Přehled reakce na incidenty
Reakce na incidenty je postup vyšetřování a nápravy aktivních kampaní útoku ve vaší organizaci. Reakce na incidenty je součástí disciplíny operací zabezpečení (SecOps) a primárně je reaktivní v podstatě.
Reakce na incidenty má největší přímý vliv na celkovou střední dobu na potvrzení (MTTA) a střední dobu pro nápravu (MTTR), která měří, jak dobře jsou operace zabezpečení schopny snížit organizační riziko. Týmy reakce na incidenty silně spoléhají na dobré pracovní vztahy mezi týmy proaktivního vyhledávání hrozeb, inteligentními funkcemi a týmy pro správu incidentů (pokud jsou přítomné), aby skutečně snížily riziko. Další informace najdete v tématu Metriky SecOps.
Další informace o rolích a zodpovědnostech operací zabezpečení najdete v tématu Funkce Cloud SOC.
Proces reakce na incidenty
Prvním krokem je mít plán reakce na incidenty, který zahrnuje interní i externí procesy pro reakci na incidenty kybernetické bezpečnosti. Plán by měl podrobně popisovat, jak by vaše organizace měla:
- Vyřešte útoky, které se liší od obchodního rizika a dopadu incidentu, který se může lišit od izolovaného webu, který už není dostupný pro ohrožení přihlašovacích údajů na úrovni správce.
- Definujte účel odpovědi, například návrat do služby nebo zpracování právních nebo veřejných vztahů s aspekty útoku.
- Určete prioritu práce, kterou je potřeba udělat, pokud jde o to, kolik lidí by mělo na incidentu a jejich úkolech pracovat.
Podívejte se na článek plánování reakcí na incidenty pro kontrolní seznam aktivit, které byste měli zvážit včetně plánu reakce na incidenty. Jakmile je plán reakce na incidenty zavedený, pravidelně ho otestujte na nejvýraznější typy kybernetických útoků, abyste zajistili, že vaše organizace dokáže rychle a efektivně reagovat.
I když se proces reakce na incidenty jednotlivých organizací může lišit na základě organizační struktury a možností a historických zkušeností, zvažte sadu doporučení a osvědčených postupů v tomto článku pro reakci na incidenty zabezpečení.
Během incidentu je důležité:
Udržujte klid
Incidenty jsou extrémně rušivé a emocionálně nabité. Buďte klidní a zaměřte se nejprve na stanovení priorit úsilí na nejvýkonnější akce.
Neuškodit
Ověřte, že je vaše odpověď navržená a spuštěná způsobem, který zabraňuje ztrátě dat, ztrátě důležitých obchodních funkcí a ztrátě důkazů. Vyhněte se rozhodnutím, která můžou poškodit vaši schopnost vytvářet forenzní časové osy, identifikovat původní příčinu a učit se kritické lekce.
Zapojení právního oddělení
Určete, jestli mají v úmyslu zahrnovat vymáhání práva, abyste mohli odpovídajícím způsobem naplánovat postupy vyšetřování a obnovení.
Při veřejném sdílení informací o incidentu buďte opatrní.
Ověřte, že vše, co sdílíte se zákazníky a veřejnost, vychází z poradenství vašeho právního oddělení.
Získání pomoci v případě potřeby
Při vyšetřování a reagování na útoky od sofistikovaných útočníků využijte hluboké znalosti a zkušenosti.
Podobně jako diagnostika a léčba lékařské nemoci vyžaduje vyšetřování kybernetické bezpečnosti a reakce na závažný incident ochranu systému, který je obojí:
- Kriticky důležité (nejde ho vypnout, abyste na něm mohli pracovat).
- Složité (obvykle nad rámec porozumění každé osobě).
Během incidentu musíte dosáhnout těchto kritických zůstatků:
Rychlost
Vyrovnejte potřebu rychle jednat tak, aby uspokojily zúčastněné strany s rizikem spěchaných rozhodnutí.
Sdílení informací
Informujte vyšetřovatele, zúčastněné strany a zákazníky na základě poradenství vašeho právního oddělení, aby omezili odpovědnost a vyhnuli se nerealistickým očekáváním.
Tento článek je navržený tak, aby snížil riziko incidentu kybernetické bezpečnosti vaší organizace tím, že identifikuje běžné chyby, abyste se vyhnuli a poskytli pokyny k akcím, které můžete rychle provést, aby se snížilo riziko a splňovaly potřeby zúčastněných stran.
