Արձագանքը պատահականության և արտահոսքի վրա

1) Նպատակ, սկզբունքներ և սկզբունքներ

Նպատակը 'նվազեցնել վնասը և իրավաբանական ռիսկերը, ապահովել վիրահատությունների շարունակականությունը և գործողությունների ապացուցումը անվտանգության/կոմպլանսի դեպքում։

Սկզբունքներ. <<Արագ զսպել>>։

Տե՛ ս ՝ կիբերհարձակումներ (DDoS, ATO, կոտրվածքներ, խոցելիություններ), PII/ստացիոնար տվյալների արտահոսք, AML/KYC/108 խախտումներ, պրովայդերների ձախողումներ (KYC/PSA), գովազդի/պատասխան խաղի (RG), փոխզիջված գործընկերներ։

2) Դասակարգում և լուրջ ձգումներ

3) SLA էսկալացիաները և «բրիջը»

Նախաձեռնությունը 'High/Critical-ում ստեղծվում է war-room (chat/զանգված), նշանակվում է Incident Commander (IC)։

SLA: Info — n/a; Low 24 ժամ; Medium — 4 ч; High-1 ժամ; Critical-15 ռուբլիներ

Բրիջի դերերը ՝ IC, You Lead, SNE/Ops, Compliance (Deputy IC), Legal/DPO, Payments/FRM, Support/VIP, PR/Comics։

4) Ինտեգրման գործընթացը (SANS/NIST-stack հարմարվողականության մեջ)

1. Պատրաստումը 'runbooks, կոնտակտային թերթեր, պահեստային պրովայդերներ, թեստային ալերտներ, հասանելի «լռելյայն փակված»։

2. Նույնականացում 'SIEM/SOAR հարաբերակցությունը, հակաֆրոդ կանոնները, KRI ազդանշանները։ փաստի/ծավալի ապացույց։

3. Զսպումը (Intainment) 'սեգմենտացիա, խոցելի ֆիչի/էնդպոինտի անջատումը, գեո սահմանափակումները, feature-flags, ժամանակավոր լիմիտներ/հոլդներ։

4. Իսպանիան (Eradault) 'պաթչ/ռոտացիան, կոդավորման/սարքերի բլոկը, վնասակար արտեֆակտների մաքրումը, պատկերների փոխպատվաստումը։

5. Վերականգնումը (Recovery) 'ամբողջականության վալիդացիա, ռելեզիայի աստիճանական բարձրացում (կանարեքային փամփուշտներ), ռեգրեսիա։

6. Դասերը (Post-Incident) 'փոստի մորտը 2472 ժամ, CAPA պլանը, քաղաքական/շեմերի/մոդելների նորարարությունը։

5) Իրավաբանական ծանուցումներ և արտաքին հաղորդակցություններ

Հասցեների մատրիցը և պատճառները (օրինակ)

Մոսկվան տվյալներով (DPA): PII-ի ապացուցված արտահոսքը բացատրում է ծանուցումը (կոդավորման նկարագրությունը, տվյալների կատեգորիաները, միջոցները, DPO կապը)։

Խաղային կարգավորիչ 'RG/գովազդային կանոնների/ձախողումների զանգվածային խախտումներ, որոնք ազդում են խաղացողների/հաշվետվությունների վրա։

Բանկերը/PSA: կասկածելի ակտիվություն/SAR-cass, զանգվածային chargebacks, էքսպորտային հոսքի փոխզիջում։

Օգտագործողները 'նրանց տվյալների արտահոսքը/վնասի բարձր ռիսկը։ Նամակների և FAQ ձևանմուշները։

Գործընկերներ/գողեր 'նրանք ունեն կամ էլ ունեն ընդհանուր հոսքեր/տվյալներ։

Կոմմ կանոնները 'մեկ բանախոսի, փաստերի, հստակ գործողությունների/առաջարկությունների, հաղորդագրությունների բոլոր տարբերակները և պատասխանները։

6) Ֆորենզիկան և «ապացույցների պահպանման շղթան» (Chain of Custody)

Ամրագրել, թե ով/երբ/ինչ հավաքեց։ Օգտագործել WORM/անփոփոխ պահեստ։

Թոմի/լոգարանների նկարները, արտեֆակտների արտահանումը հեշթինգի միջոցով (SHA-256)։

Հասանելի են «միայն կարդալ», աշխատանքը կրկնօրինակների միջոցով։

Փաստաթղթավորել բոլոր թիմերը/քայլերը։ պահել թայմլայնը։

Համաձայն Legal/DPO-ի հետ, արտեֆակտների փոխանցման պայմանները երրորդ դեմքերին։

7) Վերահսկվող հաղորդակցությունները (ներքին/արտաքին)

