Trace Id is missing
Перейти до основного
Захисний комплекс Microsoft

Що таке реагування на інциденти?

Дізнайтеся, наскільки ефективне реагування на інциденти допомагає організаціям виявляти, усвідомлювати й зупиняти кібератаки.

Дізнайтеся більше про Microsoft Sentinel

Визначення реагування на інциденти

Перш ніж визначати, як реагувати на інцидент, важливо чітко зрозуміти, що таке інцидент. У ІТ є три терміни, які іноді використовуються взаємозамінно, але означають різні речі.

  1. Подія – це нешкідлива дія, яка часто трапляється, наприклад, створення файлу, видалення папки або відкриття електронного листа. Сама по собі подія зазвичай не є ознакою порушення, але в поєднанні з іншими подіями може сигналізувати про загрозу. 
  2. Оповіщення – це сповіщення, ініційоване подією, що може становити або не становити загрозу.
  3. Інцидент – це група взаємопов'язаних оповіщень, які люди або засоби автоматизації визнали такими, що можуть становити реальну загрозу. Кожне оповіщення може не бути серйозною загрозою, але в поєднанні вони вказують на можливе порушення безпеки.

Реагування на інциденти – це дії, які виконує організація, якщо вважає, що ІТ-системи або дані могли постраждати. Наприклад, фахівці з безпеки діятимуть, якщо виявлять ознаки присутності неавторизованого користувача, зловмисних програм або збоїв у заходах безпеки.

Мета реагування – усунути кібератаку якомога швидше, відновити систему, сповістити клієнтів або державні установи відповідно до регіональних законів і дізнатися, як знизити ризик аналогічного порушення в майбутньому.

Принцип роботи засобів із реагування на інциденти

Реагування на інциденти зазвичай починається, коли команда безпеки отримує оповіщення від системи керування захистом інформації (SIEM).

Учасникам команди потрібно переконатися, що подія відповідає вимогам інциденту, а потім ізолювати інфіковані системи й видалити загрозу. Якщо інцидент серйозний або займає багато часу, організаціям може знадобитися відновити резервну копію даних, вирішити питання викупу або сповістити клієнтів про порушення безпеки їхніх даних.

З цієї причини до реагування зазвичай залучаються люди, які не належать до команди кібербезпеки. Експерти з питань конфіденційності, адвокати й особи, які приймають рішення щодо бізнесу, допомагають визначити підхід організації до інциденту та його усунення.

Типи інцидентів із безпекою

Існує кілька способів, якими зловмисники намагаються отримати доступ до даних компанії або іншим чином поставити під загрозу її системи й бізнес-операції. Нижче наведено кілька найпоширеніших дій.

  • Фішинг

    Фішинг – це тип соціотехніки, коли зловмисник використовує електронну пошту, текст або телефонний дзвінок, щоб видати себе за авторитетний бренд або особу. Під час типової фішингової атаки зловмисники намагаються переконати користувача завантажити зловмисну програму або повідомити свій пароль. Ці атаки експлуатують довіру людей і використовують психологічні прийоми, як-от страх, щоб змусити людей діяти. Багато таких атак є нецільовими, вони спрямовані на тисячі людей у надії, що лише один відгукнеться. Однак у складнішій версії під назвою "цільовий фішинг" використовуються глибокі дослідження, щоб створити повідомлення, яке повинно бути переконливим для одного користувача.

  • Зловмисні програми

    Зловмисні програми – це будь-яке програмне забезпечення, призначене, щоб завдати шкоди комп’ютерній системі або спричинити витік даних. Вони бувають різних форм, зокрема віруси, зловмисні програми з вимогою викупу, шпигунські та троянські програми. Зловмисники інсталюють зловмисні програми, використовуючи вразливості апаратного й програмного забезпечення або переконуючи працівника зробити це за допомогою методу соціотехніки.

  • Зловмисні програми з вимогою викупу

    Під час атаки зловмисних програм із вимогою викупу використовуються зловмисні програми для шифрування критично важливих даних і систем, а потім жертві погрожують оприлюднити дані або знищити їх, якщо вона не заплатить викуп.

  • Відмова в обслуговуванні

    Під час атаки "відмова в обслуговуванні" (DDoS-атака) зловмисник перевантажує мережу чи систему трафіком, доки вона не сповільнить роботу або не вийде з ладу. Зазвичай зловмисники націлені на високопрофільні компанії, як-от банки або державні органи, з метою заощадити їм час і гроші, але організації будь-якого розміру можуть стати жертвами атаки такого типу.

