Incidenskezelés áttekintése

Az incidenskezelés a szervezet aktív támadási kampányainak kivizsgálásának és szervizelésének gyakorlata. Az incidenskezelés a biztonsági műveletek (SecOps) szemléletének része, és elsősorban reaktív jellegű.

Az incidenskezelés a legnagyobb közvetlen hatással van a nyugtázás teljes középidejének (MTTA) és a szervizelés (MTTR) átlagos idejére, amely azt méri, hogy a biztonsági műveletek mennyire képesek csökkenteni a szervezeti kockázatokat. Az incidenskezelési csapatok nagy mértékben támaszkodnak a veszélyforrás-keresés, az intelligencia és az incidenskezelési csapatok közötti jó munkakapcsolatokra (ha vannak ilyenek), hogy ténylegesen csökkentsék a kockázatokat. További információ: SecOps-metrikák.

A biztonsági műveletek szerepköreivel és feladataival kapcsolatos további információkért tekintse meg a felhőbeli SOC-függvényeket.

Incidenskezelési folyamat

Az első lépés egy olyan incidenskezelési terv létrehozása , amely magában foglalja a kiberbiztonsági incidensekre való reagálás belső és külső folyamatait is. A tervnek részletesen meg kell részleteznie, hogyan kell a szervezetnek:

  • Az incidens üzleti kockázatától és hatásától függően eltérő támadások elhárítása, amelyek a rendszergazdai szintű hitelesítő adatok biztonsága érdekében már nem elérhető izolált webhelyektől eltérőek lehetnek.
  • Határozza meg a válasz célját, például a szolgáltatáshoz való visszatérést vagy a támadás jogi vagy public relations aspektusainak kezelését.
  • Fontossági sorrendbe kell helyezni a szükséges munkát annak függvényében, hogy hányan dolgozhassanak az incidensen és a feladataikon.

Tekintse meg az incidenskezelés tervezéséről szóló cikket azoknak a tevékenységeknek az ellenőrzőlistájáról, amelyeket érdemes figyelembe vennie az incidenskezelési tervben is. Miután elkészült az incidenskezelési terv, tesztelje rendszeresen a legkomolyabb kibertámadások esetében, hogy szervezete gyorsan és hatékonyan válaszolhasson.

Bár az egyes szervezetek incidenskezelési folyamata eltérő lehet a szervezeti struktúra, a képességek és a korábbi tapasztalatok alapján, vegye figyelembe a jelen cikkben a biztonsági incidensekre való válaszadásra vonatkozó javaslatok és ajánlott eljárások készletét.

Egy incidens során kritikus fontosságú a következő:

  • Őrizze meg a nyugalmát

    Az incidensek rendkívül zavaróak, és érzelmileg megterhelővé válhatnak. Maradjon nyugodt, és összpontosítson arra, hogy az erőfeszítéseit a leghatásosabb műveletekre összpontosítsa.

  • Ne okozz kárt

    Győződjön meg arról, hogy a válasz úgy lett megtervezve és végrehajtva, hogy elkerülje az adatok elvesztését, az üzleti szempontból kritikus funkciók elvesztését és a bizonyítékok elvesztését. Kerülje azokat a döntéseket, amelyek ronthatják a törvényszéki idővonal létrehozását, a kiváltó ok azonosítását és a kritikus tanulságok elsajátítását.

  • A jogi részleg bevonása

    Állapítsa meg, hogy tervezik-e a bűnüldöző szervek bevonását, hogy megfelelően megtervezhesse a vizsgálati és helyreállítási eljárásokat.

  • Legyen óvatos, amikor nyilvánosan megosztja az incidenssel kapcsolatos információkat

    Győződjön meg arról, hogy minden, amit megoszt az ügyfeleivel és a nyilvánossággal, a jogi részleg tanácsán alapul.

  • Szükség esetén segítség kérése

    A kifinomult támadók támadásainak kivizsgálása és megválaszolása során mély szakértelemmel és tapasztalattal rendelkezhet.

Az orvosi betegségek diagnosztizálásához és kezeléséhez hasonlóan a kiberbiztonsági vizsgálathoz és a súlyos incidensekre adott válaszhoz is meg kell védeni egy olyan rendszert, amely mindkettő:

  • Kritikus fontosságú (nem lehet leállítani, hogy működjön rajta).
  • Összetett (általában egy személy érthetőségén túl).

