Proces reagowania na incydenty

Pierwszym krokiem jest utworzenie planu reagowania na incydenty , który obejmuje zarówno wewnętrzne, jak i zewnętrzne procesy reagowania na incydenty związane z cyberbezpieczeństwem. Plan powinien zawierać szczegółowe informacje o tym, jak powinna wyglądać Twoja organizacja:

  • Zaadresuj ataki, które różnią się w zależności od ryzyka biznesowego i wpływu incydentu, które mogą się różnić w zależności od odizolowanej witryny internetowej, która nie jest już dostępna w przypadku naruszenia poświadczeń na poziomie administratora.
  • Zdefiniuj cel reakcji, na przykład powrót do służby lub obsługę prawnych lub public relations aspektów ataku.
  • Nadaj priorytet pracy, którą należy wykonać, pod względem liczby osób, które powinny pracować nad danym incydentem i ich zadaniami.

Zapoznaj się z artykułem planowania reakcji na zdarzenia , aby zapoznać się z listą kontrolną działań, które należy rozważyć, uwzględniając je w planie reagowania na incydenty. Po wdrożeniu planu reagowania na incydenty regularnie przetestuj go pod kątem najpoważniejszych rodzajów cyberataków, aby upewnić się, że Twoja organizacja może szybko i skutecznie reagować.

Mimo że proces reagowania każdej organizacji na zdarzenia może się różnić w zależności od struktury i możliwości organizacji oraz środowiska historycznego, rozważ zestaw zaleceń i najlepszych rozwiązań w tym artykule dotyczący reagowania na zdarzenia związane z zabezpieczeniami.

Podczas zdarzenia ważne jest, aby:

  • Zachowaj spokój

    Incydenty są bardzo uciążliwe i mogą stać się emocjonalnie naładowane. Zachowaj spokój i skup się przede wszystkim na określaniu priorytetów swoich wysiłków nad najbardziej efektownymi działaniami.

  • Nie szkodzić

    Potwierdź, że odpowiedź została zaprojektowana i wykonana w sposób, który pozwala uniknąć utraty danych, utraty funkcjonalności krytycznej dla firmy i utraty dowodów. Unikanie decyzji może uszkodzić twoją zdolność do tworzenia harmonogramów kryminalistycznych, identyfikowania głównej przyczyny i wyciągania krytycznych lekcji.

  • Angażowanie działu prawnego

    Określ, czy planują oni zaangażować organy ścigania, aby można było odpowiednio zaplanować procedury dochodzenia i odzyskiwania.

  • Zachowaj ostrożność podczas publicznego udostępniania informacji o zdarzeniu

    Potwierdź, że wszystko, co udostępniasz klientom i opinii publicznej, jest oparte na poradach działu prawnego.

  • W razie potrzeby uzyskaj pomoc

    Korzystaj z głębokiej wiedzy i doświadczenia podczas badania i reagowania na ataki ze strony wyrafinowanych napastników.

Podobnie jak diagnozowanie i leczenie choroby medycznej, badanie cyberbezpieczeństwa i reakcja na poważny incydent wymagają obrony systemu, który jest następujący:

  • Niezwykle ważne (nie można zamknąć, aby nad nim pracować).
  • Złożony (zazwyczaj wykracza poza zrozumienie jednej osoby).

Podczas zdarzenia musisz mieć następujące krytyczne równowagi:

  • Prędkość

    Wyważ potrzebę szybkiego działania, aby zaspokoić interesariuszy ryzykiem szybkich decyzji.

  • Udostępnianie informacji

    Informuj śledczych, uczestników projektu i klientów na podstawie porady działu prawnego, aby ograniczyć odpowiedzialność i uniknąć nierealistycznych oczekiwań.

Ten artykuł ma na celu zmniejszenie ryzyka wystąpienia incydentu z cyberbezpieczeństwem w organizacji poprzez identyfikowanie typowych błędów, których należy unikać, oraz dostarczanie wskazówek, jakie działania można szybko podjąć, aby zmniejszyć ryzyko i zaspokoić potrzeby uczestników projektu.