  • Атака зловмисного посередника

    Ще один метод, який використовують кіберзлочинці для викрадення персональних даних, – це втручання посеред онлайн-розмови між людьми, які вважають, що вони спілкуються приватно. Перехоплюючи повідомлення, копіюючи їх або змінюючи перед відправленням адресату, вони намагаються маніпулювати одним з учасників, щоб змусити його передати їм цінні дані.

  • Внутрішня загроза

    Хоча більшість атак ведуть користувачі поза межами організації, командам безпеки також потрібно шукати внутрішні загрози. Співробітники й інші особи, які на законних підставах мають допуск до ресурсів з обмеженим доступом, можуть ненавмисно, а в деяких випадках і навмисно спричинити витік конфіденційних даних.

Що таке план реагування на інциденти?

Під час реагування на інцидент команда повинна ефективно й результативно працювати разом, щоб усунути загрозу та задовольнити регуляторні вимоги. У таких стресових ситуаціях легко розхвилюватись і припуститися помилок, саме тому багато компаній розробляють план реагування на інциденти. План визначає ролі та обов’язки й включає кроки, необхідні для належного вирішення та документування інциденту й повідомлення про нього.

Важливість плану реагування на інциденти

Значна атака не лише завдає шкоди діяльності організації, а й впливає на репутацію бізнесу серед клієнтів і громадськості, а також може мати юридичні наслідки. На загальні витрати впливає все, зокрема те, як швидко команда безпеки реагує на атаку та як керівники повідомляють про інцидент, що стався.

Компанії, які приховують збитки від клієнтів і державних установ або не сприймають загрозу достатньо серйозно, можуть порушити законодавство. Такі помилки трапляються частіше, коли відсутній план реагування. У запалі моменту існує ризик, що люди прийматимуть необдумані рішення під впливом страху, які в підсумку можуть зашкодити організації.

Добре продуманий план дає людям змогу знати, що вони мають робити на кожному етапі атаки, тож їм не доведеться вигадувати його на ходу. А після відновлення, якщо в громадськості виникнуть запитання, організація зможе показати, як саме вона відреагувала, і дати клієнтам упевненість у тому, що вона серйозно поставилася до інциденту й здійснила кроки, необхідні для запобігання гіршому результату.

Кроки з реагування на інциденти

Існує кілька підходів до реагування на інциденти, і багато організацій покладаються на організацію зі стандартів безпеки, яка керує їхнім підходом. SysAdmin Audit Network Security (SANS) – це приватна організація, яка пропонує система шести кроків реагуванняшестикрокову систему реагування, наведену нижче. Багато організацій також застосовують систему відновлення після інцидентів Національного інституту стандартизації та технологій (NIST).

  • Підготовка.  Перш ніж інцидент станеться, важливо зменшити вразливості й  визначити політику та процедури безпеки. На етапі підготовки організації проводять оцінку ризиків, щоб визначити свої слабкі місця й установити пріоритетність активів. Цей етап включає розробку й вдосконалення процедур безпеки, визначення ролей та обов’язків, а також оновлення систем для зменшення ризиків. Більшість організацій регулярно повертаються до цього етапу та вдосконалюють політику, процедури й системи відповідно до накопиченого досвіду або змін у технологіях.
  • Ідентифікація загроз.  За один день команда безпеки може отримати тисячі сповіщень, які вказують на підозрілу активність. Деякі з них є помилковими або не досягають рівня інциденту. Після виявлення інциденту команда вивчає характер порушення та документує результати, зокрема, джерело порушення, тип атаки й цілі зловмисника. На цьому етапі команда також має інформувати зацікавлені сторони й повідомляти про подальші кроки.
  • Локалізація загрози.  Наступним пріоритетом є якнайшвидша локалізація загрози. Що довше зловмисники мають доступ до системи, то більшої шкоди вони можуть завдати. Команда безпеки працює над тим, щоб швидко ізолювати програми або системи, які зазнали атаки, від решти мереж. Це допомагає запобігти доступу зловмисників до інших частин бізнесу.
  • Усунення загрози.  Після завершення локалізації команда видаляє зловмисника та будь-які зловмисні програми з уражених систем і ресурсів. Це може передбачати виведення систем в офлайн. Команда також продовжує інформувати зацікавлені сторони про прогрес.
  • Відновлення.  Відновлення після інциденту може зайняти кілька годин. Коли загроза зникає, команда відновлює системи й дані з резервних копій і контролює уражені області, щоб переконатися, що зловмисник не повернеться.
  • Зворотний зв’язок і доопрацювання.  Коли інцидент вирішено, команда аналізує те, що сталося, і визначає, як удосконалити процес. Навчання на цьому етапі допомагає команді посилити захист організації.