Egy incidens során a következő kritikus egyenlegeket kell átütnie:

  • Sebesség

    Egyensúlyba kell hozni a gyors cselekvés szükségességét, hogy kielégítse az érdekelt feleket a sietős döntések kockázatával.

  • Információk megosztása

    Tájékoztassa a nyomozókat, az érdekelt feleket és az ügyfeleket a jogi részleg tanácsára, hogy korlátozza a felelősséget, és ne állítsa be az irreális elvárásokat.

Ez a cikk úgy lett kialakítva, hogy csökkentse a szervezetre nézve a kiberbiztonsági incidensek kockázatát azáltal, hogy azonosítja azokat a gyakori hibákat, amelyek elkerülhetők, és útmutatást ad arról, hogy milyen műveleteket hajthat végre gyorsan, amelyek csökkentik a kockázatot, és megfelelnek az érdekelt felek igényeinek.

Feljegyzés

A szervezet zsarolóprogramokra és más, többfázisú támadásokra való előkészítésével kapcsolatos további útmutatásért lásd : Helyreállítási terv előkészítése.

Ajánlott válaszkezelési eljárások

Az incidensekre való reagálás műszaki és üzemeltetési szempontból is hatékonyan elvégezhető ezekkel a javaslatokkal.

Feljegyzés

Részletesebb iparági útmutatásért tekintse meg a NIST számítógépes biztonsági incidenskezelési útmutatóját.

A műszaki válasz ajánlott eljárásai

Az incidenskezelés technikai aspektusai tekintetében az alábbiakat érdemes megfontolni:

  • Próbálja meg azonosítani a támadási művelet hatókörét.

    A legtöbb támadó több adatmegőrzési mechanizmust használ.

  • Ha lehetséges, azonosítsa a támadás célját.

    Az állandó támadók gyakran visszatérnek a céljukhoz (adatok/rendszerek) egy későbbi támadás során.

Íme néhány hasznos tipp:

  • Ne töltsön fel fájlokat online képolvasókba

    Sok támadó figyeli a példányokat olyan szolgáltatásokra, mint a VirusTotal a célzott kártevők felderítésére.

  • Körültekintően fontolja meg a módosításokat

    Hacsak nem szembesül azzal a közvetlen fenyegetéssel, hogy elveszíti az üzletileg kritikus fontosságú adatokat (például törlést, titkosítást és kiszivárgást), kiegyensúlyozza annak kockázatát, hogy a módosítás nem lesz a tervezett üzleti hatással. Előfordulhat például, hogy a szervezet internet-hozzáférésének ideiglenes leállítása szükséges lehet az üzleti szempontból kritikus fontosságú objektumok védelméhez egy aktív támadás során.

    Ha olyan módosításokra van szükség, amelyeknél nagyobb a kockázat, hogy egy műveletet nem hajtanak végre, dokumentálja a műveletet egy változásnaplóban. Az incidenskezelés során végrehajtott módosítások a támadó megzavarására összpontosítanak, és kedvezőtlen hatással lehetnek az üzletre. A helyreállítási folyamat után vissza kell állítania ezeket a módosításokat.

  • Ne vizsgálja meg örökre

    Könyörtelenül rangsorolnia kell a nyomozási erőfeszítéseit. Például csak olyan végpontokon végezzen törvényszéki elemzést, amelyeket a támadók használtak vagy módosítottak. Például egy olyan súlyos incidensben, amelyben a támadó rendszergazdai jogosultságokkal rendelkezik, gyakorlatilag lehetetlen kivizsgálni az összes potenciálisan sérült erőforrást (amely az összes szervezeti erőforrást is magában foglalhatja).

  • Információk megosztása

    Győződjön meg arról, hogy az összes vizsgálati csoport, beleértve az összes belső csapatot, valamint a külső nyomozókat vagy biztosítókat is, a jogi részleg tanácsának megfelelően megosztják egymással az adataikat.

  • A megfelelő szakértelem elérése

    Győződjön meg arról, hogy a rendszerekkel kapcsolatos mély ismeretekkel rendelkező személyeket integrálja a vizsgálatba – például belső személyzetet vagy külső entitásokat, például szállítókat –, nem csak a biztonsági általános szakembereket.

