Trace Id is missing
Gå til hovedindholdet
Microsoft Security

Hvad er svar på hændelse?

Opdag, hvordan effektive svar på hændelser hjælper organisationer med at registrere, adressere og stoppe cyberangreb.

Få mere at vide om Microsoft Sentinel

Definition af svar på hændelse

Før vi definerer, hvad svar på hændelse er, er det vigtigt at vide, hvad en hændelse er. Inden for it-verden er der tre begreber, der nogle gange bruges ens, men som betyder forskellige ting:

  1. En hændelse er en uskyldig handling, der sker ofte, f.eks. oprettelse af en fil, sletning af en mappe eller åbning af en mail. Set for sig er en hændelse ikke et tegn på et brud, men når den kombineres med andre hændelser kan det være tegn på en trussel. 
  2. En vigtig besked er en meddelelse, som udløses af en hændelse, som kan være en trussel.
  3. En hændelse er en samling af korrelerede vigtige beskeder, som personer eller automatiserede værktøjer betragter som rigtige trusler. For sig kan det se ud, som om hver vigtig besked ikke er en stor trussel, men samlet set kan de indikere et muligt brud.

Svar på hændelse er de handlinger, som en organisation udfører, når den mener, at it-systemer eller data er blevet kompromitteret. For eksempel træffer sikkerhedsmedarbejdere foranstaltninger, hvis de ser indikationer på en uautoriseret bruger, malware eller et nedbrud i sikkerheden.

Målet for svaret er at eliminere et cyberangreb så hurtigt som muligt samt genoprette systemet, give besked til eventuelle kunder eller myndighedsorganer, i den udstrækning det er krævet ved lov, eller lære, hvordan man undgår lignende brud fremover.

Sådan fungerer svar på hændelse

Svar på hændelse starter typisk, når sikkerhedsteamet for en troværdig vigtig besked fra et Security Information and Event Management-system (SIEM).

Teammedlemmer skal bekræfte, at hændelsen kvalificerer som en hændelse, og derefter isolere inficerede systemer og fjerne truslen. Hvis hændelsen er alvorlig eller tager lang tid at løse, kan det være nødvendigt for organisationer at gendanne sikkerhedskopieret data, forhandle om en løsesum eller give brugere besked om, at deres data er blevet kompromitteret.

Derfor er der typisk også andre personer involveret end kun cybersikkerhedsteamet. Privatlivseksperter, advokater og beslutningstagere for virksomheder finder sammen ud af organisationens tilgang til en hændelse og dens konsekvenser.

Typer sikkerhedshændelser

Der er flere måder, som en person med ondsindede hensigter forsøger at få adgang til en virksomheds data eller på anden vis kompromittere virksomhedens systemer og drift. Her er nogle af de hyppigst forekommende:

  • Phishing

    Phishing er en type social engineering, hvor en person med ondsindede hensigter bruger en mail, sms eller et telefonopkald til at efterligne en pålidelig person eller virksomhed. Et typisk phishingangreb prøver at overbevise modtageren om at downloade malware eller oplyse vedkommendes adgangskode. Disse angreb udnytter folks tillid og bruger psykologiske teknikker som frygt for at få folk til at handle. Mange af disse angreb er ikke rettet mod specifikke personer eller organisationer og bliver sendt ud til tusindvis af personer med håber om, at der er nogen, der svarer. Men der findes en mere sofistikeret udgave, som hedder spydphishing, hvor man bruger detaljeret research til at skabe en meddelelse, som er tilpasset til at overbevise en specifik person.

  • Malware

    Malware henviser til enhver type software, der har som formål at skade et computersystem eller udtrække data. Det kommer i mange forskellige former såsom virusser, ransomware, spyware eller trojanske heste. Personer med ondsindede hensigter installerer malware ved at udnytte sårbarheder ved software og hardware eller ved at overbevise en medarbejder om at gøre det ved at bruge en social engineering-teknik.

