Gambaran umum respons insiden

Respons insiden adalah praktik menyelidiki dan memulihkan kampanye serangan aktif di organisasi Anda. Respons insiden adalah bagian dari disiplin operasi keamanan (SecOps) dan terutama reaktif secara alami.

Respons insiden memiliki pengaruh langsung terbesar pada waktu rata-rata keseluruhan untuk mengakui (MTTA) dan waktu rata-rata untuk memulihkan (MTTR) yang mengukur seberapa baik operasi keamanan dapat mengurangi risiko organisasi. Tim respons insiden sangat mengandalkan hubungan kerja yang baik antara perburuan ancaman, intelijen, dan tim manajemen insiden (jika ada) untuk benar-benar mengurangi risiko. Untuk informasi selengkapnya, lihat Metrik SecOps.

Untuk informasi selengkapnya tentang peran dan tanggung jawab operasi keamanan, lihat Fungsi Cloud SOC.

Proses respons insiden

Langkah pertama adalah memiliki rencana respons insiden yang mencakup proses internal dan eksternal untuk merespons insiden keamanan cyber. Rencana harus merinci bagaimana organisasi Anda harus:

  • Mengatasi serangan yang bervariasi dengan risiko bisnis dan dampak insiden, yang dapat bervariasi dari situs web terisolasi yang tidak lagi tersedia untuk penyusupan kredensial tingkat administrator.
  • Tentukan tujuan respons, seperti kembali ke layanan atau untuk menangani aspek hukum atau hubungan publik dari serangan.
  • Prioritaskan pekerjaan yang perlu diselesaikan dalam hal berapa banyak orang yang harus mengerjakan insiden dan tugas mereka.

Lihat artikel perencanaan respons insiden untuk daftar periksa aktivitas yang harus Anda pertimbangkan termasuk dalam rencana respons insiden Anda. Setelah rencana respons insiden Anda diterapkan, uji secara teratur untuk jenis serangan cyber yang paling serius untuk memastikan bahwa organisasi Anda dapat merespons dengan cepat dan efisien.

Meskipun proses respons insiden setiap organisasi mungkin berbeda berdasarkan struktur dan kemampuan organisasi dan pengalaman historis, pertimbangkan serangkaian rekomendasi dan praktik terbaik dalam artikel ini untuk menanggapi insiden keamanan.

Selama insiden, sangat penting untuk:

  • Tetap tenang

    Insiden sangat mengganggu dan dapat dibebankan secara emosional. Tetap tenang dan fokus pada memprioritaskan upaya Anda pada tindakan yang paling berdampak terlebih dahulu.

  • Jangan membahayakan

    Konfirmasikan bahwa respons Anda dirancang dan dijalankan dengan cara yang menghindari hilangnya data, hilangnya fungsionalitas penting bisnis, dan hilangnya bukti. Hindari keputusan yang dapat merusak kemampuan Anda untuk membuat garis waktu forensik, mengidentifikasi akar penyebab, dan mempelajari pelajaran penting.

  • Libatkan departemen hukum Anda

    Tentukan apakah mereka berencana untuk melibatkan penegak hukum sehingga Anda dapat merencanakan prosedur penyelidikan dan pemulihan dengan tepat.

  • Berhati-hatilah saat berbagi informasi tentang insiden tersebut secara publik

    Konfirmasikan bahwa apa pun yang Anda bagikan dengan pelanggan Anda dan publik didasarkan pada saran dari departemen hukum Anda.

  • Dapatkan bantuan saat diperlukan

    Manfaatkan keahlian dan pengalaman mendalam saat menyelidiki dan menanggapi serangan dari penyerang canggih.

Seperti mendiagnosis dan mengobati penyakit medis, penyelidikan dan respons keamanan cyber untuk insiden besar mengharuskan mempertahankan sistem yang keduanya:

  • Sangat penting (tidak dapat dimatikan untuk mengerjakannya).
  • Kompleks (biasanya di luar pemahaman satu orang).