  • Csökkentett válaszképesség várható

    Tervezze meg, hogy a személyzet 50%-a a normál kapacitás 50%-ában működjön a helyzeti stressz miatt.

Az érdekelt felekkel való kezelés egyik legfontosabb elvárása, hogy soha ne tudja azonosítani a kezdeti támadást, mert az azonosításhoz szükséges adatokat a vizsgálat megkezdése előtt törölték, például egy támadó, aki naplógördítéssel fedi le a nyomait.

Az üzemeltetési válasz ajánlott eljárásai

Az incidenskezelés biztonsági műveleteinek (SecOps) aspektusai esetében az alábbiakat érdemes megfontolni:

  • Koncentráltság

    Győződjön meg arról, hogy az üzleti szempontból kritikus adatokra, az ügyfelekre gyakorolt hatásra és a szervizelésre való felkészülésre összpontosít.

  • A koordináció és a szerepkörök egyértelműségének biztosítása

    Különböző szerepköröket alakít ki a válságkezelő csapat támogatása érdekében végzett műveletekhez, és megerősíti, hogy a technikai, jogi és kommunikációs csapatok folyamatosan tájékoztatják egymást.

  • Az üzleti szemlélet megtartása

    Mindig figyelembe kell vennie az üzleti műveletekre gyakorolt hatást mind a támadó műveletek, mind a saját válaszműveletek által.

Íme néhány hasznos tipp:

  • Fontolja meg az incidenskezelő rendszer (ICS) használatát a válságkezeléshez

    Ha nem rendelkezik olyan állandó szervezettel, amely biztonsági incidenseket kezel, javasoljuk, hogy ideiglenes szervezeti struktúraként használja az ICS-t a válság kezelésére.

  • A folyamatos napi műveletek érintetlenek maradnak

    Győződjön meg arról, hogy a normál SecOps nincs teljesen mellékvonalban az incidensvizsgálatok támogatásához. Ezt a munkát még el kell végezni.

  • Kerülje a pazarló kiadásokat

    Számos jelentős incidens esetén olyan költséges biztonsági eszközöket vásárolnak, amelyeket soha nem helyeznek üzembe vagy használnak. Ha a vizsgálat során nem tud üzembe helyezni és használni egy eszközt, amely magában foglalhatja az eszköz működtetéséhez szükséges képességkészletekkel rendelkező személyzet felvételét és betanítását, a vizsgálat befejezéséig halaszthatja a beszerzést.

  • Mély szakértelem elérése

    Győződjön meg arról, hogy képes kérdéseket és problémákat eszkalálni a kritikus platformok mély szakértőinek. Ez a képesség üzletileg kritikus fontosságú rendszerekhez és nagyvállalati szintű összetevőkhöz, például asztali számítógépekhez és kiszolgálókhoz való hozzáférést igényelhet az operációs rendszer és az alkalmazás gyártójához.

  • Adatfolyamok létrehozása

    Világos útmutatást és elvárásokat állíthat be a vezető incidenskezelési vezetők és a szervezet érdekelt felei közötti információáramláshoz. További információ: incidenskezelés tervezése.

Ajánlott helyreállítási eljárások

Az incidensek utáni helyreállítás műszaki és üzemeltetési szempontból is hatékonyan elvégezhető ezekkel a javaslatokkal.

Ajánlott műszaki helyreállítási eljárások

Az incidensből való helyreállítás technikai szempontjait az alábbiakban érdemes megfontolni:

  • Ne forrald fel az óceánt

    Korlátozza a válasz hatókörét, hogy a helyreállítási művelet legalább 24 órán belül végrehajtható legyen. Tervezze meg a hétvégét, hogy figyelembe vegyék a vészhelyzeteket és a korrekciós műveleteket.

  • Kerülje a zavaró tényezőket

    Halasztja a hosszú távú biztonsági beruházásokat, például nagy és összetett új biztonsági rendszerek implementálását vagy kártevőirtó megoldások cseréjét a helyreállítási műveletig. Bármi, ami nincs közvetlen és azonnali hatással az aktuális helyreállítási műveletre, zavaró.

