Обзор реагирования на инциденты

Реагирование на инциденты — это процедура расследования и устранения последствий активных атак на организацию. Реагирование на инциденты является частью дисциплины операций безопасности (SecOps) и в основном реактивно в природе.

Реагирование на инциденты оказывает наибольшее влияние на общее среднее время до подтверждения (МТТА) и среднего времени до исправления (MTTR), которым определяется, насколько хорошо служба обеспечения безопасности может снизить уровень риска организации. При принятии фактических мер для снижения риска группы реагирования на инциденты во многом полагаются на хорошие рабочие связи между группами обнаружения угроз, использования средств искусственного интеллекта и управления инцидентами (при их наличии). Дополнительные сведения см. в разделе "Метрики SecOps".

Дополнительные сведения о ролях и обязанностях службы обеспечения безопасности см. в статье о функциях Cloud SOC.

Процесс реагирования на инциденты

Сначала необходимо получить план реагирования на инциденты, охватывающий как внутренние, так и внешние процессы для реагирования на инциденты кибербезопасности. План должен подробно узнать, как должна выполняться ваша организация:

• Устранение атак, которые различаются в зависимости от бизнес-риска и воздействия инцидентов, которые могут варьироваться от изолированного веб-сайта, который больше не доступен, до компрометации учетных данных уровня администратора.
• Определение назначения ответа, например возврат к службе или обработка юридических или общедоступных аспектов атаки.
• Определение приоритетов в работе, которую необходимо выполнить, с учетом того, сколько людей должно работать над инцидентом и их задачами.

Ознакомьтесь со статьей по планированию реагирования на инциденты для проверка списка действий, которые следует рассмотреть в плане реагирования на инциденты. После получения плана реагирования на инциденты регулярно тестируйте его на наиболее серьезные типы кибератак, чтобы ваша организация могла быстро и эффективно реагировать на них.

Хотя процесс реагирования на инциденты в каждой организации может отличаться на основе структуры организации и возможностей и исторического опыта, рассмотрите набор рекомендаций и рекомендаций в этой статье для реагирования на инциденты безопасности.

Во время инцидента важно:

• Сохранять спокойствие

  Инциденты нарушают работу и могут вызывать сильные эмоции. Сохраняйте спокойствие и расставьте приоритеты, начав с самых важных действий.

• Не навредить

  Убедитесь, что меры по реагированию разработаны и выполняются таким образом, чтобы избежать потери данных, критически важных для бизнеса функций и доказательств. Избегайте решений, которые могут повредить вашей способности создавать судебно-медицинские временная шкала, определять первопричину и изучать критические уроки.

• Привлечение юридического отдела

  Узнайте, собираются ли они привлечь правоохранительные органы, чтобы можно было правильно спланировать процедуры расследования и восстановления.

• Будьте внимательны при публикации информации об инциденте

  Убедитесь, что чем бы вы ни делились со своими клиентами и общественностью, это происходит с учетом рекомендаций вашего юридического отдела.

• Обращаться за помощью при необходимости

  Используйте знания и опыт экспертов при исследовании атак продвинутых злоумышленников и реагировании на них.

Как и при диагностике и лечении заболеваний, в кибербезопасности расследование и реагирование на крупные инциденты требуют защиты системы, которая является:

• Критически важно (не удается завершить работу над ним).
• сложной (обычно за пределами понимания одного человека).

Во время инцидента необходимо найти баланс между следующими важными факторами:

• Скорость

  Нужно действовать быстро, чтобы выполнить требования заинтересованных лиц, но при этом избежать рисков, связанных с поспешными решениями.

• Предоставление информации

  Проинформируйте исследователей, заинтересованных лиц и клиентов с учетом рекомендаций юридического отдела, чтобы ограничить ответственность и избежать установки нереалистичных ожиданий.

Эта статья поможет снизить риски для вашей организации в случае инцидентов кибербезопасности, позволит понять распространенные ошибки, чтобы избежать их, а также предоставит рекомендации по быстрому реагированию, чтобы снизить риски и удовлетворить потребности заинтересованных лиц.

Примечание.

Дополнительные рекомендации по подготовке организации для программ-шантажистов и других типов многоэтапных атак см. в статье "Подготовка плана восстановления".

