Kas yra reagavimas į incidentus?
Sužinokite, kaip efektyvus reagavimas į incidentus padeda organizacijoms aptikti, spręsti ir sustabdyti kibernetines atakas.
Reagavimo į incidentus apibrėžimas
Prieš apibrėžiant reagavimą į incidentus, svarbu žinoti, kas yra incidentas. IT srityje yra trys terminai, kurie kartais naudojami pakaitomis, bet reiškia skirtingus dalykus:
- Įvykis yra nepavojingas veiksmas, kuris dažnai įvyksta, pvz., sukuriamas failas, panaikinamas aplankas arba atidaromas el. laiškas. Pats įvykis paprastai nėra pažeidimo indikatorius, bet susietas su kitais įvykiais gali būti grėsmės signalas.
- Įspėjimas yra įvykio suaktyvinamas pranešimas, kuris gali būti arba nebūti grėsmė.
- Incidentas yra susijusių įspėjimų, kuriuos žmonės arba automatizavimo įrankiai laikė autentiška grėsme, grupė. Atskirai kiekvienas įspėjimas gali neatrodyti didelė grėsmė, bet kartu jie nurodo galimą pažeidimą.
Reagavimas į incidentus yra veiksmai, kurių organizacija imasi, kai mano, kad buvo pažeistos IT sistemos arba duomenys. Pavyzdžiui, saugos specialistai imsis veiksmų, jei pamatys neteisėto vartotojo, kenkėjiškos programinės įrangos arba saugos priemonių trikties įrodymą.
Reagavimo tikslas – kuo greičiau pašalinti kibernetinę ataką, atkurti, pranešti klientams ar valstybinėms institucijoms, kaip reikalaujama pagal regiono įstatymus, ir sužinoti, kaip sumažinti panašaus pažeidimo riziką ateityje.
Kaip veikia reagavimas į incidentus?
Reagavimas į incidentą paprastai pradedamas, kai saugos komanda gauna patikimą įspėjimą iš saugos informacijos ir įvykių valdymo (SIEM) sistemos.
Komandos nariai turi patikrinti, ar įvykis atitinka incidento kriterijus, tada izoliuoti užkrėstas sistemas ir pašalinti grėsmę. Jei incidentas yra rimtas arba trunka ilgai, kad išspręstų problemą, organizacijoms gali tekti atkurti atsargines duomenų kopijas, susitvarkyti su išpirka arba pranešti klientams, kad jų duomenys buvo pažeisti.
Dėl šios priežasties į reagavimą paprastai įtraukiami ne kibernetinės saugos komandos žmonės. Privatumo ekspertai, advokatai ir verslo sprendimų priėmėjai padės nustatyti organizacijos požiūrį į incidentą ir kas bus po jo.
Saugos incidentų tipai
Yra keletas būdų, kaip įsilaužėliai bando pasiekti įmonės duomenis arba kitaip pakenkti jos sistemoms ir verslo operacijoms. Toliau pateikiami keli dažniausiai pasitaikantys būdai.
-
Sukčiavimas apsimetant
Sukčiavimas apsimetant yra socialinės inžinerijos tipas, kai įsilaužėlis naudoja el. laišką, teksto žinutę arba telefono skambutį, kad apsimestų patikimu prekės ženklu ar asmeniu. Įprasta sukčiavimo apsimetant ataka bando įtikinti gavėjus atsisiųsti kenkėjišką programą arba pateikti slaptažodį. Šios atakos naudojasi žmonių pasitikėjimu ir psichologinėmis technikomis, pvz., baime, kad priverstų žmones kažką daryti. Daugelis iš šių atakų yra ne tikslinės ir nukreiptos į tūkstančius žmonių tikintis, kad tik vienas atsakys. Tačiau sudėtingesnė versija, vadinama tiksliniu sukčiavimu apsimetant, naudoja gilius tyrimus, kad sukurtų pranešimą, kuris turėtų būti įtaigus vienam asmeniui. -
Kenkėjiškos programos
Kenkėjiškos programos reiškia bet kokią programinę įrangą, skirtą pakenkti kompiuterio sistemai arba pavogti duomenis. Jos būna įvairių formų, įskaitant virusus, išpirkos reikalaujančias programas, šnipinėjimo programas ir Trojos arklius. Blogiečiai įdiegia kenkėjiškas programas pasinaudodami aparatūros ir programinės įrangos pažeidžiamumais arba įtikindami darbuotoją tai padaryti pasinaudodami socialinės inžinerijos technika.
