Översikt över incidenthantering
Incidenthantering är en metod för att undersöka och åtgärda aktiva attackkampanjer i din organisation. Incidenthantering är en del av säkerhetsåtgärdsområdet (SecOps) och är främst reaktiv till sin natur.
Incidenthantering har störst direkt påverkan på den totala tiden för att bekräfta (MTTA) och genomsnittlig tid för att åtgärda (MTTR) som mäter hur väl säkerhetsåtgärder kan minska organisationens risker. Incidenthanteringsteamen är starkt beroende av goda arbetsrelationer mellan hotjakts-, underrättelse- och incidenthanteringsteam (om så finns) för att faktiskt minska risken. Mer information finns i SecOps-mått.
Mer information om roller och ansvarsområden för säkerhetsåtgärder finns i SOC-funktioner i molnet.
Process för incidenthantering
Det första steget är att ha en plan för incidenthantering på plats som omfattar både interna och externa processer för att hantera cybersäkerhetsincidenter. Planen bör beskriva hur din organisation ska:
- Hantera attacker som varierar med affärsrisken och effekten av incidenten, som kan variera från en isolerad webbplats som inte längre är tillgänglig för att kompromettera autentiseringsuppgifter på administratörsnivå.
- Definiera syftet med svaret, till exempel en återgång till tjänsten eller för att hantera juridiska aspekter eller PR-aspekter av attacken.
- Prioritera det arbete som måste utföras när det gäller hur många personer som ska arbeta med incidenten och deras uppgifter.
Se artikeln om planering av incidenthantering för en checklista över aktiviteter som du bör överväga att inkludera i din incidenthanteringsplan. När din incidenthanteringsplan är på plats testar du den regelbundet för de allvarligaste typerna av cyberattacker för att säkerställa att din organisation kan svara snabbt och effektivt.
Även om varje organisations incidenthanteringsprocess kan skilja sig åt baserat på organisationens struktur och funktioner och historiska erfarenhet, bör du överväga uppsättningen rekommendationer och metodtips i den här artikeln för att hantera säkerhetsincidenter.
Under en incident är det viktigt att:
Håll dig lugn
Incidenter är extremt störande och kan bli känslomässigt laddade. Håll dig lugn och fokusera på att prioritera dina ansträngningar på de mest effektfulla åtgärderna först.
Gör ingen skada
Bekräfta att ditt svar har utformats och körts på ett sätt som undviker dataförlust, förlust av affärskritiska funktioner och förlust av bevis. Undvik beslut som kan skada din förmåga att skapa kriminaltekniska tidslinjer, identifiera grundorsaken och lära dig viktiga lärdomar.
Involvera din juridiska avdelning
Avgör om de planerar att involvera brottsbekämpning så att du kan planera dina undersöknings- och återställningsförfaranden på lämpligt sätt.
Var försiktig när du delar information om incidenten offentligt
Bekräfta att allt du delar med dina kunder och allmänheten baseras på råd från din juridiska avdelning.
Få hjälp när det behövs
Utnyttja djup expertis och erfarenhet när du undersöker och svarar på attacker från avancerade angripare.
Som att diagnostisera och behandla en medicinsk sjukdom, kräver cybersäkerhetsutredning och svar för en större incident att man försvarar ett system som både är:
- Kritiskt viktigt (kan inte stängas av för att arbeta med det).
- Komplext (vanligtvis bortom förståelsen av någon person).
Under en incident måste du hitta dessa kritiska balanser:
Hastighet
Balansera behovet av att agera snabbt för att tillfredsställa intressenterna med risk för snabba beslut.
Dela information
Informera utredare, intressenter och kunder baserat på råd från din juridiska avdelning för att begränsa ansvaret och undvika att ställa orealistiska förväntningar.
Den här artikeln är utformad för att minska risken för din organisation för en cybersäkerhetsincident genom att identifiera vanliga fel att undvika och ge vägledning om vilka åtgärder du snabbt kan vidta som både minskar risken och uppfyller intressenternas behov.
Kommentar
Mer information om hur du förbereder din organisation för utpressningstrojaner och andra typer av attacker i flera steg finns i Förbereda din återställningsplan.
