Incidensmegoldási folyamat

Az első lépés egy incidensmegoldási terv létrehozása , amely magában foglalja a kiberbiztonsági incidensekre való reagálás belső és külső folyamatait is. A tervnek részletesen meg kell ismertetnie a szervezet működését:

  • Az üzleti kockázattól és az incidens hatásától függően eltérő támadások elhárítása, amelyek a rendszergazdai szintű hitelesítő adatok biztonsága szempontjából már nem elérhető elkülönített webhelytől függően változhatnak.
  • Határozza meg a válasz célját, például a szolgáltatáshoz való visszatérést, vagy a támadás jogi vagy PR-aspektusainak kezelését.
  • Rangsorolja az elvégzendő munkát annak alapján, hogy hány embernek kell dolgoznia az incidensen és a feladataikon.

Az incidensmegoldási tervbe belevetendő tevékenységek ellenőrzőlistájáért tekintse meg az incidenskezelés tervezéséről szóló cikket . Ha elkészült az incidensmegoldási terv, tesztelje rendszeresen a legsúlyosabb típusú kibertámadások esetében, hogy szervezete gyorsan és hatékonyan reagálhasson.

Bár az egyes szervezetek incidensmegoldási folyamata eltérő lehet a szervezeti struktúra, a képességek és a korábbi tapasztalatok alapján, vegye figyelembe a jelen cikkben a biztonsági incidensekre való reagálásra vonatkozó javaslatokat és ajánlott eljárásokat.

Az incidens során kritikus fontosságú a következő:

  • Maradjon nyugodt

    Az incidensek rendkívül zavaróak, és érzelmileg megterhelővé válhatnak. Maradjon nyugodt, és koncentráljon arra, hogy az erőfeszítéseit a leghatásosabb műveletekre összpontosítsa.

  • Ne ártson

    Győződjön meg arról, hogy a válasz úgy lett megtervezve és végrehajtva, hogy elkerülje az adatvesztést, az üzleti szempontból kritikus funkciók elvesztését és a bizonyítékok elvesztését. A döntések elkerülése ronthatja a törvényszéki idősorok létrehozását, a kiváltó ok azonosítását és a kritikus tanulságok elsajátítását.

  • A jogi osztály bevonása

    Állapítsa meg, hogy tervezik-e a bűnüldöző szervek bevonását a vizsgálati és helyreállítási eljárások megfelelő megtervezéséhez.

  • Legyen óvatos, amikor nyilvánosan megosztja az incidenssel kapcsolatos információkat

    Győződjön meg arról, hogy minden, amit megoszt az ügyfeleivel és a nyilvánossággal, a jogi részleg tanácsán alapul.

  • Segítség kérése, ha szükséges

    Mély szakértelmet és tapasztalatot szerzett a kifinomult támadók támadásainak kivizsgálásához és az azokra való reagáláshoz.

Az orvosi betegségek diagnosztizálásához és kezeléséhez hasonlóan a kiberbiztonsági vizsgálathoz és a súlyos incidensek megoldásához is meg kell védeni egy olyan rendszert, amely mindkettő:

  • Kritikus fontosságú (nem lehet leállítani, hogy működjön rajta).
  • Összetett (általában nem értelmezhető egyetlen személy számára).

Az incidensek során ezeket a kritikus egyensúlyokat kell kiütnie:

  • Sebesség

    Egyensúlyba hozza a gyors cselekvés szükségességét, hogy kielégítse az érdekelt feleket a gyors döntések kockázatával.

  • Információk megosztása

    Tájékoztassa a nyomozókat, az érdekelt feleket és az ügyfeleket a jogi osztály tanácsára, hogy korlátozza a felelősséget, és elkerülje az irreális elvárásokat.

Ez a cikk úgy lett kialakítva, hogy csökkentse a szervezetre nézve a kiberbiztonsági incidensek kockázatát azáltal, hogy azonosítja az elkerülendő gyakori hibákat, és útmutatást nyújt arra vonatkozóan, hogy milyen műveleteket hajthat végre gyorsan, amelyek csökkentik a kockázatot és megfelelnek az érdekelt felek igényeinek.

