Incidentsvarsprocess

Det första steget är att ha en incidentsvarsplan som omfattar både interna och externa processer för att svara på cybersäkerhetsincidenter. Planen bör beskriva hur din organisation ska:

  • Hantera attacker som varierar med affärsrisken och effekten av incidenten, som kan variera från en isolerad webbplats som inte längre är tillgänglig för kompromisser med autentiseringsuppgifter på administratörsnivå.
  • Definiera syftet med svaret, till exempel en återgång till service eller för att hantera juridiska eller PR-aspekter av attacken.
  • Prioritera det arbete som behöver göras med avseende på hur många personer som ska arbeta med händelsen och deras uppgifter.

I artikeln om incidentsvarsplanering finns en checklista med aktiviteter som du bör överväga att inkludera i din incidentsvarsplan. När din incidentsvarsplan är på plats kan du testa den regelbundet för de allvarligaste typerna av cyberattacker för att säkerställa att din organisation kan svara snabbt och effektivt.

Även om varje organisations incidentsvarsprocess kan vara olika baserat på organisationens struktur och funktioner och historiska erfarenhet, bör du överväga uppsättningen rekommendationer och metodtips i den här artikeln för att svara på säkerhetsincidenter.

Under en incident är det viktigt att:

  • Håll dig lugn

    Incidenter är extremt störande och kan bli känslomässigt laddade. Var lugn och fokusera på att prioritera dina ansträngningar på de mest effektfulla åtgärderna först.

  • Gör ingen skada

    Kontrollera att ditt svar har utformats och körts på ett sätt som undviker dataförlust, förlust av verksamhetskritiska funktioner och förlust av bevis. Undvik beslut kan skada din förmåga att skapa kriminaltekniska tidslinjer, identifiera orsaken och lära dig viktiga lärdomar.

  • Engagera din juridiska avdelning

    Bestäm om de planerar att involvera brottsbekämpning så att du kan planera dina utrednings- och återställningsförfaranden på lämpligt sätt.

  • Var försiktig när du delar information om händelsen offentligt

    Bekräfta att allt du delar med dina kunder och allmänheten baseras på råd från din juridiska avdelning.

  • Få hjälp när det behövs

    Utnyttja djup expertis och erfarenhet när du undersöker och svarar på attacker från sofistikerade angripare.

Som att diagnostisera och behandla en medicinsk sjukdom kräver cybersäkerhetsutredning och svar för en större incident att försvara ett system som är både:

  • Kritiskt viktigt (det går inte att stänga av för att arbeta med det).
  • Komplex (vanligtvis bortom förståelsen av någon person).

Under en incident måste du göra följande viktiga avvägningar:

  • Hastighet

    Balansera behovet av att agera snabbt för att tillfredsställa intressenter med risk för förhastade beslut.

  • Dela information

    Informera utredare, intressenter och kunder baserat på råd från din juridiska avdelning för att begränsa ansvaret och undvika att ställa orealistiska förväntningar.

Den här artikeln är utformad för att minska risken för din organisation för en cybersäkerhetsincident genom att identifiera vanliga fel att undvika och ge vägledning om vilka åtgärder du snabbt kan vidta för att både minska risken och tillgodose intressenternas behov.

Observera

Mer information om hur du förbereder din organisation för utpressningstrojaner och andra typer av attacker i flera steg finns i Förbereda din återställningsplan.

Metodtips för svar

Att svara på incidenter kan göras effektivt ur både tekniskt perspektiv och verksamhetsperspektiv med dessa rekommendationer.

Observera

Mer detaljerad branschvägledning finns i NIST Computer Security Incident Handling Guide.

Tekniska

För de tekniska aspekterna av incidentsvar, här är några mål att överväga:

  • Försök identifiera omfattningen av attackåtgärden.

    De flesta motståndare använder flera beständighetsmekanismer.

  • Identifiera målet med attacken, om möjligt.

