Proses respons insiden

Langkah pertama adalah memiliki rencana respons insiden yang mencakup proses internal dan eksternal untuk merespons insiden keamanan cyber. Rencana ini harus merinci bagaimana organisasi Anda harus:

  • Mengatasi serangan yang bervariasi dengan risiko bisnis dan dampak insiden, yang dapat bervariasi dari situs web terisolasi yang tidak lagi tersedia untuk penyusupan kredensial tingkat administrator.
  • Tentukan tujuan respons, seperti kembali ke layanan atau untuk menangani aspek hukum atau hubungan publik dari serangan.
  • Prioritaskan pekerjaan yang perlu diselesaikan dalam hal berapa banyak orang yang harus mengerjakan insiden dan tugas mereka.

Lihat artikel perencanaan respons insiden untuk daftar periksa aktivitas yang harus Anda pertimbangkan termasuk dalam rencana respons insiden Anda. Setelah rencana respons insiden Anda diberlakukannya, uji secara teratur untuk jenis serangan cyber yang paling serius untuk memastikan bahwa organisasi Anda dapat merespons dengan cepat dan efisien.

Meskipun proses respons insiden setiap organisasi mungkin berbeda berdasarkan struktur dan kemampuan organisasi dan pengalaman historis, pertimbangkan serangkaian rekomendasi dan praktik terbaik dalam artikel ini untuk menanggapi insiden keamanan.

Selama insiden, sangat penting untuk:

  • Tetap tenang

    Insiden sangat mengganggu dan dapat dibebankan secara emosional. Tetap tenang dan fokus pada memprioritaskan upaya Anda pada tindakan yang paling berdampak terlebih dahulu.

  • Jangan membahayakan

    Konfirmasikan bahwa respons Anda dirancang dan dijalankan dengan cara yang menghindari hilangnya data, hilangnya fungsionalitas penting bisnis, dan hilangnya bukti. Hindari keputusan dapat merusak kemampuan Anda untuk membuat garis waktu forensik, mengidentifikasi akar penyebab, dan mempelajari pelajaran penting.

  • Libatkan departemen hukum Anda

    Tentukan apakah mereka berencana untuk melibatkan penegak hukum sehingga Anda dapat merencanakan prosedur penyelidikan dan pemulihan Anda dengan tepat.

  • Berhati-hatilah saat berbagi informasi tentang insiden secara publik

    Konfirmasikan bahwa apa pun yang Anda bagikan dengan pelanggan dan publik didasarkan pada saran dari departemen hukum Anda.

  • Dapatkan bantuan saat diperlukan

    Manfaatkan keahlian dan pengalaman mendalam saat menyelidiki dan menanggapi serangan dari penyerang canggih.

Seperti mendiagnosis dan mengobati penyakit medis, investigasi dan respons keamanan cyber untuk insiden besar mengharuskan mempertahankan sistem yang keduanya:

  • Sangat penting (tidak dapat dimatikan untuk mengerjakannya).
  • Kompleks (biasanya di luar pemahaman satu orang).

Selama insiden, Anda harus mencapai saldo kritis ini:

  • Kecepatan

    Seimbangkan kebutuhan untuk bertindak cepat untuk memenuhi pemangku kepentingan dengan risiko keputusan yang terburu-buru.

  • Berbagi informasi

    Beri tahu penyelidik, pemangku kepentingan, dan pelanggan berdasarkan saran departemen hukum Anda untuk membatasi tanggung jawab dan menghindari menetapkan harapan yang tidak realistis.

Artikel ini dirancang untuk menurunkan risiko kepada organisasi Anda untuk insiden keamanan cyber dengan mengidentifikasi kesalahan umum untuk menghindari dan memberikan panduan tentang tindakan apa yang dapat Anda ambil dengan cepat sehingga mengurangi risiko dan memenuhi kebutuhan pemangku kepentingan.

Catatan

Untuk panduan tambahan tentang menyiapkan organisasi Anda untuk ransomware dan jenis serangan multi-tahap lainnya, lihat Menyiapkan rencana pemulihan Anda.

Praktik terbaik respons

Menanggapi insiden dapat dilakukan secara efektif dari perspektif teknis dan operasi dengan rekomendasi ini.

Catatan

Untuk panduan industri terperinci tambahan, lihat Panduan Penanganan Insiden Keamanan Komputer NIST.

Teknis

Untuk aspek teknis respons insiden, berikut adalah beberapa tujuan yang perlu dipertimbangkan:

  • Cobalah untuk mengidentifikasi cakupan operasi serangan.

    Sebagian besar adversaries menggunakan beberapa mekanisme persistensi.