Uwaga

Aby uzyskać dodatkowe wskazówki dotyczące przygotowywania organizacji pod kątem oprogramowania wymuszającego okup i innych typów ataków wieloetapowych, zobacz Przygotowanie planu odzyskiwania.

Najlepsze rozwiązania dotyczące odpowiedzi

Dzięki tym zaleceniu można skutecznie reagować na incydenty zarówno z perspektywy technicznej, jak i operacyjnej.

Uwaga

Aby uzyskać dodatkowe szczegółowe wskazówki branżowe, zobacz Przewodnik obsługi zdarzeń zabezpieczeń komputerowych w systemie NIST.

Techniczne

Oto kilka celów, które należy wziąć pod uwagę w przypadku technicznych aspektów reakcji na incydenty:

  • Spróbuj zidentyfikować zakres operacji ataku.

    Większość przeciwników korzysta z wielu mechanizmów trwałości.

  • Określ cel ataku, jeśli to możliwe.

    Trwałe osoby atakujące często wracają do celu (danych/systemów) w przyszłym ataku.

Oto kilka przydatnych porad:

  • Nie przekazuj plików do skanerów online

    Wielu przeciwników monitoruje wystąpienie liczy na usługi, takie jak VirusTotal, w celu odkrycia ukierunkowanego złośliwego oprogramowania.

  • Starannie rozważ modyfikacje

    Jeśli nie napotkasz bezpośredniego zagrożenia utratą danych o znaczeniu krytycznym dla firmy, takich jak usuwanie, szyfrowanie i eksfiltracja, zrównoważysz ryzyko niewprowadzania modyfikacji z przewidywanym wpływem na działalność biznesową. Na przykład tymczasowe zamknięcie dostępu organizacji do Internetu może być konieczne w celu ochrony najważniejszych zasobów biznesowych podczas aktywnego ataku.

    Jeśli konieczne są zmiany, gdy ryzyko nie wykonania akcji jest większe niż ryzyko jej wykonania, należy udokumentować akcję w dzienniku zmian. Zmiany wprowadzone podczas reagowania na incydenty koncentrują się na zakłócaniu działania osoby atakującej i mogą negatywnie wpłynąć na działalność firmy. Po zakończeniu procesu odzyskiwania należy przywrócić te zmiany.

  • Nie badaj na zawsze

    Musisz bezlitośnie priorytet swoich wysiłków dochodzeniowych. Na przykład wykonaj analizę kryminalistyczną tylko na punktach końcowych, które napastnicy rzeczywiście używali lub zmodyfikowali. Na przykład w przypadku poważnego incydentu, w którym osoba atakująca ma uprawnienia administracyjne, badanie wszystkich potencjalnie zaatakowanych zasobów (które mogą obejmować wszystkie zasoby organizacji) jest praktycznie niemożliwe.

  • Udostępnianie informacji

    Upewnij się, że wszystkie zespoły dochodzeniowo-śledcze, w tym wszystkie zespoły wewnętrzne i zewnętrzni badacze lub dostawcy ubezpieczeń, udostępniają sobie swoje dane na podstawie porad działu prawnego.

  • Uzyskiwanie dostępu do odpowiedniej wiedzy

    Potwierdź integrację osób z dogłębną wiedzą na temat systemów w badaniu — na przykład pracowników wewnętrznych lub podmiotów zewnętrznych, takich jak dostawcy — nie tylko ogólne informacje o zabezpieczeniach.

  • Przewidywanie zmniejszonej zdolności reagowania

    Zaplanuj obsługę 50% pracowników przy 50% normalnej pojemności z powodu stresu sytuacyjnego.

Kluczowym oczekiwaniem na zarządzanie interesariuszami jest to, że zidentyfikowanie początkowego ataku może nigdy nie być możliwe, ponieważ wymagane dane mogły zostać usunięte przed rozpoczęciem dochodzenia, na przykład osoba atakująca zasłaniająca ich ślady przez toczenie dziennika.

Operacji

W przypadku operacji zabezpieczeń (SecOps) aspektów reakcji na incydenty, oto kilka celów do rozważenia:

  • Utrzymywanie koncentracji

    Upewnij się, że dbasz o to, aby skupić się na danych o znaczeniu krytycznym dla firmy, wpływie klientów i przygotowaniu się do działań naprawczych.