  • Ransomware

    I et ransomwareangreb bruger personer med ondsindede hensigter malware til at kryptere kritiske data og systemer og truer til at offentliggøre disse data eller ødelægge dataene, hvis offeret ikke betaler en løsesum.

  • Denial of Service

    I et Denial of Service-angreb (DDoS-angreb) overvælder en person med ondsindede hensigter et netværk eller et system med trafik, indtil det bliver langsomt eller bryder sammen. Typisk målrettes disse angreb mod højprofilerede virksomheder såsom banker eller myndigheder med målet om at koste dem tid og penge, men organisationer af alle størrelser kan blive offer for denne type angreb.

  • Mellemmand

    En anden metode, som cyberkriminelle bruger til at stjæle personlige oplysninger, er at deltage i en onlinesamtale mellem personer, som tror, at de kommunikerer privat. Ved at opfange meddelelserne og kopiere dem eller ændre dem, før de sendes til modtageren, prøver personen med ondsindede hensigter at få en af deltagerne til at give dem værdifulde data.

  • Insidertrussel

    Selvom de fleste angreb foretages af personer uden for en organisation, skal sikkerhedsteams også være opmærksomme på insidertrusler. Medarbejdere og andre personer, som har adgang til begrænsede ressourcer, kan utilsigtet eller tilsigtet komme til at lække følsomme data.

Hvad er en plan til svar på hændelse?

For at svare på en hændelse kræver det, at man har et team, der arbejder effektivt sammen om at eliminere truslen og leve op til lovkravene. I sådanne situationer med høj stress er det nemt at blive frustreret og lave fejl, hvilket er årsagen til, at mange virksomheder opretter en plan til svar på hændelser. En sådan plan definerer roller og ansvarsområder og omfatter de trin, der er nødvendige for at løse, dokumentere og kommunikere om en hændelse.

Vigtigheden af en plan for svar på hændelse

Et stort angreb skader ikke bare en organisations drift; det påvirker også virksomhedens omdømme blandt kunder og i community'et, og det kan også have juridiske konsekvenser. Alt, herunder hvor hurtigt sikkerhedsteamet reagerer på angrebet, og hvordan lederne kommunikerer om hændelsen, påvirker angrebets samlede omkostninger.

Virksomheder, der skjuler skaden for kunder og myndigheder, eller som ikke tager en trussel alvorligt nok, kan bryde lovgivningen på området. Denne type fejl er hyppigere, når de involverede ikke har en plan. Der er risiko for, at personer kommer til at træffe hastige beslutninger, som foretages på baggrund af frygt, og som ender med at skade organisationen.

En gennemtænkt plan gør det muligt for folk at vide, hvad de skal gøre i hver fase af et angreb, så de ikke skal finde på det, når angrebet først rammer. Og når angrebet så er afhjulpet, og der er spørgsmål fra offentligheden, kan organisationen vise, præcis hvordan de reagerede og give kunderne sindsro med viden om, at de tog hændelsen alvorligt og udførte de nødvendige trin for at undgå de værste konsekvenser.

Trin i svar på hændelse

Der er mere end én måde at tilgå svar på hændelse, og mange organisationer benytter sig af sikkerhedsstandardorganisation til at vejlede dem om deres tilgang. SysAdmin Audit Network Security (SANS) er en privat organisation, som tilbyder et framework til svar i seks trin, som er nærmere beskrevet nedenfor. Der er også mange organisationer, der anvender genoprettelsesframeworket efter hændelser fra National Institute of Standards and Technology (NIST).