Metodtips för svar
Att svara på incidenter kan utföras effektivt ur både tekniska perspektiv och driftsperspektiv med dessa rekommendationer.
Kommentar
Mer detaljerad branschvägledning finns i guiden för hantering av säkerhetsincidenter för NIST-datorer.
Metodtips för tekniska svar
För de tekniska aspekterna av incidenthantering, här är några mål att tänka på:
Försök att identifiera omfattningen för attackåtgärden.
De flesta angripare använder mekanismer för flera beständighet.
Identifiera målet med attacken, om möjligt.
Beständiga angripare kommer ofta att återvända för sitt mål (data/system) i en framtida attack.
Här följer några användbara tips:
Ladda inte upp filer till onlineskannrar
Många angripare övervakar instansens antal tjänster som VirusTotal för identifiering av riktad skadlig kod.
Överväg noggrant ändringar
Om du inte står inför ett överhängande hot om att förlora affärskritiska data, till exempel borttagning, kryptering och exfiltrering, balanserar du risken för att inte göra ändringen med den beräknade affärspåverkan. Till exempel kan det vara nödvändigt att tillfälligt stänga av organisationens internetåtkomst för att skydda affärskritiska tillgångar under en aktiv attack.
Om ändringar är nödvändiga om risken för att inte utföra en åtgärd är högre än risken för att göra det dokumenterar du åtgärden i en ändringslogg. Ändringar som görs under incidenthantering fokuserar på att störa angriparen och kan påverka verksamheten negativt. Du måste återställa ändringarna efter återställningsprocessen.
Undersök inte för alltid
Du måste hänsynslöst prioritera dina utredningsinsatser. Du kan till exempel bara utföra en kriminalteknisk analys på slutpunkter som angripare har använt eller ändrat. I en större incident där en angripare till exempel har administratörsbehörighet är det praktiskt taget omöjligt att undersöka alla potentiellt komprometterade resurser (som kan innehålla alla organisationsresurser).
Dela information
Bekräfta att alla utredningsteam, inklusive alla interna team och externa utredare eller försäkringsleverantörer, delar sina data med varandra, baserat på råd från din juridiska avdelning.
Få tillgång till rätt expertis
Bekräfta att du integrerar personer med djup kunskap om systemen i undersökningen, till exempel intern personal eller externa entiteter som leverantörer, inte bara säkerhetsgeneralister.
Förutse minskad svarskapacitet
Planera för 50% av din personal som arbetar med 50% av normal kapacitet på grund av situationell stress.
En viktig förväntan att hantera med intressenter är att du kanske aldrig kan identifiera den första attacken eftersom de data som krävs för identifiering har tagits bort innan undersökningen startar, till exempel en angripare som täcker sina spår genom loggrullning.
Metodtips för åtgärdssvar
För säkerhetsåtgärder (SecOps) aspekter av incidenthantering, här är några mål att tänka på:
Hålla fokus
Bekräfta att du håller fokus på affärskritiska data, kundpåverkan och förbereder dig för reparation.
Ge samordning och tydlighet i rollen
Upprätta distinkta roller för åtgärder till stöd för kristeamet och bekräfta att tekniska, juridiska team och kommunikationsteam håller varandra informerade.
Behålla ditt affärsperspektiv
Du bör alltid ta hänsyn till påverkan på verksamheten genom både angrepp och dina egna svarsåtgärder.
Här följer några användbara tips:
Överväg incidentkommandosystemet (ICS) för krishantering
Om du inte har en permanent organisation som hanterar säkerhetsincidenter rekommenderar vi att du använder ICS som en tillfällig organisationsstruktur för att hantera krisen.
Håll pågående dagliga åtgärder intakta
Se till att normala SecOps inte är helt åsidosatta för att stödja incidentutredningar. Det här arbetet måste fortfarande göras.
Undvik slösaktiga utgifter
Många större incidenter resulterar i köp av dyra säkerhetsverktyg under press som aldrig distribueras eller används. Om du inte kan distribuera och använda ett verktyg under undersökningen, som kan omfatta anställning och utbildning för mer personal med de kompetensuppsättningar som krävs för att använda verktyget, skjut upp förvärvet tills du har slutfört undersökningen.
