Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Reakce na incidenty je postup vyšetřování a nápravy aktivních kampaní útoku ve vaší organizaci. Reakce na incidenty je součástí disciplíny operací zabezpečení (SecOps) a primárně je reaktivní v podstatě.
Reakce na incidenty má největší přímý vliv na celkovou střední dobu na potvrzení (MTTA) a střední dobu pro nápravu (MTTR), která měří, jak dobře jsou operace zabezpečení schopny snížit organizační riziko. Týmy reakce na incidenty silně spoléhají na dobré pracovní vztahy mezi týmy proaktivního vyhledávání hrozeb, inteligentními funkcemi a týmy pro správu incidentů (pokud jsou přítomné), aby skutečně snížily riziko. Další informace najdete v tématu Metriky SecOps.
Další informace o rolích a zodpovědnostech operací zabezpečení najdete v tématu Funkce Cloud SOC.
Proces reakce na incidenty
Prvním krokem je mít plán reakce na incidenty, který zahrnuje interní i externí procesy pro reakci na incidenty kybernetické bezpečnosti. Plán by měl podrobně popisovat, jak by vaše organizace měla:
- Řešte útoky, které se liší podle obchodního rizika a dopadu incidentu, který se může měnit od izolovaného webu, který už není dostupný, až po ohrožení přihlašovacích údajů na úrovni administrátora.
- Definujte účel odpovědi, například návrat do služby nebo řešení právních nebo vztahů s veřejností v souvislosti s aspekty útoku.
- Určete prioritu práce, kterou je potřeba udělat, pokud jde o to, kolik lidí by mělo na incidentu a jejich úkolech pracovat.
Podívejte se na článek plánování reakcí na incidenty pro kontrolní seznam aktivit, které byste měli zvážit včetně plánu reakce na incidenty. Jakmile je plán reakce na incidenty zavedený, pravidelně ho otestujte na nejvýraznější typy kybernetických útoků, abyste zajistili, že vaše organizace dokáže rychle a efektivně reagovat.
I když se proces reakce na incidenty jednotlivých organizací může lišit na základě organizační struktury a možností a historických zkušeností, zvažte sadu doporučení a osvědčených postupů v tomto článku pro reakci na incidenty zabezpečení.
Během incidentu je důležité:
Udržujte klid
Incidenty jsou extrémně rušivé a emocionálně nabité. Buďte klidní a zaměřte se nejprve na stanovení priorit úsilí na nejvýkonnější akce.
Neuškodit
Ověřte, že je vaše odpověď navržená a spuštěná způsobem, který zabraňuje ztrátě dat, ztrátě důležitých obchodních funkcí a ztrátě důkazů. Vyhněte se rozhodnutím, která můžou poškodit vaši schopnost vytvářet forenzní časové osy, identifikovat původní příčinu a učit se kritické lekce.
Zapojení právního oddělení
Zjistěte, zda plánují zapojit policii, abyste mohli odpovídajícím způsobem naplánovat postupy vyšetřování a nápravných opatření.
Při veřejném sdílení informací o incidentu buďte opatrní.
Ověřte, že vše, co sdílíte se zákazníky a veřejnost, vychází z poradenství vašeho právního oddělení.
Získání pomoci v případě potřeby
Při vyšetřování a reagování na útoky od sofistikovaných útočníků využijte hluboké znalosti a zkušenosti.
Podobně jako diagnostika a léčba lékařské nemoci vyžaduje vyšetřování kybernetické bezpečnosti a reakce na závažný incident ochranu systému, který je obojí:
- Kriticky důležité (nejde ho vypnout, abyste na něm mohli pracovat).
- Složité (obvykle nad rámec porozumění každé osobě).
Během incidentu musíte dosáhnout těchto kritických rovnováh:
Rychlost
Vyrovnejte potřebu rychle jednat tak, aby uspokojily zúčastněné strany s rizikem spěchaných rozhodnutí.
Sdílení informací
Informujte vyšetřovatele, zúčastněné strany a zákazníky na základě poradenství vašeho právního oddělení, aby omezili odpovědnost a vyhnuli se nerealistickým očekáváním.
Tento článek je navržený tak, aby snížil riziko incidentu kybernetické bezpečnosti vaší organizace tím, že identifikuje běžné chyby, abyste se vyhnuli a poskytli pokyny k akcím, které můžete rychle provést, aby se snížilo riziko a splňovaly potřeby zúčastněných stran.
