Trace Id is missing
Преминаване към основното съдържание
Microsoft Security

Какво представлява отговорът на инциденти?

Проучете колко ефективно отговорът на инциденти помага на организациите да откриват, разглеждат и спират кибератаки.

Научете за Microsoft Sentinel

Дефиниция на отговор на инциденти

Преди да дефинирате отговор на инциденти, е важно да сте наясно какво представлява един инцидент. В ИТ има три термина, които понякога се използват взаимозаменяемо, но означават различни неща:

  1. Събитието е безвредно действие, което се случва често, като например създаване на файл, изтриване на папка или отваряне на имейл. Само по себе си, събитието обикновено не е индикация за пробив, но когато е съпроводено с други събития, може да сигнализира за заплаха. 
  2. Известието е уведомяване, задействано от събитие, което може да е заплаха, а може да не е.
  3. Инцидентът е група от свързани известия, за които хора или инструменти за автоматизация са преценили, че вероятно представляват истинска заплаха. Само по себе си, всяко известяване може да не изглежда като голяма заплаха, но когато е в съчетание, то показва възможно нарушение.

Отговор на инцидента са действията, които организацията предприема, когато смята, че може да са били нарушени ИТ системи или данни. Например специалистите по защитата ще действат, ако видят доказателство за неупълномощен потребител, злонамерен софтуер или неуспех на мерките за защита.

Целите на отговора са да отстраните кибератака възможно най-бързо, да възстановите и уведомите клиенти или държавни агенции, както се изисква от регионалните закони, и да научите как да намалите риска от подобно нарушение в бъдеще.

Как работи отговорът на инциденти?

Отговорът на инциденти обикновено започва, когато екипът по защитата получи надеждно известие от система за информация за защита и управление на събития (SIEM).

Членовете на екипа трябва да се уверят, че събитието се квалифицира като инцидент, и след това да изолират заразените системи и да премахнат заплахата. Ако инцидентът е сериозен или отнема много време, за да се отстрани, може да се наложи организациите да възстановят архивирани данни, да се занимават с откуп или да уведомят клиентите, че техните данни са компрометирани.

Поради тази причина обикновено в отговора участват хора, различни от екипа за киберсигурност. Експертите по поверителността, адвокатите и вземащите бизнес решения ще ви помогнат да определите подхода на организацията към инцидента и неговите последствия.

Типове инциденти, свързани със сигурността

Има няколко начина, по които атакуващите се опитват да получат достъп до данните на фирмата или по друг начин да компрометират нейните системи и бизнес операции. Ето няколко от най-често срещаните:

  • Фишинг

    Фишинг е вид социално инженерство, при който атакуващият използва имейл, текстово съобщение или телефонно обаждане, за да се въплъти в реномирана марка или лице. Една типична фишинг атака се опитва да убеди получателите да изтеглят злонамерен софтуер или да предоставят паролата си. Тези атаки използват доверието на хората и разполагат техники, като страх, за да накарат хората да действат. Много от тези атаки са без определена цел, като отиват при хиляди хора с надеждата, че само един ще отговори. Обаче по-сложната версия, наречена насочен фишинг, използва задълбочено изследване, за да създаде съобщение, което е предназначено да бъде убедително за конкретен човек.

  • Злонамерен софтуер

    Злонамерен софтуер се отнася за всеки софтуер, който е предназначен да навреди на дадена компютърна система или да извлича данни. Предоставя се в много различни форми, включително вируси, рансъмуер, шпиониращ софтуер и троянски коне. Лошите участници инсталират злонамерен софтуер, като се възползват от уязвимостите в хардуера и софтуера или като убеждават служител да го направи с помощта на техника за социално инженерство.

  • Рансъмуер

    При атака с рансъмуер „лошите“ използват злонамерен софтуер за шифроване на критични данни и системи и след това заплашват да направят данните публични или да ги унищожат, ако жертвата не плати откуп.

  • Отказ на услуга

    При атака тип отказ на услуга (DDoS атака), действащото лице на заплахата претоварва мрежа или система с трафик, докато тя се забави или се срине. Обикновено нападателите са насочени към високо профилни фирми, като банки или държавни организации, с цел да им отнемат време и пари, но жертва на този тип атака могат да бъдат организации от всякакъв размер.

  • Атака като посредник

    Друг метод, който киберпрестъпниците използват, за да откраднат лични данни, е да се вмъкват като посредници в онлайн комуникация между хора, които смятат, че комуникират поверително. Като прехващат съобщенията и ги копират или променят, преди да ги изпратят на желания получател, те се опитват да манипулират един от участниците да им даде ценни данни.

