Proces odpovědi na incident
Prvním krokem je mít plán reakce na incidenty, který zahrnuje interní i externí procesy pro reakci na incidenty kybernetické bezpečnosti. Plán by měl zahrnovat postup:
- Řešení útoků, které se liší podle obchodních rizik a dopadu incidentu, které se můžou lišit od izolovaného webu, který už není dostupný, a ohrožením přihlašovacích údajů na úrovni správce.
- Definujte účel odpovědi, například návrat ke službě nebo zpracování aspektů právního nebo veřejného vztahu útoku.
- Upřednostňujte práci, kterou je potřeba udělat, pokud jde o to, kolik lidí by mělo na incidentu a jejich úkolech pracovat.
Kontrolní seznam aktivit, které byste měli zvážit, včetně plánu reakce na incidenty, najdete v článku plánování odpovědí na incidenty. Až bude váš plán reakce na incidenty na místě, pravidelně ho otestujte na nejzávažnější typy kybernetických útoků, abyste zajistili, že vaše organizace bude reagovat rychle a efektivně.
I když se proces reakce na incidenty jednotlivých organizací může lišit na základě organizační struktury a možností, zvažte sadu doporučení a doporučených postupů v tomto článku pro reakci na incidenty zabezpečení.
Během incidentu je důležité:
Udržujte klid
Incidenty jsou velmi rušivé a stávají se emocionálně nabité. Zůstaňte v klidu a soustřeďte se na to, jak si napřed upřednostňujete své úsilí na nejúspouchytnějších akcích.
Neublížíte
Potvrďte, že vaše odpověď je navržená a provedená způsobem, který zabrání ztrátě dat, ztrátě důležitých funkcí pro firmy a ztrátě důkazů. Vyhnout se rozhodování může poškodit vaši schopnost vytvářet forenzní časové osy, identifikovat hlavní příčinu a naučit se kritické lekce.
Zapojte se do svého právního oddělení
Zjistěte, jestli plánují zapojit vymáhání práva, abyste mohli vhodně plánovat postupy vyšetřování a vymáhání.
Buďte opatrní při veřejném sdílení informací o incidentu.
Potvrďte, že všechno, co sdílíte se zákazníky a veřejností, vychází z doporučení vašeho právního oddělení.
Získání nápovědy v případě potřeby
Můžete využít hluboké odborné znalosti a zkušenosti při vyšetřování útoků sofistikovaných útočníků a jejich reakci na útoky.
Stejně jako diagnostika a ošetření lékařské nemoci vyžaduje vyšetřování kybernetické bezpečnosti a reakce na zásadní incident obranu systému, který je obojí:
- Kriticky důležité (není možné na něm pracovat).
- Komplexní (obvykle za hranicemi chápání kterékoli osoby).
Během incidentu je nutné zajistit tyto kritické zůstatky:
Rychlost
Vyvažte potřebu rychle jednat, abyste uspokojili účastníky s rizikem rychlých rozhodnutí.
Sdílení informací
Informujte zájemce, zúčastněné strany a zákazníky na základě doporučení vašeho právního oddělení, abyste omezili odpovědnost a vyhnuli se nerealistickým očekáváním.
Tento článek je navržený tak, aby snížil riziko pro vaši organizaci v případě incidentu kybernetické bezpečnosti tím, že identifikuje běžné chyby, aby se předešlo běžným chybám, a poskytuje pokyny k tomu, jaká opatření můžete rychle přijmout, aby se snížilo riziko a splňovaly potřeby zúčastněných stran.
Poznámka:
Další pokyny k přípravě vaší organizace na ransomwar a další typy vícestupňových útoků najdete v tématu Příprava plánu obnovení.
Doporučené postupy pro odpověď
S těmito doporučeními můžete efektivně reagovat na incidenty z hlediska technických i provozních.
Poznámka:
Další podrobné pokyny k oboru najdete v příručce NIST Computer Security Incident Handling Guide (Příručka pro zpracování incidentů zabezpečení počítače NIST).
Technické informace
Pro technické aspekty reakce na incidenty je třeba vzít v úvahu následující cíle:
Zkuste určit rozsah operace útoku.
Většina protivných používá více mechanismů perzistence.