  • Zapewnianie koordynacji i przejrzystości roli

    Ustaw odrębne role dla działań wspierających zespół ds. kryzysowych i potwierdź, że zespoły techniczne, prawne i komunikacyjne dokładają sobie wzajemnie informacji.

  • Zachowanie perspektywy biznesowej

    Zawsze należy rozważyć wpływ działań biznesowych zarówno ze strony przeciwników, jak i własnych działań reagowania.

Oto kilka przydatnych porad:

  • Rozważmy system poleceń zdarzeń (ICS) do zarządzania kryzysowego

    Jeśli nie masz stałej organizacji zarządzającej zdarzeniami zabezpieczeń, zalecamy używanie ICS jako tymczasowej struktury organizacyjnej do zarządzania kryzysem.

  • Zachowywanie bieżących codziennych operacji bez zmian

    Upewnij się, że normalne usługi SecOps nie są całkowicie pomijane w celu obsługi dochodzeń w sprawie incydentów. Tę pracę nadal trzeba wykonać.

  • Unikaj marnotrawnych wydatków

    Wiele poważnych incydentów powoduje zakup drogich narzędzi zabezpieczających pod presją, które nigdy nie są wdrażane ani używane. Jeśli nie możesz wdrożyć narzędzia i korzystać z niego podczas dochodzenia, które może obejmować zatrudnianie i szkolenie dodatkowego personelu z zestawami umiejętności niezbędnymi do obsługi narzędzia, odracuj przejęcie do czasu zakończenia dochodzenia.

  • Uzyskuj dostęp do dogłębnej wiedzy

    Potwierdź, że masz możliwość eskalowania pytań i problemów do głębokich ekspertów na krytycznych platformach. Może to wymagać dostępu do systemu operacyjnego i dostawcy aplikacji dla systemów o znaczeniu krytycznym dla firmy i składników dla całego przedsiębiorstwa, takich jak komputery stacjonarne i serwery.

  • Ustanawianie przepływów informacyjnych

    Ustaw jasne wskazówki i oczekiwania dotyczące przepływu informacji między wyższymi liderami reagowania na incydenty a uczestnikami projektu organizacji. Aby uzyskać więcej informacji, zobacz Planowanie reakcji na zdarzenia .

Najważniejsze wskazówki dotyczące odzyskiwania

Odzyskiwanie po incydentach można skutecznie przeprowadzić zarówno z perspektywy technicznej, jak i operacyjnej, korzystając z tych zaleceń.

Techniczne

Oto kilka celów, które należy wziąć pod uwagę w przypadku technicznych aspektów odzyskiwania po zdarzeniu:

  • Nie gotuj oceanu

    Ogranicz zakres odpowiedzi, aby można było wykonać operację odzyskiwania w ciągu co najmniej 24 godzin. Zaplanuj weekend, aby uwzględnić nieprzewidziane i naprawcze działania.

  • Unikanie rozpraszania uwagi

    Odraczanie długoterminowych inwestycji w zabezpieczenia, takich jak wdrożenie dużych i złożonych nowych systemów zabezpieczeń lub wymiana rozwiązań chroniących przed złośliwym oprogramowaniem do czasu po zakończeniu operacji odzyskiwania. Wszystko, co nie ma bezpośredniego i bezpośredniego wpływu na bieżącą operację odzyskiwania, rozprasza uwagę.

Oto kilka pomocnych porad:

  • Nigdy nie resetuj wszystkich haseł jednocześnie

    Resetowanie hasła powinno najpierw koncentrować się na znanych zaatakowanych kontach na podstawie twojego badania i być potencjalnie kontami administratora lub usługi. Jeśli jest to uzasadnione, hasła użytkowników powinny być resetowane tylko etapowo i w sposób kontrolowany.

  • Konsolidowanie wykonywania zadań odzyskiwania

    Jeśli nie napotkasz bezpośredniego zagrożenia utratą danych o znaczeniu krytycznym dla firmy, należy zaplanować skonsolidowaną operację w celu szybkiego korygowania wszystkich zaatakowanych zasobów (takich jak hosty i konta) w porównaniu z rozwiązywaniem problemów z zaatakowanymi zasobami w miarę ich znajdowania. Kompresowanie tego przedziału czasu utrudni operatorom ataków dostosowanie się i utrzymanie trwałości.