Рекомендации по реагированию

С помощью этих рекомендаций можно повысить эффективность реагирования на инциденты как с технической, так и с операционной точек зрения.

Примечание.

Более подробные отраслевые рекомендации см. в руководстве по обработке инцидентов безопасности компьютеров NIST.

Рекомендации по техническому реагированию

Цели, которые необходимо достичь для технических аспектов реагирования на инциденты:

• Попробуйте определить область действия атаки.

  Большинство злоумышленников используют несколько механизмов продолжения атаки.

• Выясните цель атаки, если это возможно.

  Постоянные злоумышленники часто возвращаются к своим целям (данным или системам) в последующих атаках.

Вот несколько полезных советов:

• Не отправлять файлы в интернет-сканеры

  Многие злоумышленники следят за числом экземпляров в таких службах, как VirusTotal, для обнаружения целевых вредоносных программ.

• Внимательно рассмотрите изменения

  Если вы не столкнулись с неизбежной угрозой потери критически важных для бизнеса данных, таких как удаление, шифрование и эксфильтрация, балансируйте риск не вносить изменения с прогнозируемым бизнес-воздействием. Например, временное отключение доступа к Интернету для вашей организации может потребоваться для защиты критически важных для бизнеса ресурсов при активной атаке.

  Если изменения необходимы, когда риск невыполнения действия выше, чем риск при его выполнении, задокументируйте действие в журнале изменений. Изменения, внесенные во время реагирования на инциденты, направлены на то, чтобы помешать злоумышленнику, и могут негативно сказаться на бизнесе. После восстановления необходимо откатить эти изменения.

• Не расследуйте навсегда

  Вам необходимо четко расставить приоритеты при расследовании. Например, выполняйте только судебно-медицинский анализ конечных точек, которые злоумышленники использовали или изменили. Например, в крупном инциденте, когда злоумышленник имеет права администратора, практически невозможно исследовать все потенциально скомпрометированные ресурсы (которые могут включать все ресурсы организации).

• Предоставление доступа к информации

  Убедитесь, что все команды по исследованию, в том числе все внутренние команды и внешние исследователи или страховые поставщики, совместно используют свои данные с учетом рекомендаций вашего юридического отдела.

• Обращайтесь к подходящим специалистам

  Убедитесь, что вы интегрируете людей с глубокими знаниями о системах в расследование, например внутренний персонал или внешние сущности, такие как поставщики, а не только специалисты по безопасности.

• Ожидайте снижения производительности

  50 % ваших сотрудников будут работать на 50 % от обычной производительности из-за стресса, связанного с ситуацией.

Ключевое ожидание управления заинтересованными лицами заключается в том, что вы никогда не сможете определить начальную атаку, так как данные, необходимые для идентификации, были удалены до начала расследования, например злоумышленник, охватывающий их треки путем проката журналов.

Рекомендации по реагированию на операции

Цели, которые необходимо принять во внимание из-за аспектов операций безопасности (SecOps) в рамках реагирования на инциденты:

• Сохраняйте сосредоточенность

  Сосредоточьтесь на критически важных для бизнеса данных, влиянии на клиентов и готовности к исправлению.

• Обеспечьте координацию и четкое распределение ролей

  Определите отдельные роли для специалистов по операциям, которые будут поддерживать группу реагирования, и убедитесь, что группы по техническим, юридическим и коммуникационным вопросам обмениваются информацией.

• Учитывайте потребности бизнеса

  Следует всегда учитывать, как на бизнес-операции повлияют действия злоумышленников и ваши меры по реагированию.

Вот несколько полезных советов:

• Используйте систему управления инцидентами (ICS) для кризисного управления

  Если у вас нет постоянной организации, которая управляет инцидентами безопасности, рекомендуется использовать ICS в качестве временной организационной структуры для управления кризисом.

• Поддерживайте текущие повседневные операции

  Убедитесь, что обычные SecOps не полностью отложены на сторону для поддержки расследований инцидентов. Эту работу все равно необходимо выполнять.