Що таке команда з реагування на інциденти?

Команда з реагування на інциденти, яку також називають командою з реагування на інциденти комп’ютерної безпеки (CSIRT), командою з реагування на інциденти кібербезпеки (CIRT) або командою з реагування на комп’ютерні надзвичайні ситуації (CERT), включає міжфункціональну групу осіб в організації, які відповідають за виконання плану реагування на інциденти. Сюди входять не лише працівники, які усувають загрозу, а й ті, хто приймає ділові або юридичні рішення, пов’язані з інцидентом. Зазвичай команда включає вказаних нижче учасників.

  • Менеджер із реагування на інциденти, часто директор з інформаційних технологій, контролює всі етапи реагування й інформує внутрішні зацікавлені сторони. 

  • Аналітики з безпеки досліджують інцидент, щоб зрозуміти, що відбувається. Вони також документують висновки й збирають докази.

  • Дослідники загроз шукають інформацію за межами організації, щоб зібрати аналітичні дані, які надають додатковий контекст. 

  • Представник керівництва, наприклад, керівник служби інформаційної безпеки або керівник відділу інформаційних технологій, надає вказівки та слугує зв’язковим для інших керівників.

  • Фахівці з управління персоналом допомагають боротися з внутрішніми загрозами.

  • Головний юрисконсульт допомагає команді зорієнтуватися в питаннях відповідальності й забезпечує збір судових доказів.

  • Фахівці зі зв’язків із громадськістю координують точну зовнішню комунікацію зі ЗМІ, клієнтами й іншими зацікавленими сторонами.

Команда з реагування на інциденти може бути підгрупою операційного центру безпеки (SOC), який займається операціями з безпеки, що виходять за рамки реагування на інциденти.

Автоматизація реагування на інциденти

У більшості організацій мережі й рішення з безпеки генерують набагато більше сповіщень, ніж команда з реагування на інциденти може реально обробити. Щоб допомогти їй зосередитися на реальних загрозах, багато компаній упроваджують систему автоматизації реагування на інциденти. Система автоматизації використовує ШІ та машинне навчання для сортування оповіщень, ідентифікації інцидентів і усунення загроз шляхом виконання плану дій реагування на основі програмних сценаріїв.

Система автоматизації та реагування на інциденти безпеки (SOAR) – це категорія інструментів безпеки, які компанії використовують для автоматизації реагування на інциденти. Ці рішення пропонують нижчевказані можливості.

  • Зіставлення даних із різних кінцевих точок і рішень безпеки для виявлення інцидентів, які потребують подальших дій із боку людини.

  • Запуск заздалегідь написаного плану дій для ізоляції та усунення відомих типів інцидентів.

  • Створення графіку розслідування, що включає дії, рішення й докази, які можуть бути використані для аналізу.

  • Залучення відповідних зовнішніх даних для аналізу людиною.

Реалізація плану реагування на інциденти

Розробка плану реагування на інциденти може здатися складним завданням, але це може значно знизити ризик того, що ваш бізнес виявиться непідготовленим під час серйозного інциденту. Ось як ви можете почати роботу:

  • Визначення й пріоритезація активів

    Першим кроком у плані реагування на інцидент є розуміння того, що ви захищаєте. Задокументуйте критично важливі дані вашої організації, зокрема їхнє місцезнаходження й рівень важливості для бізнесу.

  • Визначення потенційних ризиків

    Кожна організація стикається з різними ризиками. Ознайомтеся з найбільш вразливими місцями вашої організації та оцініть, як зловмисник може їх використати. 

  • Розробка процедур реагування

    Під час стресового інциденту наявність чітких процедур допоможе швидко й ефективно вирішити проблему. Почніть із визначення того, що вважається інцидентом, а потім визначте кроки, які ваша команда має вжити для виявлення, ізоляції та відновлення після інциденту, включно з процедурами документування рішень і збору доказів.

  • Створення команди з реагування на інциденти

    Створіть міжфункціональну команду, яка відповідатиме за розуміння процедур реагування та мобілізацію в разі інциденту. Обов’язково чітко визначте ролі та врахуйте нетехнічні ролі, які можуть допомогти в прийнятті рішень, пов’язаних із комунікацією та відповідальністю. Включіть до складу виконавчої команди когось, хто буде відстоювати інтереси команди та її потреби на найвищих рівнях компанії. 

  • Визначення плану комунікацій

    План комунікацій позбавить вас від необхідності здогадуватися, коли і як повідомляти іншим всередині та поза організацією про те, що відбувається. Продумайте різні сценарії, які допоможуть вам визначити, за яких обставин потрібно інформувати керівників, усю організацію, клієнтів, а також ЗМІ та інші зовнішні зацікавлені сторони.