    Fortlöpande angripare kommer ofta att återvända för sitt mål (data/system) i en framtida attack.

Här är några användbara tips:

  • Ladda inte upp filer till onlineskannrar

    Många motståndare övervakar instanser räkna med tjänster som VirusTotal för identifiering av riktad skadlig kod.

  • Fundera noga över ändringar

    Om du inte står inför ett överhängande hot om att förlora affärskritiska data, till exempel borttagning, kryptering och exfiltration, balanserar du risken att inte göra ändringen med den beräknade affärseffekten. Till exempel kan det vara nödvändigt att tillfälligt stänga av din organisations internetanslutning för att skydda affärskritiska tillgångar under en aktiv attack.

    Om ändringar är nödvändiga om risken för att inte utföra en åtgärd är högre än risken för att göra det, dokumenterar du åtgärden i en ändringslogg. Ändringar som görs under incidentsvar fokuserar på att störa angriparen och kan påverka verksamheten negativt. Du måste återställa dessa ändringar efter återställningsprocessen.

  • Undersöka inte för alltid

    Ni måste hänsynslöst prioritera era utredningsinsatser. Utför till exempel endast kriminalteknisk analys på slutpunkter som angriparna faktiskt har använt eller ändrat. I en större händelse där en angripare till exempel har administratörsbehörighet är det praktiskt taget omöjligt att undersöka alla potentiellt komprometterade resurser (som kan inkludera alla organisationsresurser).

  • Dela information

    Kontrollera att alla utredningsteam, inklusive alla interna team och externa utredare eller försäkringsleverantörer, delar sina data med varandra, baserat på råd från din juridiska avdelning.

  • Få tillgång till rätt expertis

    Kontrollera att du integrerar personer med djup kunskap om systemen i undersökningen, till exempel intern personal eller externa enheter som leverantörer, inte bara säkerhetsgeneralister.

  • Förutse minskad svarskapacitet

    Planera för 50% av din personal som arbetar med 50% av normal kapacitet på grund av situationell stress.

En viktig förväntan att hantera med intressenter är att du kanske aldrig kan identifiera den första attacken eftersom de data som krävs för detta kan ha tagits bort innan utredningen startar, till exempel en angripare som täcker sina spår genom att rulla loggen.

Verksamhet

För säkerhetsåtgärder (SecOps) aspekter av incidentsvar, här är några mål att överväga:

  • Behålla fokus

    Bekräfta att du håller fokus på affärskritiska data, kundpåverkan och förbereder för åtgärder.

  • Förtydligande av samordning och roll

    Skapa unika roller för åtgärder till stöd för kristeamet och bekräfta att tekniska, juridiska och kommunikationsteam håller varandra informerade.

  • Behålla affärsperspektivet

    Du bör alltid tänka på effekten på affärsverksamhet genom både motståndarens åtgärder och dina egna svarsåtgärder.

Här är några användbara tips:

  • Överväg incidentkommandosystemet (ICS) för krishantering

    Om du inte har en permanent organisation som hanterar säkerhetsincidenter rekommenderar vi att du använder ICS som en tillfällig organisationsstruktur för att hantera krisen.

  • Håll pågående dagliga operationer intakta

    Se till att normala SecOps inte är helt åsidosatta för att stödja incidentutredningar. Detta arbete måste fortfarande göras.

  • Undvik slösaktiga utgifter

    Många större incidenter resulterar i köp av dyra säkerhetsverktyg under press som aldrig distribueras eller används. Om du inte kan distribuera och använda ett verktyg under undersökningen, vilket kan inkludera anställning och utbildning för ytterligare personal med de kompetenser som behövs för att använda verktyget, skjut upp förvärvet tills du är klar med undersökningen.

  • Få tillgång till djup expertis

    Kontrollera att du har möjlighet att eskalera frågor och problem till djupa experter på kritiska plattformar. Detta kan kräva åtkomst till operativsystemet och programleverantören för affärskritiska system och företagsomfattande komponenter, till exempel stationära datorer och servrar.

