Incidentsvarsprocess

Det första steget är att ha en svarsplan för incidenter som omfattar både interna och externa processer för att svara på cybersäkerhetsincidenter. Planen bör omfatta hur du:

• Adressattacker som varierar beroende på affärsrisk och påverkan på incidenten, som kan variera från en isolerad webbplats som inte längre är tillgänglig till en kompromiss med autentiseringsuppgifter på administratörsnivå.
• Definiera syftet med svaret, t.ex. en return till tjänsten eller för att hantera juridiska eller PR-aspekter av attacken.
• Prioritera det arbete som behöver göras med avseende på hur många personer som ska arbeta med händelsen och deras uppgifter.

I artikeln om incidentsvarsplanering finns en checklista med aktiviteter som du bör tänka på i din svarsplan för incidenter. När din plan för incidenter finns kan du testa den regelbundet för de mest allvarliga typerna av cyberattacker för att säkerställa att din organisation kan svara snabbt och effektivt.

Även om varje organisations svarsprocess för incidenter kan variera beroende på organisationens struktur och funktioner, så bör du ta hänsyn till rekommendationer och metodtips i den här artikeln för att svara på säkerhetsincidenter.

Vid en händelse är det viktigt att:

• Var lugn

  Incidenter är mycket störande och kan bli känslomässigt laddade. Var lugn och fokusera på att prioritera ditt arbete med de mest effektfulla åtgärderna först.

• Gör ingen skada

  Bekräfta att ditt svar är utformat och utfört på ett sätt som undviker dataförlust, förlust av affärskritiska funktioner och förlust av bevis. Undvik beslut kan skada möjligheten att skapa tidslinjer för en tidslinje, identifiera orsaken och ta viktiga lektioner.

• Engagera den juridiska avdelningen

  Bestäm om de planerar att innefatta tillämpning av lag så att du kan planera din undersökning och återställning på rätt sätt.

• Var försiktig när du delar information om händelsen offentligt

  Bekräfta att allt du delar med dina kunder och allmänheten baseras på råd från den juridiska avdelningen.

• Få hjälp när det behövs

  Utnyttja djup expertis och erfarenhet när du undersöker och svarar på attacker från avancerade attacker.

Cybersäkerhetsundersökning och svar på cybersäkerhet kräver, exempelvis att man diagnostiserar och behandlar en medicinska undersökning av cybersäkerhet för en större incident. Det kräver också ett system som båda är:

• Kritiskt viktigt (kan inte stängas av för att arbeta med det).
• Komplex (vanligtvis utöver förståelsen för en person).

Vid en händelse måste du göra följande kritiska saldon:

• Hastighet

  Balansera behovet av att agera snabbt för att uppfylla intressenter med risken för beslut.

• Dela information

  Informera intressenter, intressenter och kunder baserat på råd från din juridiska avdelning för att begränsa ansvaret och undvika att ange orealistiska förväntningar.

Den här artikeln är utformad för att minska risken för organisationen för en cybersäkerhetshändelse genom att identifiera vanliga fel för att undvika och ge råd om vilka åtgärder du snabbt kan vidta, både för att minska risken och för att uppfylla intressentbehoven.

Metodtips för svar

Att svara på incidenter kan göras effektivt från både tekniska perspektiv och verksamhetsperspektiv med de här rekommendationerna.

Tekniskt

Här är några mål att ta hänsyn till när det gäller tekniska aspekter av incidentsvar:

• Försök identifiera omfattningen av attackåtgärden.

  De flesta adversaries använder flera beständighetsmetoder.

• Identifiera om möjligt attackens syfte.

  Beständiga attacker kommer ofta att återvända för sitt mål (data/system) i framtida angrepp.

Här är några användbara tips:

• Ladda inte upp filer till onlineskannrar

  Många adversaries monitor instance count on services like VirusTotal for discovery of targeted malware.

• Fundera noga över ändringar

  Såvida du inte står inför ett omedelbart hot om att förlora affärskritiska data – t.ex. borttagning, kryptering och exfiltrering – balanserar du risken att inte göra ändringen med den projekterade affärsrisken. Till exempel kan du behöva tillfälligt stänga av organisationens internetanslutning för att skydda verksamhetskritiska tillgångar vid en aktiv attack.

