Co je reakce na incidenty?
Prozkoumejte, jak efektivní reakce na incidenty pomáhá organizacím zjišťovat, řešit a zastavovat kybernetické útoky.
Definice reakce na incidenty
Než budeme definovat reakce na incidenty, je důležité si ujasnit, co to incident je. V IT existují tři termíny, které se někdy zaměňují, znamenají však různé věci:
- Událost je neškodná akce, ke které dochází často, například vytvoření souboru, odstranění složky nebo otevření e-mailu. Událost sama o sobě obvykle není známkou porušení zabezpečení, ale ve spojení s dalšími událostmi může signalizovat hrozbu.
- Upozornění je oznámení vyvolané nějakou událostí, která může, ale nemusí být hrozbou.
- Incident je skupina korelovaných upozornění, která lidé nebo automatizační nástroje považují za skutečnou hrozbu. Jednotlivá samostatná upozornění se nemusí sama o sobě jevit jako významná hrozba, ale jejich kombinace naznačuje možné porušení zabezpečení.
Reakce na incidenty jsou akce, které organizace provádí, když se domnívá, že došlo k porušení zabezpečení IT systémů nebo dat. Odborníci na zabezpečení budou například jednat, pokud uvidí důkazy o nějakém neoprávněném uživateli, malwaru nebo selhání bezpečnostních opatření.
Cílem reakce je co nejrychleji eliminovat kybernetický útok, provést obnovení systémů, informovat všechny zákazníky nebo úřady tak, jak to vyžadují místní zákony, a zjistit, jak snížit riziko podobného porušení zabezpečení v budoucnu.
Jak reakce na incident funguje?
Reakce na incident obvykle začíná, když tým zabezpečení obdrží upozornění ze systému pro správu akcí a informací o zabezpečení (SIEM).
Členové týmu musí ověřit, že daná událost splňuje podmínky incidentu, a pak izolovat nakažené systémy a hrozbu odstranit. Pokud je incident závažný nebo jeho řešení trvá dlouho, může být nutné, aby organizace obnovily záložní data, řešily výkupné nebo oznámily zákazníkům, že jejich data byla ohrožena.
Z tohoto důvodu se na reakci obvykle podílejí i jiní lidé než jen tým kybernetické bezpečnosti. Odborníci na ochranu osobních údajů, právníci a osoby ve firmě s rozhodovací pravomocí pomáhají určit, jak se organizace k incidentu a jeho následkům postaví.
Typy incidentů zabezpečení
Existuje několik způsobů, jak se útočníci pokouší získat přístup k datům společnosti nebo jinak ohrozit její systémy a provoz. Tady je několik nejběžnějších:
-
Útoky phishing
Phishing je typ sociálního inženýrství, kdy se útočník pomocí e-mailu, textové zprávy nebo telefonátu vydává za důvěryhodnou značku nebo osobu. Typický útok phishing se snaží příjemce přesvědčit, aby si stáhli malware nebo poskytli své heslo. Tyto útoky zneužívají důvěru lidí a používají psychologické techniky, jako je strach, aby je přiměly jednat. Mnoho z těchto útoků není cílených a jsou adresovány tisícům lidí v naději, že zareaguje jen jeden. Sofistikovanější verze označovaná jako cílený phishing však využívá hloubkový průzkum k vytvoření zprávy, která má být přesvědčivá pro jednu konkrétní osobu. -
Malware
Malware označuje jakýkoli software, který je určen k poškození počítačového systému nebo k exfiltraci dat. Vyskytuje se v mnoha různých formách včetně virů, ransomwaru, spywaru a trojských koní. Aktéři se zlými úmysly instalují malware tak, že využívají hardwarové a softwarové zranitelnosti nebo že k tomu přesvědčí nějakého zaměstnance pomocí techniky sociálního inženýrství.
-
Ransomware
V případě útoku ransomwaru aktéři se zlými úmysly pomocí malwaru zašifrují důležitá data a systémy a pak vyhrožují tím, že pokud oběť nezaplatí výkupné, tato data zveřejní nebo zničí.
-
Útok typu odepření služeb (DoS)
Při útoku typu odepření služeb (DoS) aktér hrozby zahlcuje síť nebo systém provozem, dokud nedojde k jeho zpomalení nebo výpadku. Útočníci obvykle cílí na významné společnosti, jako jsou banky nebo úřady, s cílem připravit je o čas a peníze, ale obětí tohoto typu útoku se můžou stát organizace všech velikostí.
-
Útok typu man-in-the-middle (MITM)
Při další metodě, kterou kyberzločinci používají ke krádežím osobních údajů, tito aktéři vstoupí doprostřed online konverzace mezi lidmi, kteří se domnívají, že komunikují soukromě. Zachycením zpráv a jejich zkopírováním nebo změnou před odesláním zamýšlenému příjemci se snaží zmanipulovat jednoho z účastníků tak, aby jim poskytl cenná data.