  • Upprätta informationsflöden

    Ange tydlig vägledning och förväntningar på informationsflödet mellan seniora incidentsvarsledare och organisationens intressenter. Mer information finns i Planering för incidentåtgärder .

Metodtips för återställning

Återställning från incidenter kan göras effektivt ur både tekniskt perspektiv och driftsperspektiv med dessa rekommendationer.

Tekniska

För de tekniska aspekterna av att återhämta sig från en incident, här är några mål att tänka på:

  • Koka inte havet

    Begränsa svarsomfånget så att återställningsåtgärden kan utföras inom 24 timmar eller mindre. Planera en helg för att ta hänsyn till oförutsedda händelser och korrigerande åtgärder.

  • Undvik distraktioner

    Skjut upp långsiktiga säkerhetsinvesteringar som att implementera stora och komplexa nya säkerhetssystem eller ersätta lösningar mot skadlig kod till efter återställningsåtgärden. Allt som inte har direkt och omedelbar inverkan på den aktuella återställningsåtgärden är en distraktion.

Här är några användbara tips:

  • Återställ aldrig alla lösenord på en gång

    Lösenordsåterställning bör först fokusera på kända komprometterade konton baserat på din undersökning och vara potentiellt administratörs- eller tjänstkonton. Om det är motiverat ska användarlösenord endast återställas på ett stegvist och kontrollerat sätt.

  • Konsolidera körning av återställningsuppgifter

    Om du inte står inför ett överhängande hot om att förlora affärskritiska data bör du planera en konsoliderad åtgärd för att snabbt åtgärda alla komprometterade resurser (till exempel värdar och konton) och åtgärda komprometterade resurser när du hittar dem. Om du komprimerar det här tidsintervallet blir det svårt för attackoperatorer att anpassa sig och behålla sin beständighet.

  • Använda befintliga verktyg

    Undersöka och använda funktionerna för verktyg som du redan har distribuerat innan du försöker distribuera och lära dig ett nytt verktyg under en återställning.

  • Undvik att tipsa din motståndare

    Praktiskt bör du vidta åtgärder för att begränsa den information som är tillgänglig för motståndare om återställningsåtgärden. Motståndare har vanligtvis tillgång till alla produktionsdata och all e-post i en större cybersäkerhetsincident. Men i verkligheten har de flesta angripare inte tid att övervaka all din kommunikation.

    Microsofts Security Operations Center (SOC) har använt en icke-produktionsbaserad Microsoft 365 klientorganisation för säker kommunikation och samarbete för medlemmar i incidentsvarsteamet.

Verksamhet

Här är några mål att tänka på när det gäller verksamhetsaspekterna för återställning av en incident:

  • Ha en tydlig plan och begränsad omfattning

    Arbeta i nära samarbete med dina tekniska team för att skapa en tydlig plan med begränsad omfattning. Planerna kan ändras beroende på motståndares aktivitet eller ny information, men du bör arbeta flitigt för att begränsa omfattningsexpansionen och ta på dig ytterligare uppgifter.

  • Ha tydlig planägarskap

    Återvinningsåtgärder innebär att många människor utför många olika uppgifter samtidigt, så utse en projektledning för operationen för tydligt beslutsfattande och definitiv information att flöda mellan krisgruppen.

  • Underhålla kommunikationer för intressenter

    Arbeta med kommunikationsteam för att tillhandahålla uppdateringar i tid och aktiv hantering av förväntningar för organisationens intressenter.

Här är några användbara tips:

  • Ta reda på dina möjligheter och begränsningar

    Att hantera stora säkerhetsincidenter är mycket utmanande, mycket komplext och nytt för många yrkesverksamma i branschen. Du bör överväga att ta in expertis från externa organisationer eller professionella tjänster om dina team är överväldigade eller inte är säkra på vad du ska göra härnäst.