Do 'հակիրճ, փաստաբանական, համաձայնեցված է IC/Legal-ի հետ։ նշեք, apdait-slot (օրինակ, յուրաքանչյուր 60 րոպե)։

Don 't: Վարկածները որպես փաստեր, PII բացահայտումը, մեղադրանքները, խոստումները առանց վերահսկողության։

Ներքին ապդեյտա (յուրաքանչյուր 30-60 րոպե)

Ի՞ նչ տեղի ունեցավ ։/Լուրջ/Ազդեցության ոլորտ/Տեխնիկական միջոցներ/Հաջորդ քայլերը/Հաջորդ դեղատուն...

8) Տիպիկ ստացիոնար playbook «և»

A) PII արտահոսքը (ծրագիր/backend/wendor)

1. Brige 3515 րոպե պլանավորվում է սառեցնել կասկածելի end-poin.ru/բանալիները նախատեսվում է ներառել տվյալների հասանելիության ավելացված աուդիտը։

2. Ֆորենզիկա 'որոշել աղբյուրը/ծավալը/PII, timline։

3. Գործողությունները 'գաղտնիքների, ֆիքսների, իրավունքների ստուգման, գենդորի մեկուսացման։

4. Ծանուցումներ ՝ DPA/կարգավորիչ/օգտագործողներ/գործընկերներ (պահանջներով)։

5. Խաղացողների աջակցությունը 'FAQ, աջակցության ալիք, առաջարկություններ (գաղտնաբառի/խարդախության փոփոխություն)։

6. Փոստի մորտեմը և CAPA-ն։

B) Խաղացողների վերջնական ձայնագրությունների փոխզիջումը (ATO/credential stuffing)

1. Spike-ում ATO ազդանշաններում նախատեսվում է ուժեղացնել rate limit/2FA-enforce/International Authn-ը, ժամանակավոր ելքային բլոկները։

2. Սարքերի կլաստերիզացիան/IP, ծանուցումների ուղարկումը, հոսանքների հոսքը։

3. Ֆինանսական վիրահատությունների ստուգումը, SAR անհրաժեշտության դեպքում։

C) պրովայդերի մերժումը KUS/2019

1. Անցումը fallback-պրովայդերի վրա, արագ եզրակացությունների սահմանափակումը, VIP-ի ձեռքով հոսքը։

2. Կոմմ սապորտի և VIP մենեջերների համար։ ձգման դեպքում 'կարգավորիչի/բանկերի տեղեկացում (եթե ազդում է ստուգման վրա)։

D) PSA/հիբրիդային պատահականություն (chargebacks/փոխզիջում)

1. Միացրեք խիստ 3DS/AVS, վնասեք սահմանները և velocity կանոնները։ հոլդ ռիսկի խմբեր։

2. Տեղեկացրեք PBS/բանկը; լվացման նշանների դեպքում 'EDD/SAR։

3. Մերժված մրցույթի վերականգնումը և աուդիտը։

E) DDoS/անհասանելիություն

1. Ակտիվացնել WAF/geo-հատվածը/scrubing; «ցրտահարություն» ածխաջրածիններ։

2. Տարածաշրջանների կանարեքային կարգավորումը, SLO-ի վերահսկումը։ կայունության հետմորտը։

9) Գործիքներ և արտեֆակտներ

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, գաղտնի մենեջեր, vox-ռոտացիաներ, anomalis հայտնաբերումը հակաֆրոդում, www.ru, EDR, DLP։

Artefakts: wwww.ru, բրիջի արձանագրություն (timline), ֆորուլֆիկայի զեկույցը, ծանուցման փաթեթը (կարգավորիչ/օգտագործողներ/բանկեր), post-mortem, CAPA-treker։

10) Metriki և wwww.orlds

MTTD (ժամանակը հայտնաբերելուց առաջ), MTTC (մինչև զսպումը), MTTR (մինչև վերականգնումը)։