Selama insiden, Anda harus menyerang saldo kritis ini:

  • Kecepatan

    Seimbangkan kebutuhan untuk bertindak cepat untuk memenuhi pemangku kepentingan dengan risiko keputusan yang terburu-buru.

  • Berbagi informasi

    Beri tahu penyelidik, pemangku kepentingan, dan pelanggan berdasarkan saran departemen hukum Anda untuk membatasi tanggung jawab dan menghindari menetapkan harapan yang tidak realistis.

Artikel ini dirancang untuk menurunkan risiko kepada organisasi Anda untuk insiden keamanan cyber dengan mengidentifikasi kesalahan umum untuk menghindari dan memberikan panduan tentang tindakan apa yang dapat Anda ambil dengan cepat sehingga mengurangi risiko dan memenuhi kebutuhan pemangku kepentingan.

Catatan

Untuk panduan selengkapnya tentang menyiapkan organisasi Anda untuk ransomware dan jenis serangan multi-tahap lainnya, lihat Menyiapkan rencana pemulihan Anda.

Praktik terbaik respons

Menanggapi insiden dapat dilakukan secara efektif dari perspektif teknis dan operasi dengan rekomendasi ini.

Catatan

Untuk panduan industri yang lebih rinci, lihat Panduan Penanganan Insiden Keamanan Komputer NIST.

Praktik terbaik respons teknis

Untuk aspek teknis respons insiden, berikut adalah beberapa tujuan untuk dipertimbangkan:

  • Cobalah untuk mengidentifikasi cakupan operasi serangan.

    Sebagian besar adversaries menggunakan beberapa mekanisme persistensi.

  • Identifikasi tujuan serangan, jika memungkinkan.

    Penyerang persisten akan sering kembali untuk tujuan mereka (data/sistem) dalam serangan di masa mendatang.

Berikut adalah beberapa tips yang berguna:

  • Jangan unggah file ke pemindai online

    Banyak iklan memantau jumlah instans pada layanan seperti VirusTotal untuk penemuan malware yang ditargetkan.

  • Pertimbangkan modifikasi dengan hati-hati

    Kecuali Anda menghadapi ancaman yang akan segera kehilangan data penting bisnis—seperti penghapusan, enkripsi, dan eksfiltrasi—seimbangkan risiko tidak melakukan modifikasi dengan dampak bisnis yang diproyeksikan. Misalnya, mematikan sementara akses internet organisasi Anda mungkin diperlukan untuk melindungi aset penting bisnis selama serangan aktif.

    Jika perubahan diperlukan di mana risiko tidak melakukan tindakan lebih tinggi dari risiko melakukannya, dokumentasikan tindakan dalam log perubahan. Perubahan yang dilakukan selama respons insiden difokuskan untuk mengganggu penyerang dan dapat berdampak buruk pada bisnis. Anda harus mengembalikan perubahan ini setelah proses pemulihan.

  • Jangan menyelidiki selamanya

    Anda harus dengan kejam memprioritaskan upaya penyelidikan Anda. Misalnya, hanya melakukan analisis forensik pada titik akhir yang telah digunakan atau dimodifikasi oleh penyerang. Misalnya, dalam insiden besar di mana penyerang memiliki hak istimewa administratif, praktis tidak mungkin untuk menyelidiki semua sumber daya yang berpotensi disusupi (yang mungkin mencakup semua sumber daya organisasi).

  • Bagikan informasi

    Konfirmasikan bahwa semua tim investigasi, termasuk semua tim internal dan penyelidik eksternal atau penyedia asuransi, berbagi data mereka satu sama lain, berdasarkan saran departemen hukum Anda.

  • Mengakses keahlian yang tepat

    Konfirmasikan bahwa Anda mengintegrasikan orang-orang dengan pengetahuan mendalam tentang sistem ke dalam penyelidikan—seperti staf internal atau entitas eksternal seperti vendor—bukan hanya generalis keamanan.

  • Mengantisipasi pengurangan kemampuan respons

    Rencanakan untuk 50% staf Anda yang beroperasi pada 50% dari kapasitas normal karena stres situasi.