Få tillgång till djup expertis
Bekräfta att du har möjlighet att eskalera frågor och problem till djupexperter på kritiska plattformar. Den här möjligheten kan kräva åtkomst till operativsystemet och programleverantören för affärskritiska system och företagsomfattande komponenter som stationära datorer och servrar.
Upprätta informationsflöden
Ange tydlig vägledning och förväntningar på informationsflödet mellan ledande incidenthanteringsledare och organisationens intressenter. Mer information finns i planering av incidenthantering.
Metodtips för återställning
Återställning från incidenter kan göras effektivt ur både tekniska och driftsperspektiv med dessa rekommendationer.
Metodtips för teknisk återställning
För de tekniska aspekterna av att återställa från en incident, här är några mål att tänka på:
Koka inte havet
Begränsa svarsomfånget så att återställningsåtgärden kan köras inom 24 timmar eller mindre. Planera en helg för att ta hänsyn till oförutsedda händelser och korrigerande åtgärder.
Undvik distraktioner
Skjut upp långsiktiga säkerhetsinvesteringar som att implementera stora och komplexa nya säkerhetssystem eller ersätta lösningar mot skadlig kod tills efter återställningen. Allt som inte har direkt och omedelbar inverkan på den aktuella återställningsåtgärden är en distraktion.
Här följer några användbara tips:
Återställ aldrig alla lösenord samtidigt
Lösenordsåterställning bör först fokusera på kända komprometterade konton baserat på din undersökning och vara potentiellt administratörs- eller tjänstkonton. Om det är motiverat bör användarlösenord endast återställas på ett mellanlagrat och kontrollerat sätt.
Konsolidera körning av återställningsuppgifter
Om du inte står inför ett överhängande hot om att förlora affärskritiska data bör du planera en konsoliderad åtgärd för att snabbt åtgärda alla komprometterade resurser (till exempel värdar och konton) jämfört med att åtgärda komprometterade resurser när du hittar dem. Om du komprimerar det här tidsfönstret blir det svårt för attackoperatorer att anpassa och upprätthålla beständighet.
Använda befintliga verktyg
Undersöka och använda funktionerna i verktyg som du distribuerade innan du försökte distribuera och lära dig ett nytt verktyg under en återställning.
Undvik att tipsa din angripare
I praktiken bör du vidta åtgärder för att begränsa den information som är tillgänglig för angripare om återställningsåtgärden. Angripare har vanligtvis åtkomst till alla produktionsdata och e-post i en större cybersäkerhetsincident. Men i verkligheten har de flesta angripare inte tid att övervaka all din kommunikation.
Microsofts Security Operations Center (SOC) använder en icke-produktionsbaserad Microsoft 365-klient för säker kommunikation och samarbete för medlemmar i incidenthanteringsteamet.
Metodtips för återställning av åtgärder
Här är några mål att tänka på när det gäller driftaspekterna av att återställa från en incident:
Ha en tydlig plan och begränsat omfång
Arbeta nära dina tekniska team för att skapa en tydlig plan med begränsat omfång. Även om planer kan ändras baserat på angreppsaktivitet eller ny information, bör du arbeta flitigt för att begränsa omfattningens expansion och ta på dig fler uppgifter.
Ha ett tydligt planägarskap
Återställningsåtgärder involverar många människor som utför många olika uppgifter samtidigt, så utse en projektledare för åtgärden för tydligt beslutsfattande och slutgiltig information som ska flöda bland kristeamet.
Upprätthålla intressentkommunikation
Arbeta med kommunikationsteam för att tillhandahålla uppdateringar i tid och aktiv förväntanshantering för organisationens intressenter.
Här följer några användbara tips:
Känna till dina funktioner och begränsningar
Att hantera stora säkerhetsincidenter är mycket utmanande, mycket komplext och nytt för många proffs i branschen. Du bör överväga att ta in expertis från externa organisationer eller professionella tjänster om dina team är överväldigade eller inte är säkra på vad de ska göra härnäst.