Íme néhány hasznos tipp:

  • Soha ne állítsa vissza egyszerre az összes jelszót

    A jelszó-visszaállításnak elsősorban az ismert, feltört fiókokra kell összpontosítania a vizsgálat alapján, és potenciálisan rendszergazdai vagy szolgáltatásfiókok lehetnek. Ha ez indokolt, a felhasználói jelszavakat csak szakaszos és szabályozott módon szabad alaphelyzetbe állítani.

  • Helyreállítási feladatok végrehajtásának konszolidálása

    Ha nem szembesül az üzletileg kritikus fontosságú adatok elvesztésének közvetlen veszélyével, konszolidált műveletet kell megterveznie, hogy gyorsan szervizelje az összes sérült erőforrást (például gazdagépeket és fiókokat) és a sérült erőforrásokat, miközben megtalálja őket. Az időablak tömörítése megnehezíti a támadási operátorok alkalmazkodását és megőrzését.

  • Meglévő eszközök használata

    Az üzembe helyezett eszközök képességeinek kutatása és használata, mielőtt megpróbálna üzembe helyezni és megtanulni egy új eszközt a helyreállítás során.

  • Ne billentse le a támadóját

    Gyakorlatias lépésként meg kell tennie a helyreállítási művelettel kapcsolatos támadók számára elérhető információk korlátozását. A támadók általában minden éles adathoz és e-mailhez hozzáférnek egy jelentős kiberbiztonsági incidens során. A valóságban azonban a legtöbb támadónak nincs ideje az összes kommunikáció figyelésére.

    A Microsoft Security Operations Center (SOC) egy nem éles Microsoft 365-bérlőt használ a biztonságos kommunikációhoz és együttműködéshez az incidenskezelési csapat tagjai számára.

Az operations recovery ajánlott eljárásai

Az incidensből való helyreállítás üzemeltetési szempontjait az alábbiakban érdemes megfontolni:

  • Világos tervvel és korlátozott hatókörrel rendelkezik

    A technikai csapatokkal szorosan együttműködve hozzon létre egy világos, korlátozott hatókörű tervet. Bár a tervek a támadó tevékenység vagy az új információk alapján változhatnak, szorgalmasan kell dolgoznia a hatókör bővítésének korlátozása és a további feladatok elvégzése érdekében.

  • Világos tervtulajdonnal rendelkezik

    A helyreállítási műveletek sok embert vonnak magukba, akik egyszerre számos különböző feladatot végeznek, ezért jelöljön ki egy projektvezetőt a művelethez, hogy egyértelmű döntéshozatalt és végleges információkat hozzon létre a válságkezelő csapat között.

  • Az érdekelt felek kommunikációinak karbantartása

    A kommunikációs csapatokkal együttműködve időben frissíthet és aktív várakozáskezelést biztosíthat a szervezeti érdekelt felek számára.

Íme néhány hasznos tipp:

  • A képességek és a korlátok megismerése

    A jelentős biztonsági incidensek kezelése nagyon nehéz, nagyon összetett és új az iparág számos szakembere számára. Érdemes megfontolnia a külső szervezetek vagy szakmai szolgáltatások szakértelmét, ha csapatai túlterheltek, vagy nem biztos abban, hogy mi a következő lépés.

  • A tanultak rögzítése

    A SecOps szerepkör-specifikus kézikönyveinek készítése és folyamatos fejlesztése még akkor is, ha ez az első esete írásos eljárások nélkül.

Az incidenskezelés vezetői és igazgatósági szintű kommunikációja kihívást jelenthet, ha nem gyakorolják vagy nem várják el. Győződjön meg arról, hogy rendelkezik egy kommunikációs tervvel az előrehaladási jelentések és a helyreállítási elvárások kezeléséhez.

A SecOps incidenskezelési folyamata

Tekintse át ezt az általános útmutatást a SecOps és az alkalmazottak incidenskezelési folyamatával kapcsolatban.

1. Döntés és cselekvés

Miután egy fenyegetésészlelő eszköz, például a Microsoft Sentinel vagy a Microsoft Defender XDR észleli a valószínű támadást, incidenst hoz létre. Az SOC válaszképességének átlagos nyugtázási ideje (MTTA) azzal az időponttal kezdődik, amikor a biztonsági személyzet észleli a támadást.

A műszakban lévő elemző delegálva van, vagy átveszi az incidens tulajdonjogát, és elvégzi a kezdeti elemzést. Ennek időbélyege az MTTA válaszképesség-mérésének vége, és megkezdi a szervizelés középidejét (MTTR).