  • Identifikasi tujuan serangan, jika memungkinkan.

    Penyerang persisten akan sering kembali untuk tujuan mereka (data/sistem) dalam serangan di masa mendatang.

Berikut adalah beberapa tips yang berguna:

  • Jangan unggah file ke pemindai online

    Banyak iklan memantau jumlah instans pada layanan seperti VirusTotal untuk penemuan malware yang ditargetkan.

  • Pertimbangkan modifikasi dengan hati-hati

    Kecuali Anda menghadapi ancaman yang akan segera kehilangan data penting bisnis—seperti penghapusan, enkripsi, dan eksfiltrasi—seimbangkan risiko tidak melakukan modifikasi dengan dampak bisnis yang diproyeksikan. Misalnya, mematikan sementara akses internet organisasi Anda mungkin diperlukan untuk melindungi aset penting bisnis selama serangan aktif.

    Jika perubahan diperlukan jika risiko tidak melakukan tindakan lebih tinggi dari risiko melakukannya, dokumentasikan tindakan dalam log perubahan. Perubahan yang dilakukan selama respons insiden difokuskan untuk mengganggu penyerang dan dapat berdampak buruk pada bisnis. Anda harus mengembalikan perubahan ini setelah proses pemulihan.

  • Jangan menyelidiki selamanya

    Anda harus dengan kejam memprioritaskan upaya penyelidikan Anda. Misalnya, hanya melakukan analisis forensik pada titik akhir yang benar-benar digunakan atau dimodifikasi oleh penyerang. Misalnya, dalam insiden besar di mana penyerang memiliki hak istimewa administratif, praktis tidak mungkin untuk menyelidiki semua sumber daya yang berpotensi disusupi (yang mungkin mencakup semua sumber daya organisasi).

  • Bagikan informasi

    Konfirmasikan bahwa semua tim investigasi, termasuk semua tim internal dan penyelidik eksternal atau penyedia asuransi, berbagi data mereka satu sama lain, berdasarkan saran dari departemen hukum Anda.

  • Mengakses keahlian yang tepat

    Konfirmasikan bahwa Anda mengintegrasikan orang-orang dengan pengetahuan mendalam tentang sistem ke dalam penyelidikan—seperti staf internal atau entitas eksternal seperti vendor—bukan hanya generalis keamanan.

  • Mengantisipasi pengurangan kemampuan respons

    Rencanakan untuk 50% staf Anda yang beroperasi pada 50% dari kapasitas normal karena stres situasi.

Harapan utama untuk dikelola dengan pemangku kepentingan adalah bahwa Anda mungkin tidak pernah dapat mengidentifikasi serangan awal karena data yang diperlukan untuk ini mungkin telah dihapus sebelum penyelidikan dimulai, seperti penyerang yang menutupi trek mereka dengan log bergulir.

Operasional

Untuk aspek operasi keamanan (SecOps) dari respons insiden, berikut adalah beberapa tujuan yang perlu dipertimbangkan:

  • Tetap fokus

    Konfirmasikan bahwa Anda tetap fokus pada data penting bisnis, dampak pelanggan, dan bersiap-siap untuk remediasi.

  • Memberikan koordinasi dan kejelasan peran

    Tetapkan peran yang berbeda untuk operasi yang mendukung tim krisis dan konfirmasikan bahwa tim teknis, hukum, dan komunikasi saling memberi informasi.

  • Menjaga perspektif bisnis Anda

    Anda harus selalu mempertimbangkan dampak pada operasi bisnis oleh tindakan adversary dan tindakan respons Anda sendiri.

Berikut adalah beberapa tips yang berguna:

  • Pertimbangkan Sistem Perintah Insiden (ICS) untuk manajemen krisis

    Jika Anda tidak memiliki organisasi permanen yang mengelola insiden keamanan, sebaiknya gunakan ICS sebagai struktur organisasi sementara untuk mengelola krisis.

  • Menjaga operasi harian yang sedang berlangsung tetap utuh

    Pastikan bahwa SecOps normal tidak sepenuhnya tersisih untuk mendukung penyelidikan insiden. Pekerjaan ini masih perlu dilakukan.

  • Hindari pengeluaran yang boros

    Banyak insiden besar mengakibatkan pembelian alat keamanan yang mahal di bawah tekanan yang tidak pernah disebarkan atau digunakan. Jika Anda tidak dapat menyebarkan dan menggunakan alat selama penyelidikan, yang dapat mencakup perekrutan dan pelatihan untuk staf tambahan dengan set keterampilan yang diperlukan untuk mengoperasikan alat, menangguhkan akuisisi hingga setelah Anda menyelesaikan penyelidikan.