  • Вътрешна заплаха

    Въпреки че повечето атаки се извършват от хора извън организацията, екипите за защита също трябва да са нащрек за вътрешни заплахи. Служители и други хора, които имат легитимен достъп до ограничени ресурси, могат по невнимание или в някои случаи умишлено да пропуснат навън чувствителни данни.

Какво е план за отговор на инциденти?

Отговарянето на инцидент изисква един екип да работи заедно ефикасно и ефективно, за да отстрани заплахата и да отговори на нормативните изисквания. В тези ситуации с висок стрес е лесно да се объркате и да направите грешки, поради което много фирми разработват план за отговор на инциденти. Планът определя ролите и отговорностите и включва стъпките, необходими за правилното отстраняване, документиране и комуникация за един инцидент.

Важност на план за отговор на инциденти

Една значителна атака не само поврежда операциите на организацията, но също така засяга репутацията на фирмата пред клиентите и общността и може да има правни последици. Всичко, включително колко бързо екипът по защитата реагира на атаката и как ръководителите съобщават за инцидента, влияе върху общите разходи от него.

Фирми, които скриват щетите от клиентите и държавните организации или които не приемат заплахата достатъчно сериозно, може да се сблъскат с нормативните разпоредби. Тези типове грешки са по-често срещани, когато участниците нямат план. В моментното напрежение има риск хората да вземат прибързани решения, предизвикани от страха, че ще навредят на организацията.

Един добре обмислен план позволява на хората да знаят какво трябва да правят във всяка фаза на атаката, така че да не се налага да го правят в движение. А след възстановяването, ако има въпроси от обществеността, организацията ще може да покаже точно как е отговорила и да даде на клиентите спокойствие, че се е отнесла към инцидента сериозно и е приложила стъпките, необходими за предотвратяване на по-лош резултат.

Стъпки за отговор на инцидент

Има повече от един начин за подход към отговора на инцидента и много организации разчитат на организация със стандарти за защита да дават указания при подхода им. Защитата на мрежата за проверка на системния администратор (SANS) е частна организация, която предлага рамка за отговор от шест стъпки, която е описана по-долу. Много организации приемат също и рамката за възстановяване при инциденти на Националния институт за стандарти и технологии (NIST).

  • Подготовка – Преди да възникне инцидент, е важно да намалите уязвимостите и да дефинирате правила и процедури за защита. Във фазата на подготовка организациите извършват оценка на риска, за да определят къде имат слабости и да приоритизират активите. Тази фаза включва писане и прецизиране на процедури за защита, дефиниране на роли и отговорности и актуализиране на системите за намаляване на риска. Повечето организации редовно посещават отново този етап и правят подобрения в правилата, процедурите и системите, когато научават уроци или технологиите се променят.
  • Идентификация на заплахи – За даден ден екипът по защитата може да получи хиляди известия, които показват подозрителна активност. Някои от тях са фалшиво положителни резултати или може да не стигат до нивото на инцидент. След като бъде идентифициран инцидент, екипът изследва по-дълбоко естеството на пробива и заключенията в документите, включително източника на пробива, типа на атаката и целите на атакуващия. На този етап екипът също така трябва да информира заинтересованите лица и да съобщи за следващите стъпки.
  • Ограничаване на заплахи – Ограничаването на една заплаха възможно най-бързо е следващият приоритет. Колкото по-дълго на „лошите“ се дава достъп, толкова по-големи ще бъдат щетите, които те могат да причинят. Екипът по защитата работи за бързо изолиране на приложения или системи, които са под атака, от останалата част от мрежите. Това помага за предотвратяване на достъпа на нападателите до други части на фирмата.
  • Отстраняване на заплахи – След като ограничаването завърши, екипът премахва атакуващия и всеки злонамерен софтуер от засегнатите системи и ресурси. Това може да включва преминаване на системите офлайн. Екипът също така продължава да информира заинтересованите лица за напредъка.
  • Възстановяване и поправяне –  Възстановяването от инцидент може да отнеме много часове. След като заплахата изчезне, екипът поправя системите, възстановява данните от архива и проследява засегнатите области, за да се гарантира, че атакуващият няма да се върне.
  • Обратна връзка и прецизиране – Когато инцидентът бъде отстранен, екипът разглежда какво се е случило и определя подобрения, които могат да бъдат направени в този процес. Наученото от тази фаза помага на екипа да подобри защитата на организацията.