տնային տնտեսությունների% -ը տեղադրված առաջխաղացումից 90 տոկոսն է։

CAPA-ի կատարման տոկոսը ժամանակի ընթացքում 95 տոկոսն էր։

Կրկնվող միգրանտների մասնաբաժինը նույն պատճառով 3,5 տոկոսն է։

SLA-ում փակված միգրանտների մասնաբաժինը ՝ Lenta.ru 3690 տոկոսը, High 3695 տոկոսը, Critical 3699 տոկոսը։

11) RACI (uprunic)

Incident Commander (Ops/Sec): A կառավարման, որոշումների կայացման, թայմլինի համար։

Intel Lead (R) 'տեխնոլոգիական։ վերլուծություն, ֆորենզիկա, intainment/erad.ru։

Compliance/DPO (R/A օրինականության համար) 'արտահոսքի որակավորում, ծանուցումներ, հաղորդագրությունների թերթ։

Legal (C) 'իրավական գնահատում, պայմանագրեր/պայմանագրեր, նամակների ձևակերպումներ։

MSE/Engineering (R) 'ֆիքսներ, արձագանքներ, ռուսական։

Payments/FRM (R) 'հոլդներ, հակաֆրոդ շեմն, PMS/բանկերի հետ փոխազդեցությունը։

PR/Comics (R) ՝ արտաքին հաղորդագրությունները, Q&A կոշիկների համար։

Supert/VIP (I/C) 'հաղորդակցությունների ճակատը խաղացողների հետ։

12) Ձևանմուշներ (նվազագույն հավաքածու)

12. 1 Քարտեզ 108 (108)

ID/BISN դասը/լրջությունը (համակարգեր/տվյալներ/իրավասություններ) ցույց է տալիս IC/BISN-ի սեփականատերը: Առաջին միջոցները տրամադրվում են Ծանուցման չափման (ում/երբ) վնասի չափման ծավալով։

12. 2 Ծանուցում (գոյատևման)

Ի՞ նչ տեղի ունեցավ։ ի՞ նչ տվյալներ կարող են ազդել։ ինչ ենք մենք արել. ինչ եք ասում. շփումներ; հղում քաղաքականության/FAQ։

12. 3 Post-Mortem (կառուցվածքը)

Փաստերը/Timline Windows Whys (5 Whys) մեջբերում է CAPA (սեփականատեր/dedline) - N- ի շաբաթվա ընթացքում արդյունավետության ստուգում։

13) Ինտեգրումը և կոմպլասենսը

CAB/Change: Վտանգավոր փոփոխությունները միայն ֆիչի դրոշների/կանարետների միջոցով են։ յուրաքանչյուր օրինակում արձագանքի պլան է։

Տվյալները և հաշվետվությունները 'dashbords-ի ավտոմատ հավաքումը։ կապը KRIs-ի հետ (սանկցիաներ/RER, KYC, CBR, ATO)։

Ռիսկերը 'ռիսկի և ռիսկի մատրիցայի նորացումը, յուրաքանչյուր major-105-ից հետո շեմերի տրամաբանությունը։

14) Ուսուցումներ և պատրաստակամություն

Tabletop անգամ թաղամասում (PII արտահոսքը, KYC, ATO-ալիք, PMS-պատահարը)։

Red/Blue/Purple-team ստուգման; միասին ուսուցումներ վենդորների և PSA-ի հետ։

KPI պատրաստակամություն 'աշխատողների մասնաբաժինը, ովքեր անցել են դասընթացը։ ուսուցումների հաջողությունը. «բրիջի բարձրացում» միջին ժամանակը։

15) Իրականացման ճանապարհային քարտեզը

1-2 շաբաթ 'դերերի/կոնտակտների, ձևանմուշների, պահեստային պրովայդերների կիրառումը։

3-4 շաբաթ 'SOAR-pleybuks, բրիջի ջրանցքներ, թեստային ծանուցումներ, WORM արխիվը։

Մեկ ամիս 2 +։ Ռուսական ուսմունքները, ամսագրերի աուդիտը, իրադարձությունների հաշվետվությունների ավտոմատացումը։

TL; DR

Պատրաստակամություն = նախօրոք ցույց տալ դերերը և շեմերը + արագ բրիջը + կոշտ inainment + օրինական և ժամանակին ծանուցումներ + forenzika, որոնք ունեն ապացույցների շղթա + պարտադիր post-mortem և CAPA։ Դա նվազեցնում է վնասը, նվազեցնում է տուգանային ռիսկերը և ամրացնում խաղացողների և գործընկերների վստահությունը։