Trace Id is missing
Ugrás a tartalomtörzsre
Microsoft Biztonság

Mi az az incidenselhárítás?

Megtudhatja, hogyan segíti a hatékony incidenskezelés a szervezeteket a kibertámadások észlelésében, elhárításában és leállításában.

További információ a Microsoft Sentinelről

Az incidenselhárítás meghatározása

Az incidenselhárítás meghatározása előtt fontos tisztázni, hogy mi is az az incidens. Az informatikában három olyan kifejezés is létezik, amelyek néha egymással felcserélhetően használatosak, de különböző dolgokat jelentenek:

  1. Az események olyan ártalmatlan műveletek, amelyek gyakran megtörténnek. Eseménynek számít például egy fájl létrehozása, egy mappa törlése vagy egy e-mail megnyitása. Egy esemény önmagában általában nem jelent biztonsági incidenst, de más eseményekkel párosítva valamilyen fenyegetést jelezhet. 
  2. A riasztások olyan események által kiváltott értesítések, amelyek vagy fenyegetések, vagy nem.
  3. Az incidensek olyan, egymással összefüggő riasztások csoportja, amelyekről emberek vagy automatizálási eszközök megállapították, hogy valószínűleg valódi fenyegetések. Önmagukban egyik riasztás sem tűnhet jelentős fenyegetésnek, de együttes jelenlétük lehetséges biztonsági incidensre utalnak.

Az incidenselhárítás azokat a műveleteket jelenti, amelyeket a szervezet akkor hajt végre, amikor úgy véli, hogy az informatikai rendszereket vagy adatokat feltörték. A biztonsági szakemberek például akkor intézkednek, ha jogosulatlan felhasználóra, kártevőre vagy biztonsági intézkedés sikertelenségére utaló bizonyítékokat látnak.

Az incidenselhárítás célja, hogy a lehető leggyorsabban megfékezze a kibertámadást, elvégezze a szükséges helyreállítást, értesítse az ügyfeleket vagy a kormányzati szerveket a regionális jogszabályoknak megfelelően, és megtanulja, hogyan csökkentheti a hasonló incidensek jövőbeli előfordulásának kockázatát.

Az incidenselhárítás működése

Az incidenselhárítás általában akkor kezdődik, amikor a biztonsági csapat riasztást kap egy biztonsági információkat és eseményeket kezelő (SIEM) rendszertől.

A csapattagoknak ellenőriznie kell, hogy az esemény incidensnek minősül-e, majd el kell különíteniük a fertőzött rendszereket, és el kell távolítaniuk a fenyegetést. Ha az incidens súlyos, vagy hosszú időt vesz igénybe a megoldása, előfordulhat, hogy a szervezeteknek vissza kell állítaniuk az adatok biztonsági másolatát, váltságdíjat kell fizetniük, vagy értesíteniük kell az ügyfeleket az adataik feltöréséről.

Ezért általában a kiberbiztonsági csapaton kívüli személyek is részt vesznek az elhárításban. Adatvédelmi szakértők, jogászok és üzleti döntéshozók segíthetnek meghatározni, hogy a szervezet milyen megközelítést alkalmazzon az incidensekre és az incidensek utóhatásaira vonatkozóan.

A biztonsági incidensek típusai

A támadók többféleképpen próbálnak hozzáférni a vállalati adatokhoz vagy más módon feltörni a cégek rendszereit, illetve megzavarni az üzletmenetet. Íme néhány a leggyakoribbak közül:

  • Adathalászat

    Az adathalászat olyan, pszichológiai manipuláción alapuló tevékenység, amelyben a támadó e-maileket, SMS-eket vagy telefonhívásokat használva megszemélyesít egy megbízható márkát vagy személyt. Az adathalász támadások jellemzően megkísérlik rávenni a címzetteket arra, hogy kártevőket töltsenek le, vagy adják meg a jelszavukat. Ezek a támadások az emberek bizalmát használják ki, és különféle pszichológiai módszerekkel, például félelemkeltéssel veszik rá az embereket a cselekvésre. E támadások közül soknak nincs konkrét célpontja: a támadók több ezer emberhez is eljuttatják őket abban a reményben, hogy valaki majd csak válaszol. A célzott adathalászatnak is nevezett kifinomultabb verziók azonban mélyreható kutatásokat végezve olyan üzenetet készítenek, amely egy konkrét személy befolyásolására alkalmas.