Megjegyzés

A szervezet zsarolóprogramokra és más típusú többszakaszos támadásokra való előkészítésével kapcsolatos további útmutatásért tekintse meg a helyreállítási terv előkészítését ismertető szakaszt.

Ajánlott eljárások a válaszhoz

Az incidensekre való reagálás műszaki és üzemeltetési szempontból is hatékonyan elvégezhető ezekkel a javaslatokkal.

Megjegyzés

További részletes iparági útmutatásért tekintse meg az NIST számítógépes biztonsági incidenskezelési útmutatóját.

Műszaki

Az incidenskezelés technikai szempontjait az alábbi célokat érdemes figyelembe venni:

  • Próbálja meg azonosítani a támadási művelet hatókörét.

    A legtöbb támadó több adatmegőrzési mechanizmust használ.

  • Ha lehetséges, határozza meg a támadás célját.

    Az állandó támadók gyakran visszatérnek a céljukhoz (adatok/rendszerek) egy későbbi támadás során.

Íme néhány hasznos tipp:

  • Ne töltsön fel fájlokat online képolvasókba

    Számos támadó figyeli a példányok számát olyan szolgáltatások esetében, mint a VirusTotal a célzott kártevők felderítéséhez.

  • Alaposan fontolja meg a módosításokat

    Hacsak nem szembesül az üzletileg kritikus fontosságú adatok – például a törlés, a titkosítás és a kiszivárgás – elvesztésének közvetlen veszélyével, kiegyensúlyozhatja annak kockázatát, hogy a módosítást nem teszi meg a tervezett üzleti hatással. Előfordulhat például, hogy egy aktív támadás során az üzletileg kritikus fontosságú objektumok védelméhez ideiglenesen le kell állítani a szervezet internet-hozzáférését.

    Ha módosításokra van szükség, ha a művelet kihagyásának kockázata nagyobb, mint a kockázat, dokumentálja a műveletet egy változásnaplóban. Az incidenskezelés során végrehajtott módosítások a támadó megzavarására összpontosítanak, és kedvezőtlen hatással lehetnek az üzletre. Ezeket a módosításokat a helyreállítási folyamat után vissza kell állítania.

  • Ne vizsgálja meg örökre

    Könyörtelenül rangsorolnia kell a vizsgálati erőfeszítéseit. Például csak olyan végpontokon végezzen törvényszéki elemzést, amelyeket a támadók ténylegesen használtak vagy módosítottak. Például egy olyan nagyobb incidensben, ahol egy támadó rendszergazdai jogosultságokkal rendelkezik, gyakorlatilag lehetetlen kivizsgálni az összes potenciálisan sérült erőforrást (amely magában foglalhatja az összes szervezeti erőforrást).

  • Információk megosztása

    Győződjön meg arról, hogy az összes vizsgálati csoport, beleértve az összes belső csapatot és külső nyomozót vagy biztosítót is, megosztja az adatait egymással a jogi osztálya tanácsának megfelelően.

  • A megfelelő szakértelem elérése

    Győződjön meg arról, hogy a rendszerekkel kapcsolatos mélyreható ismeretekkel rendelkező személyeket – például belső személyzetet vagy külső entitásokat, például szállítókat – integrál a vizsgálatba, nem csak a biztonsági általános szakembereket.

  • Csökkentett válaszképesség várható

    Tervezze meg az alkalmazottak 50%-át a normál kapacitás 50%-ában a helyzeti stressz miatt.

Az érdekelt felekkel való kezelés egyik legfontosabb elvárása, hogy soha ne tudja azonosítani a kezdeti támadást, mert az ehhez szükséges adatokat a vizsgálat megkezdése előtt törölték, például egy támadó, aki naplógördítéssel fedi le a nyomaikat.

Műveletek

Az incidenskezelés biztonsági műveleteinek (SecOps) szempontjai esetében az alábbi célokat érdemes figyelembe venni:

  • Koncentráltság

    Győződjön meg arról, hogy továbbra is az üzletileg kritikus adatokra, az ügyfelekre gyakorolt hatásra és a szervizelésre való felkészülésre összpontosít.