Pokud je to možné, určete cíl útoku.
Vytrvalí útočníci se často vracejí za svůj cíl (data/systémy) při budoucím útoku.
Tady jsou některé užitečné tipy:
Nahrání souborů do online skenerů
Mnoho protivných lidí sleduje počet instancí na službách, jako je VirusTotal, kvůli zjišťování cíleného malwaru.
Pečlivě zvažte změny
Pokud nehrozí bezprostřední hrozba ztráty důležitých obchodních dat, jako je odstranění, šifrování a exfiltrace, vyvažte riziko, že změny neprovázíte s promítaným obchodním dopadem. Například dočasné vypnutí přístupu vaší organizace k internetu může být nutné k ochraně důležitých obchodních prostředků během aktivního útoku.
Pokud jsou změny nutné, pokud je riziko, že akce nebude provedena, vyšší než riziko provedení akce, zdokumentovat akci v protokolu změn. Změny provedené během reakce na incidenty jsou zaměřené na narušení útočníka a mohou negativně ovlivnit firmu. Po obnovení budete muset tyto změny vrátit zpátky.
Nevyšetřovat navždy
Musíte bezohledně upřednostňovat své úsilí o vyšetřování. Můžete třeba provádět pouze forenzní analýzu koncových bodů, které útočníci skutečně použili nebo upravili. V případě závažného incidentu, kdy má útočník oprávnění správce, je prakticky nemožné prozkoumat všechny potenciálně ohrožené zdroje (které mohou zahrnovat všechny prostředky organizace).
Sdílení informací
Potvrďte, že všechny týmy pro vyšetřování, včetně všech interních týmů a externích zkoušejících nebo poskytovatelů pojištění, vzájemně sdílejí svá data na základě doporučení vašeho právního oddělení.
Přístup ke správným odborným znalostem
Ujistěte se, že do vyšetřování integrujete lidi s hlubokou znalostí systémů, jako jsou interní zaměstnanci nebo externí subjekty, jako jsou dodavatelé, nejen generalisty zabezpečení.
Předvídání omezené schopnosti odezvy
Naplánujte si 50 % zaměstnanců pracujících na 50 % normální kapacity v důsledku situačního stresu.
Klíčové očekávání, které můžete se zúčastněnými stranami zvládnout, je, že možná nikdy nebudete moct identifikovat počáteční útok, protože data vyžadovaná k tomuto útoku mohla být odstraněna před zahájením vyšetřování, například útočník, který zakryje jejich stopu zachycením protokolu.
Operace
U aspektů bezpečnostních operací reakce na incidenty je třeba vzít v úvahu následující cíle:
Soustředění
Ujistěte se, že se zaměřujete na důležitá obchodní data, dopad na zákazníka a připravujete se na nápravu.
Zajištění koordinace a srozumitelnosti rolí
Na podporu krizového týmu si můžete vytvořit odlišné role a potvrdit, že technické, právní a komunikační týmy se vzájemně informují.
Zachování perspektivy vaší firmy
Vždy byste měli zvážit dopad na obchodní operace, a to jak prostřednictvím protichůdných akcí, tak vlastních akcí reakce.
Tady jsou některé užitečné tipy:
Zvažte systém ICS (Incident Command System) pro řešení krizových situací.
Pokud nemáte trvalou organizaci, která spravuje incidenty zabezpečení, doporučujeme používat KRIZ jako dočasnou organizační strukturu.
Zachovat probíhající každodenní operace beze změny
Ujistěte se, že běžné operace zabezpečení nejsou úplně na straně, aby podporovaly vyšetřování incidentů. Tuto práci je potřeba ještě udělat.
Vyhněte se plýtvání útratou
Mnoho velkých incidentů má za následek nákup nákladných nástrojů zabezpečení pod nátlakem, které se nikdy nenasadí ani nevyužít. Pokud během vyšetřování nemůžete nasadit a používat nástroj, což může zahrnovat nábor a školení pro další zaměstnance se sadami dovedností potřebnými k ovládání nástroje, odložit akvizici, dokud vyšetřování nedokončíte.