• Избегайте лишних расходов

  Часто после крупных инцидентов организации покупают дорогостоящие средства обеспечения безопасности, которые так никогда и не развертываются и не используются. Если вы не можете развернуть и использовать средство во время расследования, которое может включать в себя найм и обучение для большего числа сотрудников с наборами навыков, необходимых для работы с инструментом, отложите приобретение до тех пор, пока вы завершите расследование.

• Привлекайте нужных специалистов

  У вас должна быть возможность обращаться с вопросами к опытным экспертам по критическим платформам. Эта возможность может потребовать доступа к операционной системе и поставщику приложений для критически важных для бизнеса систем и компонентов корпоративного уровня, таких как настольные компьютеры и серверы.

• Создайте информационные потоки

  Задайте четкие рекомендации и ожидания для потока информации между руководителями расследования и заинтересованными лицами организации. Дополнительные сведения см. в разделе "Планирование реагирования на инциденты".

Рекомендации по восстановлению

С помощью этих рекомендаций можно повысить эффективность восстановления после инцидентов как с технической, так и с операционной точек зрения.

Рекомендации по техническому восстановлению

Цели, которые необходимо достичь для технических аспектов в рамках восстановления после инцидента:

• Не кипите океан

  Ограничьте область реагирования таким образом, чтобы восстановление можно было выполнить максимум за 24 часа. Планируйте выходные дни, чтобы учесть непредвиденные обстоятельства и корректирующие действия.

• Не отвлекайтесь

  До завершения восстановления отложите долгосрочные проекты, такие как реализация крупных и сложных новых систем безопасности или замена решений для защиты от вредоносных программ. Все, что не имеет прямого и немедленного влияния на текущую операцию восстановления, является отвлекающим.

Полезные советы:

• Никогда не сбрасывайте все пароли одновременно

  Сначала нужно сбросить пароли от известных скомпрометированных учетных записей, обнаруженных в ходе расследования. Возможно, это будут учетные записи администраторов или служб. При необходимости пароли пользователей следует сбрасывать только поэтапно и в контролируемом режиме.

• Объедините выполнение задач по восстановлению

  Если вам не угрожает скорейшая потеря критически важных для бизнеса данных, следует спланировать объединенную операцию, чтобы быстро исправить все скомпрометированные ресурсы (например, узлы и учетные записи), а не исправлять скомпрометированные ресурсы по мере их обнаружения. Сжатие этого периода времени затрудняет адаптацию и сохранение сохраняемости операторов атак.

• Используйте имеющиеся средства

  Изучите и используйте возможности развернутых средств, прежде чем пытаться развернуть и узнать новый инструмент во время восстановления.

• Старайтесь не выдать себя злоумышленнику

  Если это возможно, постарайтесь, чтобы злоумышленники как можно меньше знали об операции восстановления. Обычно у злоумышленников есть доступ ко всем рабочим данным и электронной почте, если это крупный инцидент. Но на самом деле большинство злоумышленников не имеют времени отслеживать все ваши коммуникации.

  Центр безопасности Майкрософт (SOC) использует нерабочий клиент Microsoft 365 для безопасного взаимодействия и совместной работы для членов группы реагирования на инциденты.

Рекомендации по восстановлению операций

Цели, которые необходимо достичь для аспектов операций в рамках восстановления после инцидента:

• Составьте четкий план с ограниченной областью

  Тесно сотрудничайте с техническими специалистами, чтобы составить четкий план с ограниченной областью действия. Хотя планы могут меняться на основе действия злоумышленника или новой информации, следует старательно ограничить область расширения и принятия дополнительных задач.

• Назначьте ответственного за план

  Операции по восстановлению предполагают, что много людей выполняет много разных задач одновременно, поэтому назначьте руководителя проекта для этой операции, чтобы он принимал решения и контролировал обмен информацией между участниками кризисной группы.

• Поддерживайте взаимодействие с заинтересованными лицами

  Работайте с группой по коммуникациям, чтобы своевременно сообщать им новости и управлять ожиданиями заинтересованных лиц организации.

Полезные советы:

• Знайте свои возможности и ограничения

  Управление крупными инцидентами безопасности является очень сложной и разносторонней задачей. У многих специалистов в отрасли пока недостаточно опыта в этом деле. Вы должны рассмотреть возможность получения опыта от внешних организаций или профессиональных услуг, если ваши команды перегружены или не уверены в том, что делать дальше.