Poznámka:
Další pokyny k přípravě organizace na ransomware a další typy vícefázových útoků najdete v tématu Příprava plánu obnovení.
Osvědčené postupy pro odpovědi
Reakce na incidenty je možné efektivně provádět z hlediska technického i provozního hlediska s těmito doporučeními.
Poznámka:
Podrobnější pokyny k odvětví najdete v průvodci zpracováním incidentů zabezpečení počítače NIST.
Osvědčené postupy pro technickou odezvu
Pro technické aspekty reakce na incidenty je potřeba vzít v úvahu některé cíle:
Pokuste se identifikovat rozsah operace útoku.
Většina nežádoucích případů používá více mechanismů trvalosti.
Pokud je to možné, identifikujte cíl útoku.
Trvalým útočníkům se v budoucnu často vrátí cíl (data/systémy).
Tady je několik užitečných tipů:
Nenahrání souborů do online skenerů
Řada nežádoucích subjektů monitoruje počet instancí služeb, jako je VirusTotal, pro zjišťování cíleného malwaru.
Pečlivě zvažte úpravy.
Pokud nebudete čelit bezprostřední hrozbě ztráty důležitých obchodních dat, jako je odstranění, šifrování a exfiltrace, vyvažte riziko, že změny neprovedou s předpokládaným obchodním dopadem. Například dočasné vypnutí přístupu k internetu vaší organizace může být nezbytné k ochraně důležitých obchodních prostředků během aktivního útoku.
Pokud jsou změny nezbytné v případě, že riziko, že se akce neprovádí, je vyšší než riziko jeho provedení, zdokumentujte akci v protokolu změn. Změny provedené během reakce na incidenty se zaměřují na narušení útočníka a mohou negativně ovlivnit firmu. Tyto změny budete muset vrátit zpět po procesu obnovení.
Nevyšetřujte navždy
Musíte nemilosrdně určit prioritu vašeho vyšetřování. Například proveďte forenzní analýzu pouze u koncových bodů, které útočníci použili nebo upravili. Například v závažném incidentu, kdy má útočník oprávnění správce, je prakticky nemožné prozkoumat všechny potenciálně ohrožené prostředky (které můžou zahrnovat všechny prostředky organizace).
Sdílení informací
Ověřte, že všechny týmy pro vyšetřování, včetně všech interních týmů a externích vyšetřovatelů nebo poskytovatelů pojištění, sdílejí svá data na základě poradenství vašeho právního oddělení.
Přístup ke správným odborným znalostem
Ověřte, že do vyšetřování integrujete lidi s hlubokými znalostmi systémů, jako jsou interní pracovníci nebo externí entity, jako jsou dodavatelé, nejen generalisté zabezpečení.
Předvídání omezené možnosti odezvy
Naplánujte 50 % zaměstnanců pracujících na 50 % běžné kapacity z důvodu situaceového stresu.
Klíčovou očekávanou správou u zúčastněných stran je, že možná nebudete moct nikdy identifikovat počáteční útok, protože data potřebná k identifikaci byla odstraněna před zahájením šetření, například útočník, který zakrývá stopy protokolem.
Osvědčené postupy pro odezvu provozu
V případě aspektů reakce na incidenty v případě operací zabezpečení (SecOps) je potřeba zvážit některé cíle:
Zůstaňte v soustředění
Ověřte, že se zaměřujete na důležitá obchodní data, dopad na zákazníky a připravte se na nápravu.
Zajištění přehlednosti koordinace a role
Vytvořte odlišné role pro operace v podpoře krizového týmu a ověřte, že technické, právní a komunikační týmy se vzájemně informují.
Udržování obchodní perspektivy
Vždy byste měli zvážit dopad na obchodní operace nežádoucími akcemi i vlastními akcemi reakce.
Tady je několik užitečných tipů:
Zvažte systém řízení krizí (ICS) pro řízení incidentů.
Pokud nemáte trvalou organizaci, která spravuje bezpečnostní incidenty, doporučujeme použít ICS jako dočasnou organizační strukturu ke správě krize.
Udržování probíhajících denních operací beze změny
Ujistěte se, že normální SecOps nejsou zcela na straně podpory vyšetřování incidentů. Tato práce musí být pořád hotová.
Vyhněte se plýtvání útratou
Mnoho velkých incidentů vede k nákupu drahých nástrojů zabezpečení pod tlakem, které se nikdy nenasazují nebo nepoužívají. Pokud během vyšetřování nemůžete nasadit a použít nástroj, který může zahrnovat nábor a školení pro další zaměstnance se sadami dovedností potřebnými k provozování nástroje, odložit získání až po dokončení šetření.
