[ISC]Incident Response

IRP: Incident Response Plan
- method : detection, response timeline and incident response team's responsibilities
- contents : mission, size, structure, and operatinal functions
- NIST : Roadmap, definition of computer security, organizational structure, priortization or severity ratings of incidents,  internal and  external communication methods
- Detection : Vulnerability scanning software, Anomaly detection, EDR(Endpoint Detection and Response), File integrity monitoring, File integrity monitoring, Log analysis, IDS(Intruison Detection Systems), IPS(Intruision Prevention Systems), Physical security monitoring, SIEM(Security Information and Event Management solutions), Threat intelligence software, UBA(User behavior analytics)

Guidance and support from senior management - champion

NIST recommands 3 models
-Centralized Incident Response Team : one team, better for smaller company
-Distributed Incident Response Team
-Coordinating Team : without having authority over those teams

NIST - 5 factors(Guide)
1. 24/7 Availability : Real-time availability
2. Full-Time Versus part-Time Team Members : available funding, other staffing needs or constraints, the industry in which the company operate, the individual company's needs
3. Employee Morale : Segregating roles
4. Cost : 24/7(days in a week) availability -> expensive
5. Staff Expertise: specialized knowledge (both techinical and nontechnical deciplines)

3 area
1. Education and Awareness
2. Advisory Distribution
3. Information Sharing

7 steps - Responding to an Incident
1. Preparation
2. Detection & Analysis/Identification
3. Containment
4. Eradication : simple - delete with clean backup copies
5. Reporting
6. Recovery : fix, followed by a more holistic
7. Post-Incident Activity/Lessons Learned

SANS IRP(Institute Incident Response Plan) - 6 phases
SysAdmin, Audit, Network, and Security
1. Preparation
2. Identification : processes, files, and registry keys
3. Containment
4. Eradication
5. Recovery
6. Lessons learned

NIST IRP - 4 step (Computer Security Incident Handling Guide)
1. Preparation
2. Detection and analysis
3. Containment, eradication, and recovery
4. Post-incident activity

ISO(International Organization for Standadization) IRP
1. Evaluating event criteria and defining an incident
2. Monitoring and detecting events by human or automated means
3. Managing incidents to the end of their lifecycle
4. Coordinating with authorities and handling evidence properly
5. Performing a root cause analysis
6. Reporting on all incident managment activities


ITTL ; Information Technology Infrastructure Library
US-CERT ; The United Computer Emergency Readiness Team
PCI-DSS : The Payment Card Industry Data Security Standard

Tailored IRP
- DDoS attacks
- mobile code
- Phising
- Insider incident
- Business email compromise
- Disaster recovery
- Supply chain attack
- Advanced persistent threats

Simulations = Tabletop exercises : actually executes, up to date, accurate
IRP metrics
-MTTD(Mean Time to Detect) : Higher average times - poorer detection
-MTTA(Mean Time to Acknowledge)
-MTTC(Mean Time to Contain) : to remediation, to stop and isolate
-MTTR(Mean Time to Repair) : to restore a system
-MTBF(Mean Times Between Failures) : high MTBF not allowed
-System Availability or Downtime : if the uptime threshold is not met

Post-Incident Review

Periodic Audits

Continuous monitoring

indications
- increase in frequency of incidents
- Time to identify or containt incidents
- increase in data center downtime
- cost of fines, atorneys, and consultants

Cyber insurance : mitigate damage
- insurable lossess : 
--Business Interruption Losses
--Cyber Extortion Losses
--Incident Reponse Costs
--Replacement Costs for Information Systems 
--Litigation and attorney fees 
--Reputational damage
--Information or identify theft

Cyber Insurance Requirements
-Background checks
-Compliance With Regulations
-Disaster Recovery
-Employee Training
-Company Policies
-Independent Risk Assessment
-Incident Response Plans
-IT controls
-Mandatory Pen Testing (Penetration test)
-Loss History