  • A koordináció és a szerepkör egyértelműségének biztosítása

    Különböző szerepköröket alakít ki a válságkezelő csapatnak nyújtott műveletekhez, és győződjön meg arról, hogy a technikai, jogi és kommunikációs csapatok folyamatosan tájékoztatják egymást.

  • Az üzleti perspektívák megtartása

    Mindig vegye figyelembe az üzleti műveletekre gyakorolt hatást mind a támadói, mind a saját válaszműveletei alapján.

Íme néhány hasznos tipp:

  • Az incidenskezelő rendszer (ICS) használata a válságkezeléshez

    Ha nem rendelkezik olyan állandó szervezettel, amely biztonsági incidenseket kezel, javasoljuk, hogy ideiglenes szervezeti struktúraként használja az ICS-t a válság kezeléséhez.

  • Folyamatos napi műveletek érintetlenül hagyása

    Győződjön meg arról, hogy a normál SecOps nincs teljesen oldalvonalon az incidensvizsgálatok támogatásához. Ezt a munkát még el kell végezni.

  • Kerülje el a pazarló kiadásokat

    Számos nagyobb incidens költséges biztonsági eszközök vásárlását eredményezi olyan nyomás alatt, amelyeket soha nem helyeznek üzembe vagy használnak. Ha nem tud üzembe helyezni és használni egy eszközt a vizsgálat során, amely magában foglalhatja a további alkalmazottak felvételét és képzését az eszköz működtetéséhez szükséges készségekkel, halaszthatja a beszerzést a vizsgálat befejezéséig.

  • Mély szakértelem elérése

    Győződjön meg arról, hogy képes kérdéseket és problémákat eszkalálni a kritikus platformok mély szakértőinek. Ehhez hozzáférésre lehet szükség az operációs rendszer és az alkalmazás szállítójához az üzletileg kritikus rendszerekhez és a nagyvállalati szintű összetevőkhöz, például az asztali számítógépekhez és kiszolgálókhoz.

  • Adatfolyamok létrehozása

    Világos útmutatást és elvárásokat fogalmaz meg a vezető incidensmegoldási vezetők és a szervezet érdekelt felei közötti információáramlással kapcsolatban. További információért tekintse meg az incidenskezelés tervezését .

Ajánlott helyreállítási eljárások

Az incidensek utáni helyreállítás műszaki és üzemeltetési szempontból is hatékonyan elvégezhető ezekkel a javaslatokkal.

Műszaki

Az incidensből való helyreállítás technikai szempontjait az alábbi célokat érdemes figyelembe venni:

  • Ne forrald fel az óceánt!

    Korlátozza a válasz hatókörét, hogy a helyreállítási művelet legfeljebb 24 órán belül végrehajtható legyen. Tervezz egy hétvégét, hogy figyelembe vegyék a vészhelyzeteket és a korrekciós intézkedéseket.

  • Kerülje a zavaró tényezőket

    Halasztja a hosszú távú biztonsági befektetéseket, például a nagy és összetett új biztonsági rendszerek implementálását vagy a kártevőirtó megoldások cseréjét a helyreállítási műveletig. Bármi, ami nincs közvetlen és azonnali hatással a jelenlegi helyreállítási műveletre, zavaró.

Íme néhány hasznos tipp:

  • Soha ne állítsd vissza egyszerre az összes jelszót

    A jelszó-visszaállításnak először az ismert, feltört fiókokra kell összpontosítania a vizsgálat alapján, és potenciálisan rendszergazdai vagy szolgáltatásfiókok lehetnek. Ha indokolt, a felhasználói jelszavakat csak szakaszosan és szabályozott módon szabad visszaállítani.