Mivel az incidenst birtoklő elemző elég magas szintű megbízhatóságot fejleszt ki ahhoz, hogy megértse a támadás történetét és hatókörét, gyorsan áttérhet a tisztítási műveletek tervezésére és végrehajtására.

A támadás jellegétől és hatókörétől függően az elemzők akár útközben is megtisztíthatják a támadási összetevőket (például e-maileket, végpontokat és identitásokat), vagy létrehozhatnak egy listát a sérült erőforrásokról, hogy egyszerre megtisztítsa őket (más néven Big Bang).

  • Tisztítás útközben

    A támadási művelet korai szakaszában észlelt legtöbb tipikus incidens esetén az elemzők gyorsan megtisztíthatják az összetevőket, amint megtalálják őket. Ez a gyakorlat hátrányba helyezi a támadót, és megakadályozza, hogy a támadás következő szakaszával továbblépjenek.

  • Felkészülés az ősrobbanásra

    Ez a megközelítés olyan forgatókönyvekhez megfelelő, amikor egy támadó már megállapodott és redundáns hozzáférési mechanizmusokat hozott létre a környezethez. Ezt a gyakorlatot gyakran tapasztalják a Microsoft észlelési és válaszcsapata (DART) által vizsgált ügyfélesemények. Ebben a megközelítésben az elemzőknek kerülniük kell, hogy a támadó jelenlétének teljes felderítéséig felboruljanak a támadók, mert a meglepetés segíthet a művelet teljes megzavarásában.

    A Microsoft megtudta, hogy a részleges szervizelés gyakran tippeket ad egy támadónak, ami lehetőséget ad számukra, hogy reagáljanak, és gyorsan rontsák az incidenst. A támadó például tovább terjesztheti a támadást, módosíthatja a hozzáférési módszereit, hogy elkerülje az észlelést, fedezze a nyomokat, és bosszúból adat- és rendszerkárosítást és megsemmisítést okozzon.

    Az adathalászat és a rosszindulatú e-mailek tisztítása gyakran elvégezhető anélkül, hogy felborítanák a támadót, de a gazdagép kártevőinek megtisztítása és a fiókok irányításának visszaszerzése nagy eséllyel felderítést igényel.

Ezek nem könnyű döntéseket hozni, és nem helyettesíti a tapasztalat, hogy ezeket az ítélethívásokat. Az SOC együttműködésen alapuló munkakörnyezete és kultúrája biztosítja, hogy az elemzők egymás tapasztalataira is rákoppinthassanak.

A konkrét válaszlépések a támadás jellegétől függenek, de az elemzők által leggyakrabban használt eljárások a következők lehetnek:

  • Ügyfélvégpontok (eszközök)

    Elkülönítheti a végpontot, és kapcsolatba léphet a felhasználóval vagy az informatikai műveletekkel/ügyfélszolgálattal az újratelepítési eljárás kezdeményezéséhez.

  • Kiszolgáló vagy alkalmazások

    Az informatikai műveletek és az alkalmazástulajdonosok együttműködése ezeknek az erőforrásoknak a gyors szervizelése érdekében.

  • Felhasználói fiókok

    A fiók letiltásával és a feltört fiókok jelszavának alaphelyzetbe állításával visszaveheti az irányítást. Ezek az eljárások a Windows Hello vagy más többtényezős hitelesítés (MFA) használatával történő jelszó nélküli hitelesítésre való áttérés során alakulhatnak ki. Egy külön lépés a fiókhoz tartozó összes hitelesítési jogkivonat lejárata Felhőhöz készült Microsoft Defender Apps használatával.

    Az elemzők áttekinthetik az MFA-metódus telefonszámát és az eszközregisztrációt is, hogy meggyőződjenek arról, hogy a rendszer nem tér el a felhasználótól, és szükség szerint alaphelyzetbe állíthatja ezeket az adatokat.

  • Szolgáltatásfiókok

    A szolgáltatás vagy az üzleti hatás magas kockázata miatt az elemzőknek együtt kell működniük a szolgáltatásfiók rekordtulajdonosával, és szükség szerint vissza kell esnie az informatikai műveletekre ezeknek az erőforrásoknak a gyors szervizelése érdekében.