Poznámka:
Další pokyny k přípravě organizace na ransomware a další typy vícefázových útoků najdete v tématu Příprava plánu obnovení.
Osvědčené postupy pro odpovědi
Reakce na incidenty je možné efektivně provádět z hlediska technického i provozního hlediska s těmito doporučeními.
Poznámka:
Podrobnější pokyny k odvětví najdete v průvodci zpracováním incidentů zabezpečení počítače NIST.
Osvědčené postupy pro technickou odezvu
Pro technické aspekty reakce na incidenty je potřeba vzít v úvahu některé cíle:
Pokuste se identifikovat rozsah operace útoku.
Většina protivníků používá více mechanismů perzistence.
Pokud je to možné, identifikujte cíl útoku.
Trvalí útočníci se často vracejí ke svému cíli (data/systémy) při budoucích útocích.
Tady je několik užitečných tipů:
Nenahrávejte soubory do online skenerů
Řada nežádoucích subjektů monitoruje počet instancí služeb, jako je VirusTotal, pro zjišťování cíleného malwaru.
Pečlivě zvažte úpravy.
Pokud nebudete čelit bezprostřední hrozbě ztráty důležitých obchodních dat, jako je odstranění, šifrování a exfiltrace, vyvažte riziko, že změny neprovedou s předpokládaným obchodním dopadem. Například dočasné vypnutí přístupu k internetu vaší organizace může být nezbytné k ochraně důležitých obchodních prostředků během aktivního útoku.
Pokud jsou změny nezbytné v případě, že riziko, že se akce neprovádí, je vyšší než riziko jeho provedení, zdokumentujte akci v protokolu změn. Změny provedené během reakce na incidenty se zaměřují na narušení útočníka a mohou negativně ovlivnit firmu. Tyto změny budete muset vrátit zpět po procesu obnovení.
Nevyšetřujte navždy
Musíte nemilosrdně určit prioritu vašeho vyšetřování. Například proveďte forenzní analýzu pouze u koncových bodů, které útočníci použili nebo upravili. Například v závažném incidentu, kdy má útočník oprávnění správce, je prakticky nemožné prozkoumat všechny potenciálně ohrožené prostředky (které můžou zahrnovat všechny prostředky organizace).
Sdílení informací
Ověřte, že všechny týmy pro vyšetřování, včetně všech interních týmů a externích vyšetřovatelů nebo poskytovatelů pojištění, sdílejí svá data na základě poradenství vašeho právního oddělení.
Přístup ke správným odborným znalostem
Ověřte, že do vyšetřování integrujete lidi s hlubokými znalostmi systémů, jako jsou interní pracovníci nebo externí entity, jako jsou dodavatelé, nejen generalisté zabezpečení.
Předvídání omezené možnosti odezvy
Naplánujte, že 50 % vašich zaměstnanců bude pracovat na 50 % běžné kapacity kvůli situačnímu stresu.
Klíčové očekávání, které je třeba sdílet s účastníky, je, že možná nikdy nebudete schopni identifikovat počáteční útok, protože data potřebná k identifikaci byla odstraněna před zahájením šetření, například útočník může zakrývat stopy manipulací s logy.
Osvědčené postupy pro odezvu provozu
V případě aspektů reakce na incidenty v případě operací zabezpečení (SecOps) je potřeba zvážit některé cíle:
Zůstaňte v soustředění
Ověřte, že se zaměřujete na důležitá obchodní data, dopad na zákazníky a připravte se na nápravu.
Zajištění koordinace a jasnosti rolí
Vytvořte odlišné role pro operace v podpoře krizového týmu a ověřte, že technické, právní a komunikační týmy se vzájemně informují.
Udržování obchodní perspektivy
Vždy byste měli zvážit dopad na obchodní operace nežádoucími akcemi i vlastními akcemi reakce.
Tady je několik užitečných tipů:
Zvažte systém řízení krizí (ICS) pro řízení incidentů.
Pokud nemáte trvalou organizaci, která spravuje bezpečnostní incidenty, doporučujeme použít ICS jako dočasnou organizační strukturu ke správě krize.
Udržování probíhajících denních operací beze změny
Ujistěte se, že běžné činnosti SecOps nejsou zcela odsunuty na vedlejší kolej ve prospěch vyšetřování incidentů. Tato práce ještě musí být udělána.
Vyhněte se zbytečnému utrácení
Mnoho velkých incidentů vede k nákupu drahých nástrojů zabezpečení pod tlakem, které se nikdy nenasazují nebo nepoužívají. Pokud během vyšetřování nemůžete nasadit a použít nástroj, který může zahrnovat nábor a školení pro další zaměstnance se sadami dovedností potřebnými k provozování nástroje, odložit získání až po dokončení šetření.