  • Forberedelse –  før der sker en hændelse, er det vigtigt at reducere sårbarheder og definere sikkerhedspolitikker og -procedurer. I forberedelsesfasen foretager organisationer en risikovurdering for at fastslå, hvor de har eventuelle sårbarheder, og for at prioritere mellem deres aktiver. Denne fase omfatter udarbejdelse af mere detaljerede sikkerhedsprocedurer, definition af roller og ansvarsområder og opdatering af systemer for at reducere risici. Mange organisationer vender ofte tilbage til denne fase og foretager forbedringer af politikker, procedurer og systemer i takt med ny viden eller ny teknologi.
  • Trusselsidentifikation –  hver dag kan et sikkerhedsteam modtage tusindvis af beskeder, der indikerer mistænkelig adfærd. Nogle af dem er ikke reelle eller er ikke alvorlige nok til at blive betegnet som en hændelse. Når en hændelse er blevet identificeret, kigger teamet nærmere på selve bruddet og dokumenterer det, de finder frem til, herunder kilden til bruddet, angrebstypen og personen med ondsindede hensigters mål med angrebet. I denne fase skal teamet også informere interessenter og kommunikere de efterfølgende trin.
  • Trusselsinddæmning –  inddæmning af en trussel så hurtigt som muligt er den næste prioritet. Jo længere personer med ondsindede hensigter har adgang, jo større skade kan de forvolde. Sikkerhedsteamet arbejder hurtigt for at isolere programmer eller systemer, der er under angreb, fra resten af netværkene. Dette hjælper med at forhindre personer med ondsindede hensigter fra at tilgå andre dele af virksomheden.
  • Trusselseliminering –  når inddæmningen er fuldført, fjerner teamet personen med ondsindede hensigter og eventuelt malware fra berørte systemer og ressourcer. Dette kan omfatte at sætte systemer offline. Teamet fortsætter også med at holde interessenter opdateret på statussen.
  • Genoprettelse og retablering –  det kan tage flere timer at genoprette systemer efter en hændelse. Når truslen er væk, gendanner teamet systemer og genopretter data fra sikkerhedskopier og monitorere berørte områder for at sikre sig, at personen med ondsindede hensigter ikke vender tilbage.
  • Feedback og finindstilling –  når hændelsen er løst, gennemgår teamet, hvad der skete, og identificerer forbedringer, der kan foretages i processen. Ved at lære fra denne fase får teamet mulighed for at forbedre organisationens sikkerhedsforanstaltninger.

Hvad er et team til svar på hændelser?

Et team til svar på hændelser, som også kaldes et "computer security incident response team" (CSIRT), et "cyber incident response team" (CIRT) eller et "computer emergency response team" (CERT), består af en gruppe med forskellige ekspertiseområder i organisation, som er ansvarlige for at udføre planen for svar på hændelse. Dette omfatter ikke kun de personer, der fjerner truslen, men også dem, der træffer beslutninger på områder, der ligger i forlængelse af hændelsen, f.eks. angående jura eller virksomheden. Et typisk team består af følgende medlemmer:

  • En leder af svar på hændelse, hvilket ofte er it-chefen, holder øje med alle faser i svar på hændelsen og sørger for, at alle interne interessenter er informeret om status. 

  • Sikkerhedsanalytikere undersøger hændelsen for at forstå at forstå, hvad der sker. De dokumenterer også det, de finder frem til, og indsamler retstekniske beviser.

  • Trusselsanalytikere kigger uden for organisationen for at indsamle viden, der giver yderligere kontekst. 

  • En ledelsesrepræsentant, f.eks. en chief information security officer eller en chief information officer, giver vejledning og holder de andre ledere opdaterede.

  • HR-specialister hjælper med at håndtere insidertrusler.

  • Generel rådgivning hjælper teamet med at navigere i spørgsmål angående ansvar og er med til at sikre, at der indsamles retstekniske beviser.

  • PR-specialister koordinerer gennemtænkt ekstern kommunikation til medierne, kunderne og andre interessenter.

Et team til svar på hændelse kan være en delmængde af et security operations center (SOC), som håndterer den generelle sikkerhed.