  • Kártevők

    A kártevők azokat a szoftvereket jelentik, amelyeket arra terveztek, hogy kárt okozzanak a számítógépes rendszerekben, vagy adatokat szivárogtassanak ki. Számos különböző formában jelentkezhetnek, például vírusok, zsarolóvírusok, kémprogramok és trójaiak képében. A rosszindulatú szereplők kártevőket telepíthetnek a hardveres és szoftveres biztonsági réseket kihasználva, illetve pszichológiai manipulációval rávehetnek egy alkalmazottat arra, hogy így tegyen.

  • Zsarolóvírusok

    A zsarolóvírusos támadások során a rosszindulatú szereplők kártevőkkel titkosítják a kritikus fontosságú adatokat és rendszereket, majd azzal fenyegetnek, hogy nyilvánosságra hozzák vagy megsemmisítik az adatokat, ha az áldozat nem fizet váltságdíjat.

  • Szolgáltatásmegtagadás

    A szolgáltatásmegtagadásos támadások (DDoS-támadások) során egy fenyegetést jelentő szereplő addig terheli túl adatforgalommal a hálózatot vagy a rendszert, amíg az le nem lassul vagy össze nem omlik. A támadók általában a bankokhoz és a kormányzati szervekhez hasonló nagyszabású szervezetek esetében szeretnék elérni, hogy időt és pénzt kelljen áldozniuk, de tulajdonképpen bármilyen méretű szervezet áldozatul eshet a támadások e típusának.

  • Közbeékelődéses támadás

    Egy másik módszer, amellyel a kiberbűnözők személyes adatokat tudnak eltulajdonítani, az az, hogy beékelik magukat egy olyan online beszélgetésbe, amelynek a résztvevői azt hiszik, hogy privát módon kommunikálnak. Azzal, hogy elfogják, majd lemásolják vagy módosítják az üzeneteket, mielőtt elküldenék őket az eredeti címzettnek, megkísérlik manipulálással rávenni az egyik résztvevőt, hogy értékes adatokat adjon ki nekik.

  • Belső veszélyforrás

    Bár a legtöbb támadást szervezeten kívüli személyek hajtják végre, a biztonsági csapatoknak a belső veszélyforrásokra is ügyelniük kell. Az alkalmazottak és a korlátozott erőforrásokhoz szabályosan hozzáférő más személyek véletlenül vagy bizonyos esetekben szándékosan kiszivárogtathatnak bizalmas adatokat.

Mi az az incidenselhárítási terv?

Az incidensek elhárításához a csapattagoknak hatékonyan és hatásosan együtt kell működniük a fenyegetés kiküszöbölése és a jogszabályi követelményeknek való megfelelés érdekében. Ezekben a sok stresszel járó helyzetekben könnyű idegessé válni és hibázni, ezért is készít sok vállalat incidenselhárítási tervet. A terv meghatározza a szerepköröket és a felelősségi köröket, és tartalmazza az incidensek megfelelő megoldásához, dokumentálásához és kommunikálásához szükséges lépéseket.

Az incidenselhárítási terv fontossága

A jelentős támadások nemcsak a szervezet működését befolyásolják kedvezőtlenül, de az ügyfelek és a közösség üzleti hírnevére is hatással vannak, és jogi következményekkel is járhatnak. Minden hatással van a felmerülő költségekre, például az, hogy a biztonsági csapat milyen gyorsan reagál a támadásra, ahogyan az is, hogy a vezetők hogyan kommunikálnak az incidenssel kapcsolatban.