• Анализ извлеченных уроков

  Создавайте и постоянно повышайте руководства по ролям для SecOps, даже если это ваш первый инцидент без каких-либо письменных процедур.

Сообщать о реагировании на инцидент высшему руководству сложно, если не подготовиться заранее. Убедитесь, что у вас есть план коммуникаций для управления отчетами и ожиданиями в связи с восстановлением.

Процесс реагирования на инциденты для SecOps

Рассмотрим это общее руководство по процессу реагирования на инциденты для сотрудников SecOps и сотрудников.

1. Примите решение и действуйте

После того как средство обнаружения угроз, например Microsoft Sentinel или XDR в Microsoft Defender, обнаруживает вероятное нападение, оно создает инцидент. Среднее время подтверждения (MTTA) измерения реагирования SOC начинается с момента, когда сотрудники службы безопасности замечают атаку.

Дежурный аналитик получает задание или сам берет на себя ответственность за инцидент и выполняет первоначальный анализ. Этот момент считается окончанием периода отклика МТТА и началом показателя среднего времени исправления (MTTR).

Когда аналитик, отвечающий за инцидент, будет уверен, что понимает историю и область атаки, он может быстро перейти к планированию и выполнению действий по устранению.

В зависимости от природы и области атаки ваши аналитики могут очищать артефакты атаки по мере их возникновения (например, сообщения электронной почты, конечные точки и удостоверения), а также могут создать список скомпрометированных ресурсов, чтобы удалить их все одновременно (так называемый "большой взрыв").

• Удаляйте ресурсы по мере обнаружения

  В большинстве типичных инцидентов, обнаруженных на ранних этапах, аналитики могут быстро удалять артефакты по мере обнаружения. Эта практика ставит противника в недостаток и предотвращает их двигаться вперед с последующим этапом их нападения.

• Подготовьтесь к большому взрыву

  Этот метод подходит для сценариев, когда злоумышленник уже обосновался и установил резервные механизмы доступа к вашей среде. Эта практика часто рассматривается в инцидентах клиентов, расследованных группой реагирования на инциденты Майкрософт. При таком подходе аналитики должны стараться не выдать свои действия до полного обнаружения присутствия злоумышленника, чтобы застать его врасплох и полностью прекратить атаку.

  Корпорация Майкрософт узнала, что частичное исправление часто советы от злоумышленника, что дает им возможность реагировать и быстро сделать инцидент хуже. Например, злоумышленник может распространить атаку дальше, изменить методы доступа, чтобы избежать обнаружения, скрыть свои следы и повредить данные и системы из мести.

  Удалить фишинговые и вредоносные сообщения электронной почты часто можно так, что злоумышленник не заметит эти действия, но он, скорее всего, заметит удаление вредоносных программ с узла и возвращение контроля над учетными записями.

Это не простые решения, чтобы принять, и нет замены опыта в принятии этих решений вызовов. Совместная рабочая среда и культура в SOC помогает обеспечить, чтобы аналитики могли взаимодействовать друг с другом.

Конкретные действия по реагированию зависят от характера атаки, но обычно аналитики используют следующие процедуры:

• Клиентские конечные точки (устройства)

  Изолируйте конечную точку и обратитесь к пользователю или в службу поддержки, чтобы запустить процедуру переустановки.

• Сервер или приложения

  Обратитесь в отдел ИТ-операций и к ответственным за приложения, чтобы организовать быстрое исправление этих ресурсов.

• Учетные записи пользователей

  Восстановите контроль, отключив учетную запись и сбросив пароль для скомпрометированных учетных записей. Эти процедуры могут меняться при переходе пользователей на проверку подлинности без пароля через Windows Hello или другую форму многофакторной проверки подлинности (MFA). Отдельным шагом является истечение срока действия всех маркеров проверки подлинности для учетной записи с помощью Microsoft Defender для облака Apps.

  Аналитики также могут просмотреть номер телефона метода MFA и регистрацию устройства, чтобы убедиться, что он не угон, связав пользователя и сбросив эти сведения по мере необходимости.