  • Mengakses keahlian mendalam

    Konfirmasikan bahwa Anda memiliki kemampuan untuk meningkatkan pertanyaan dan masalah kepada para ahli mendalam di platform penting. Ini mungkin memerlukan akses ke sistem operasi dan vendor aplikasi untuk sistem penting bisnis dan komponen di seluruh perusahaan seperti desktop dan server.

  • Menetapkan alur informasi

    Tetapkan panduan dan harapan yang jelas untuk alur informasi antara pemimpin respons insiden senior dan pemangku kepentingan organisasi. Lihat perencanaan respons insiden untuk informasi selengkapnya.

Praktik terbaik pemulihan

Pemulihan dari insiden dapat dilakukan secara efektif dari perspektif teknis dan operasi dengan rekomendasi ini.

Teknis

Untuk aspek teknis pemulihan dari insiden, berikut adalah beberapa tujuan yang perlu dipertimbangkan:

  • Jangan merebus laut

    Batasi cakupan respons Anda sehingga operasi pemulihan dapat dijalankan dalam waktu 24 jam atau kurang. Rencanakan akhir pekan untuk memperhitungkan kontingensi dan tindakan korektif.

  • Hindari gangguan

    Tangguhkan investasi keamanan jangka panjang seperti menerapkan sistem keamanan baru yang besar dan kompleks atau mengganti solusi anti-malware hingga setelah operasi pemulihan. Apa pun yang tidak memiliki dampak langsung dan langsung pada operasi pemulihan saat ini adalah gangguan.

Berikut adalah beberapa tips bermanfaat:

  • Jangan pernah mengatur ulang semua kata sandi sekaligus

    Reset kata sandi harus berfokus terlebih dahulu pada akun yang diketahui disusupi berdasarkan penyelidikan Anda dan berpotensi menjadi administrator atau akun layanan. Jika dijaga, kata sandi pengguna harus diatur ulang hanya secara bertahap dan terkontrol.

  • Mengonsolidasikan eksekusi tugas pemulihan

    Kecuali Anda menghadapi ancaman yang akan segera kehilangan data penting bisnis, Anda harus merencanakan operasi konsolidasi untuk memulihkan semua sumber daya yang disusupi dengan cepat (seperti host dan akun) versus memulihkan sumber daya yang disusupi saat Anda menemukannya. Memadatkan jendela waktu ini akan menyulitkan operator serangan untuk beradaptasi dan mempertahankan persistensi.

  • Gunakan alat yang sudah ada

    Riset dan gunakan kemampuan alat yang telah Anda sebarkan sebelum mencoba menyebarkan dan mempelajari alat baru selama pemulihan.

  • Hindari memberi tip dari adversary Anda

    Praktisnya, Anda harus mengambil langkah-langkah untuk membatasi informasi yang tersedia untuk iklan tentang operasi pemulihan. Iklan biasanya memiliki akses ke semua data produksi dan email dalam insiden keamanan cyber utama. Tetapi pada kenyataannya, sebagian besar penyerang tidak punya waktu untuk memantau semua komunikasi Anda.

    Security Operations Center (SOC) Microsoft telah menggunakan penyewa Microsoft 365 non-produksi untuk komunikasi dan kolaborasi yang aman bagi anggota tim respons insiden.

Operasional

Untuk aspek operasi pemulihan dari insiden, berikut adalah beberapa tujuan yang perlu dipertimbangkan:

  • Memiliki rencana yang jelas dan cakupan terbatas

    Bekerja samalah dengan tim teknis Anda untuk membangun rencana yang jelas dengan cakupan terbatas. Meskipun paket dapat berubah berdasarkan aktivitas lawan atau informasi baru, Anda harus bekerja dengan rajin untuk membatasi ekspansi cakupan dan mengambil tugas tambahan.

  • Memiliki kepemilikan rencana yang jelas

    Operasi pemulihan melibatkan banyak orang yang melakukan banyak tugas yang berbeda sekaligus, jadi tetapkan pemimpin proyek untuk operasi untuk pengambilan keputusan yang jelas dan informasi definitif untuk mengalir di antara tim krisis.

  • Menjaga komunikasi pemangku kepentingan

    Bekerja sama dengan tim komunikasi untuk memberikan pembaruan tepat waktu dan manajemen ekspektasi aktif bagi pemangku kepentingan organisasi.

Berikut adalah beberapa tips bermanfaat:

  • Mengetahui kemampuan dan batasan Anda

    Mengelola insiden keamanan utama sangat menantang, sangat kompleks, dan baru bagi banyak profesional di industri ini. Anda harus mempertimbangkan untuk membawa keahlian dari organisasi eksternal atau layanan profesional jika tim Anda kewalahan atau tidak yakin tentang apa yang harus dilakukan selanjutnya.