  • E-mailek

    Törölje a támadást vagy az adathalász e-maileket, és időnként törölje őket, hogy megakadályozza a felhasználók számára a törölt e-mailek helyreállítását. Mindig mentse az eredeti e-mail másolatát a támadás utáni elemzések későbbi kereséséhez, például fejlécekhez, tartalmakhoz és szkriptekhez vagy mellékletekhez.

  • Egyéb

    A támadás jellege alapján egyéni műveleteket hajthat végre, például visszavonhatja az alkalmazásjogkivonatokat, és újrakonfigurálhatja a kiszolgálókat és szolgáltatásokat.

2. Incidens utáni tisztítás

Mivel a tanult leckék mindaddig nem hasznosak, amíg nem módosítja a jövőbeli műveleteket, mindig integrálja a vizsgálatból tanult hasznos információkat a SecOpsba.

Azonos veszélyforrás-szereplők vagy módszerek alapján határozza meg a múltbeli és a jövőbeli incidensek közötti kapcsolatokat, és rögzítse ezeket a tanulságokat, hogy a jövőben ne ismétlődjön meg a manuális munka és elemzés késleltetése.

Ezek a tanulások számos formát ölthetnek, de a gyakori eljárások közé tartozik a következők elemzése:

  • A biztonsági rések (IoCs- k) mutatói.

    Rögzítse a megfelelő IoCs-eket, például a fájlkivonatokat, a rosszindulatú IP-címeket és az e-mail-attribútumokat az SOC fenyegetésintelligencia-rendszereibe.

  • Ismeretlen vagy nem javított biztonsági rések.

    Az elemzők olyan folyamatokat kezdeményezhetnek, amelyek biztosítják a hiányzó biztonsági javítások alkalmazását, a helytelen konfigurációk kijavítását, és a szállítók (köztük a Microsoft) értesítést kapnak a "nulla napos" biztonsági résekről, hogy biztonsági javításokat hozzanak létre és terjeszthessenek.

  • Belső műveletek, például a felhőalapú és helyszíni erőforrásokat lefedő eszközök naplózásának engedélyezése.

    Tekintse át a meglévő biztonsági alapkonfigurációkat, és fontolja meg a biztonsági vezérlők hozzáadását vagy módosítását. A következő incidens bekövetkezése előtt például tekintse meg a Microsoft Entra biztonsági üzemeltetési útmutatóját arról, hogyan engedélyezheti a címtárban a megfelelő szintű naplózást.

Tekintse át a válaszfolyamatokat az incidens során észlelt hiányosságok azonosításához és megoldásához.

Incidenskezelési erőforrások

A Microsoft legfontosabb biztonsági erőforrásai

Erőforrás Leírás
2023-Microsoft Digitális védelmi jelentés Egy jelentés, amely a Microsoft biztonsági szakértőitől, gyakorlóitól és védőitől származó ismereteket foglalja magában, hogy mindenhol lehetővé tegye a felhasználók számára a kibertámadások elleni védekezést.
A Microsoft kiberbiztonsági referenciaarchitektúrái Vizuális architektúradiagramok, amelyek bemutatják a Microsoft kiberbiztonsági képességeit és a Microsoft felhőplatformokkal , például a Microsoft 365-kel és a Microsoft Azure-nal, valamint külső felhőplatformokkal és alkalmazásokkal való integrációját.
Percek anyagának infografika letöltése Áttekintés arról, hogy a Microsoft SecOps csapata hogyan reagál az incidensekre a folyamatban lévő támadások mérséklése érdekében.
Azure felhőadaptálási keretrendszer biztonsági műveletek Stratégiai útmutató a biztonsági műveleti funkció kialakításához vagy modernizálásához vezető vezetők számára.
A Microsoft biztonsági ajánlott eljárásai a biztonsági műveletekhez Hogyan használhatja a Legjobban a SecOps-központot, hogy gyorsabban mozogjon, mint a szervezetet célzó támadók.
Microsoft cloud security for IT architects model A Microsoft felhőszolgáltatásainak és platformjainak biztonsága identitás- és eszközhozzáférés, fenyegetésvédelem és információvédelem céljából.
A Microsoft biztonsági dokumentációja További biztonsági útmutató a Microsofttól.