  • Fånga de lärdomar som dragits

    Skapa och ständigt förbättra rollspecifika handböcker för SecOps, även om det är din första incident utan några skriftliga procedurer.

Kommunikation på lednings- och styrelsenivå för incidentsvar kan vara utmanande om de inte övas eller förväntas. Kontrollera att du har en kommunikationsplan för att hantera förloppsrapportering och förväntningar på återställning.

Incidentsvarsprocess

Överväg den här allmänna vägledningen om incidentsvarsprocessen för secops och personal.

1. Bestäm och agera

När ett verktyg för identifiering av hot, till exempel Microsoft Sentinel eller Microsoft 365 Defender upptäcker en sannolik attack, skapas en incident. MTTA-mätningen (Mean Time to Acknowledge) av SOC-svarstiden börjar med tiden då denna attack uppmärksammas av din säkerhetspersonal.

En analytiker på arbetspass delegeras eller tar över ansvaret för incidenten och utför en första analys. Tidsstämpeln för detta är slutet på MTTA-svarstidsmätningen och börjar MTTR-mätningen (Mean Time to Remediate).

Som analytiker som äger incidenten utvecklar en tillräckligt hög nivå av förtroende för att de förstår historien och omfattningen av attacken, kan de snabbt övergå till att planera och utföra rensningsåtgärder.

Beroende på arten och omfattningen av attacken kan dina analytiker rensa upp attackartefakter när de går (till exempel e-postmeddelanden, slutpunkter och identiteter) eller så kan de skapa en lista med komprometterade resurser för att rensa upp allt på en gång (kallas en Big Bang)

  • Rengör allt eftersom

    För de flesta typiska incidenter som upptäcks tidigt i attackoperationen kan analytiker snabbt rensa upp artefakterna när de hittar dem. Detta gör att motståndaren hamnar i en nackdel och hindrar dem från att gå vidare med nästa steg i sin attack.

  • Förbered dig på en Big Bang

    Den här metoden är lämplig för ett scenario där en motståndare redan har slagit sig in och etablerat redundanta åtkomstmekanismer till din miljö. Detta visas ofta i kundincidenter som undersöks av Microsofts team för identifiering och svar (DART). I detta tillvägagångssätt bör analytiker undvika att tippa av motståndaren tills fullständig upptäckt av angriparens närvaro, eftersom överraskning kan hjälpa till med att helt störa deras verksamhet.

    Microsoft har lärt sig att partiell åtgärd ofta tipsar en motståndare, vilket ger dem en chans att reagera och snabbt förvärra händelsen. Till exempel kan angriparen sprida attacken ytterligare, ändra sina åtkomstmetoder för att undvika upptäckt, täcka sina spår och orsaka data och systemskador och förstörelse för hämnd.

    Att rensa upp nätfiske och skadliga e-postmeddelanden kan ofta göras utan att tipsa angriparen, men att rensa värdprogram och återta kontrollen över konton har stor risk att upptäckas.

Detta är inte enkla beslut att fatta och det finns inget substitut för erfarenhet av att göra dessa bedömningsrop. En samarbetsbaserad arbetsmiljö och kultur i din SOC hjälper till att säkerställa att analytiker kan utnyttja varandras erfarenheter.

De specifika svarsstegen är beroende av arten av attacken, men de vanligaste procedurerna som används av analytiker kan vara:

  • Klientslutpunkter (enheter)

    Isolera slutpunkten och kontakta användaren eller IT-åtgärder/helpdesk för att påbörja en ominstallationsprocedur.

  • Server eller program

    Arbeta med IT-åtgärder och programägare för att ordna snabb åtgärd av dessa resurser.

  • Användarkonton

    Återta kontrollen genom att inaktivera kontot och återställa lösenordet för komprometterade konton. De här procedurerna kan utvecklas när användarna övergår till lösenordsfri autentisering med Windows Hello eller någon annan form av multifaktorautentisering (MFA). Ett separat steg är att förfalla alla autentiseringstoken för kontot med Microsoft Defender for Cloud Apps.