Přístup k hlubokým znalostem
Ověřte, že máte možnost eskalovat otázky a problémy hlubokým odborníkům na kritické platformy. Tato schopnost může vyžadovat přístup k operačnímu systému a dodavateli aplikací pro důležité obchodní systémy a podnikové komponenty, jako jsou stolní počítače a servery.
Vytvoření informačních toků
Nastavte jasné pokyny a očekávání pro tok informací mezi vedoucími vedoucími pracovníky reakce na incidenty a zúčastněnými stranami organizace. Další informace najdete v tématu plánování reakce na incidenty.
Osvědčené postupy pro obnovení
Zotavení z incidentů lze efektivně provádět z hlediska technických i provozních aspektů s těmito doporučeními.
Osvědčené postupy pro technické obnovení
Pro technické aspekty zotavení z incidentu je potřeba zvážit některé cíle:
Nevařte oceán
Omezte rozsah odpovědi tak, aby se operace obnovení spustila do 24 hodin nebo méně. Naplánujte víkend, který bude zohledňovat nepředvídané a opravné akce.
Vyhněte se rušivým prvkům
Odložte dlouhodobé investice do zabezpečení, jako je implementace rozsáhlých a složitých nových systémů zabezpečení nebo nahrazení antimalwarových řešení až po operaci obnovení. Cokoli, co nemá přímý a okamžitý dopad na aktuální operaci obnovení, je rušivé.
Tady je několik užitečných tipů:
Nikdy nenulovat všechna hesla najednou
Resetování hesel by se mělo nejprve zaměřit na známé ohrožené účty na základě vašeho šetření a jsou potenciálně účty správců nebo služeb. V případě potřeby by se uživatelská hesla měla resetovat pouze fázovaným a řízeným způsobem.
Konsolidace provádění úloh obnovení
Pokud nemáte bezprostřední hrozbu ztráty důležitých obchodních dat, měli byste naplánovat konsolidovanou operaci, která rychle opraví všechny ohrožené prostředky (jako jsou hostitelé a účty) a napraví ohrožené prostředky, jakmile je najdete. Komprese tohoto časového intervalu znesnadňuje operátorům útoku přizpůsobit a udržovat trvalost.
Použití existujících nástrojů
Projděte si a využijte možnosti nástrojů, které jste nasadili, než se pokusíte nasadit a naučit se nový nástroj během obnovení.
Vyhněte se vytáhnutí nežádoucího člověka
V praxi byste měli podniknout kroky k omezení informací, které jsou k dispozici nežádoucím osobam o operaci obnovení. Nežádoucí osoba mají obvykle přístup ke všem produkčním datům a e-mailům v závažném incidentu kybernetické bezpečnosti. Ve skutečnosti ale většina útočníků nemá čas monitorovat veškerou vaši komunikaci.
Microsoft Security Operations Center (SOC) používá neprodukčního tenanta Microsoftu 365 pro zabezpečenou komunikaci a spolupráci členů týmu reakce na incidenty.
Osvědčené postupy pro obnovení provozu
Pro provozní aspekty zotavení z incidentu je potřeba zvážit některé cíle:
Mít jasný plán a omezený rozsah
Úzce spolupracovat s technickými týmy na vytvoření jasného plánu s omezeným rozsahem. Plány se sice můžou měnit na základě nežádoucí aktivity nebo nových informací, ale měli byste pečlivě pracovat na omezení rozsahu rozšíření rozsahu a provádění dalších úkolů.
Mít jasné vlastnictví plánu
Operace zotavení zahrnují mnoho lidí, kteří najednou provádějí mnoho různých úkolů, takže určete vedoucí projektu pro operaci, aby bylo jasné rozhodování a konečné informace, které se mají protékat mezi týmem krize.
Údržba komunikace zúčastněných stran
Spolupracujte s komunikačními týmy, které poskytují včasné aktualizace a aktivní řízení očekávání pro účastníky organizace.
Tady je několik užitečných tipů:
Seznámení s možnostmi a limity
Správa hlavních bezpečnostních incidentů je velmi náročná, velmi složitá a nová pro mnoho odborníků v oboru. Pokud jsou vaše týmy zahlcené nebo nemají jistotu, co dělat dál, měli byste zvážit možnost získat odborné znalosti od externích organizací nebo profesionálních služeb.