  • Helyreállítási feladatok végrehajtásának konszolidálása

    Ha nem szembesül az üzletileg kritikus adatok elvesztésének közvetlen veszélyével, érdemes megterveznie egy konszolidált műveletet az összes sérült erőforrás (például gazdagépek és fiókok) gyors szervizelésére, illetve a sérült erőforrások megkeresése helyett. Az időkeret tömörítése megnehezíti a támadási operátorok számára az állandóság alkalmazkodását és fenntartását.

  • Meglévő eszközök használata

    A már üzembe helyezett eszközök képességeinek kutatása és használata, mielőtt megpróbálna üzembe helyezni és megtanulni egy új eszközt a helyreállítás során.

  • Kerülje a támadó felborulását

    Gyakorlatias lépésként meg kell tennie a helyreállítási műveletről a támadók számára elérhető információk korlátozását. A támadók általában egy jelentős kiberbiztonsági incidens során férnek hozzá az összes éles adathoz és e-mailhez. A valóságban azonban a legtöbb támadónak nincs ideje az összes kommunikáció figyelésére.

    A Microsoft Security Operations Center (SOC) egy nem éles Microsoft 365 bérlőt használt a biztonságos kommunikációhoz és együttműködéshez az incidensmegoldási csapat tagjai számára.

Műveletek

Az incidensből való helyreállítás üzemeltetési szempontjait az alábbi célokat érdemes figyelembe venni:

  • Világos tervvel és korlátozott hatókörrel rendelkezik

    A technikai csapatokkal szorosan együttműködve dolgozzon ki egy világos, korlátozott hatókörű tervet. Bár a tervek a támadó tevékenység vagy az új információk alapján változhatnak, szorgalmasan kell dolgoznia a hatókörbővítés korlátozásán és a további feladatok elvégzésén.

  • Világos tervtulajdonság

    A helyreállítási műveletek során sokan egyszerre sok különböző feladatot hajtanak végre, ezért jelöljön ki egy projektvezetőt a művelethez, hogy egyértelmű döntéshozatalt és végleges információkat közöljön a válságkezelő csapat között.

  • Az érdekelt felek kommunikációinak fenntartása

    A kommunikációs csapatokkal együttműködve időben frissít és aktív elváráskezelést biztosít a szervezeti érdekelt felek számára.

Íme néhány hasznos tipp:

  • A képességek és a korlátok megismerése

    A nagyobb biztonsági incidensek kezelése nagyon nehéz, nagyon összetett, és új az iparág számos szakembere számára. Érdemes megfontolnia a külső szervezetek vagy szakmai szolgáltatások szakértelmét, ha csapata túlterhelt, vagy nem biztos abban, hogy mi a következő lépés.

  • A tanultak rögzítése

    A SecOps szerepkör-specifikus kézikönyveinek létrehozása és folyamatos fejlesztése, még akkor is, ha ez az első esete, bármilyen írásos eljárás nélkül.

Az incidenskezelés vezetői és igazgatótanácsi szintű kommunikációja kihívást jelenthet, ha nem gyakorolják vagy nem várják el. Győződjön meg arról, hogy rendelkezik kommunikációs tervvel az előrehaladási jelentések és a helyreállítással kapcsolatos elvárások kezeléséhez.

Incidensmegoldási folyamat

Tekintse át ezt az általános útmutatást az incidensmegoldási folyamatról a biztonsági üzemeltetési munkatársak és az alkalmazottak számára.

1. Döntés és cselekvés

Miután egy fenyegetésészlelő eszköz, például a Microsoft Sentinel vagy Microsoft 365 Defender észlel egy valószínű támadást, incidenst hoz létre. Az SOC válaszképességének átlagos nyugtázási ideje (MTTA) azzal az idővel kezdődik, amikor a biztonsági személyzet észleli ezt a támadást.

A műszakban lévő elemző delegálva van, vagy átveszi az incidens tulajdonjogát, és elvégzi a kezdeti elemzést. Ennek időbélyege az MTTA válaszképesség-mérésének vége, és a szervizelés átlagos ideje (MTTR) mérésével kezdődik.

Mivel az incidenst birtoklő elemző kellően magabiztosan értelmezi a támadás történetét és hatókörét, gyorsan áttérhet a tisztítási műveletek megtervezésére és végrehajtására.