Samla in de lärdomar som har dragits
Skapa och kontinuerligt förbättra rollspecifika handböcker för SecOps, även om det är din första incident utan några skriftliga procedurer.
Kommunikation på lednings- och styrelsenivå för incidenthantering kan vara utmanande om de inte praktiseras eller förväntas. Kontrollera att du har en kommunikationsplan för att hantera förloppsrapportering och förväntningar på återställning.
Incidenthanteringsprocess för SecOps
Överväg den här allmänna vägledningen om incidenthanteringsprocessen för secops och personal.
1. Besluta och agera
När ett verktyg för hotidentifiering, till exempel Microsoft Sentinel eller Microsoft Defender XDR, upptäcker en trolig attack skapas en incident. MTTA-mätningen (Mean Time to Acknowledge) för SOC börjar med den tid då säkerhetspersonalen märker attacken.
En skiftanalytiker delegeras eller tar över ansvaret för incidenten och utför en inledande analys. Tidsstämpeln för detta är slutet på mätningen av MTTA-svarstider och påbörjar MTTR-mätningen (Mean Time to Remediate).
Eftersom analytikern som äger incidenten utvecklar en tillräckligt hög nivå av förtroende för att de förstår historien och omfattningen av attacken, kan de snabbt övergå till att planera och utföra rensningsåtgärder.
Beroende på attackens art och omfattning kan dina analytiker rensa attackartefakter när de går (till exempel e-postmeddelanden, slutpunkter och identiteter) eller så kan de skapa en lista över komprometterade resurser för att rensa upp på en gång (kallas för en Big Bang)
Rensa när du går
För de flesta typiska incidenter som upptäcks tidigt i attackåtgärden kan analytiker snabbt rensa artefakterna när de hittar dem. Denna praxis missgynnar motståndaren och hindrar dem från att gå vidare med nästa steg i attacken.
Förbered dig för en Big Bang
Den här metoden är lämplig för ett scenario där en angripare redan har bosatt sig i och upprättat redundanta åtkomstmekanismer till din miljö. Den här metoden visas ofta i kundincidenter som utreds av Microsofts incidenthanteringsteam. I den här metoden bör analytiker undvika att tipsa motståndaren tills en fullständig upptäckt av angriparens närvaro, eftersom överraskning kan hjälpa till med att helt störa deras verksamhet.
Microsoft har lärt sig att partiell reparation ofta tipsar en angripare, vilket ger dem en chans att reagera och snabbt förvärra incidenten. Angriparen kan till exempel sprida attacken ytterligare, ändra sina åtkomstmetoder för att undvika identifiering, täcka sina spår och orsaka data och systemskador och förstörelse för hämnd.
Att rensa nätfiske och skadliga e-postmeddelanden kan ofta göras utan att tipsa angriparen, men att rensa värdprogram och återta kontrollen över konton har stor risk att upptäckas.
Det här är inte enkla beslut att fatta och det finns ingen ersättning för erfarenhet av att göra dessa bedömningsanrop. En samarbetsmiljö och kultur i din SOC hjälper till att säkerställa att analytiker kan utnyttja varandras erfarenheter.
De specifika svarsstegen är beroende av attackens art, men de vanligaste procedurerna som används av analytiker kan vara:
Klientslutpunkter (enheter)
Isolera slutpunkten och kontakta användaren eller IT-åtgärder/supportavdelningen för att initiera en ominstallationsprocedur.
Server eller program
Arbeta med IT-åtgärder och programägare för att snabbt åtgärda dessa resurser.
Användarkonton
Återta kontrollen genom att inaktivera kontot och återställa lösenordet för komprometterade konton. De här procedurerna kan utvecklas när användarna övergår till lösenordslös autentisering med Hjälp av Windows Hello eller någon annan form av multifaktorautentisering (MFA). Ett separat steg är att förfalla alla autentiseringstoken för kontot med Microsoft Defender för molnet Apps.
Dina analytiker kan också granska MFA-metodens telefonnummer och enhetsregistrering för att säkerställa att den inte kapas genom att kontakta användaren och återställa den här informationen efter behov.
Tjänstkonton
På grund av den höga risken för tjänst- eller affärspåverkan bör dina analytiker arbeta med postens ägare av tjänstkontot och återgå till IT-åtgärder efter behov för att snabbt åtgärda dessa resurser.