Harapan utama untuk dikelola dengan pemangku kepentingan adalah bahwa Anda mungkin tidak akan pernah dapat mengidentifikasi serangan awal karena data yang diperlukan untuk identifikasi telah dihapus sebelum penyelidikan dimulai, seperti penyerang yang menutupi trek mereka dengan menggulirkan log.

Praktik terbaik respons operasi

Untuk aspek operasi keamanan (SecOps) dari respons insiden, berikut adalah beberapa tujuan yang perlu dipertimbangkan:

  • Tetap fokus

    Konfirmasikan bahwa Anda tetap fokus pada data penting bisnis, dampak pelanggan, dan bersiap-siap untuk remediasi.

  • Memberikan koordinasi dan kejelasan peran

    Tetapkan peran yang berbeda untuk operasi yang mendukung tim krisis dan konfirmasikan bahwa tim teknis, hukum, dan komunikasi saling memberikan informasi.

  • Menjaga perspektif bisnis Anda

    Anda harus selalu mempertimbangkan dampak pada operasi bisnis oleh tindakan adversary dan tindakan respons Anda sendiri.

Berikut adalah beberapa tips yang berguna:

  • Pertimbangkan Sistem Perintah Insiden (ICS) untuk manajemen krisis

    Jika Anda tidak memiliki organisasi permanen yang mengelola insiden keamanan, sebaiknya gunakan ICS sebagai struktur organisasi sementara untuk mengelola krisis.

  • Menjaga operasi harian yang sedang berlangsung tetap utuh

    Pastikan bahwa SecOps normal tidak sepenuhnya tersisih untuk mendukung penyelidikan insiden. Pekerjaan ini masih perlu dilakukan.

  • Hindari pengeluaran yang boros

    Banyak insiden besar mengakibatkan pembelian alat keamanan mahal di bawah tekanan yang tidak pernah disebarkan atau digunakan. Jika Anda tidak dapat menyebarkan dan menggunakan alat selama penyelidikan, yang dapat mencakup perekrutan dan pelatihan untuk lebih banyak staf dengan set keterampilan yang diperlukan untuk mengoperasikan alat, menunggak akuisisi sampai setelah Anda menyelesaikan penyelidikan.

  • Mengakses keahlian mendalam

    Konfirmasikan bahwa Anda memiliki kemampuan untuk meningkatkan pertanyaan dan masalah kepada para ahli mendalam di platform penting. Kemampuan ini mungkin memerlukan akses ke sistem operasi dan vendor aplikasi untuk sistem penting bisnis dan komponen di seluruh perusahaan seperti desktop dan server.

  • Menetapkan alur informasi

    Tetapkan panduan dan harapan yang jelas untuk alur informasi antara pemimpin respons insiden senior dan pemangku kepentingan organisasi. Untuk informasi selengkapnya, lihat perencanaan respons insiden.

Praktik terbaik pemulihan

Pemulihan dari insiden dapat dilakukan secara efektif dari perspektif teknis dan operasi dengan rekomendasi ini.

Praktik terbaik pemulihan teknis

Untuk aspek teknis pemulihan dari insiden, berikut adalah beberapa tujuan untuk dipertimbangkan:

  • Jangan rebus laut

    Batasi cakupan respons Anda sehingga operasi pemulihan dapat dijalankan dalam waktu 24 jam atau kurang. Rencanakan akhir pekan untuk memperhitungkan tindakan kontingensi dan korektif.

  • Hindari gangguan

    Tangguhkan investasi keamanan jangka panjang seperti menerapkan sistem keamanan baru yang besar dan kompleks atau mengganti solusi anti-malware hingga setelah operasi pemulihan. Apa pun yang tidak memiliki dampak langsung dan langsung pada operasi pemulihan saat ini adalah gangguan.

Berikut adalah beberapa tips bermanfaat:

  • Jangan pernah mereset semua kata sandi sekaligus

    Reset kata sandi harus berfokus terlebih dahulu pada akun yang diketahui disusupi berdasarkan investigasi Anda dan berpotensi menjadi administrator atau akun layanan. Jika dijatah, kata sandi pengguna harus diatur ulang hanya secara bertahap dan terkontrol.