-
Insiderská hrozba
Ačkoli většinu útoků provádějí lidé mimo organizaci, musí týmy zabezpečení dávat pozor i na insiderské hrozby. Zaměstnanci a další lidé, kteří mají legitimní přístup ke zdrojům s omezeným přístupem, můžou nechtěně nebo v některých případech záměrně způsobit únik citlivých dat.
-
Neoprávněný přístup
Mnoho porušení zabezpečení začíná odcizenými přihlašovacími údaji k účtu. Ať už aktéři se zlými úmysly získají hesla prostřednictvím phishingové kampaně nebo uhodnutím běžného hesla, jakmile získají přístup do systému, můžou nainstalovat malware, provést průzkum sítě nebo zvýšit svá oprávnění a získat tak přístup k citlivějším systémům a datům.
Co je plán reakce na incidenty?
Reakce na incident vyžaduje, aby tým efektivně spolupracoval na eliminování dané hrozby a splnění zákonných požadavků. V těchto vysoce stresujících situacích je snadné se nechat vyvést z míry a dělat chyby. Proto si mnoho společností vytváří plán reakce na incidenty. Tento plán definuje role a odpovědnosti a zahrnuje kroky potřebné ke správnému vyřešení a zdokumentování incidentu a jak o tomto incidentu informovat.
Důležitost plánu reakce na incidenty
Významný útok nepoškodí pouze provoz organizace, ale ovlivní také její pověst u zákazníků a v komunitě a může mít i právní důsledky. Vše, včetně rychlosti reakce týmu zabezpečení na útok a způsobu komunikace managementu o incidentu, ovlivňuje související celkové náklady.
Společnosti, které skrývají škody před zákazníky a úřady nebo které neberou určitou hrozbu dostatečně vážně, se můžou dostat do rozporu s předpisy. Tyto typy chyb jsou častější, když účastníci nemají plán. V zápalu boje hrozí, že lidé budou dělat unáhlená rozhodnutí ovlivněná strachem, která nakonec organizaci poškodí.
Dobře promyšlený plán lidi informuje, co by měli dělat v každé fázi útoku, takže to nemusí vymýšlet za pochodu. A pokud se po zotavení objeví nějaké dotazy ze strany veřejnosti, organizace bude moct přesně ukázat, jak reagovala, a zákazníky ubezpečit, že incident vzala vážně a implementovala nezbytná opatření, aby zabránila horšímu dopadu.
Postup reakce na incidenty
Existuje více způsobů, jak reagovat na incidenty. Mnoho organizací spoléhá na to, že jim s jejich přístupem pomůže organizace pro standardy zabezpečení. SANS (SysAdmin Audit Network Security) je soukromá organizace, která nabízí postup reakce založený na šesti krocích, který je uveden níže. Mnoho organizací také využívá postupy obnovení provozu po incidentu organizace NIST (National Institute of Standards and Technology).
- Příprava – než dojde k nějakému incidentu, je důležité omezit potenciální místa ohrožení zabezpečení a definovat zásady a postupy zabezpečení. V přípravné fázi provádí organizace vyhodnocení rizik, aby zjistily, kde mají slabá místa, a mohly určit prioritní prostředky. Tato fáze zahrnuje sepsání a zdokonalení postupů zabezpečení, definování rolí a odpovědností a aktualizaci systémů s cílem snížit riziko. Většina organizací se k této fázi pravidelně vrací a vylepšuje zásady, postupy a systémy s tím, jak tyto organizace získávají zkušenosti nebo jak se mění technologie.
- Identifikace hrozeb – tým zabezpečení může kterýkoli den obdržet tisíce upozornění, která ukazují na podezřelé aktivity. Některá z nich jsou falešně pozitivní nebo se nemusí dostat na úroveň incidentu. Po zjištění incidentu tým prozkoumá povahu porušení zabezpečení a zjištěné informace zdokumentuje včetně zdroje porušení zabezpečení, typu útoku a cílů útočníka. V této fázi musí tým také informovat zúčastněné strany a komunikovat další kroky.
- Omezení postupu hrozby – další prioritou je co nejrychlejší omezení hrozby. Čím déle mají aktéři se zlými úmysly přístup, tím větší škody můžou způsobit. Tým zabezpečení pracuje na rychlé izolaci napadených aplikací nebo systémů od zbytku sítí. To pomáhá zabránit útočníkům v přístupu do dalších částí firmy.
- Eliminace hrozby – jakmile je zadržení hrozby dokončeno, tým odstraní útočníka a veškerý malware z postižených systémů a prostředků. To může zahrnovat odstavení systémů do režimu offline. Tým také nadále informuje zúčastněné strany o pokroku.