-
Išpirkos reikalaujančios programos
Išpirkos reikalaujančių programų atakoje blogiečiai naudoja kenkėjiškas programas, kad užšifruotų svarbius duomenis ir sistemas, o tada grasina paviešinti arba sunaikinti duomenis, jei auka nesumokės išpirkos. -
Aptarnavimo perkrova
Aptarnavimo perkrovos atakoje („DDoS“ atakoje) grėsmės sukėlėjas perpildo tinklą arba sistemą srautu, kol jis sulėtėja arba sugenda. Paprastai įsilaužėliai taikosi į aukšto lygio įmones, pvz., bankus ar vyriausybes, siekdami jiems sukelti laiko ir pinigų nuostolių, tačiau šio tipo atakos aukomis gali tapti visų dydžių organizacijos.
-
Įsikišimas
Kitas būdas, kurį kibernetiniai nusikaltėliai naudoja asmens duomenims pavogti, yra įsikišimas į internetinį pokalbį tarp žmonių, kurie tiki bendraujantys privačiai. Perimdami ir kopijuodami arba keisdami pranešimus prieš siųsdami juos numatytam gavėjui, jie bando manipuliuoti vienu iš dalyvių, kad jiems būtų pateikti vertingi duomenys.
-
Vidinė grėsmė
Nors daugumą atakų vykdo organizacijai nepriklausantys žmonės, saugos komandos taip pat turi būti budrios dėl vidinių grėsmių. Darbuotojai ir kiti žmonės, kurie teisėtai turi prieigą prie apribotų išteklių, gali netyčia arba kai kuriais atvejais tyčia nutekinti slaptus duomenis.
-
Neteisėta prieiga
Daug saugos pažeidimų prasideda nuo pavogtų paskyros kredencialų. Nesvarbu, ar blogiečiai gaus slaptažodžius per sukčiavimo apsimetant kampaniją, ar atspės dažnai pasitaikantį slaptažodį, gavę prieigą prie sistemos, jie galės įdiegti kenkėjiškas programas, atlikti tinklo žvalgybą arba perskirti savo teises, kad galėtų pasiekti slaptesnes sistemas ir duomenis.
Kas yra reagavimo į incidentus planas?
Reaguodama į incidentą, komanda turi efektyviai ir našiai dirbti kartu, kad pašalintų grėsmę ir atitiktų reguliavimo reikalavimus. Šiose didelį stresą keliančiose situacijose lengva susijaudinti ir padaryti klaidų, todėl daugelis įmonių sukuria reagavimo į incidentus planą. Plane apibrėžiami vaidmenys ir atsakomybės bei veiksmai, kurių reikia norint tinkamai išspręsti, dokumentuoti ir pranešti apie incidentą.
Reagavimo į incidentus plano svarba
Reikšminga ataka ne tik pažeidžia organizacijos operacijas, bet ir daro įtaką įmonės reputacijai tarp klientų ir bendruomenės ir gali turėti teisinių pasekmių. Viskas, įskaitant tai, kaip greitai saugos komanda reaguoja į ataką ir kaip vadovai praneša apie incidentą, daro įtaką bendrai jos kainai.
Įmonės, kurios slepia žalą nuo klientų ir valdžios institucijų arba kurios rimtai nežiūri į grėsmę, gali pažeisti taisykles. Tokios klaidos dažniausiai pasitaiko, kai dalyviai neturi plano. Šiuo metu kyla pavojus, kad žmonės priims skubotus sprendimus iš baimės ir sukels grėsmę organizacijai.
Gerai apgalvotas planas leidžia žmonėms žinoti, ką jie turėtų daryti kiekviename atakos etape, kad apie tai netektų galvoti spontaniškai. Ir po atsigavimo, jei viešai kiltų klausimų, organizacija galės tiksliai parodyti, kaip ji reagavo, ir užtikrinti klientams, kad ji rimtai žiūrėjo į įvykį ir ėmėsi veiksmų, reikalingų norint išvengti blogesnių rezultatų.
Reagavimo į incidentus veiksmai
Yra daugiau nei vienas būdas reaguoti į incidentus, o daugelis organizacijų remiasi saugos standartų organizacija. „SysAdmin Audit Network Security“ (SANS) yra privati organizacija, kuri siūlo šešių veiksmų reagavimo sistemą, aprašytą toliau. Daugelis organizacijų taip pat naudojasi Nacionalinio standartų ir technologijos instituto (NIST) incidentų atkūrimo sistema.