  • Ambil pelajaran yang dipelajari

    Bangun dan terus tingkatkan buku pegangan khusus peran untuk SecOps, meskipun itu adalah insiden pertama Anda tanpa prosedur tertulis.

Komunikasi eksekutif dan tingkat papan untuk respons insiden dapat menjadi tantangan jika tidak dipraktikkan atau diantisipasi. Pastikan Anda memiliki rencana komunikasi untuk mengelola pelaporan kemajuan dan harapan untuk pemulihan.

Proses respons insiden

Pertimbangkan panduan umum ini tentang proses respons insiden untuk SecOps dan staf Anda.

1. Memutuskan dan bertindak

Setelah alat deteksi ancaman seperti Microsoft Sentinel atau Pertahanan Microsoft 365 mendeteksi kemungkinan serangan, alat ini menciptakan insiden. Pengukuran Mean Time to Acknowledge (MTTA) responsivitas SOC dimulai dengan waktu serangan ini diperhatikan oleh staf keamanan Anda.

Analis saat shift didelegasikan atau mengambil kepemilikan atas insiden dan melakukan analisis awal. Tanda waktu untuk ini adalah akhir dari pengukuran responsivitas MTTA dan memulai pengukuran Waktu Rata-Rata untuk Remediasi (MTTR).

Sebagai analis yang memiliki insiden mengembangkan tingkat keyakinan yang cukup tinggi sehingga mereka memahami cerita dan ruang lingkup serangan, mereka dapat dengan cepat beralih ke merencanakan dan menjalankan tindakan pembersihan.

Tergantung pada sifat dan ruang lingkup serangan, analis Anda dapat membersihkan artefak serangan saat mereka pergi (seperti email, titik akhir, dan identitas) atau mereka dapat membangun daftar sumber daya yang disusupi untuk membersihkan semua sekaligus (dikenal sebagai Big Bang)

  • Bersihkan saat Anda pergi

    Untuk sebagian besar insiden umum yang terdeteksi di awal operasi serangan, analis dapat dengan cepat membersihkan artefak saat mereka menemukannya. Hal ini membuat para penantang berada pada kelemahan dan mencegah mereka bergerak maju dengan tahap serangan berikutnya.

  • Bersiaplah untuk Big Bang

    Pendekatan ini sesuai untuk skenario di mana seterusnya telah menyelesaikan mekanisme akses redundan ke lingkungan Anda. Ini sering terlihat dalam insiden pelanggan yang diselidiki oleh Tim Deteksi dan Respons (DART) Microsoft. Dalam pendekatan ini, analis harus menghindari tip dari seterusnya sampai penemuan penuh kehadiran penyerang, karena kejutan dapat membantu dengan sepenuhnya mengganggu operasi mereka.

    Microsoft telah mempelajari bahwa remediasi parsial sering kali membuat tips dari seorang penyaji, yang memberi mereka kesempatan untuk bereaksi dan dengan cepat membuat insiden lebih buruk. Misalnya, penyerang dapat menyebarkan serangan lebih lanjut, mengubah metode akses mereka untuk menghindari deteksi, menutupi jejak mereka, dan menimbulkan kerusakan dan kerusakan sistem untuk balas dendam.

    Membersihkan phishing dan email berbahaya sering kali dapat dilakukan tanpa memberi tip pada penyerang tetapi membersihkan malware host dan merebut kembali kontrol akun memiliki kemungkinan besar untuk ditemukan.

Ini bukan keputusan yang mudah untuk dibuat dan tidak ada pengganti pengalaman dalam melakukan panggilan penilaian ini. Lingkungan kerja kolaboratif dan budaya di SOC Anda membantu memastikan bahwa analis dapat memanfaatkan pengalaman satu sama lain.

Langkah-langkah respons khusus tergantung pada sifat serangan, tetapi prosedur paling umum yang digunakan oleh analis dapat mencakup:

  • Titik akhir klien (perangkat)

    Isolasi titik akhir dan hubungi pengguna atau operasi IT/helpdesk untuk memulai prosedur penginstalan ulang.

  • Server atau aplikasi

    Bekerja dengan operasi TI dan pemilik aplikasi untuk mengatur remediasi cepat sumber daya ini.