  • Korzystanie z istniejących narzędzi

    Przed próbą wdrożenia i poznania nowego narzędzia podczas odzyskiwania poszukaj informacji o możliwościach już wdrożonych narzędzi.

  • Unikaj wystawiania przeciwnika

    W praktyce, należy podjąć kroki w celu ograniczenia informacji dostępnych dla przeciwników na temat operacji odzyskiwania. Przeciwnicy zazwyczaj mają dostęp do wszystkich danych produkcyjnych i poczty e-mail w poważnym incydencie cyberbezpieczeństwa. Ale w rzeczywistości większość napastników nie ma czasu na monitorowanie całej Twojej komunikacji.

    Centrum operacji zabezpieczeń firmy Microsoft (SOC) wykorzystało nieprodukcyjną dzierżawę Microsoft 365 do bezpiecznej komunikacji i współpracy dla członków zespołu reagowania na incydenty.

Operacji

Oto kilka celów, które należy wziąć pod uwagę w przypadku operacji odzyskiwania po zdarzeniu:

  • Mieć jasny plan i ograniczony zakres

    Ściśle współpracuj z zespołami technicznymi, aby utworzyć jasny plan o ograniczonym zakresie. Plany mogą się zmieniać w oparciu o aktywność przeciwników lub nowe informacje, jednak należytą pracę, aby ograniczyć rozszerzanie zakresu i wykonywanie dodatkowych zadań.

  • Mieć jasną własność planu

    Operacje odzyskiwania obejmują wiele osób wykonujących wiele różnych zadań jednocześnie, dlatego należy wyznaczyć potencjalnego klienta projektu do prowadzenia operacji w celu uzyskania jasnych informacji decyzyjnych i ostatecznych przepływów między zespołem kryzysowym.

  • Utrzymywanie komunikacji z uczestnikami projektu

    Współpracuj z zespołami komunikacyjnymi, aby zapewnić terminowe aktualizacje i aktywne zarządzanie oczekiwaniami dla uczestników projektu w organizacji.

Oto kilka pomocnych porad:

  • Poznaj swoje możliwości i limity

    Zarządzanie poważnymi problemami z zabezpieczeniami jest bardzo trudne, bardzo złożone i nowe dla wielu specjalistów w branży. Jeśli Twoje zespoły są przytłoczone lub nie mają pewności co do tego, co zrobić dalej, rozważ sprowadzenie wiedzy od organizacji zewnętrznych lub usług profesjonalnych.

  • Uchwyć wyciągnięte wnioski

    Twórz i stale ulepszaj podręczniki specyficzne dla ról dla usługi SecOps, nawet jeśli jest to Twój pierwszy incydent bez żadnych pisemnych procedur.

Komunikacja na poziomie kierownictwa i zarządu dotycząca reagowania na incydenty może być trudna, jeśli nie jest praktykowana lub oczekiwana. Upewnij się, że masz plan komunikacji umożliwiający zarządzanie raportowaniem postępu i oczekiwaniami dotyczącymi odzyskiwania.

Proces reagowania na incydenty

Zapoznaj się z ogólnymi wskazówkami dotyczącymi procesu reagowania na incydenty dla usługi SecOps i personelu.

1. Podejmowanie decyzji i działanie

Gdy narzędzie do wykrywania zagrożeń, takie jak Microsoft Sentinel lub Microsoft 365 Defender wykrywa prawdopodobny atak, tworzy incydent. Pomiar czasu średniego potwierdzenia (MTTA) reakcji SOC zaczyna się od momentu zauważenia tego ataku przez pracowników ochrony.

Analityk na zmianie jest delegowany lub przejmuje odpowiedzialność za zdarzenie i przeprowadza wstępną analizę. Sygnatura czasowa dla tego jest końcem pomiaru szybkości reakcji MTTA i rozpoczyna pomiar Czasu średniego na korygowanie (MTTR).