- Pasirengimas. Prieš įvykstant incidentui, svarbu sumažinti pažeidžiamumus ir apibrėžti saugos strategijas bei procedūras. Pasirengimo etape organizacijos atlieka rizikos vertinimą, kad nustatytų, kur yra jų silpnosios vietos ir kokiam turtui teikti prioritetą. Šis etapas apima saugos procedūrų rašymą ir patikslinimą, vaidmenų ir atsakomybių apibrėžimą bei sistemų naujinimą siekiant sumažinti riziką. Daugelis organizacijų reguliariai peržiūri šį etapą ir tobulina strategijas, procedūras bei sistemas, kai išmoksta pamokas ar keičiasi technologijos.
- Grėsmių identifikavimas. Bet kurią dieną saugos komanda gali gauti tūkstančius įspėjimų, nurodančių įtartiną veiklą. Kai kurie iš jų yra klaidingai teigiami arba gali nepakilti iki incidento lygio. Nustačiusi incidentą, komanda išanalizuoja pažeidimo pobūdį ir aprašo rezultatus, įskaitant pažeidimo šaltinį, atakos tipą ir įsilaužėlių tikslus. Šiame etape komanda taip pat turi informuoti suinteresuotąsias šalis ir pranešti apie tolesnius veiksmus.
- Grėsmės sulaikymas. Kuo greičiau sulaikyti grėsmę yra kitas prioritetas. Kuo ilgiau blogiečiai turi prieigą, tuo didesnę žalą jie gali padaryti. Saugos komanda stengiasi greitai izoliuoti programas arba sistemas, kurios atakuojamos, nuo likusių tinklų. Tai padeda išvengti įsilaužėlių prieigos prie kitų įmonės dalių.
- Grėsmės pašalinimas. Atlikusi sulaikymą, komanda pašalina įsilaužėlį ir visas kenkėjiškas programas iš paveiktų sistemų bei išteklių. Tai gali apimti sistemų atjungimą. Be to, komanda ir toliau informuoja suinteresuotąsias šalis apie eigą.
- Atkūrimas. Atkūrimas po incidento gali užtrukti kelias valandas. Kai grėsmės nebėra, komanda atkuria sistemas, atkuria duomenis iš atsarginės kopijos ir stebi paveiktas sritis, kad užtikrintų, jog įsilaužėlis negrįš.
- Atsiliepimai ir tikslinimas. Kai incidentas išsprendžiamas, komanda peržiūri, kas atsitiko, ir nustato galimus proceso patobulinimus. Mokymasis iš šio etapo padeda komandai tobulinti organizacijos gynybą.
Kas yra reagavimo į incidentus komanda?
Reagavimo į incidentus komanda, kuri dar vadinama kompiuterių saugos reagavimo į incidentus komanda (CSIRT), reagavimo į kibernetinius incidentus komanda (CIRT) arba reagavimo į kompiuterio incidentus komanda (CERT), apima organizacijos žmonių, kurie yra atsakingi už reagavimo į incidentus plano vykdymą, įvairių funkcijų grupę. Tai apima ne tik žmones, kurie pašalina grėsmę, bet ir tuos, kurie priima verslo ar teisinius sprendimus, susijusius su incidentu. Įprastoje komandoje yra šie nariai:
Reagavimo į incidentus vadovas, dažnai IT vadovas, prižiūri visus reagavimo etapus ir informuoja vidines suinteresuotąsias šalis.
Saugos analitikai tiria incidentą, kad suprastų, kas vyksta. Jie taip pat dokumentuoja savo rezultatus ir renka techninius įrodymus.
Grėsmių tyrėjai žiūri už organizacijos ribų, kad surinktų įžvalgų, suteikiančių papildomo konteksto.
Kažkas iš vadovybės, pvz., vyriausiasis informacijos saugos pareigūnas arba vyriausiasis informacijos pareigūnas, teikia nurodymus ir veikia kaip tarpininkas su kitais vadovais.
Personalo specialistai padeda valdyti vidines grėsmes.
Visuotinis advokatų susirinkimas padeda komandai spręsti atsakomybės problemas ir užtikrina, kad būtų renkami tariamų įrodymų dokumentai.
- Viešųjų ryšių specialistai koordinuoja tikslią išorinę komunikaciją su medija, klientais ir kitomis suinteresuotosiomis šalimis.
Reagavimo į incidentus komanda gali būti saugos operacijų centro (SOC), kuris tvarko saugos operacijas, ne tik reagavimą į incidentus, dalis.