  • Mengonsolidasikan eksekusi tugas pemulihan

    Kecuali Anda menghadapi ancaman yang akan segera kehilangan data penting bisnis, Anda harus merencanakan operasi konsolidasi untuk memulihkan semua sumber daya yang disusupi dengan cepat (seperti host dan akun) versus meremediasi sumber daya yang disusupi saat Anda menemukannya. Mengompresi jendela waktu ini menyulitkan operator serangan untuk beradaptasi dan mempertahankan persistensi.

  • Gunakan alat yang sudah ada

    Teliti dan gunakan kemampuan alat yang Anda sebarkan sebelum mencoba menyebarkan dan mempelajari alat baru selama pemulihan.

  • Hindari memberi tip dari adversary Anda

    Sebagai praktis, Anda harus mengambil langkah-langkah untuk membatasi informasi yang tersedia untuk iklan tentang operasi pemulihan. Iklan biasanya memiliki akses ke semua data produksi dan email dalam insiden keamanan cyber utama. Tetapi pada kenyataannya, sebagian besar penyerang tidak punya waktu untuk memantau semua komunikasi Anda.

    Security Operations Center (SOC) Microsoft menggunakan penyewa Microsoft 365 non-produksi untuk komunikasi dan kolaborasi yang aman bagi anggota tim respons insiden.

Praktik terbaik pemulihan operasi

Untuk aspek operasi pemulihan dari insiden, berikut beberapa tujuan yang perlu dipertimbangkan:

  • Memiliki rencana yang jelas dan cakupan terbatas

    Bekerja sama dengan tim teknis Anda untuk membangun rencana yang jelas dengan cakupan terbatas. Meskipun rencana dapat berubah berdasarkan aktivitas lawan atau informasi baru, Anda harus bekerja dengan rajin untuk membatasi perluasan cakupan dan mengambil lebih banyak tugas.

  • Memiliki kepemilikan rencana yang jelas

    Operasi pemulihan melibatkan banyak orang yang melakukan banyak tugas yang berbeda sekaligus, jadi tetapkan pemimpin proyek untuk operasi untuk pengambilan keputusan yang jelas dan informasi pasti untuk mengalir di antara tim krisis.

  • Menjaga komunikasi pemangku kepentingan

    Bekerja sama dengan tim komunikasi untuk memberikan pembaruan tepat waktu dan manajemen ekspektasi aktif bagi pemangku kepentingan organisasi.

Berikut adalah beberapa tips bermanfaat:

  • Mengetahui kemampuan dan batasan Anda

    Mengelola insiden keamanan utama sangat menantang, sangat kompleks, dan baru untuk banyak profesional di industri ini. Anda harus mempertimbangkan untuk membawa keahlian dari organisasi eksternal atau layanan profesional jika tim Anda kewalahan atau tidak yakin tentang apa yang harus dilakukan selanjutnya.

  • Ambil pelajaran yang dipelajari

    Bangun dan terus tingkatkan buku pegangan khusus peran untuk SecOps, bahkan jika itu adalah insiden pertama Anda tanpa prosedur tertulis.

Komunikasi eksekutif dan tingkat dewan untuk respons insiden dapat menjadi tantangan jika tidak dipraktikkan atau diantisipasi. Pastikan Anda memiliki rencana komunikasi untuk mengelola pelaporan kemajuan dan harapan untuk pemulihan.

Proses respons insiden untuk SecOps

Pertimbangkan panduan umum ini tentang proses respons insiden untuk SecOps dan staf Anda.

1. Memutuskan dan bertindak

Setelah alat deteksi ancaman seperti Microsoft Sentinel atau Microsoft Defender XDR mendeteksi kemungkinan serangan, itu menciptakan insiden. Pengukuran Mean Time to Acknowledge (MTTA) responsivitas SOC dimulai dengan waktu staf keamanan Anda melihat serangan.