Zachycení získaných poznatků
Vytvářejte a průběžně vylepšete příručky specifické pro role pro SecOps, i když se jedná o váš první incident bez jakýchkoli psaných postupů.
Komunikace na úrovni vedení a rady pro reakce na incidenty může být náročná, pokud se nenacvuje nebo nepředpokládá. Ujistěte se, že máte komunikační plán pro správu vykazování průběhu a očekávání pro obnovení.
Proces reakce na incidenty pro SecOps
Vezměte v úvahu tyto obecné pokyny k procesu reakce na incidenty pro vaše pracovníky a pracovníky.
1. Rozhodnutí a jednání
Jakmile nástroj pro detekci hrozeb, jako je Microsoft Sentinel nebo XDR v programu Microsoft Defender, zjistí pravděpodobné útoky, vytvoří incident. Střední doba potvrzení (MTTA) rychlosti odezvy SOC začíná časem, kdy si bezpečnostní pracovníci všimnou útoku.
Analytik na směně je delegovaný nebo přebírá vlastnictví incidentu a provádí počáteční analýzu. Časové razítko pro toto je konec měření odezvy MTTA a zahájí měření střední doby k nápravě (MTTR).
Jak analytik, který vlastní incident, vyvíjí vysokou úroveň jistoty, že rozumí příběhu a rozsahu útoku, může rychle přejít na plánování a provádění akcí čištění.
V závislosti na povaze a rozsahu útoku můžou vaši analytici vyčistit artefakty útoku tak, jak přejdou (jako jsou e-maily, koncové body a identity), nebo můžou vytvořit seznam ohrožených prostředků, které se mají vyčistit najednou (označované jako Big Bang).
Vyčištění při cestách
U nejběžnějších incidentů zjištěných v rané fázi operace útoku můžou analytici rychle vyčistit artefakty, jak je najdou. Tento postup umístí nežádoucí osobu do nevýhody a zabrání mu v přechodu k další fázi útoku.
Příprava na velký bang
Tento přístup je vhodný pro scénář, kdy se nežádoucí osoba již urovnala a vytvořila redundantní přístupové mechanismy pro vaše prostředí. Tento postup se často projevuje v incidentech zákazníků vyšetřovaných týmem reakce na incidenty Microsofts. V tomto přístupu by se analytici měli vyhnout odvrácení nežádoucího člověka až do úplného zjištění přítomnosti útočníka, protože překvapení může pomoct s úplným narušením své operace.
Microsoft se dozvěděl, že částečná náprava často tipuje nežádoucí osobu, což jim dává šanci reagovat a rychle zhoršovat incident. Útočník může například útok rozšířit dál, změnit metody přístupu, aby se vyhnul detekci, pokryje stopy a způsobí poškození dat a systému a zničení za pomstu.
Čištění phishingových a škodlivých e-mailů se často dá udělat, aniž by se útočník vytáhl, ale vyčištění malwaru hostitele a uvolnění kontroly nad účty má vysokou šanci na zjištění.
Nejsou to jednoduchá rozhodnutí, která je potřeba udělat, a není tam žádná náhrada za zkušenosti při provádění těchto rozhodnutí. Pracovní prostředí a kultura spolupráce ve vašem SOC pomáhá zajistit, aby analytici mohli vzájemně využívat zkušenosti.
Konkrétní kroky reakce závisí na povaze útoku, ale mezi nejběžnější postupy používané analytiky patří:
Koncové body klienta (zařízení)
Izolujte koncový bod a obraťte se na uživatele nebo it operace nebo helpdesk a zahajte proces přeinstalace.
Server nebo aplikace
Spolupracujte s it operacemi a vlastníky aplikací a uspořádejte rychlé nápravy těchto prostředků.
Uživatelské účty
Uvolněte řízení zakázáním účtu a resetováním hesla pro ohrožené účty. Tyto postupy se mohou vyvíjet při přechodu uživatelů na ověřování bez hesla pomocí Windows Hello nebo jiné formy vícefaktorového ověřování (MFA). Samostatným krokem je vypršení platnosti všech ověřovacích tokenů pro účet v programu Microsoft Defender for Cloud Apps.
Vaši analytici také můžou zkontrolovat telefonní číslo metody vícefaktorového ověřování a registraci zařízení, aby se ujistili, že není napadený kontaktováním uživatele a resetováním těchto informací podle potřeby.