Přístup k hlubokým znalostem
Ověřte, že máte možnost eskalovat otázky a problémy hlubokým odborníkům na kritické platformy. Tato schopnost může vyžadovat přístup k operačnímu systému a dodavateli aplikací pro důležité obchodní systémy a podnikové komponenty, jako jsou stolní počítače a servery.
Vytvoření informačních toků
Nastavte jasné pokyny a očekávání pro tok informací mezi vedoucími vedoucími pracovníky reakce na incidenty a zúčastněnými stranami organizace. Další informace najdete v tématu plánování reakce na incidenty.
Osvědčené postupy pro obnovení
Zotavení z incidentů lze efektivně provádět z hlediska technických i provozních aspektů s těmito doporučeními.
Osvědčené postupy pro technické obnovení
Pro technické aspekty zotavení z incidentu je potřeba zvážit některé cíle:
Nevařte oceán
Omezte rozsah odpovědi tak, aby se operace obnovení spustila do 24 hodin nebo méně. Naplánujte víkend, který bude zohledňovat nepředvídané a opravné akce.
Vyhněte se rušivým prvkům
Odložte dlouhodobé investice do zabezpečení, jako je implementace rozsáhlých a složitých nových systémů zabezpečení nebo nahrazení antimalwarových řešení až po operaci obnovení. Cokoli, co nemá přímý a okamžitý dopad na aktuální operaci obnovení, je rušivé.
Tady je několik užitečných tipů:
Nikdy nenulovat všechna hesla najednou
Resetování hesel by se mělo nejprve zaměřit na známé ohrožené účty podle vašeho šetření, které mohou zahrnovat potenciální účty správců nebo služeb. V případě potřeby by se uživatelská hesla měla resetovat pouze fázovaným a řízeným způsobem.
Konsolidace vykonávání úkolů pro obnovení
Pokud nemáte bezprostřední hrozbu ztráty důležitých obchodních dat, měli byste naplánovat konsolidovanou operaci, která rychle opraví všechny ohrožené prostředky (jako jsou hostitelé a účty) a napraví ohrožené prostředky, jakmile je najdete. Komprese tohoto časového intervalu znesnadňuje operátorům útoku přizpůsobit a udržovat trvalost.
Použití existujících nástrojů
Projděte si a využijte možnosti nástrojů, které jste nasadili, než se pokusíte nasadit a naučit se nový nástroj během obnovení.
Vyhněte se upozornění svého protivníka
V praxi byste měli podniknout kroky k omezení informací, které jsou k dispozici protivníkům o obnovení operaci. Nežádoucí osoba mají obvykle přístup ke všem produkčním datům a e-mailům v závažném incidentu kybernetické bezpečnosti. Ve skutečnosti ale většina útočníků nemá čas monitorovat veškerou vaši komunikaci.
Microsoft Security Operations Center (SOC) používá neprodukčního tenanta Microsoftu 365 pro zabezpečenou komunikaci a spolupráci členů týmu reakce na incidenty.
Osvědčené postupy pro obnovení provozu
Pro provozní aspekty zotavení z incidentu je potřeba zvážit některé cíle:
Mít jasný plán a omezený rozsah
Úzce spolupracovat s technickými týmy na vytvoření jasného plánu s omezeným rozsahem. Plány se sice můžou měnit na základě nežádoucí aktivity nebo nových informací, ale měli byste pečlivě pracovat na omezení rozsahu rozšíření rozsahu a provádění dalších úkolů.
Mít jasno v odpovědnosti za plán
Operace zotavení zahrnují mnoho lidí, kteří najednou provádějí mnoho různých úkolů, takže určete vedoucí projektu pro operaci, aby bylo jasné rozhodování a konečné informace, které se mají protékat mezi týmem krize.
Údržba komunikace zúčastněných stran
Spolupracujte s komunikačními týmy, které poskytují včasné aktualizace a aktivní řízení očekávání pro účastníky organizace.
Tady je několik užitečných tipů:
Seznámení s možnostmi a limity
Správa hlavních bezpečnostních incidentů je velmi náročná, velmi složitá a nová pro mnoho odborníků v oboru. Pokud jsou vaše týmy zahlcené nebo nemají jistotu, co dělat dál, měli byste zvážit možnost získat odborné znalosti od externích organizací nebo profesionálních služeb.