Analis pada shift didelegasikan atau mengambil kepemilikan atas insiden dan melakukan analisis awal. Tanda waktu untuk ini adalah akhir dari pengukuran responsivitas MTTA dan memulai pengukuran Mean Time to Remediate (MTTR).

Sebagai analis yang memiliki insiden mengembangkan tingkat kepercayaan diri yang cukup tinggi sehingga mereka memahami cerita dan cakupan serangan, mereka dapat dengan cepat beralih ke merencanakan dan menjalankan tindakan pembersihan.

Tergantung pada sifat dan cakupan serangan, analis Anda dapat membersihkan artefak serangan saat mereka pergi (seperti email, titik akhir, dan identitas) atau mereka dapat membangun daftar sumber daya yang disusupi untuk membersihkan semua sekaligus (dikenal sebagai Big Bang)

  • Bersihkan saat Anda pergi

    Untuk sebagian besar insiden umum yang terdeteksi di awal operasi serangan, analis dapat dengan cepat membersihkan artefak saat mereka menemukannya. Praktik ini menempatkan musuh pada kerugian dan mencegah mereka bergerak maju dengan tahap berikutnya dari serangan mereka.

  • Bersiaplah untuk Big Bang

    Pendekatan ini sesuai untuk skenario di mana seterusnya telah menyelesaikan dan menetapkan mekanisme akses redundan ke lingkungan Anda. Praktik ini sering terlihat dalam insiden pelanggan yang diselidiki oleh Tim Respons Insiden Microsofts. Dalam pendekatan ini, analis harus menghindari tip dari musuh sampai penemuan penuh kehadiran penyerang, karena kejutan dapat membantu dengan sepenuhnya mengganggu operasi mereka.

    Microsoft mengetahui bahwa remediasi parsial sering kali memberi tips dari seorang penyaji, yang memberi mereka kesempatan untuk bereaksi dan dengan cepat membuat insiden lebih buruk. Misalnya, penyerang dapat menyebarkan serangan lebih lanjut, mengubah metode akses mereka untuk menghindari deteksi, menutupi jejak mereka, dan menimbulkan kerusakan dan kerusakan sistem untuk balas dendam.

    Membersihkan phishing dan email berbahaya sering kali dapat dilakukan tanpa memberi tip pada penyerang tetapi membersihkan malware host dan mengklaim kembali kontrol akun memiliki kemungkinan besar penemuan.

Ini bukan keputusan yang mudah untuk dibuat dan tidak ada pengganti pengalaman dalam melakukan panggilan penilaian ini. Lingkungan kerja kolaboratif dan budaya di SOC Anda membantu memastikan bahwa analis dapat memanfaatkan pengalaman satu sama lain.

Langkah-langkah respons spesifik tergantung pada sifat serangan, tetapi prosedur yang paling umum digunakan oleh analis dapat mencakup:

  • Titik akhir klien (perangkat)

    Isolasi titik akhir dan hubungi pengguna atau operasi TI/helpdesk untuk memulai prosedur penginstalan ulang.

  • Server atau aplikasi

    Bekerja dengan operasi TI dan pemilik aplikasi untuk mengatur remediasi cepat sumber daya ini.

  • Akun pengguna

    Klaim kembali kontrol dengan menonaktifkan akun dan mengatur ulang kata sandi untuk akun yang disusupi. Prosedur ini dapat berkembang saat pengguna Anda beralih ke autentikasi tanpa kata sandi menggunakan Windows Hello atau bentuk autentikasi multifaktor (MFA) lainnya. Langkah terpisah adalah kedaluwarsa semua token autentikasi untuk akun dengan Microsoft Defender untuk Cloud Apps.

    Analis Anda juga dapat meninjau nomor telepon metode MFA dan pendaftaran perangkat untuk memastikannya tidak dibajak dengan menghubungi pengguna dan mengatur ulang informasi ini sesuai kebutuhan.