Azoknak a vállalatoknak, amelyek elrejtik a károkat az ügyfelek és a kormányzati szervek elől, vagy nem veszik elég komolyan a fenyegetéseket, nehézségeik támadhatnak a szabályozások miatt. Az ilyen típusú hibák gyakoribbak, ha az érintetteknek nincs tervük az incidensek elhárítására. A pillanat hevében fennáll a kockázata annak, hogy az emberek olyan, félelem diktálta, elsietett döntéseket hoznak, amelyek kárt okozhatnak a szervezetnek.

Egy jól átgondolt terv a támadás minden fázisában útmutatást ad az elvégzendő lépésekről, így senkinek nem kell menet közben kitalálnia, hogy mit kell tenni. A helyreállítás után pedig, ha kérdéseket kell megválaszolnia a nyilvánosság felé, a szervezet pontosan be tudja mutatni, hogyan hárította el az incidenst, és biztosíthatja az ügyfeleket afelől, hogy komolyan vette az incidenst, és elvégezte azokat a lépéseket, amelyek szükségesek voltak egy rosszabb kimenetel elkerüléséhez.

Incidenselhárítási lépések

Az incidenselhárításnak több megközelítése is létezik, számos szervezet pedig egy biztonsági szabványokkal foglalkozó szervezet segítségével határozza meg az alkalmazott módszert. Ilyen például a SysAdmin Audit Network Security (SANS) nevű privát szervezet, amelynek hatlépéses elhárítási keretrendszerhatlépéses elhárítási keretrendszerét alább ismertetjük. Számos szervezet a Nemzeti szabványügyi és technológiai hivatal (National Institute of Standards and Technology, NIST) incidens-helyreállítási keretrendszerét is bevezeti.

  • Előkészítés – Mielőtt bármilyen incidens történne, fontos csökkenteni a biztonsági rések számát és meghatározni a biztonsági házirendeket és eljárásokat. Az előkészítési fázisban a szervezetek kockázatfelméréssel megállapítják, hol vannak a gyenge pontjaik, és rangsorolják az eszközöket. Ez a fázis a biztonsági eljárások megfogalmazását és finomítását, a szerepkörök és felelősségi körök meghatározását, valamint a rendszerek kockázatcsökkentés érdekében való frissítését foglalja magában. A legtöbb szervezet rendszeresen újra megismétli ezt a szakaszt, és továbbfejleszti a szabályzatokat, az eljárásokat és a rendszereket, miközben folyamatosan tanul, és alkalmazkodik a technológiai változásokhoz.
  • Veszélyforrások azonosítása – Egy adott napon egy biztonsági csapat több ezer, gyanús tevékenységet jelző riasztást is kaphat. Ezek közül néhány álpozitív, vagy nem feltétlenül kerül az incidensek szintjére. Az incidens azonosítása után a csapat feltárja az incidens természetét, és dokumentálja az eredményeket, így például az incidens forrását, a támadás típusát és a támadó céljait. Ebben a szakaszban a csapatnak tájékoztatnia kell az érintetteket, és közölnie kell a következő lépéseket.
  • Veszélyforrások elkülönítése – A következő prioritás a veszélyforrások lehető leggyorsabb elkülönítése. Minél hosszabb ideig van hozzáférésük a rosszindulatú szereplőknek, annál nagyobb károkat tudnak okozni. A biztonsági csapat igyekszik gyorsan elkülöníteni a többi hálózattól azokat az alkalmazásokat vagy rendszereket, amelyek támadás alatt állnak. Ez segít megakadályozni, hogy a támadók a vállalkozás más adataihoz is hozzáférjenek.
  • Veszélyforrások kiküszöbölése – Az elkülönítés befejezése után a csapat eltávolítja a támadót és az esetleges kártevőket az érintett rendszerekből és erőforrásokból. Ennek során előfordulhat, hogy a rendszereket offline állapotba kell helyezniük. A csapat pedig továbbra is tájékoztatja az érintetteket az előrehaladásról.
  • Helyreállítás és visszaállítás – Az incidens utáni helyreállítás több órát is igénybe vehet. A veszélyforrás eltűnése után a csapat visszaállítja a rendszereket, helyreállítja az adatokat a biztonsági másolatból, és figyeli az érintett területeket, hogy a támadó ne térhessen vissza.
  • Visszajelzés és finomítás – Miután elhárította az incidenst, a csapat áttekinti a történteket, és megállapítja, hogy hol lehet javítani a folyamaton. Ebből a fázisból tanulva a csapat javíthatja a szervezet védelmét.