Reagavimo į incidentus automatizavimas
Daugelyje organizacijų tinklų ir saugos sprendimai generuoja kur kas daugiau saugos įspėjimų, nei realiai gali suvaldyti reagavimo į incidentus komanda. Kad būtų lengviau sutelkti dėmesį į pagrįstas grėsmes, daugelis įmonių naudoja reagavimo į incidentus automatizavimą. Automatizavimas naudoja DI ir mašininį mokymą, kad galėtų nustatyti įspėjimų skubumą, juos identifikuoti ir pašalinti grėsmes vykdant reagavimo taisykles, pagrįstas programiniais scenarijais.
Saugos valdymo automatizavimas ir reagavimas (SOAR) yra saugos įrankių, kuriuos įmonės naudoja reagavimui į incidentus automatizuoti, kategorija. Šie sprendimai siūlo šias galimybes:
Susieti duomenis keliuose galiniuose punktuose ir saugos sprendimuose, kad būtų galima nustatyti incidentus, su kuriais žmonėms reikia atlikti tolesnius veiksmus.
Vykdyti iš anksto parengtas taisykles siekiant atskirti ir spręsti žinomus incidentų tipus.
Sugeneruoti nuosekliai suplanuotą tyrimo veiklą, apimančią veiksmus, sprendimus ir techninius įrodymus, kuriuos galima naudoti analizei.
Pateikti atitinkamą išorinę analizę žmogaus analizei.
Kaip įgyvendinti reagavimo į incidentus planą
Reagavimo į incidentus plano kūrimas gali atrodyti bauginantis, tačiau gali gerokai sumažinti riziką, kad jūsų įmonė bus nepasiruošusi didelio incidento metu. Toliau paaiškinta, kaip pradėti.
-
Nustatykite išteklių prioritetus
Pirmasis reagavimo į incidentus plano žingsnis yra žinoti, ką saugote. Dokumentuokite svarbiausius organizacijos duomenis, įskaitant jų buvimo vietą ir svarbos įmonei lygį.
-
Nustatykite galimą riziką
Kiekvienos organizacijos rizika skiriasi. Susipažinkite su didžiausiais savo organizacijos pažeidžiamumais ir įvertinkite, kaip įsilaužėlis galėtų juos išnaudoti.
-
Kurkite reagavimo procedūras
Stresą keliančio incidento metu aiškios procedūros leis greitai ir efektyviai išspręsti incidentą. Pirmiausia apibrėžkite, kas laikoma incidentu, tada nustatykite veiksmus, kuriuos jūsų komanda turėtų atlikti, kad aptiktų, izoliuotų incidentą ir po jo atkurtų, įskaitant sprendimų dokumentavimo ir įrodymų rinkimo procedūras.
-
Sukurkite reagavimo į incidentus komandą
Sukurkite daugiafunkcę komandą, kuri būtų atsakinga už reagavimo procedūrų supratimą ir mobilizavimą, įvykus incidentui. Būtinai apibrėžkite vaidmenis ir atsižvelkite į netechninius vaidmenims, kurie gali padėti priimti sprendimus, susijusius su bendravimu ir atsakomybe. Įtraukite ką nors iš vadovų, kuris bus komandos atstovas ir apie jos poreikius komunikuos aukščiausiu įmonės lygiu.
-
Apibrėžkite savo komunikacijos planą
Komunikacijos planas padės žinoti, kada ir kaip kitiems organizacijos nariams ir už jos ribų pranešti, kas vyksta. Apgalvokite įvairius scenarijus, kad galėtumėte lengviau nustatyti, kokiomis aplinkybėmis reikia informuoti vadovus, visą organizaciją, klientus ir mediją ar kitas išorines suinteresuotąsias šalis.
-
Mokykite darbuotojus
Blogiečiai taikosi į darbuotojus visais organizacijos lygiais, todėl svarbu, kad visi suprastų jūsų reagavimo planą ir žinotų, ką daryti, jei įtaria, kad tapo atakos auka. Periodiškai išbandykite savo darbuotojus, kad įsitikintumėte, jog jie gali atpažinti sukčiavimo apsimetant el. laiškus, ir pasirūpinkite, kad jiems būtų lengva pranešti reagavimo į incidentus komandai, jei netyčia spustelės netinkamą saitą arba atidarys užkrėstą priedą.
Reagavimo į incidentus sprendimai
Pasiruošimas dideliam incidentui yra svarbi jūsų organizacijos apsaugos nuo grėsmių dalis. Sukūrus vidinę reagavimo į incidentus komandą, būsite pasirengę, jei tapsite blogiečių auka.