Zachycení získaných poznatků
Vytvářejte a průběžně vylepšete příručky specifické pro role pro SecOps, i když se jedná o váš první incident bez jakýchkoli psaných postupů.
Komunikace na úrovni vedení a představenstva pro reakce na incidenty může být náročná, pokud se nenacvičuje a nepředvídá. Ujistěte se, že máte komunikační plán pro správu vykazování průběhu a očekávání pro obnovení.
Proces reakce na incidenty pro SecOps
Zvažte tyto obecné pokyny k procesu reakce na incidenty pro váš SecOps tým a zaměstnance.
1. Rozhodnutí a jednání
Jakmile nástroj pro detekci hrozeb, jako je Microsoft Sentinel nebo XDR v programu Microsoft Defender, zjistí pravděpodobné útoky, vytvoří incident. Průměrná doba reakce (MTTA) SOC se začíná měřit časem, kdy si bezpečnostní pracovníci všimnou útoku.
Analytik na směně je pověřen řešením incidentu a provádí úvodní analýzu. Časové razítko pro toto je konec měření odezvy MTTA a začátek měření střední doby nápravy (MTTR).
Když analytik, který spravuje incident, získá dostatečně vysokou úroveň jistoty, že rozumí obrazu a rozsahu útoku, může rychle přejít k plánování a provádění čistících kroků.
V závislosti na povaze a rozsahu útoku mohou vaši analytici průběžně čistit artefakty útoku (jako jsou e-maily, koncové body a identity), nebo mohou vytvořit seznam ohrožených prostředků, které se mají vyčistit najednou (známé jako Big Bang).
Průběžně uklízet
U nejběžnějších incidentů zjištěných v rané fázi operace útoku můžou analytici rychle vyčistit artefakty, jak je najdou. Tento postup umístí nežádoucí osobu do nevýhody a zabrání mu v přechodu k další fázi útoku.
Příprava na velký bang
Tento přístup je vhodný pro scénář, kdy se nežádoucí osoba již urovnala a vytvořila redundantní přístupové mechanismy pro vaše prostředí. Tento postup se často projevuje v zákaznických incidentech vyšetřovaných týmem pro reakci na incidenty společnosti Microsoft. V tomto přístupu by se analytici měli vyhnout upozornění protivníka až do úplného zjištění přítomnosti útočníka, protože překvapení může pomoci s úplným narušením jejich operace.
Microsoft zjistil, že částečná remediace často upozorní útočníka, což mu dává šanci reagovat a rychle incident zhoršit. Útočník může například útok rozšířit dál, změnit metody přístupu, aby se vyhnul detekci, pokryje stopy a způsobí poškození dat a systému a zničení za pomstu.
Čištění phishingových a škodlivých e-mailů lze často provést, aniž by byl útočník upozorněn, ale vyčištění hostitelského malwaru a obnovení kontroly nad účty je pravděpodobné, že bude odhaleno.
Nejsou to jednoduchá rozhodnutí, která je potřeba udělat, a není tam žádná náhrada za zkušenosti při provádění těchto rozhodnutí. Pracovní prostředí a kultura spolupráce ve vašem SOC pomáhá zajistit, aby analytici mohli vzájemně využívat zkušenosti.
Konkrétní kroky reakce závisí na povaze útoku, ale mezi nejběžnější postupy používané analytiky patří:
Koncové body klienta (zařízení)
Izolujte koncový bod a kontaktujte uživatele nebo IT operace/helpdesk a zahajte přeinstalaci.
Server nebo aplikace
Spolupracujte s IT operacemi a vlastníky aplikací, aby bylo možné zajistit rychlé odstranění těchto prostředků.
Uživatelské účty
Uvolněte řízení zakázáním účtu a resetováním hesla pro ohrožené účty. Tyto postupy se mohou vyvíjet při přechodu uživatelů na ověřování bez hesla pomocí Windows Hello nebo jiné formy vícefaktorového ověřování (MFA). Samostatným krokem je vypršení platnosti všech ověřovacích tokenů pro účet v programu Microsoft Defender for Cloud Apps.
Vaši analytici také můžou zkontrolovat telefonní číslo spojené s metodou vícefaktorového ověřování a registraci zařízení, aby se ujistili, že nedošlo k jejich zneužití. Mohou při potřebě kontaktovat uživatele a resetovat tyto informace.