• Учетные записи службы

  Из-за высокого риска последствий для служб или бизнеса, аналитики должны сотрудничать с владельцем учетной записи службы и, при необходимости, отделом ИТ-операций, чтобы быстро восстановить эти ресурсы.

• Сообщения электронной почты

  Удалите сообщения с атакой или фишингом и очистите их, чтобы пользователи не могли восстановить удаленные сообщения. Всегда сохраняйте копию исходного сообщения для последующего изучения при анализе после атаки, например для просмотра заголовков, содержимого, скриптов или вложений.

• Другие

  Вы можете выполнять действия, исходя из природы атаки, например отзывать маркеры приложений и перенастраивать серверы и службы.

2. Очистка после инцидента

Так как вы не получаете выгоду от полученных уроков, пока не измените будущие действия, всегда интегрируете любую полезную информацию, полученную из исследования обратно в SecOps.

Определите связи между прошлыми и будущими инцидентами с теми же злоумышленниками или методами и запишите эти выводы, чтобы в следующий раз не пришлось тратить время на выполнение вручную одних и тех же задач.

Эти учебные курсы могут принимать множество форм, но распространенные методики включают в себя анализ:

• Индикаторы компрометации (IoC).

  Запишите все применимые индикаторы компрометации, такие как хэши файлов, вредоносные IP-адреса и атрибуты электронной почты, в системы аналитики угроз SOC.

• Неизвестные или неисправленные уязвимости.

  Аналитики могут инициировать процессы, чтобы обеспечить применение отсутствующих исправлений безопасности, исправлений неправильной настройки, а поставщики (включая Корпорацию Майкрософт) уведомляются об уязвимостях "нулевого дня", чтобы они могли создавать и распространять исправления безопасности.

• Внутренние действия, такие как включение ведения журналов для облачных и локальных ресурсов.

  Просмотрите существующие базовые показатели безопасности и попробуйте добавить или изменить средства контроля. Например, ознакомьтесь с руководством по операциям безопасности Microsoft Entra, чтобы получить сведения о включении соответствующего уровня аудита в каталоге до следующего инцидента.

Пересмотрите процессы реагирования, чтобы выявить и устранить пробелы, обнаруженные во время инцидента.

Ресурсы по реагированию на инциденты

• Планирование для SOC
• Сборники схем с подробными рекомендациями по реагированию на распространенные методы атак
• Реагирование на инциденты XDR в Microsoft Defender
• Microsoft Defender для облака (Azure)
• Реагирование на инциденты Microsoft Sentinel
• Руководство группы реагирования на инциденты Майкрософт предоставляет рекомендации для групп безопасности и лидеров
• Руководства по реагированию на инциденты Майкрософт помогают командам безопасности анализировать подозрительные действия

Основные ресурсы Майкрософт, связанные с безопасностью

Ресурс	Description
2023 Отчет о цифровой защите Microsoft	Отчет, в котором учтены знания экспертов, практиков и специалистов по защите корпорации Майкрософт, разработанный, чтобы помочь людям во всем мире защищаться от киберугроз.
Эталонная архитектура кибербезопасности корпорации Майкрософт	Набор схем визуальной архитектуры, показывающих возможности кибербезопасности Майкрософт и их интеграцию с облачными платформами Майкрософт, такими как Microsoft 365 и Microsoft Azure, а также сторонние облачные платформы и приложения.
Инфографика "На счету каждая минута" (файл для скачивания)	Общие сведения о том, как команда Майкрософт SecOps реагирует на инциденты для устранения текущих атак.
Azure Cloud Adoption Framework: операции по обеспечению безопасности	Стратегическое руководство для руководителей, которые внедряют или модернизируют операции системы безопасности.
Рекомендации по обеспечению безопасности Майкрософт для операций безопасности	Сведения о том, как лучше использовать центр SecOps для оперативного реагирования на действия злоумышленников, атакующих вашу организацию.
Модель системы облачной безопасности Майкрософт для ИТ-архитекторов	Система безопасности в облачных службах и на платформах корпорации Майкрософт для идентификации, доступа к устройствам, защиты от угроз и защиты информации.
Документация по безопасности Майкрософт	Дополнительные рекомендации по обеспечению безопасности от корпорации Майкрософт.