Přístup k odborným znalostem
Potvrďte, že máte možnost eskalovat otázky a problémy na hloubkové odborníky na kritických platformách. To může vyžadovat přístup k operačnímu systému a dodavateli aplikací pro důležité podnikové systémy a podnikové součásti, jako jsou stolní počítače a servery.
Vytvoření toků informací
Nastavte jasné pokyny a očekávání pro tok informací mezi vedoucími vedoucími reakcemi na incidenty a zúčastněnými stranami organizace. Další informace najdete v tématu Plánování odpovědí na incidenty.
Osvědčené postupy pro obnovení
Díky těmto doporučením se můžete z technických i provozních perspektiv efektivně zotavit z incidentů.
Technické informace
Pokud se chcete z incidentu vzpamatovat z technických aspektů, je třeba vzít v úvahu následující cíle:
Neuvařit oceán
Omezte rozsah odpovědi tak, aby operace obnovení byla provedena do 24 hodin nebo méně. Naplánujte si víkend a zohledníte potenciální a opravná opatření.
Vyhněte se rušit
Odložit dlouhodobé investice do zabezpečení, jako je implementace velkých a složitých nových bezpečnostních systémů nebo nahrazení antimalwarových řešení, až do operace obnovení. Všechno, co nemá přímý a okamžitý vliv na aktuální operaci obnovení, je rušivé.
Tady je několik užitečných tipů:
Nikdy resetovat všechna hesla najednou
Resetování hesel by se mělo nejdřív zaměřit na známé ohrožené účty založené na vašem vyšetřování a být potenciálně správcem nebo účty služeb. V případě záruky by se uživatelská hesla měla resetovat jenom stupňovim a řízeným způsobem.
Sloučení provádění úkolů obnovení
Pokud nehrozí bezprostřední hrozba ztráty důležitých obchodních dat, měli byste naplánovat sloučenou operaci, která rychle opraví všechny ohrožené zdroje (například hostitele a účty) a opraví ohrožené zdroje, jak je najdete. Komprimace tohoto časového okna ztěžuje operátorům útoku přizpůsobení a udržování perzistence.
Použití existujících nástrojů
Před nasazením a učením se nového nástroje během obnovení můžete prozkoumat a používat funkce nástrojů, které jste už nasadili.
Vyhněte se odklápění od svého adversary
Je praktické, že byste měli podniknou kroky k omezení informací, které jsou dostupné pro pronávraty o operaci obnovení. Adversaries typically have access to all production data and email in a major cybersecurity incident. Ve skutečnosti ale většina útočníků nemá čas sledovat všechny vaše komunikace.
Microsoft Security Operations Center (SOC) používá pro zabezpečenou komunikaci a spolupráci členů týmu reakce na incidenty Microsoft 365 neprodukčního tenanta.
Operace
Pro provozní aspekty obnovení z incidentu je třeba vzít v úvahu následující cíle:
Mít jasný plán a omezený rozsah
Úzce spolupracovat se svými technickými týmy na vytvoření jasného plánu s omezeným rozsahem. Plány se sice mohou měnit na základě aktivit protivných nebo nových informací, ale měli byste pilně pracovat, abyste omezili rozšíření rozsahu a řeli další úkoly.
Mít jasné vlastnictví plánu
Operace obnovy zahrnují mnoho lidí, kteří dělají mnoho různých úkolů najednou, a proto určete vedoucího projektu pro operaci, aby se mezi krizový tým mohly dostat jasné rozhodovací a konečné informace.
Udržovat komunikaci se zúčastněnými stranami
Pracujte s komunikačními týmy na poskytování včasných aktualizací a aktivní správy očekávání pro účastníky organizace.
Tady je několik užitečných tipů:
Znát možnosti a limity
Správa hlavních bezpečnostních incidentů je velmi náročná, velmi složitá a nová pro mnoho odborníků v oboru. Měli byste zvážit, jestli máte zkušenosti s externími organizacemi nebo profesionálními službami, pokud jsou vaše týmy zahlcené nebo si nejsou jistí, co dál dělat.
Zachycení získaných lekcí
Vytvářete a průběžně vylepšete příručky specifické pro jednotlivé role pro operace zabezpečení, i když se jedná o váš první incident bez písemného postupu.