Automatisering af svar på hændelse

I de fleste organisationer genererer netværks- og sikkerhedsløsninger langt flere sikkerhedsmeddelelser, end teamet til svar på hændelse har mulighed for at tage sig af. For at hjælpe teamet med at fokusere på egentlige trusler implementerer mange virksomheder automatisering af svar på hændelse. Automatisering bruger kunstig intelligens og maskinel indlæring til at undersøge vigtige beskeder, identificere hændelser og opsnappe trusler ved at følge en strategiplan for svar, der er baseret på programmatiske scripts.

Security orchestration automation and response (SOAR) er en kategori af sikkerhedsværktøjer, som virksomheder bruger for at automatisere svar på hændelser. Disse løsninger tilbyder følgende funktioner:

  • Korrelation af data på tværs af flere slutpunkter og sikkerhedsløsninger for at identificere hændelser, som personer bør følge op på.

  • Kørsel af en foruddefineret strategiplan for at isolere og adressere kendte hændelsestyper.

  • Generation af en tidslinje til undersøgelse, der omfatter handlinger, beslutninger og retstekniske beviser, som kan bruges til analyse.

  • Inddrag relevant ekstern viden til menneskelig analyse.

Sådan implementerer du en plan til svar på hændelse

Udviklingen af en plan til svar på hændelse kan virke uoverskueligt, men det kan reducere risikoen markant for, at din virksomhed ikke er forberedt på en stor hændelse. Sådan kommer du i gang:

  • Identificer og prioriter aktiver

    Det første trin i en plan til svar på hændelse er at vide, hvad du beskytter. Dokumentér din organisations kritiske data, herunder hvor de befinder sig, og hvor vigtige de er for virksomheden.

  • Fastslå potentielle risici

    Hver organisation har forskellige risici. Bliv bekendt med din organisations største sårbarheder, og evaluer de måder, som en person med ondsindede hensigter kan udnytte dem. 

  • Udarbejd procedurer for respons

    Under en presserende hændelse hjælper tydelige procedurer meget i forhold til at sikre sig, at der tages hånd om hændelsen hurtigt og effektivt. Start med at definere, hvad der tæller som en hændelse, og beslut derefter, hvilke trin dit team skal tage for at registrere, isolere og skabe genoprettelse efter hændelsen, herunder procedurer til at dokumentere beslutninger og indsamling af bevismateriale.

  • Opret et team til svar på hændelse

    Opret et team med forskellige kompetencer, der er ansvarlig for at forstå responsprocedurerne og for at styre det, hvis der sker en hændelse. Sørg for at definere rollerne klart, og tag højde for ikke-tekniske roller, der kan hjælpe med beslutninger, der er relateret til kommunikation og ansvar. Inkluder nogen på teamet, som kan tale på teamets vegne og dets behov for virksomhedens ledelse. 

  • Definer din kommunikationsplan

    En kommunikationsplan fjerner usikkerheder om, hvordan og hvornår man bør fortælle andre i og uden for organisation, hvad der sker. Tænk forskellige scenarier igennem for at hjælpe med at afgøre, hvornår du bør informere ledere, hele organisationen, kunder og medierne eller andre eksterne interessenter.

  • Oplær medarbejdere

    Personer med ondsindede hensigter målretter mod medarbejdere på alle niveauer i organisationen, hvorfor det er så vigtigt, at alle forstår din responsplan og ved, hvad de skal gøre, hvis de tror, at de er blevet offer for et angreb. Du bør fra tid til anden teste dine medarbejdere for at sikre, at de kan genkende phishingmails, og gør dem nemt for dem at give besked til teamet til svar på hændelse, hvis medarbejderne ved en fejl har klikket på et dårligt link eller åbnet en inficeret vedhæftet fil. 

Løsninger til svar på hændelse

Det er en vigtig del af at beskytte din organisation mod trusler at være forberedt på store hændelser. Oprettelse af et internt team til svar på hændelse giver dig tillid til, at du er klar, hvis du bliver offer for en person med ondsindede hensigter.