Jako analityk, który jest właścicielem incydentu rozwija wystarczająco wysoki poziom zaufania, że rozumieją historię i zakres ataku, mogą szybko przejść do planowania i wykonywania działań oczyszczania.

W zależności od charakteru i zakresu ataku analitycy mogą oczyścić artefakty ataku podczas ich działania (takie jak wiadomości e-mail, punkty końcowe i tożsamości) lub mogą utworzyć listę zaatakowanych zasobów, aby oczyścić wszystko naraz (nazywane wielkim wybuchem)

  • Czyszczenie w miarę przechodzenia

    W przypadku najbardziej typowych incydentów wykrytych na początku operacji ataku analitycy mogą szybko oczyścić artefakty po ich znalezieniu. To stawia przeciwnika w niekorzystnej sytuacji i uniemożliwia im przejście do przodu z kolejnym etapem ataku.

  • Przygotuj się na Wielki Wybuch

    Takie podejście jest odpowiednie dla scenariusza, w którym przeciwnik już osiedlił się i ustanowił nadmiarowe mechanizmy dostępu do środowiska. Jest to często spotykane w przypadku zdarzeń klientów badanych przez zespół ds. wykrywania i reagowania firmy Microsoft (DART). W takim podejściu analitycy powinni unikać wystawiania przeciwnika do czasu pełnego odkrycia obecności napastnika, ponieważ niespodzianka może pomóc w pełnym zakłóceniu ich działania.

    Microsoft dowiedział się, że częściowe działania naprawcze często odsuwać przeciwnika, co daje im szansę na reakcję i szybkie pogorszenie incydentu. Na przykład atakujący może dalej rozpowszechniać atak, zmieniać metody dostępu, aby uniknąć wykrycia, zakryć swoje ślady oraz zadać dane i uszkodzenia systemu oraz zniszczenia za zemstę.

    Oczyszczanie wyłudzania informacji i złośliwych wiadomości e-mail często odbywa się bez wykreślania osoby atakującej, ale oczyszczanie złośliwego oprogramowania hosta i odzyskanie kontroli nad kontami ma duże szanse na odkrycie.

Nie są to łatwe decyzje do podjęcia i nie ma podstaw do doświadczenia w podejmowaniu tych wezwań do sądu. Środowisko pracy zespołowej i kultura w Twoim SOC pomagają zagwarantować, że analitycy będą mogli nawzajem wykorzystać swoje doświadczenia.

Konkretne kroki reakcji zależą od charakteru ataku, ale najczęściej stosowane przez analityków procedury mogą obejmować:

  • Punkty końcowe klientów (urządzenia)

    Wyizoluj punkt końcowy i skontaktuj się z użytkownikiem lub operacjami IT/pomocą techniczną, aby zainicjować procedurę ponownej instalacji.

  • Serwer lub aplikacje

    Współpracuj z działami informatycznymi i właścicielami aplikacji, aby zorganizować szybkie rozwiązywanie problemów z tymi zasobami.

  • Konta użytkowników

    Odzyskaj kontrolę, wyłączając konto i resetując hasło dla zaatakowanych kont. Te procedury mogą się rozwijać w miarę przechodzenia użytkowników na uwierzytelnianie bez haseł przy użyciu Windows Hello lub innej formy uwierzytelniania wieloskładnikowego. Oddzielnym krokiem jest wygaśnięcie wszystkich tokenów uwierzytelniania dla konta z Microsoft Defender for Cloud Apps.

    Analitycy mogą również przejrzeć numer telefonu metody uwierzytelniania MFA i rejestrację urządzenia, aby upewnić się, że nie został on porwany, kontaktując się z użytkownikiem i w razie potrzeby zresetuj te informacje.

  • Konta usług

    Ze względu na wysokie ryzyko związane z usługą lub wpływem na działalność biznesową analitycy powinni współpracować z zarejestrowanym właścicielem konta usługi, w razie potrzeby, aby zorganizować szybkie rozwiązywanie problemów z tymi zasobami.

  • Wiadomości e-mail

    Usuń wiadomość e-mail dotyczącą ataku lub wyłudzania informacji, a czasami je wyczyść, aby uniemożliwić użytkownikom odzyskanie usuniętych wiadomości e-mail. Zawsze zapisuj kopię oryginalnej wiadomości e-mail w celu późniejszego wyszukania analizy po ataku, takiej jak nagłówki, zawartość i skrypty lub załączniki.