    Dina analytiker kan också granska MFA-metodens telefonnummer och enhetsregistrering för att säkerställa att den inte har kapats genom att kontakta användaren och återställa den här informationen efter behov.

  • Tjänstkonton

    På grund av den höga risken för tjänst- eller affärspåverkan bör dina analytiker arbeta med postägaren för tjänstkontot och falla tillbaka på IT-åtgärder efter behov för att ordna snabba åtgärder av dessa resurser.

  • Email

    Ta bort attacken eller nätfiskemeddelandet och rensa dem ibland för att förhindra att användare återställer borttagna e-postmeddelanden. Spara alltid en kopia av det ursprungliga e-postmeddelandet för senare sökning efter analys efter attack, till exempel rubriker, innehåll och skript eller bifogade filer.

  • Andra

    Du kan utföra anpassade åtgärder baserat på vilken typ av attack som återkallar programtoken och konfigurerar om servrar och tjänster.

2. Rensning efter incident

Eftersom du inte drar nytta av lärdomar förrän du ändrar framtida åtgärder, integrera alltid all användbar information som lärts från utredningen tillbaka till dina SecOps.

Fastställ anslutningarna mellan tidigare och framtida incidenter med samma hotaktörer eller metoder och registrera dessa inlärningar för att undvika upprepade manuella arbets- och analysfördröjningar i framtiden.

Dessa utbildningar kan ha flera olika former, men vanliga metoder är bland annat analys av:

  • Indikatorer för kompromisser (IoCs).

    Spela in eventuella IOC:er, till exempel fil-hash-värden, skadliga IP-adresser och e-postattribut, i soc-hotinformationssystemen.

  • Okända eller opatched säkerhetsrisker.

    Dina analytiker kan initiera processer för att säkerställa att saknade säkerhetskorrigeringar tillämpas, att felaktiga konfigurationer korrigeras och att leverantörer (inklusive Microsoft) informeras om "noll dagars" sårbarheter så att de kan skapa och distribuera säkerhetskorrigeringar.

  • Interna åtgärder som att aktivera loggning på tillgångar som täcker dina molnbaserade och lokala resurser.

    Granska dina befintliga säkerhetsbaslinjer och överväg att lägga till eller ändra säkerhetskontroller. Se till exempel Azure Active Directory säkerhetsoperationsguiden för information om hur du aktiverar lämplig granskningsnivå i katalogen innan nästa incident inträffar.

Granska dina svarsprocesser för att identifiera och lösa eventuella brister som hittades under incidenten.

Resurser för incidentsvar

Viktiga Säkerhetsresurser från Microsoft

Resurs Beskrivning
2021 Microsoft Digital Defense Report En rapport som omfattar utbildningar från säkerhetsexperter, utövare och försvarare på Microsoft för att ge människor överallt möjlighet att försvara sig mot cyberhot.
Referensarkitekturer för Microsoft Cybersecurity En uppsättning visuella arkitekturdiagram som visar Microsofts cybersäkerhetsfunktioner och deras integrering med Microsofts molnplattformar som Microsoft 365 och Microsoft Azure och molnappar från tredje part.
Nedladdning av infografik av minuter En översikt över hur Microsofts SecOps-team hanterar incidentåtgärder för att minimera pågående attacker.
Azure Cloud Adoption Framework säkerhetsåtgärder Strategisk vägledning för ledare som upprättar eller moderniserar en säkerhetsåtgärdsfunktion.
Microsofts säkerhetstips för säkerhetsåtgärder Så här använder du ditt SecOps-center för att gå snabbare än angriparna som riktar sig mot din organisation.
Microsofts molnsäkerhet för IT-arkitekter Säkerhet i Microsofts molntjänster och plattformar för identitets- och enhetsåtkomst, skydd mot hot och informationsskydd.
Microsofts säkerhetsdokumentation Ytterligare säkerhetsvägledning från Microsoft.