Udnyt fordelene ved SIEM- og SOAR-løsninger som Microsoft Sentinel, der bruger automatisering til at hjælpe med at identificere og automatisk besvare hændelser. Organisationer med færre ressourcer kan styrke deres teams med en tjenesteudbyder, der kan håndtere flere faser af svar på hændelse. Men uanset om du opretter en intern eller ekstern plan for svar på hændelse, skal du sørge for at have en plan.

Få mere at vide om Microsoft Security

Microsoft-trusselsbeskyttelse

Identificer og svar på hændelser på tværs af din organisation med den nyeste trusselsbeskyttelse.

Få mere at vide

Microsoft Sentinel

Afdæk sofistikerede trusler, og reager beslutsomt med en effektiv SIEM-løsning, drevet af skyen og kunstig intelligens.

Få mere at vide

Microsoft Defender XDR

Stop angreb på tværs af slutpunkter, mails, identiteter, programmer og data.

Få mere at vide

Ofte stillede spørgsmål

  • Svar på hændelse er alle aktiviteter, som en organisation træffer, når det mistænker, at der er sket et sikkerhedsbrud. Målet er at isolere og opspore personer med ondsindede hensigter så hurtigt som muligt, overholde lovgivning angående beskyttelse af personlige oplysninger og at genoprette systemerne på en sikker måde, hvor organisationen er blevet skadet så lidt som muligt.

  • Det er et team med flere kompetencer, der er ansvarlig for svar på hændelse. It-afdelingen har typisk ansvar for at identificere, isolere og genoprette systemer efter trusler, men svar på hændelse handler om mere end at finde og udelukke personer med ondsindede hensigter. Afhængigt af typen af angreb kan det være, at der skal træffes en virksomhedsbeslutning, f.eks. hvordan man skal forholde sig til en løsesum. Juridisk rådgivning og PR-medarbejdere kan hjælpe med at sikre, at organisationen overholder lovgivningen angående beskyttelse af personlige data, herunder passende kommunikation til kunder og myndigheder. Hvis truslen stammer fra en medarbejder, kommer HR-afdelingen med anbefalinger til handling.

  • CSIRT er et andet navn for teamet til svar på hændelse. Det dækker over et team med forskellige kompetencer med folk, som er ansvarlige for at administrere alle dele af svar på hændelse, herunder at finde, isolere og eliminere truslen, samt genoprettelse, intern og ekstern kommunikation, dokumentation og retsteknisk analyse.

  • De fleste organisationer bruger en SIEM- eller SOAR-løsning til at hjælpe dem med at identificere og reagere på trusler. Disse løsninger samler typisk data fra flere systemer og bruge maskinel indlæring for at hjælpe med at identificere reelle trusler. De kan også automatisere responser for visse typer trusler ud fra foruddefinerede strategiplaner.

  • Livscyklussen for svar på hændelse har seks faser:

    1. Forberedelse sker, før en hændelse er blevet identificeret, og omfatter en definition af, hvad organisationen betragter som en hændelse og alle politikker og procedurer, der er nødvendige for at forhindre, registrere, eliminere og genoprette efter et angreb.
    2. Trusselsidentifikation er en proces, som bruger både menneskelige analytikere og automatisering for at identificere, hvilke begivenheder der er rigtige trusler, der skal adresseres.
    3. Trusselsinddæmning er den handling, som et team foretager, der isolerer truslen og forhindrer den i af inficere andre dele af virksomheden. 
    4. Trusselseliminering består af trin, hvor man fjerner malware og personer med ondsindede hensigter fra organisationen.
    5. Genoprettelse og retablering omfatter genstartssystemer og -maskiner samt genoprettelse af data, man har mistet. 
    6. Feedback og finindstilling er den proces, et team går i gang med for at lære noget af hændelsen og bruge denne viden til at rette politikker og procedurer. 

Følg Microsoft