A támadás jellegétől és hatókörétől függően az elemzők menet közben törölhetik a támadási összetevőket (például e-maileket, végpontokat és identitásokat), vagy létrehozhatnak egy listát a sérült erőforrásokról, hogy egyszerre törölhessenek (más néven Big Bang).

  • Tisztítás menet közben

    A támadási művelet korai szakaszában észlelt legtöbb jellemző incidens esetén az elemzők gyorsan törölhetik az összetevőket, amint megtalálják őket. Ez hátrányos helyzetbe hozza a támadót, és megakadályozza, hogy előrehaladjon a támadás következő szakaszával.

  • Felkészülés a Big Bangre

    Ez a megközelítés akkor megfelelő, ha egy támadó már megállapodott és redundáns hozzáférési mechanizmusokat hozott létre a környezetében. Ez gyakran előfordul a Microsoft észlelési és válaszcsapata (DART) által kivizsgált ügyféleseményekben. Ebben a megközelítésben az elemzőknek kerülniük kell a támadó felborulását a támadó jelenlétének teljes felderítéséig, mert a meglepetés segíthet a művelet teljes megszakításában.

    A Microsoft megtudta, hogy a részleges szervizelés gyakran tippeket ad egy támadónak, ami lehetőséget ad nekik arra, hogy reagáljanak, és gyorsan rontsák az incidenst. A támadó például tovább terjesztheti a támadást, módosíthatja a hozzáférési módszereit, hogy elkerülje az észlelést, fedezze a nyomait, és bosszúból adat- és rendszerkárosítást és megsemmisítést okozzon.

    Az adathalász és rosszindulatú e-mailek eltávolítása gyakran elvégezhető anélkül, hogy felborítanák a támadót, de a gazdagép kártevőinek megtisztítása és a fiókok feletti irányítás visszaszerzése nagy eséllyel felderíthető.

Ezek nem könnyű döntéseket hozni, és nem helyettesíti a tapasztalatokat, hogy ezeket az ítélethívásokat. Az SOC együttműködésen alapuló munkakörnyezete és kultúrája segít biztosítani, hogy az elemzők kiaknázhassák egymás tapasztalatait.

A konkrét válaszlépések a támadás természetétől függenek, de az elemzők által leggyakrabban használt eljárások a következők lehetnek:

  • Ügyfélvégpontok (eszközök)

    Különítse el a végpontot, és lépjen kapcsolatba a felhasználóval vagy az informatikai műveletekkel/segélyszolgálattal az újratelepítési eljárás kezdeményezéséhez.

  • Kiszolgáló vagy alkalmazások

    Az informatikai üzemeltetési és alkalmazástulajdonosokkal együttműködve gondoskodhat az erőforrások gyors szervizeléséről.

  • Felhasználói fiókok

    A fiók letiltásával és a feltört fiókok jelszavának alaphelyzetbe állításával visszaveheti az irányítást. Ezek az eljárások tovább fejlődhetnek, amikor a felhasználók jelszó nélküli hitelesítésre váltanak Windows Hello vagy más többtényezős hitelesítés (MFA) használatával. Egy külön lépés a fiók összes hitelesítési jogkivonatának lejárata Microsoft Defender for Cloud Apps.

    Az elemzők áttekinthetik az MFA-módszer telefonszámát és az eszközregisztrációt is, hogy meggyőződhessenek arról, hogy nem tértek el a felhasználótól, és szükség szerint alaphelyzetbe állíthatják ezeket az adatokat.

  • Szolgáltatásfiókok

    A szolgáltatás vagy az üzleti hatás magas kockázata miatt az elemzőknek együtt kell működniük a szolgáltatásfiók rekordtulajdonosával, és szükség szerint vissza kell esni az informatikai műveletekre az erőforrások gyors szervizelése érdekében.