- Obnovení – obnovení po incidentu může trvat několik hodin. Po odstranění hrozby provede tým obnovení systémů, obnoví data ze zálohy a monitoruje postižené oblasti, aby se ujistil, že se útočník nevrátil.
- Zpětná vazba a zdokonalení – po vyřešení incidentu tým přezkoumá, co se stalo, a identifikuje vylepšení, která je možné v procesu provést. Poznatky z této fáze pomáhají týmu posílit obranu organizace.
Co je tým reakce na incidenty?
Tým reakce na incidenty, který je také označován jako tým CSIRT (Computer Security Incident Response Team), tým CIRT (Cyber Incident Response Team) nebo tým CERT (Computer Emergency Response Team), zahrnuje multifunkční skupinu lidí v organizaci, kteří jsou zodpovědní za provádění plánu reakce na incidenty. To zahrnuje nejen osoby, které hrozbu odstraňují, ale také ty, kteří v souvislosti s incidentem přijímají obchodní nebo právní rozhodnutí. Typický tým zahrnuje následující členy:
Manažer pro reakce na incidenty, často ředitel IT, dohlíží na všechny fáze reakce a informuje interní zúčastněné strany.
Analytici zabezpečení incident zkoumají a snaží se porozumět tomu, co se děje. Svá zjištění také dokumentují a shromažďují forenzní důkazy.
Pracovníci výzkumu hrozeb hledají informace mimo organizaci, aby získali další kontext.
Někdo z managementu, například ředitel zabezpečení informací nebo ředitel informačních technologií, poskytuje pokyny a slouží jako spojení s ostatními členy managementu.
Specializovaní personalisté pomáhají řešit insiderské hrozby.
Hlavní právní poradce pomáhá týmu řešit otázky odpovědnosti a zajišťuje shromažďování forenzních důkazů.
- Specialisté na vztahy s veřejností koordinují přesnou externí komunikaci s médii, zákazníky a dalšími zúčastněnými stranami.
Tým reakce na incidenty může být podmnožinou centra SOC (Security Operations Center), které zajišťuje operace zabezpečení nad rámec reakce na incidenty.
Automatizace reakcí na incidenty
Ve většině organizací generují sítě a řešení zabezpečení mnohem více upozornění zabezpečení, než kolik jich může tým reakce na incidenty reálně zvládat. Mnoho firem implementuje automatizaci reakcí na incidenty a pomáhá tak zaměřit se na legitimní hrozby. Automatizace využívá umělou inteligenci a strojové učení k posuzování upozornění, identifikaci incidentů a odstraňování hrozeb spouštěním playbooku pro reakce založeného na programových skriptech.
Nástroje SOAR (Security Orchestration Automation And Response) představují kategorii nástrojů zabezpečení, které firmy používají k automatizaci reakcí na incidenty. Tato řešení nabízejí následující možnosti:
Korelování dat z více koncových bodů a řešení zabezpečení za účelem identifikování incidentů, se kterými mají pak dál pracovat lidé.
Spuštění předem napsaného playbooku, který izoluje a řeší známé typy incidentů.
Vygenerování časové osy vyšetřování, která zahrnuje akce, rozhodnutí a forenzní důkazy, které lze použít k analýze.
Sesbírání relevantních externích informací pro lidskou analýzu.
Jak implementovat plán reakce na incidenty
Vypracování plánu reakce na incidenty se může zdát náročné, ale může výrazně snížit riziko, že vaše firma nebude připravena, když dojde k nějakému závažnému incidentu. Tady je návod, jak začít:
-
Identifikace a stanovení priorit prostředků
Prvním krokem plánu reakce na incidenty je seznámení se s tím, co chráníte. Zdokumentujte důležitá data vaší organizace včetně toho, kde se nachází a jak jsou důležitá pro chod firmy.
-
Určení potenciálních rizik
Každá organizace má různá rizika. Seznamte se s největšími ohroženími zabezpečení vaší organizace a vyhodnoťte, jak by je útočník mohl zneužít.
-
Vytvoření postupů reakce
Během stresujícího incidentu vám jasné postupy pomůžou zajistit, že incident bude vyřešen rychle a efektivně. Začněte definicí toho, co je považováno za incident, a pak určete kroky, které by měl váš tým podnikat ke zjištění, izolaci a zotavení z incidentu, a to včetně postupů pro dokumentování rozhodnutí a shromažďování důkazů.
-
Vytvoření týmu reakce na incidenty
Sestavte multifunkční tým, který bude zodpovědný za pochopení postupů reakce a mobilizaci v případě incidentu. Nezapomeňte jasně definovat role a zohlednit netechnické role, které můžou pomoct při rozhodování o komunikaci a odpovědnosti. Zapojte někoho z výkonného managementu, kdo bude obhajovat tým a jeho potřeby na nejvyšších úrovních společnosti.