  • Innych

    Możesz wykonywać akcje niestandardowe na podstawie charakteru ataku, takie jak odwoływanie tokenów aplikacji i ponowne konfigurowanie serwerów i usług.

2. Oczyszczanie po incydencie

Ponieważ nie korzystasz z lekcji zdobytych, dopóki nie zmienisz przyszłych działań, zawsze integruj wszelkie przydatne informacje wyciągnięte z badania z powrotem do usługi SecOps.

Określ powiązania między wcześniejszymi i przyszłymi incydentami przez te same podmioty lub metody zagrożeń i rejestruj te wnioski, aby uniknąć powtarzających się opóźnień w pracy ręcznej i analizie w przyszłości.

Te szkolenia mogą przybierać różne formy, ale typowe praktyki obejmują analizę:

  • Wskaźniki kompromisu (IoC).

    W systemach analizy zagrożeń SOC możesz rejestrować wszelkie odpowiednie kody IoCs, takie jak hashes plików, złośliwe adresy IP i atrybuty wiadomości e-mail.

  • Nieznane lub niezaładowane luki w zabezpieczeniach.

    Analitycy mogą zainicjować procesy w celu zapewnienia, że zostaną zastosowane brakujące poprawki zabezpieczeń, zostaną poprawione nieprawidłowe konfiguracje, a dostawcy (w tym firma Microsoft) zostaną poinformowani o lukach "zero day", aby mogli tworzyć i rozpowszechniać poprawki zabezpieczeń.

  • Działania wewnętrzne, takie jak włączenie rejestrowania zasobów obejmujących zasoby lokalne i oparte na chmurze.

    Przejrzyj istniejące plany bazowe zabezpieczeń i rozważ dodanie lub zmianę kontrolek zabezpieczeń. Na przykład zobacz Azure Active Directory przewodnik po operacjach zabezpieczeń, aby uzyskać informacje na temat włączania odpowiedniego poziomu inspekcji w katalogu przed następnym zdarzeniem.

Przejrzyj procesy reagowania, aby zidentyfikować i rozwiązać wszelkie luki znalezione podczas zdarzenia.

Zasoby dotyczące reagowania na zdarzenia

Kluczowe zasoby zabezpieczeń firmy Microsoft

Zasobów Opis
Raport Microsoft Digital Defense 2021 Raport, który obejmuje wnioski ekspertów w dziedzinie bezpieczeństwa, praktyków i obrońców w firmie Microsoft, aby umożliwić ludziom na całym świecie obronę przed cyberodgłoszeniami.
Architektury referencyjne cyberbezpieczeństwa firmy Microsoft Zestaw diagramów architektury wizualnej przedstawiających możliwości firmy Microsoft w zakresie cyberbezpieczeństwa oraz ich integrację z platformami chmurowymi firmy Microsoft, takimi jak Microsoft 365 i Microsoft Azure oraz platformy i aplikacje chmurowe innych firm.
Minuty na pobranie infografiki matter Omówienie sposobu, w jaki zespół SecOps firmy Microsoft przeprowadza reakcję na incydenty w celu złagodzenia trwających ataków.
Operacje zabezpieczeń usługi Azure Cloud Adoption Framework Strategiczne wytyczne dla liderów ustanawiających lub unowocześniających funkcję operacji bezpieczeństwa.
Najważniejsze wskazówki firmy Microsoft dotyczące zabezpieczeń w zakresie operacji zabezpieczeń Jak najlepiej używać centrum Usługi SecOps do szybszego poruszania się niż osoby atakujące kierujące do Twojej organizacji.
Zabezpieczenia chmury firmy Microsoft dla modelu architektów IT Zabezpieczenia na różnych platformach i usługach firmy Microsoft w chmurze w zakresie dostępu do tożsamości i urządzeń, ochrony przed zagrożeniami i ochrony informacji.
Dokumentacja dotycząca zabezpieczeń firmy Microsoft Dodatkowe wskazówki firmy Microsoft dotyczące zabezpieczeń.