Mi az az incidenselhárítási csapat?

Az incidenselhárítási csapat, amelyet számítógépes biztonságiincidens-elhárítási csapatnak (CSIRT), kiberincidens-elhárítási csapatnak (CIRT) vagy számítógépes vészhelyzet-elhárítási csapatnak (CERT) is neveznek, a szervezetben az incidenselhárítási terv végrehajtásáért felelős tagok keresztfunkcionális csoportja. A tagok közé nem csak azok tartoznak, akik a veszélyforrások eltávolításával foglalkoznak, hanem azok is, akik üzleti vagy jogi döntéseket hoznak egy incidenssel kapcsolatban. A csapatba általában a következő tagok tartoznak:

  • Egy incidenselhárítási vezető, aki gyakran az informatikai igazgató, felügyeli az elhárítás minden fázisát, és folyamatosan tájékoztatja a belső érintetteket. 

  • A biztonsági elemzők az incidens vizsgálata során megpróbálják megérteni, hogy mi történik. Emellett dokumentálják az eredményeket, és nyomozati bizonyítékokat gyűjtenek.

  • A veszélyforrás-kutatók a szervezeten kívül vizsgálódva további kontextust biztosító információkat gyűjtenek. 

  • A vezetőség egy tagja, például egy IT-biztonsági munkatárs vagy egy informatikai vezető útmutatást nyújt, és kapcsolatot tart a többi vezetővel.

  • Az emberi erőforrások szakértői a belső fenyegetések kezelésében segítenek.

  • Az általános tanácsadó segít a csapatnak eligazodni a felelősséggel kapcsolatos problémák között, és gondoskodik a nyomozati bizonyítékok összegyűjtéséről.

  • A PR-szakemberek koordinálják a médiával, az ügyfelekkel és a többi érdekelttel folytatott pontos külső kommunikációt.

Az incidenselhárítási csapat egy olyan biztonsági üzemeltetési központhoz (SOC) tartozhat, amely az incidenselhárításon túlmutató módon kezeli a biztonsági műveleteket.

Az incidenselhárítás automatizálása

A legtöbb szervezetben a hálózatok és a biztonsági megoldások sokkal több biztonsági riasztást generálnak, mint amennyit az incidenselhárítási felelős csapat reálisan képes kezelni. Annak érdekében, hogy a valóban fenyegetést jelentő veszélyforrásokra tudjon összpontosítani, számos vállalkozás automatizálja az incidenselhárítást. Az Automation szolgáltatás mesterséges intelligenciát és gépi tanulást használva osztályozza a riasztásokat, azonosítja az incidenseket, és egy programozott szkripteken alapuló elhárítási forgatókönyvet végrehajtva gyökerestül eltünteti a fenyegetéseket.

A vállalatok a SOAR (biztonsági vezénylés, automatizálás és helyreállítás) kategóriába eső biztonsági eszközökkel automatizálhatják az incidenselhárítást. Ezekkel a megoldásokkal a következőkre nyílik lehetősége:

  • Több végpont és biztonsági megoldás adatainak megfeleltetésével azonosíthatja azokat az incidenseket, amelyekkel az embereknek is foglalkozniuk kell.

  • Egy előre megírt forgatókönyvet futtatva elkülönítheti és kezelheti az ismert incidenstípusokat.

  • Létrehozhat egy olyan vizsgálati ütemtervet, amely tartalmazza az elemzésekhez felhasználható műveleteket, döntéseket és nyomozati bizonyítékokat.

  • Releváns külső intelligenciával segítheti az emberi elemzést.