  • Akun pengguna

    Klaim kembali kontrol dengan menonaktifkan akun dan mengatur ulang kata sandi untuk akun yang disusupi. Prosedur ini dapat berkembang saat pengguna Anda beralih ke autentikasi tanpa kata sandi menggunakan Windows Hello atau bentuk autentikasi multifaktor (MFA) lainnya. Langkah terpisah adalah kedaluwarsa semua token autentikasi untuk akun dengan Microsoft Defender for Cloud Apps.

    Analis Anda juga dapat meninjau nomor telepon metode MFA dan pendaftaran perangkat untuk memastikannya belum dibajak dengan menghubungi pengguna dan mengatur ulang informasi ini sesuai kebutuhan.

  • Akun Layanan

    Karena risiko layanan atau dampak bisnis yang tinggi, analis Anda harus bekerja dengan pemilik akun layanan catatan, kembali pada operasi TI sesuai kebutuhan, untuk mengatur remediasi cepat sumber daya ini.

  • Email

    Hapus email serangan atau pengelabuan dan terkadang hapus email tersebut untuk mencegah pengguna memulihkan email yang dihapus. Selalu simpan salinan email asli untuk nanti mencari analisis pasca-serangan, seperti header, konten, dan skrip atau lampiran.

  • Lainnya

    Anda dapat menjalankan tindakan kustom berdasarkan sifat serangan seperti mencabut token aplikasi dan mengonfigurasi ulang server dan layanan.

2. Pembersihan pasca-insiden

Karena Anda tidak mendapat manfaat dari pelajaran yang dipelajari sampai Anda mengubah tindakan di masa mendatang, selalu integrasikan informasi berguna yang dipelajari dari penyelidikan kembali ke SecOps Anda.

Tentukan koneksi antara insiden masa lalu dan masa depan oleh pelaku ancaman atau metode yang sama dan tangkap pembelajaran ini untuk menghindari pengulangan pekerjaan manual dan penundaan analisis di masa mendatang.

Pembelajaran ini dapat mengambil sejumlah bentuk, tetapi praktik umum termasuk analisis:

  • Indikator Kompromi (IoC).

    Catat IoC yang berlaku seperti hash file, alamat IP berbahaya, dan atribut email ke dalam sistem inteligensi ancaman SOC Anda.

  • Kerentanan yang tidak diketahui atau tidak di-pattch.

    Analis Anda dapat memulai proses untuk memastikan bahwa patch keamanan yang hilang diterapkan, kesalahan konfigurasi diperbaiki, dan vendor (termasuk Microsoft) diberi tahu tentang kerentanan "nol hari" sehingga mereka dapat membuat dan mendistribusikan patch keamanan.

  • Tindakan internal seperti mengaktifkan pengelogan pada aset yang mencakup sumber daya berbasis cloud dan lokal Anda.

    Tinjau garis besar keamanan yang ada dan pertimbangkan untuk menambahkan atau mengubah kontrol keamanan. Misalnya, lihat panduan operasi keamanan Azure Active Directory untuk informasi tentang mengaktifkan tingkat audit yang sesuai di direktori sebelum insiden berikutnya terjadi.

Tinjau proses respons Anda untuk mengidentifikasi dan mengatasi celah apa pun yang ditemukan selama insiden.

Sumber daya respons insiden

Sumber daya keamanan Microsoft utama

Sumber daya Deskripsi
Laporan Pertahanan Digital Microsoft 2021 Laporan yang mencakup pembelajaran dari pakar keamanan, praktisi, dan pembela di Microsoft untuk memberdayakan orang-orang di mana saja untuk bertahan dari ancaman cyber.
Arsitektur Referensi Keamanan Cyber Microsoft Serangkaian diagram arsitektur visual yang menunjukkan kemampuan keamanan cyber Microsoft dan integrasinya dengan platform cloud Microsoft seperti Microsoft 365 dan Microsoft Azure serta platform dan aplikasi cloud pihak ketiga.
Pengunduhan infografis menit penting Gambaran umum tentang bagaimana tim SecOps Microsoft melakukan respons insiden untuk mengurangi serangan yang sedang berlangsung.
Operasi keamanan Azure Cloud Adoption Framework Panduan strategis bagi para pemimpin yang menetapkan atau memodernisasi fungsi operasi keamanan.
Praktik terbaik keamanan Microsoft untuk operasi keamanan Cara terbaik menggunakan pusat SecOps Anda untuk bergerak lebih cepat daripada penyerang yang menargetkan organisasi Anda.
Keamanan cloud Microsoft untuk model arsitek TI Keamanan di seluruh layanan dan platform cloud Microsoft untuk akses identitas dan perangkat, perlindungan ancaman, dan perlindungan informasi.
Dokumentasi keamanan Microsoft Panduan keamanan tambahan dari Microsoft.