-
Definování plánu komunikace
Plán komunikace vás zbaví dohadů o tom, kdy a jak sdělit ostatním v organizaci i mimo ni, co se děje. Promyslete si různé scénáře, které vám pomůžou určit, za jakých okolností musíte informovat management, celou organizaci, zákazníky a média nebo jiné externí zúčastněné strany.
-
Školení zaměstnanců
Aktéři se zlými úmysly cílí na zaměstnance na všech úrovních organizace. Proto je tak důležité, aby každý rozuměl vašemu plán reakce a věděl, co má dělat, pokud má podezření, že se stal obětí útoku. Pravidelně testujte své zaměstnance, abyste se přesvědčili, že dokážou rozpoznat phishingové e-maily, a umožněte jim snadno informovat tým reakce na incidenty, pokud omylem kliknou na škodlivý odkaz nebo otevřou infikovanou přílohu.
Řešení reakce na incidenty
Připravenost na závažný incident je důležitou součástí ochrany vaší organizace před hrozbami. Vytvoření interního týmu reakce na incidenty vám dá jistotu, že budete připraveni, pokud se stanete obětí aktéra se zlými úmysly.
Využijte řešení SIEM a SOAR, jako je Microsoft Sentinel, která pomocí automatizace pomáhají identifikovat incidenty a automaticky na ně reagovat. Organizace s menšími zdroji můžou své týmy rozšířit o poskytovatele služeb, který se může postarat o více fází reakce na incident. Ať už zajišťujete reakci na incident interně nebo externě, nezapomeňte si vytvořit plán.
Další informace o zabezpečení od Microsoftu
Microsoft Threat Protection
Identifikujte incidenty ve vaší organizaci a reagujte na ně pomocí nejnovější ochrany před hrozbami.
Microsoft Sentinel
Odhalujte sofistikované hrozby a rychle na ně reagujte pomocí výkonného řešení SIEM, které využívá cloud a umělou inteligenci.
Microsoft Defender XDR
Zastavujte útoky napříč koncovými body, e-maily, identitami, aplikacemi a daty.
Časté otázky
-
Reakce na incidenty jsou všechny aktivity, které organizace provádí při podezření na porušení zabezpečení. Cílem je co nejrychleji izolovat a odstranit útočníky, dodržet předpisy o ochraně osobních údajů a bezpečně obnovit systémy tak, aby organizace utrpěla co nejmenší škody.
-
Za reakci na incidenty je zodpovědný multifunkční tým. IT oddělení obvykle zodpovídá za identifikaci a izolaci hrozeb a následné obnovení systémů, nicméně reakce na incidenty není jen hledání a odstraňování aktérů se zlými úmysly. V závislosti na typu útoku může být nutné, aby někdo přijal obchodní rozhodnutí, například jak řešit výkupné. Právní poradci a odborníci na vztahy s veřejností pomáhají zajistit, aby organizace dodržovala zákony o ochraně osobních údajů včetně odpovídajícího informování zákazníků a úřadů. Pokud je pachatelem hrozby zaměstnanec, poradí personální oddělení, jak postupovat.
-
CSIRT je jiný název pro tým reakce na incidenty. Zahrnuje multifunkční tým lidí, kteří jsou zodpovědní za řízení všech aspektů reakce na incidenty včetně detekce, izolace a eliminace hrozby, obnovení systémů, interní a externí komunikace, dokumentace a forenzní analýzy.
-
Většina organizací používá řešení SIEM nebo SOAR, které jim pomáhají identifikovat hrozby a reagovat na ně. Tato řešení obvykle agregují data z více systémů a používají strojové učení k identifikaci skutečných hrozeb. Dokáží také automatizovat reakce na určité druhy hrozeb na základě předem napsaných playbooků.
-
Životní cyklus reakce na incidenty zahrnuje šest fází:
- Příprava probíhá před identifikováním incidentu a zahrnuje definování toho, co organizace považuje za incident, a všechny zásady a postupy nezbytné k prevenci, detekci a eliminaci hrozeb a k obnovení systémů po útoku.
- Identifikace hrozeb je proces, který využívá lidské analytiky i automatizaci k identifikaci skutečných hrozeb, které je potřeba řešit.
- Omezení postupu hrozby jsou akce, které tým provádí, aby hrozbu izoloval a zabránil jí v infikování dalších částí firmy.
- Eliminace hrozeb zahrnuje kroky k odstranění malwaru a útočníků z organizace.
- Obnovení zahrnuje restartování systémů a počítačů a obnovení všech ztracených dat.
- Zpětná vazba a zdokonalování je proces, který tým provádí, aby se z incidentu poučil a použil tyto poznatky v zásadách a postupech.
Sledujte zabezpečení od Microsoftu