incidentes relacionados con el PII ser reportados dentro de una hora puede ser difícil de encontrar y no puede proporcionar US-CERT con la mejor información», escribieron los auditores.

«Específicamente, los funcionarios del Ejército, la FDIC, FRB, FRTIB y SEC indicaron que era difícil de preparar un informe sobre un incidente significativo PII a US-CERT en el plazo de una hora requerida por la OMB. Los funcionarios declaró que la información significativa sobre un incidente a menudo no está disponible en ese periodo de tiempo, y denunciar los hechos a la US-CERT y sin todos los detalles relevantes probablemente tendría un valor limitado. Mientras VA funcionarios declararon que la mayor parte de sus incidentes son reportados en menos de una hora, que no creen que el marco de tiempo es consistente con otras directrices del US-CERT y que la mayoría de los incidentes sería más apropiado informar sobre una base semanal. »

US-CERT dijo GAO que el plazo de una hora no da una imagen clara de los hechos denunciados y la información no se utiliza para ayudar a remediar incidentes ni proporciona asistencia técnica a las agencias.

«Además, Jefe de métricas de rendimiento del US-CERT confirmó que la gran mayoría de las violaciones de datos relacionados con el PII no están relacionados con la seguridad cibernética-,» según el informe. «Específicamente, el funcionario estima que siete de cada ocho reportaron infracciones no implican atentados y amenazas a los sistemas o redes del gobierno …

Además, el personal de la OMB, dijo que no tenían conocimiento de los fundamentos para el marco de tiempo de una hora , que no sea una preocupación general de que las agencias reportan incidentes PII con prontitud.

No estoy muy seguro de si OMB requiere notificar todos los sucesos dentro de una hora, o sólo «incidentes relacionados con el PII.» Este último parece ser cierto, pero el artículo se menciona la presentación de informes de otros incidentes dentro de una hora.

Si usted me ha oído hablar o leer mi cuarto libro, La práctica de la supervisión de la seguridad de la red, usted me recuerda mencionar «una hora.» El otro cambio horario en mi contexto se tiempo entre la detección de la contención . No hay tiempo explícito requisito de notificación. Hay una diferencia entre notificación para implementar contención y escribiendo un profundo informe de investigación .

Además, mi recomendación Una hora es un requisito para las intrusiones de alta severidad , no todos los incidentes . (El significado de todas estas palabras son importantes, por lo tanto, la negrita y subrayado el formato.) No todos los incidentes son intrusiones. Vea por favor mi post 2009 en las calificaciones de intrusión de ejemplos de diferentes niveles de gravedad.

La razón para luchar por una hora de la detección a la contención es implementar la estrategia de limitar el tiempo de los intrusos de maniobra. Si usted puede dejar de que un intruso lograr su objetivo último, el hecho de haber penetrado sus sistemas de resistencia es menos importante. Lo que es importante es que el intruso no completó su misión.

El hecho de que «el personal de la OMB dijo … que no tenían conocimiento de los fundamentos para el marco de tiempo de una hora «, muestra que el requisito se divorció de un articulado, pensativo, fundamentada estrategia defensiva. No hay nada de mágico en una hora, aunque creo que representa un requisito de contención, pero realista, agresiva para las organizaciones dispuestos a invertir en procesos de detección, respuesta y contención amplias y completas y tecnología integradas por miembros motivados CIRT.

Idealmente se implementa una hora de intrusión a la recuperación , pero vamos a guardar ese objetivo aún más agresivo durante un tiempo cuando se puede aplicar a una hora de la detección a la contención !

Si quieres leer más, en el capítulo 9 de mi libro explica estas ideas. Utilice el código NSM101 para ahorrar 30% de descuento en el pedido de No Starch.

Tweet

Deja un comentario

Tu dirección de correo electrónico no será publicada.