Az incidenselhárítási terv megvalósítása

Az incidenselhárítási terv kidolgozása ijesztőnek tűnhet, de jelentősen csökkenthető vele annak a kockázata, hogy a vállalat felkészületlen legyen egy nagyobb incidens esetén. Az első lépések:

  • Eszközök azonosítása és rangsorolása

    Az incidenselhárítási terv első lépése annak ismerete, hogy mit is szeretne megvédeni. Dokumentálhatja a szervezete alapvető fontosságú adatait, például az adatok helyét és az üzlet szempontjából mért fontossági szintjét.

  • A potenciális kockázatok meghatározása

    Minden szervezet más és más kockázatokkal szembesül. Ismerje meg a szervezete legnagyobb kockázatot jelentő biztonsági réseit, és mérje fel, hogy egy támadó hogyan használhatná ki őket. 

  • Elhárítási eljárások kialakítása

    A stresszes incidensek során a világos eljárásoknak hatalmas szerepük van abban, hogy az incidenseket gyorsan és hatékonyan tudják kezelni. Először definiálni kell, hogy mi minősül incidensnek, majd meg kell határozni, hogy a csapatnak milyen lépéseket kell tennie az incidens észleléséhez és elkülönítéséhez, illetve a helyreállításhoz, így például ki kell dolgozni a döntések dokumentálására és a bizonyítékok összegyűjtésére vonatkozó eljárásokat.

  • Incidenselhárítási csapat létrehozása

    Alakítson ki egy olyan keresztfunkcionális csapatot, amely az elhárítási eljárások megértéséért és az incidensek esetén való mozgósításért felelős. Ügyeljen arra, hogy egyértelműen definiálja a szerepköröket, és azokat a nem műszaki szerepköröket is vegye figyelembe, amelyek segíthetnek a kommunikációval és a felelősséggel kapcsolatos döntések meghozatalában. Válasszon ki valakit a vezetői csapatból az incidenselhárítási csapat pártolójaként, aki a legmagasabb szinten fogja támogatni a csapat igényeit. 

  • A kommunikációs terv meghatározása

    A kommunikációs terv gondoskodik arról, hogy ne kelljen rögtönözni, amikor arról kell dönteni, hogy mikor és hogyan legyenek tájékoztatva a szervezeten belüli és kívüli érintettek a történtekről. Különböző forgatókönyvek végiggondolásával megállapíthatja, hogy milyen körülmények között kell tájékoztatnia a vezetőket, a teljes szervezetet, az ügyfeleket, illetve a médiát vagy más külső érdekelt feleket.

  • Alkalmazottak képzése

    A rosszindulatú szereplők a szervezet minden szintjén célozzák az alkalmazottakat, ezért olyan fontos, hogy mindenki tisztában legyen az elhárítási terv tartalmával, és tudja, mi a teendő, ha azt gyanítja, hogy támadás áldozata lett. Az alkalmazottak rendszeres tesztelésével győződjön meg arról, hogy felismerik az adathalász e-maileket, és könnyítse meg a dolgukat arra az esetre, ha értesíteniük kell az incidenselhárítási csapatot, mert véletlenül rossz hivatkozásra kattintottak, vagy egy fertőzött mellékletet nyitottak meg. 

Incidenselhárítási megoldások

A nagyobb jelentőségű incidensekre való felkészülés fontos része a szervezet veszélyforrások elleni védelmének. Egy belső incidenselhárítási csapat kialakításával felkészítheti magát a rosszindulatú támadásokra.

Kihasználhatja azoknak a SIEM- és SOAR-megoldásoknak az előnyeit, amelyek automatizálással segítik azonosítani és automatikusan elhárítani az incidenseket (ilyen például a Microsoft Sentinel). A kevesebb erőforrással rendelkező szervezetek olyan szolgáltatóval egészíthetik ki a csapataikat, amely az incidenselhárítás több fázisát is képes kezelni. De ami a legfontosabb: akár a szervezeten belüli, akár azon kívüli szereplőkkel oldja meg az incidenselhárítás ellátását, mindig legyen incidenselhárítási terve.