Komunikace na úrovni vedení a správní rady pro reakci na incidenty může být náročná, pokud není praktikovaná nebo předvídána. Ujistěte se, že máte komunikační plán pro správu vykazování průběhu a očekávání pro obnovení.
Proces odpovědi na incident
Vezměte v úvahu tyto obecné pokyny k procesu reakce na incidenty pro vaše bezpečnostní operace a zaměstnance.
1. Rozhodněte se a vystupte
Když nástroj pro zjišťování hrozeb, jako je Microsoft Sentinel nebo Microsoft 365 Defender, zjistí pravděpodobný útok, vytvoří incident. Střední doba odezvy SOC (Mean Time to Acknowledge) začíná od okamžiku, kdy si tento útok všimli vaši bezpečnostní pracovníci.
Analytik při směně je buď delegovaný, nebo převezme vlastnictví incidentu a provede počáteční analýzu. Toto časové razítko je konec míry odezvy MTTA a začíná střední čas k nápravě (MTTR).
Analytik, který incident vlastní, vyvíjí dostatečně vysokou míru jistoty, že rozumí příběhu a rozsahu útoku, a může se rychle přesunout k plánování a provádění akcí čištění.
V závislosti na povaze a rozsahu útoku mohou vaši analytici vyčistit artefakty útoku, které jdou (jako jsou e-maily, koncové body a identity), nebo mohou vytvořit seznam ohrožených zdrojů, které by se měly vyčistit najednou (označované jako Velký třesk).
Vyčistěte, jak budete chodit
U většiny typických incidentů zjištěných v rané fázi operace útoku mohou analytici artefakty rychle vyčistit, jakmile je najdou. Tím znevýhodníte tohoto protiváře a zabráníte jim v dalším kroku útoku.
Příprava na velký třesk
Tento přístup je vhodný pro scénář, kdy se už sporný pracovník urovná v redundantních mechanismech přístupu k vašemu prostředí. To se často dočtete v zákaznických incidentech prošetřovaných týmem Microsoftu pro zjišťování a odezvu (DART). V tomto přístupu by se analytici měli vyhnout odkláněním odpůrce, dokud se plně nedozvědí, že je útočník v přítomnosti, protože překvapení může pomoct s úplným narušením jejich provozu.
Microsoft se dozvěděl, že částečná náprava často odsoudí adversary, což jim dává možnost reagovat a rychle zhoršit incident. Například útočník může útok rozšířit dál, změnit jejich přístupové metody tak, aby se vyhnout zjišťování, zakrýt jejich stopy a způsobit poškození a destrukci dat a systému kvůli odplatě.
Čištění phishingových a škodlivých e-mailů se často dělá bez toho, aby útočníka odtrhl, ale čištění hostitelského malwaru a opětovné získání kontroly nad účty má vysokou šanci na objevení.
Tato rozhodnutí nejsou jednoduchá a nenahrazuje zkušenosti s těmito rozhodnutími. Společné pracovní prostředí a kulturu ve vašem SOC pomáhá zajistit, aby analytici mohli navzájem využít své zkušenosti.
Konkrétní kroky odezvy závisí na povaze útoku, ale nejběžnější postupy používané analytiky mohou zahrnovat:
Koncové body klienta (zařízení)
Izolujte koncový bod a kontaktujte uživatele nebo it operace/helpdesk a spusťte postup přeinstalace.
Server nebo aplikace
Pracujte s it operacemi a vlastníky aplikací a uspořádejte rychlé opravy těchto zdrojů.
Uživatelské účty
Zprotivte řízení zakázáním účtu a resetováním hesla pro ohrožené účty. Tyto postupy se mohly vyvíjet při přechodu uživatelů na ověřování bez hesla pomocí Windows Hello nebo jiné formy vícefaktorového ověřování (MFA). Samostatným krokem je vypršení platnosti všech ověřovacích tokenů pro účet v programu Microsoft Defender pro cloudové aplikace.
Vaši analytici také mohou zkontrolovat telefonní číslo metody MFA a registraci zařízení, aby se zajistilo, že se nezranil tím, že kontaktují uživatele a podle potřeby tyto informace resetují.