  • E-mail

    Törölje a támadási vagy adathalász e-maileket, és időnként törölje őket, hogy megakadályozza a felhasználókat a törölt e-mailek helyreállításában. Mindig mentse az eredeti e-mail másolatát a támadás utáni elemzés későbbi kereséséhez, például fejlécek, tartalmak, parancsfájlok vagy mellékletek kereséséhez.

  • Más

    A támadás természete alapján egyéni műveleteket hajthat végre, például visszavonhatja az alkalmazásjogkivonatokat, és újrakonfigurálhatja a kiszolgálókat és szolgáltatásokat.

2. Incidens utáni tisztítás

Mivel mindaddig nem használja ki a tanultakat, amíg nem módosítja a jövőbeli műveleteket, mindig integrálja a vizsgálatból tanult hasznos információkat a SecOpsba.

Azonos fenyegetési szereplők vagy módszerek alapján határozza meg a múltbeli és a jövőbeli incidensek közötti kapcsolatokat, és rögzítse ezeket a tanulságokat, hogy a jövőben ne ismétlődjenek a manuális és elemzési késések.

Ezek a tanulások több formában is felhasználhatók, de a gyakori eljárások közé tartozik az alábbiak elemzése:

  • Biztonsági rések (IOC-k) mutatói.

    Jegyezze fel a megfelelő IoC-ket, például a fájlkivonatokat, a rosszindulatú IP-címeket és az e-mail-attribútumokat az SOC fenyegetésfelderítési rendszereibe.

  • Ismeretlen vagy nem javított biztonsági rések.

    Az elemzők olyan folyamatokat kezdeményezhetnek, amelyek biztosítják a hiányzó biztonsági javítások alkalmazását, a helytelen konfigurációk kijavítását, valamint a szállítók (köztük a Microsoft) tájékoztatását a "nulladik napi" biztonsági résekről, hogy biztonsági javításokat hozzanak létre és terjeszthessenek.

  • Belső műveletek, például a felhőalapú és a helyszíni erőforrásokat lefedő objektumok naplózásának engedélyezése.

    Tekintse át a meglévő biztonsági alapkonfigurációkat, és fontolja meg a biztonsági vezérlők hozzáadását vagy módosítását. Például a Azure Active Directory biztonsági üzemeltetési útmutatójában talál információt arról, hogyan engedélyezheti a megfelelő szintű naplózást a címtárban a következő incidens bekövetkezése előtt.

Tekintse át a válaszfolyamatokat az incidens során talált hiányosságok azonosításához és megoldásához.

Incidensmegoldási erőforrások

A Microsoft legfontosabb biztonsági erőforrásai

Erőforrás Leírás
2021- microsoftos digitális védelmi jelentés Egy jelentés, amely a Microsoft biztonsági szakértőitől, szakembereitől és védőitől kapott tanulságokat foglalja magában, hogy mindenhol lehetővé tegye az emberek számára a kibertámadások elleni védekezést.
A Microsoft kiberbiztonsági referenciaarchitektúrái Vizuális architektúradiagramok, amelyek bemutatják a Microsoft kiberbiztonsági képességeit, valamint a Microsoft felhőplatformjaival ( például Microsoft 365 és Microsoft Azure, valamint külső felhőplatformokkal és alkalmazásokkal) való integrációjukat.
Percek számítanak infografika letöltés Áttekintés arról, hogy a Microsoft secOps-csapata hogyan reagál incidensekre a folyamatban lévő támadások mérséklése érdekében.
Azure felhőadaptálási keretrendszer biztonsági műveletek Stratégiai útmutató biztonsági műveleti funkciók létrehozására vagy modernizálására vonatkozó vezetők számára.
Ajánlott biztonsági eljárások a Microsoft biztonsági műveleteihez Hogyan használhatja a legjobban a SecOps-központot a szervezetet célzó támadóknál gyorsabb mozgásra.
Microsoft cloud security for IT architects model Biztonság a Microsoft felhőszolgáltatásai és platformjai között identitás- és eszközhozzáférés, veszélyforrások elleni védelem és információvédelem céljából.
A Microsoft biztonsági dokumentációja További biztonsági útmutatás a Microsofttól.