További információ a Microsoft Biztonságról

Microsoft veszélyforrások elleni védelem

A veszélyforrások elleni védelem legújabb verziójával azonosíthatja és kezelheti az incidenseket a szervezetében.

További információ

Microsoft Sentinel

A felhőre és a mesterséges intelligenciára épülő, hatékony SIEM-megoldással feltárhatja a kifinomult fenyegetéseket is, és hatékonyan reagálhat rájuk.

További információ

Microsoft Defender XDR

Leállíthatja a különböző végpontokon, e-mailekben, identitásokban, alkalmazásokban és adatokban előforduló támadásokat.

További információ

Gyakori kérdések

  • Az incidenselhárítás azokat a tevékenységet jelenti, amelyeket a szervezet akkor hajt végre, ha biztonsági incidensre gyanakszik. Az elhárítás során a cél a támadók lehető leggyorsabb elkülönítése és gyökeres eltüntetése, az adatvédelmi előírásoknak való megfelelés, valamint a helyreállítás biztonságos végrehajtása úgy, hogy az a lehető legkevesebb kárral járjon a szervezetre nézve.

  • Az incidenselhárításért egy keresztfunkcionális csapat felel. Az IT-részleg feladata általában a fenyegetések azonosítása és elkülönítése, valamint a helyreállítás, az incidenselhárítás azonban többről szól, mint a rosszindulatú szereplők megkeresése és eltávolítása. A támadás típusától függően előfordulhat, hogy valakinek valamilyen üzleti döntést kell hoznia, például egy váltságdíj kifizetésével kapcsolatban. A jogi tanácsadó és a PR-szakemberek segítenek gondoskodni arról, hogy a szervezet megfeleljen az adatvédelmi jogszabályoknak, az ügyfelek és a kormányzatok megfelelő értesítését is beleértve. Ha egy alkalmazott által véghez vitt fenyegetésről van szó, a humánerőforrás-részleg javaslatot tesz a megfelelő lépésekre.

  • A CIRT az incidenselhárítási csapat egy másik neve. Olyan keresztfunkcionális csapatot jelent, amelynek a tagjai az incidenselhárítás minden aspektusáért felelősek, beleértve a fenyegetések észlelését, elkülönítését és megszüntetését, a helyreállítást, a belső és külső kommunikációt, a dokumentációt és a nyomozati elemzést.

  • A legtöbb szervezet egy SIEM- vagy SOAR-megoldást használ a fenyegetések azonosításához és elhárításához. Ezek a megoldások általában több rendszer adatait összesítik, és gépi tanulás segítségével azonosítják a valódi fenyegetéseket. Bizonyos típusú fenyegetések esetén előre megírt forgatókönyvek alapján automatizálni is tudják az elhárítást.

  • Az incidenselhárítási életciklus hat fázisból áll:

    1. Az előkészítés az incidens azonosítása előtt történik, és többek között annak a meghatározását jelenti, hogy a szervezet mit tekint incidensnek, és hogy milyen házirendek és eljárások szükségesek a támadások megelőzéséhez, észleléséhez és megszüntetéséhez, valamint a helyreállításhoz.
    2. A veszélyforrások azonosítása az a folyamat, amely emberi elemzők és automatizálás használatával azonosítja, hogy mely események számítanak valós fenyegetéseknek, azaz olyanoknak, amelyeket kezelni kell.
    3. A veszélyforrások elkülönítése azokat a műveleteket jelenti, amelyeket a csapat abból a célból hajt végre, hogy elkülönítse a fenyegetést, és megakadályozza a vállalkozás többi részének megfertőzését. 
    4. A veszélyforrások kiküszöbölése a kártevők és a támadók szervezetből való eltávolításának lépéseit foglalja magában.
    5. A helyreállítás és a visszaállítás a rendszerek és gépek újraindítását és az esetlegesen elveszett adatok visszaállítását jelenti. 
    6. A visszajelzés és finomítás az a folyamat, amelynek során a csapat feltárja az incidensből levonható tanulságokat, és alkalmazza őket a különböző szabályzatokra és eljárásokra. 

A Microsoft követése