  • Навчання працівників

    Зловмисники атакують співробітників на всіх рівнях організації, тому важливо, щоб усі розуміли ваш план реагування та знали, що робити, якщо вони підозрюють, що стали жертвою атаки. Періодично тестуйте своїх співробітників, щоб переконатися, що вони вміють розпізнавати фішингові електронні листи, і щоб їм було легко повідомити команду реагування на інциденти, якщо вони випадково натиснули шкідливе посилання або відкрили заражене вкладення. 

Рішення для реагування на інциденти

Підготовка до серйозного інциденту – це важлива частина захисту вашої організації від загроз. Створення внутрішньої команди з реагування на інциденти дасть вам упевненість у тому, що ви будете готові, якщо станете жертвою зловмисника.

Скористайтеся перевагами рішень SIEM і SOAR, як-от Microsoft Sentinel, що використовують систему автоматизації для виявлення інцидентів та автоматичного реагування на них. Організації з меншими ресурсами можуть посилити свої команди за допомогою постачальника послуг, який може впоратися з кількома етапами реагування на інциденти. Але незалежно від того, чи будете ви залучати зовнішніх спеціалістів до реагування на інциденти, переконайтеся, що у вас є план.

Дізнайтеся більше про Захисний комплекс Microsoft

Захист від загроз (Microsoft)

Виявляйте інциденти у вашій організації та реагуйте на них за допомогою новітніх засобів захисту від загроз.

Дізнайтеся більше

Azure Sentinel

Виявляйте складні загрози й оперативно реагуйте на них за допомогою потужного рішення SIEM, яке працює на основі хмарних технологій і ШІ.

Дізнатися більше

Microsoft Defender XDR

Зупиняйте атаки на кінцеві точки, електронну пошту, ідентичності, програми й дані.

Дізнайтеся більше

Запитання й відповіді

  • Реагування на інцидент – це всі дії, яких вживає організація, коли виникає підозра на порушення безпеки. Мета полягає в тому, щоб якомога швидше ізолювати й ліквідувати зловмисників, дотриматись правил конфіденційності даних і безпечно відновити роботу з мінімальною шкодою для організації.

  • За реагування на інцидент відповідає функціональна команда. Зазвичай ІТ-відділ відповідає за виявлення, ізоляцію та відновлення після загроз, однак реагування на інциденти не обмежується лише пошуком і усуненням зловмисників. Залежно від типу атаки, комусь може знадобитися прийняти бізнес-рішення, наприклад, як вирішити питання щодо викупу. Юрисконсульт і фахівці зі зв’язків із громадськістю допомагають забезпечити дотримання організацією законів про конфіденційність даних, зокрема пов’язаних із належним інформуванням клієнтів та державних установ. Якщо загрозу створює працівник, відділ управління персоналом надає рекомендації щодо відповідних дій.

  • CSIRT – це ще одна назва команди з реагування на інциденти. Вона включає міжфункціональну команду осіб, які відповідають за управління всіма аспектами реагування на інциденти, зокрема, виявлення, ізоляцію та усунення загрози, відновлення, внутрішню й зовнішню комунікацію, документування та судову експертизу.

  • Більшість організацій використовують рішення SIEM або SOAR для виявлення загроз і реагування на них. Ці рішення зазвичай об’єднують дані з кількох систем і використовують машинне навчання для виявлення справжніх загроз. Вони також можуть автоматизувати реагування на певні види загроз на основі заздалегідь створених планів дій.

  • Життєвий цикл реагування на інцидент включає шість етапів:

    1. Підготовка відбувається до виявлення інциденту та включає визначення того, що організація вважає інцидентом, а також усіх політик і процедур, необхідних для запобігання, виявлення, усунення й відновлення після атаки.
    2. Ідентифікація загроз – це процес, який використовує як людей-аналітиків, так і систему автоматизації для визначення того, які події є реальними загрозами, що потребують реагування.
    3. Локалізація загрози – це дії, які команда вживає для ізоляції загрози й запобігання її поширенню на інші сфери бізнесу. 
    4. Усунення загроз включає кроки з видалення зловмисних програм і зловмисників з організації.
    5. Відновлення передбачає перезапуск систем і комп’ютерів, а також повернення всіх втрачених даних. 
    6. Зворотний зв’язок і доопрацювання – це процес, який команда використовує для того, щоб винести уроки з інциденту й застосувати їх у політиках і процедурах. 

Підпишіться на Microsoft