Pasinaudokite SIEM ir SOAR sprendimais, pvz., „Microsoft Azure Sentinel“, kurie naudoja automatizavimą, kad padėtų jums nustatyti ir automatiškai reaguoti į incidentus. Organizacijos, turinčios mažiau išteklių, gali papildyti savo komandas paslaugų teikėju, galinčių tvarkyti kelis reagavimo į incidentus etapus. Tačiau nesvarbu, ar reagavimo į incidentus darbuotojai yra vidiniai, ar išoriniai, įsitikinkite, kad turite planą.
Sužinokite daugiau apie „Microsoft“ saugą
„Microsoft“ apsauga nuo grėsmių
Identifikuokite ir reaguokite į incidentus visoje organizacijoje naudodami naujausią apsaugą nuo grėsmių.
Microsoft Azure Sentinel
Atskleiskite sudėtingas grėsmes ir ryžtingai reaguokite naudodami efektyvų SIEM sprendimą, sukurtą debesies ir DI pagrindu.
Microsoft Defender XDR
Sustabdykite atakas galiniuose punktuose, el. pašte, tapatybėse, programose ir duomenyse.
Dažnai užduodami klausimai
-
Reagavimas į incidentus yra visa veikla, kurios organizacija imasi, kai įtaria saugos pažeidimą. Tikslas – kuo greičiau izoliuoti ir pašalinti įsilaužėlius, laikytis duomenų privatumo taisyklių ir saugiai atkurti sistemas su kuo mažiau žalos organizacijai.
-
Įvairių funkcijų komanda yra atsakinga už reagavimą į incidentus. IT specialistai paprastai bus atsakingi už grėsmių nustatymą, izoliavimą ir atsigavimą po grėsmių, tačiau reagavimas į incidentus apima daugiau, nei blogiečių suradimas ir atsikratymas jais. Atsižvelgiant į atakos tipą, kam nors gali tekti priimti verslo sprendimą, pvz., ką daryti su išpirka. Teisininkai ir viešųjų ryšių specialistai padeda užtikrinti, kad organizacija atitiktų duomenų privatumo įstatymus, įskaitant tinkamą pranešimą klientams ir valstybinėms institucijoms. Jei grėsmę kelia darbuotojas, personalo skyrius pataria dėl atitinkamų veiksmų.
-
CSIRT yra kitas reagavimo į incidentus komandos pavadinimas. Ji apima įvairių funkcijų žmonių komandą, kurie yra atsakingi už visų reagavimo į incidentus aspektų valdymą, įskaitant grėsmių aptikimą, izoliavimą ir šalinimą, atkūrimą, vidinę ir išorinę komunikaciją, dokumentų rengimą ir teismo ekspertizę.
-
Dauguma organizacijų naudoja SIEM arba SOAR sprendimą, padedantį nustatyti grėsmes ir į jas reaguoti. Šie sprendimai paprastai telkia duomenis iš kelių sistemų ir naudoja mašininį mokymąsi, kad padėtų nustatyti tikras grėsmes. Jie taip pat gali automatizuoti reagavimą į tam tikrų tipų grėsmes pagal iš anksto parengtas taisykles.
-
Reagavimo į incidentus ciklas apima šešis etapus:
- Pasiruošimas įvyksta prieš identifikuojant incidentą ir apima apibrėžimą, ką organizacija laiko incidentu, ir visas strategijas bei procedūras, būtinas atakos prevencijai, aptikimui, pašalinimui ir atkūrimui po atakos.
- Grėsmių identifikavimas yra procesas, kuriame pasitelkiami tiek analitikai, tiek automatizavimas, siekiant nustatyti, kurie įvykiai yra realios grėsmės, į kurias reikia atsižvelgti.
- Grėsmių izoliavimas yra veiksmai, kurių imasi komanda, kad izoliuotų grėsmę ir neleistų jai užkrėsti kitų verslo sričių.
- Grėsmių šalinimas apima veiksmus, kurių imamasi norint pašalinti kenkėjiškas programas ir įsilaužėlius iš organizacijos.
- Atkūrimas apima sistemų ir kompiuterių paleidimą iš naujo bei prarastų duomenų atkūrimą.
- Atsiliepimai ir tikslinimas yra procesas, kurį komanda atlieka, kad pasimokytų iš incidento ir šias pamokas pritaikytų strategijoms ir procedūroms.
Stebėkite „Microsoft“ saugą