Какво означава екип за отговор на инциденти?

Екипът за отговор на инциденти, който се нарича също екип за реагиране при инциденти в защитата на компютъра (CSIRT), екип за реагиране при киберинциденти (CIRT) или екип за реагиране при спешни случаи на компютър (CERT), включва междуфункционална група от хора в организацията, които са отговорни за изпълнението на плана за отговор при инциденти. Това включва не само хората, които премахват заплахата, но и тези, които взимат бизнес или правни решения, свързани с даден инцидент. Един типичен екип включва следните членове:

  • Ръководителят на отговор на инциденти – често директорът по ИТ – наблюдава всички фази на отговора и поддържа вътрешните заинтересовани лица информирани. 

  • Анализаторите на защитата проучват инцидента, за да се опитат да разберат какво се случва. Те също документират своите заключения и събират доказателства при разследвания.

  • Изследователите на заплахите поглеждат извън организацията, за да съберат разузнавателни данни, които предоставят допълнителен контекст. 

  • Някой от ръководството, като например главният служител по защитата на информацията или главният информационен директор, дава указания и служи като свързващо звено към другите ръководители.

  • Специалистите по човешки ресурси помагат за управлението на вътрешни заплахи.

  • Съветникът по общи въпроси помага на екипа да разглежда проблемите с отговорността и гарантира, че се събират доказателства при разследвания.

  • Специалистите по връзки с обществеността координират точните външни комуникация с медиите, клиентите и други заинтересовани лица.

Екипът за реагиране при инциденти може да е подразделение на центъра за операции по защитата (SOC), който обработва операциите по защитата извън отговора на инциденти.

Автоматизация на отговора на инциденти

В повечето организации мрежите и решенията за защита генерират много повече предупреждения за защита, отколкото екипът за отговор на инциденти може реално да управлява. За да се помогнат за съсредоточаване върху установените заплахи, много фирми реализират автоматизиране на отговора на инциденти. В автоматизирането се използва ИИ и машинно обучение за подреждане на известията, идентифициране на инциденти и ликвидиране на заплахите чрез изпълнение на тактически наръчник за отговор въз основа на програмни скриптове.

Организация, автоматизация и реакция, свързани със защитата (SOAR), е категория инструменти за защита, които се използват от фирмите за автоматизиране на отговора на инциденти. Тези решения предлагат следните възможности:

  • Корелация на данните в множество крайни точки и решения за защита, за да се идентифицират инцидентите, по които хората да изпълняват последващи действия.

  • Изпълнете предварително написан тактически наръчник, за да изолирате и разглеждате известни типове инциденти.

  • Генерирайте времева линия за разследване, която включва действия, решения и доказателства при разследвания, които могат да се използват за анализ.

  • Въведете подходящо външно разузнаване за човешки анализ.

Как се изпълнява план за отговор на инциденти

Разработването на план за отговор на инциденти може да изглежда обезпокоително, но може значително да намали риска вашата фирма да бъде неподготвена при голям инцидент. Ето как да започнете:

  • Идентифициране и приоритизиране на активи

    Първата стъпка в един план за отговор на инциденти е да знаете какво защитавате. Документирайте критично важните данни на вашата организация, включително къде се намират и нивото им на важност за бизнеса.

  • Определяне на потенциални рискове

    Във всяка организация има различни рискове. Запознайте се с най-големите уязвимости на вашата организация и оценете начините, по които атакуващият може да ги използва. 

  • Разработване на процедури за отговор

    При възникване на стресиращ инцидент ясните процедури ще имат голямо значение да се уверите, че инцидентът се разглежда бързо и ефективно. Започнете, като дефинирате как се определя един инцидент и след това определите стъпките, които вашият екип трябва да предприеме, за да открие, изолира и извърши възстановяване от инцидента, включително процедурите за документиране на решения и събиране на доказателства.

  • Създаване на план за отговор на инциденти

    Създайте междуфункционален екип, който е отговорен за разбирането на процедурите за отговор и за мобилността, ако е възникнал инцидент. Не забравяйте ясно да дефинирате роли и да отчитате нетехнически роли, които могат да ви помогнат да взимате решения, свързани с комуникации и отговорност. Включете някого в ръководния екип, който ще бъде защитник на екипа и неговите нужди на най-високите нива на фирмата. 

  • Дефиниране на вашия план за комуникации

    Планът за комуникации ще премахне колебанията кога и как да каже на другите извън и вътре в организацията какво се случва. Помислете чрез различни сценарии, които да ви помогнат да определите при какви обстоятелства трябва да информирате ръководителите, цялата организация, клиентите и медиите или други външни заинтересовани лица.