E-postmeddelanden
Ta bort attacken eller nätfiskemeddelandet och rensa dem ibland för att förhindra att användare återställer borttagna e-postmeddelanden. Spara alltid en kopia av det ursprungliga e-postmeddelandet för senare sökning efter analys efter attack, till exempel rubriker, innehåll och skript eller bifogade filer.
Övrigt
Du kan köra anpassade åtgärder baserat på typen av attack, till exempel återkalla programtoken och konfigurera om servrar och tjänster.
2. Rensning efter incident
Eftersom du inte drar nytta av lärdomar förrän du ändrar framtida åtgärder kan du alltid integrera all användbar information som du har lärt dig från undersökningen i dina SecOps.
Fastställa anslutningarna mellan tidigare och framtida incidenter med samma hotaktörer eller metoder och samla in dessa lärdomar för att undvika upprepade manuella arbets- och analysfördröjningar i framtiden.
Dessa lärdomar kan ta många former, men vanliga metoder är analys av:
Indikatorer för kompromiss (IoCs).
Registrera eventuella tillämpliga IoCs, till exempel filhashvärden, skadliga IP-adresser och e-postattribut i soc-hotinformationssystemen.
Okända eller ej kopplade säkerhetsrisker.
Dina analytiker kan initiera processer för att säkerställa att saknade säkerhetskorrigeringar tillämpas, felkonfigurationer korrigeras och leverantörer (inklusive Microsoft) informeras om "nolldagars" sårbarheter så att de kan skapa och distribuera säkerhetskorrigeringar.
Interna åtgärder som att aktivera loggning av tillgångar som täcker dina molnbaserade och lokala resurser.
Granska dina befintliga säkerhetsbaslinjer och överväg att lägga till eller ändra säkerhetskontroller. Se till exempel microsoft Entra-säkerhetsåtgärdsguiden för information om hur du aktiverar lämplig granskningsnivå i katalogen innan nästa incident inträffar.
Granska dina svarsprocesser för att identifiera och lösa eventuella luckor som hittades under incidenten.
Incidenthanteringsresurser
- Planera för din SOC
- Spelböcker för detaljerad vägledning om hur du svarar på vanliga attackmetoder
- Microsoft Defender XDR-incidentsvar
- Microsoft Defender för molnet (Azure)
- Incidenthantering i Microsoft Sentinel
- Microsofts teamguide för incidenthantering delar med sig av metodtips för säkerhetsteam och ledare
- Microsoft Incident Response-guider hjälper säkerhetsteam att analysera misstänkt aktivitet
Viktiga Microsoft-säkerhetsresurser
| Resurs | beskrivning |
|---|---|
| 2023 Microsofts rapport om digitalt försvar | En rapport som omfattar lärdomar från säkerhetsexperter, utövare och försvarare på Microsoft för att ge människor överallt möjlighet att försvara sig mot cyberhot. |
| Referensarkitekturer för Microsoft Cybersecurity | En uppsättning diagram över visuell arkitektur som visar Microsofts cybersäkerhetsfunktioner och deras integrering med Microsofts molnplattformar som Microsoft 365 och Microsoft Azure och molnplattformar och appar från tredje part. |
| Nedladdning av informationsgrafik för minuter | En översikt över hur Microsofts SecOps-team utför incidenthantering för att minimera pågående attacker. |
| Säkerhetsåtgärder för Azure Cloud Adoption Framework | Strategisk vägledning för ledare som upprättar eller moderniserar en säkerhetsåtgärdsfunktion. |
| Microsofts rekommenderade säkerhetsmetoder för säkerhetsåtgärder | Så här använder du ditt SecOps Center på bästa sätt för att gå snabbare än de angripare som riktar in sig på din organisation. |
| Microsofts molnsäkerhet för IT-arkitekter | Säkerhet i Microsofts molntjänster och plattformar för identitets- och enhetsåtkomst, skydd mot hot och informationsskydd. |
| Microsofts säkerhetsdokumentation | Ytterligare säkerhetsvägledning från Microsoft. |