Účty služeb
Vzhledem k vysokému riziku dopadu na službu nebo podnikání by vaši analytici měli spolupracovat s odpovědnou osobou za účet služby, a podle potřeby se obrátit na IT operace, aby zajistili rychlou nápravu těchto prostředků.
E-maily
Odstraňte útok nebo phishingový e-mail a někdy je vymažte, aby uživatelé nemohli obnovit odstraněné e-maily. Vždy si uložte kopii původního e-mailu pro pozdější hledání analýzy po útoku, jako jsou hlavičky, obsah a skripty nebo přílohy.
Jiný
Vlastní akce můžete spouštět na základě povahy útoku, jako je odvolání tokenů aplikací a změna konfigurace serverů a služeb.
2. Vyčištění po incidentu
Protože nevyužijete osvojené poznatky, dokud neprovedete změny v budoucích akcích, vždy integrujte všechny užitečné informace získané během šetření zpět do vašeho SecOps.
Určete propojení mezi minulými a budoucími incidenty stejnými aktéry hrozeb nebo metodami a zachyťte tyto poznatky, abyste se vyhnuli opakování ruční práce a zpoždění analýzy v budoucnu.
Tyto poznatky mohou mít mnoho forem, ale mezi běžné postupy patří analýza:
Indikátory ohrožení zabezpečení (IoCS).
Zaznamenejte všechny použitelné iocs, jako jsou hodnoty hash souborů, škodlivé IP adresy a atributy e-mailu, do systémů ANALÝZY hrozeb SOC.
Neznámé nebo neopravované zranitelnosti.
Vaši analytici můžou inicializovat procesy, které zajistí, že se použijí chybějící opravy zabezpečení, opraví se chybná konfigurace a dodavatelé (včetně Microsoftu) budou informováni o ohrožení zabezpečení "nula dnů", aby mohli vytvářet a distribuovat opravy zabezpečení.
Interní akce, jako je povolení protokolování u prostředků, které zahrnují vaše cloudové a místní zdroje.
Zkontrolujte stávající standardní hodnoty zabezpečení a zvažte přidání nebo změnu kontrolních mechanismů zabezpečení. Informace o povolení odpovídající úrovně auditování v adresáři před dalším incidentem najdete například v průvodci operacemi zabezpečení Microsoft Entra.
Zkontrolujte procesy reakce a identifikujte a vyřešte případné mezery zjištěné během incidentu.
Zdroje informací o reakcích na incidenty
- Plánování pro váš SOC
- Playbooky s podrobnými pokyny k reagování na běžné metody útoku
- Reakce na incident XDR v programu Microsoft Defender
- Microsoft Defender for Cloud (Azure)
- Řešení incidentů v Microsoft Sentinel
- Průvodce týmem reakce na incidenty Microsoftu sdílí osvědčené postupy pro týmy zabezpečení a vedoucí pracovníky.
- Průvodci reakcemi na incidenty Microsoftu pomáhají týmům zabezpečení analyzovat podezřelou aktivitu
Klíčové prostředky zabezpečení Microsoftu
| Zdroj | Popis |
|---|---|
| 2023 Microsoft Digital Defense Report | Sestava, která zahrnuje poznatky od odborníků na zabezpečení, praktiků a obránců v Microsoftu, aby lidé na celém světě mohli lépe chránit před kybernetickými hrozbami. |
| Referenční architektury kyberbezpečnosti Microsoftu | Sada diagramů vizuální architektury, které ukazují možnosti kybernetické bezpečnosti Microsoftu a jejich integraci s cloudovými platformami Microsoftu, jako jsou Microsoft 365 a Microsoft Azure a cloudové platformy a aplikace třetích stran. |
| Infografika Minuty jsou důležité ke stažení | Přehled toho, jak tým SecOps od Microsoftu reaguje na incidenty za účelem zmírnění probíhajících útoků. |
| Operace zabezpečení architektury přechodu na cloud Azure | Strategické pokyny pro vedoucí pracovníky, kteří navazují nebo modernizují funkci operace zabezpečení. |
| Osvědčené postupy zabezpečení Microsoftu pro operace zabezpečení | Jak nejlépe využít centrum SecOps k rychlejšímu pohybu než útočníci, kteří cílí na vaši organizaci. |
| Zabezpečení cloudu Microsoftu pro model IT architektů | Zabezpečení napříč cloudovými službami a platformami Microsoftu pro přístup k identitám a zařízením, ochranu před hrozbami a ochranu informací |
| Dokumentace k zabezpečení Microsoftu | Další pokyny k zabezpečení od Microsoftu |