Účty služeb
Vzhledem k vysokému riziku, které může mít služba nebo obchodní dopad, by vaši analytici měli spolupracovat s majitelem záznamu účtu služby, který se podle potřeby vrací k IT operacím, a zajistit tak rychlé odstranění těchto zdrojů.
E-maily
Odstraňte útok nebo phishingový e-mail a někdy je vymažte, aby se uživatelům zabránilo v obnovení odstraněných e-mailů. Vždy si uložte kopii původního e-mailu pro pozdější hledání analýzy po útoku, jako jsou záhlaví, obsah a skripty nebo přílohy.
Další
Vlastní akce můžete provádět na základě povahy útoku, jako je odvolání tokenů aplikací a překonfigurování serverů a služeb.
2. Vyčištění po incidentu
Vzhledem k tomu, že z naučených lekcí nemáte užitek, dokud nezměníte budoucí akce, vždy integrujte všechny užitečné informace získané z vyšetřování zpátky do bezpečnostních operací.
Určete spojení mezi minulými a budoucími incidenty stejnými účastníky nebo metodami hrozeb a zachyťte tyto učení, abyste se v budoucnu vyhnuli opakování ruční práce a zpoždění analýzy.
Tyto učení může mít různé podoby, ale běžné postupy zahrnují analýzu:
Indikátory ohrožení zabezpečení (IOCs).
Do systémů SOC threat intelligence můžete zaznamenávat všechny platné IOC, jako jsou hodnoty hash souborů, škodlivé IP adresy a atributy e-mailu.
Neznámé nebo nepatchované chyby zabezpečení
Vaši analytici mohou zahájit procesy, aby se zajistilo, že se použijí chybějící opravy zabezpečení, opraví se chybná konfigurace a dodavatelé (včetně Microsoftu) budou informováni o chybách zabezpečení s nulovým dnem, aby mohli vytvářet a distribuovat opravy zabezpečení.
Interní akce, jako je povolení protokolování prostředků pokrývajících cloudové a místní prostředky.
Zkontrolujte stávající směrné plány zabezpečení a zvažte přidání nebo změnu ovládacích prvků zabezpečení. Informace o povolení odpovídající úrovně auditování v adresáři před tím, než nastane další incident, najdete v průvodci Azure Active Directory zabezpečení.
Zkontrolujte procesy odpovědi a zjistěte a vyřešte případné mezery, které se během incidentu našly.
Zdroje odpovědí na incidenty
- Přehled produktů a zdrojů zabezpečení Microsoftu pro nové role a zkušené analytiky
- Plánování soc
- Playbooky pro podrobné pokyny k řešení běžných metod útoku
- Microsoft 365 Defender incidentu
- Odpověď na incident Microsoft Sentinel
Klíčové zdroje zabezpečení Microsoftu
| Zdroj | Popis |
|---|---|
| 2021 Microsoft Digital Defense Report | Zpráva, která zahrnuje učení od odborníků na zabezpečení, odborníků z praxe a obránců v Microsoftu, která umožňuje lidem všude bránit se před kybernetickými hrozbami. |
| Referenční architektury microsoftu pro kybernetickou bezpečnost | Sada diagramů vizuální architektury, které ukazují možnosti kybernetické bezpečnosti Microsoftu a jejich integraci s cloudovými platformami Microsoftu, jako jsou Microsoft 365 a Microsoft Azure a cloudové platformy a aplikace třetích stran. |
| Minuty jsou důležité– infografika ke stažení | Přehled toho, jak tým SecOps od Microsoftu na incidenty zareagovat, aby zmírní probíhající útoky. |
| Operace zabezpečení Azure Cloud Adoption Framework | Strategické pokyny pro vedoucí, kteří zachytá nebo modernizují funkci operace zabezpečení. |
| Doporučené postupy zabezpečení microsoftu pro operace zabezpečení | Jak nejlépe používat centrum SecOps k rychlejšímu pohybu než útočníci, které cílí na vaši organizaci. |
| Cloudové zabezpečení Microsoftu pro model IT architektů | Zabezpečení cloudových služeb a platforem Microsoftu pro přístup ke identitám a zařízením, ochranu před internetovými hrozbami a ochranu informací. |
| Dokumentace zabezpečení microsoftu | Další pokyny k zabezpečení od Microsoftu |