  • Akun Layanan

    Karena risiko layanan atau dampak bisnis yang tinggi, analis Anda harus bekerja dengan pemilik akun layanan catatan, kembali pada operasi TI sesuai kebutuhan, untuk mengatur remediasi cepat sumber daya ini.

  • Email

    Hapus email serangan atau pengelabuan dan terkadang hapus untuk mencegah pengguna memulihkan email yang dihapus. Selalu simpan salinan email asli untuk pencarian nanti untuk analisis pasca-serangan, seperti header, konten, dan skrip atau lampiran.

  • Lainnya

    Anda dapat menjalankan tindakan kustom berdasarkan sifat serangan seperti mencabut token aplikasi dan mengonfigurasi ulang server dan layanan.

2. Pembersihan pasca-insiden

Karena Anda tidak mendapat manfaat dari pelajaran yang dipelajari sampai Anda mengubah tindakan di masa mendatang, selalu integrasikan informasi berguna yang dipelajari dari penyelidikan kembali ke SecOps Anda.

Tentukan koneksi antara insiden masa lalu dan masa depan oleh pelaku ancaman atau metode yang sama dan tangkap pembelajaran ini untuk menghindari pengulangan pekerjaan manual dan penundaan analisis di masa mendatang.

Pembelajaran ini dapat mengambil banyak bentuk, tetapi praktik umum termasuk analisis:

  • Indikator Kompromi (IoC).

    Rekam IOC yang berlaku seperti hash file, alamat IP berbahaya, dan atribut email ke dalam sistem inteligensi ancaman SOC Anda.

  • Kerentanan yang tidak diketahui atau tidak dikirim.

    Analis Anda dapat memulai proses untuk memastikan bahwa patch keamanan yang hilang diterapkan, kesalahan konfigurasi diperbaiki, dan vendor (termasuk Microsoft) diberi tahu tentang kerentanan "nol hari" sehingga mereka dapat membuat dan mendistribusikan patch keamanan.

  • Tindakan internal seperti mengaktifkan pengelogan pada aset yang mencakup sumber daya berbasis cloud dan lokal Anda.

    Tinjau garis besar keamanan yang ada dan pertimbangkan untuk menambahkan atau mengubah kontrol keamanan. Misalnya, lihat panduan operasi keamanan Microsoft Entra untuk informasi tentang mengaktifkan tingkat audit yang sesuai di direktori sebelum insiden berikutnya terjadi.

Tinjau proses respons Anda untuk mengidentifikasi dan menyelesaikan celah apa pun yang ditemukan selama insiden.

Sumber daya respons insiden

Sumber daya keamanan Microsoft utama

Sumber daya Deskripsi
Laporan Pertahanan Digital Microsoft 2023 Laporan yang mencakup pembelajaran dari pakar keamanan, praktisi, dan pertahanan di Microsoft untuk memberdayakan orang-orang di mana saja untuk bertahan melawan ancaman cyber.
Arsitektur Referensi Keamanan Cyber Microsoft Serangkaian diagram arsitektur visual yang menunjukkan kemampuan keamanan cyber Microsoft dan integrasinya dengan platform cloud Microsoft seperti Microsoft 365 dan Microsoft Azure serta platform dan aplikasi cloud pihak ketiga.
Unduhan infografis menit penting Gambaran umum tentang bagaimana tim SecOps Microsoft melakukan respons insiden untuk mengurangi serangan yang sedang berlangsung.
Operasi keamanan Azure Cloud Adoption Framework Panduan strategis untuk pemimpin yang membangun atau memodernisasi fungsi operasi keamanan.
Praktik terbaik keamanan Microsoft untuk operasi keamanan Cara terbaik menggunakan pusat SecOps Anda untuk bergerak lebih cepat daripada penyerang yang menargetkan organisasi Anda.
Keamanan cloud Microsoft untuk model arsitek TI Keamanan di seluruh layanan dan platform cloud Microsoft untuk akses identitas dan perangkat, perlindungan ancaman, dan perlindungan informasi.
Dokumentasi keamanan Microsoft Panduan keamanan tambahan dari Microsoft.