  • Обучение на служителите

    „Лошите“ набелязват служители на всички нива на организацията, поради което е толкова важно всички да разберат вашия план за отговор и да знаят какво да се прави, ако подозират, че са жертва на атака. Периодично тествайте служителите си, за да потвърдите, че могат да разпознават фишинг имейли, и ги улеснете да уведомяват екипа за отговор на инциденти, ако случайно изберат лоша връзка или отворят заразен прикачен файл. 

Решения за отговор на инциденти

Подготвеността за голям инцидент е важна част от поддържането на защитата на вашата организация от заплахи. Образуването вътрешен екип за отговор на инциденти ще ви даде увереността, че ще бъдете готови, ако сте жертва на „лошите“.

Възползвайте се от SIEM и SOAR решения, като Microsoft Sentinel, които използват автоматизация, за да ви помогнат да идентифицирате и автоматично да отговаряте на инциденти. Организациите с по-малко ресурси могат да увеличат екипите си с доставчик на услуги, който може да обработва множество фази на отговора на инциденти. Но независимо дали екипът за отговор на инциденти е вътрешен, или външен, погрижете се да имате план.

Научете повече за Microsoft Security

Microsoft Threat Protection

Идентифицирайте и реагирайте на инциденти във вашата организация с най-новото в защитата срещу заплахи.

Научете повече

Microsoft Sentinel

Разкривайте сложни заплахи и реагирайте решително с лесно и мощно решение SIEM, поддържано от облака и ИИ.

Научете повече

Microsoft Defender XDR

Спирайте атаките в крайни точки, имейл, самоличности, приложения и данни.

Научете повече

Често задавани въпроси

  • Отговорът на инциденти представлява всички дейности, които организацията извършва, когато подозира пробив в защитата. Целта е да се изолират и отстранят възможно най-бързо нападателите, да се спазват разпоредбите за поверителност на данните и да се извършва безопасно възстановяване с възможно най-малко щети на организацията.

  • Междуфункционалните екипи носят отговорност за отговора на инциденти. ИТ обикновено отговаря за идентифицирането, изолирането и възстановяването от заплахи, но отговорът на инциденти съдържа повече от намирането и отстраняването на „лошите“. В зависимост от типа на атаката може да се наложи някой да вземе бизнес решение, като например как да се разглежда едно искане на откуп. Юридическите съветници и специалистите по връзки с обществеността помагат да се гарантира, че организацията е спазва законите за поверителност на данните, включително подходящо известяване на клиентите и държавите. Ако заплахата е извършена от служител, специалистите по човешки ресурси съветват за подходящи действия.

  • Екипът за реагиране при инциденти в защитата на компютъра (CSIRT) е другото име на екипа за отговор на инциденти. То включва междуфункционален екип от хора, които са отговорни за управлението на всички аспекти на отговора на инциденти, включително откриване, изолиране и отстраняване на заплахата, възстановяване, вътрешни и външни комуникации, документиране и съдебен анализ.

  • Повечето организации използват SIEM или SOAR решение, което да им помогне да идентифицират заплахите и реагират на тях. Тези решения обикновено обединяват данни от множество системи и използват машинно обучение, за да ви помогнат да идентифицирате истинските заплахи. Те могат също да автоматизират отговора за определени видове заплахи въз основа на предварително написани сценарии.

  • Жизненият цикъл за отговор на инциденти включва шест етапа:

    1. Подготовката се извършва преди идентифицирането на инцидент и включва дефиниране на това, което организацията счита за инцидент, и всички правила и процедури, необходими за предотвратяване, откриване, отстраняване и възстановяване от атака.
    2. Идентифицирането на заплахите е процес, в който използват както хора анализатори, така и автоматизация, за да се определи кои събития са реални заплахи, които трябва да бъдат разглеждани.
    3. Ограничаване на заплахите представлява действията, които екипът предприема, за да изолира заплахата и да предотврати заразяването на други области на фирмата. 
    4. Елиминирането на заплахи включва стъпки за отстраняване на злонамерен софтуер и атаки от дадена организация.
    5. Възстановяването и поправянето включват рестартиране на системи и машини и възстановяване на всички загубени данни. 
    6. Обратната връзка и прецизирането са процес, който екипът предприема, за да разкрие уроците от инцидента и да приложи наученото към правилата и процедурите. 

Следвайте Microsoft