Service Accounts
Vzhledem k vysokému riziku služby nebo obchodního dopadu by vaši analytici měli pracovat se záznamem vlastníka účtu služby a podle potřeby vracet se k it operacím, aby zajistili rychlou nápravu těchto prostředků.
E-maily
Odstraňte útok nebo phishingový e-mail a někdy je vymažte, aby uživatelé nemohli obnovit odstraněné e-maily. Vždy si uložte kopii původního e-mailu pro pozdější hledání analýzy po útoku, jako jsou hlavičky, obsah a skripty nebo přílohy.
Jiný důvod
Vlastní akce můžete spouštět na základě povahy útoku, jako je odvolání tokenů aplikací a změna konfigurace serverů a služeb.
2. Vyčištění po incidentu
Vzhledem k tomu, že nemáte zkušenosti s učením, dokud nezměníte budoucí akce, vždy integrujte všechny užitečné informace získané z šetření zpět do secOps.
Určete propojení mezi minulými a budoucími incidenty stejnými aktéry hrozeb nebo metodami a zachyťte tyto poznatky, abyste se vyhnuli opakování ruční práce a zpoždění analýzy v budoucnu.
Tyto poznatky mohou mít mnoho forem, ale mezi běžné postupy patří analýza:
Indikátory ohrožení zabezpečení (IoCS).
Zaznamenejte všechny použitelné iocs, jako jsou hodnoty hash souborů, škodlivé IP adresy a atributy e-mailu, do systémů ANALÝZY hrozeb SOC.
Neznámá nebo nepatchovaná ohrožení zabezpečení
Vaši analytici můžou inicializovat procesy, které zajistí, že se použijí chybějící opravy zabezpečení, opraví se chybná konfigurace a dodavatelé (včetně Microsoftu) budou informováni o ohrožení zabezpečení "nula dnů", aby mohli vytvářet a distribuovat opravy zabezpečení.
Interní akce, jako je povolení protokolování prostředků, které pokrývají cloudové a místní prostředky.
Zkontrolujte stávající standardní hodnoty zabezpečení a zvažte přidání nebo změnu kontrolních mechanismů zabezpečení. Informace o povolení odpovídající úrovně auditování v adresáři před dalším incidentem najdete například v průvodci operacemi zabezpečení Microsoft Entra.
Zkontrolujte procesy reakce a identifikujte a vyřešte případné mezery zjištěné během incidentu.
Zdroje informací o reakcích na incidenty
- Plánování soc
- Playbooky s podrobnými pokyny k reagování na běžné metody útoku
- Reakce na incident XDR v programu Microsoft Defender
- Microsoft Defender for Cloud (Azure)
- Reakce na incidenty Microsoft Sentinelu
- Průvodce týmem reakce na incidenty Microsoftu sdílí osvědčené postupy pro týmy zabezpečení a vedoucí pracovníky.
- Průvodci reakcemi na incidenty Microsoftu pomáhají týmům zabezpečení analyzovat podezřelou aktivitu
Klíčové prostředky zabezpečení Microsoftu
| Resource | Popis |
|---|---|
| 2023 Microsoft Digital Defense Report | Sestava, která zahrnuje poznatky od odborníků na zabezpečení, odborníků a obránců v Microsoftu, aby lidem na celém světě posílila ochranu před kybernetickými hrozbami. |
| Referenční architektury kyberbezpečnosti Microsoftu | Sada diagramů vizuální architektury, které ukazují možnosti kybernetické bezpečnosti Microsoftu a jejich integraci s cloudovými platformami Microsoftu, jako jsou Microsoft 365 a Microsoft Azure a cloudové platformy a aplikace třetích stran. |
| Infografika s minutovou hmotou ke stažení | Přehled toho, jak tým SecOps od Microsoftu reaguje na incidenty za účelem zmírnění probíhajících útoků. |
| Operace zabezpečení architektury přechodu na cloud Azure | Strategické pokyny pro vedoucí pracovníky, kteří navazují nebo modernizují funkci operace zabezpečení. |
| Osvědčené postupy zabezpečení Microsoftu pro operace zabezpečení | Jak nejlépe využít centrum SecOps k rychlejšímu pohybu než útočníci, kteří cílí na vaši organizaci. |
| Zabezpečení cloudu Microsoftu pro model IT architektů | Zabezpečení napříč cloudovými službami a platformami Microsoftu pro přístup k identitám a zařízením, ochranu před hrozbami a ochranu informací |
| Dokumentace k zabezpečení Microsoftu | Další pokyny k zabezpečení od Microsoftu |