  Om det behövs ändringar där risken för att inte göra en åtgärd är högre än risken att göra den, dokumenterar du åtgärden i en ändringslogg. Ändringar som görs under incidentsvar fokuserar på att störa attackeraren och kan påverka verksamheten negativt. Du måste återställa dessa ändringar efter återställningsprocessen.

• Undersök inte evigheter

  Du måste inte göra någon prioritering av din undersökning. For example, only perform analysis on endpoints that attackers have actually used or modified. Vid en större incident där en attackerare har administrativ behörighet är det nästan omöjligt att undersöka alla potentiellt komprometterade resurser (som kan omfatta alla organisationsresurser).

• Dela information

  Bekräfta att alla undersökningsgrupper, inklusive alla interna grupper och externa avdelningar eller försäkringsleverantörer, delar sina data med varandra, baserat på råd från den juridiska avdelningen.

• Få tillgång till rätt kunskaper

  Bekräfta att du integrerar personer med djupa kunskaper om system i undersökningen – t.ex. intern personal eller externa enheter som leverantörer – inte bara säkerhets generalister.

• Förutse reducerad svarskapacitet

  Planera för 50 % av personalen som arbetar på 50 % av den normala kapaciteten på grund av situationell stress.

En viktig förväntan att hantera med intressenter är att du kanske aldrig kan identifiera den initiala attacken eftersom data som krävs för detta kan ha tagits bort innan undersökningen startar, till exempel en attackerare som täcker deras spår genom att rulla.

Drift

Här är några mål att ta hänsyn till när det gäller säkerhetsåtgärder:

• Fokuserat

  Bekräfta att du behåller fokus på affärskritiska data, kund påverkan och för att förbereda för åtgärd.

• Samordna och göra rollen tydligare

  Upprätta distinkta roller för åtgärder som stöd för kristeamet och bekräfta att tekniska, juridiska och kommunikationsgrupper håller varandra informerade.

• Behålla affärsperspektiv

  Du bör alltid överväga vilken inverkan affärsåtgärder får genom både adversa åtgärder och dina egna svarsåtgärder.

Här är några användbara tips:

• Överväg incidentkommandosystemet (ICS) för krishantering

  Om du inte har en permanent organisation som hanterar säkerhetsincidenter rekommenderar vi att du använder ICS som en tillfällig organisationsstruktur för att hantera kris.

• Behåll pågående dagliga åtgärder intakta

  Se till att normala säkerhetsåtgärder inte är helt ur drift för att stödja incidentundersökningar. Det här arbetet behöver fortfarande göras.

• Undvik slösa bort slösande utgifter

  Många viktiga incidenter leder till köp av dyra säkerhetsverktyg under tryck som aldrig används eller används. Om du inte kan distribuera och använda ett verktyg under undersökningen, vilket kan inkludera anställning och utbildning för ytterligare personal med de kunskaper som behövs för att hantera verktyget – skjuta upp datainsamlingen tills du har avslutat undersökningen.

• Få tillgång till djup expertis

  Bekräfta att du har möjlighet att eskalera frågor och problem till djupa experter på kritiska plattformar. Det kan kräva åtkomst till operativsystemet och programleverantören för affärskritiska system och företagsomfattande komponenter som stationära datorer och servrar.

• Upprätta informationsflöden

  Ange tydlig vägledning och förväntningar för flödet av information mellan äldre incidentsvarsledare och organisationens intressenter. Mer information finns i Planera incidentsvar.

Metodtips för återställning

Återställning av incidenter kan göras effektivt från både tekniska perspektiv och verksamhetsperspektiv med de här rekommendationerna.

Tekniskt

Här är några mål att ta hänsyn till när det gäller tekniska frågor om återställning av en händelse:

• Låt inte oceanen få det att få det att få det att se ut som det ska

  Begränsa svarets omfattning så att återställningsåtgärden kan utföras inom 24 timmar eller mindre. Planera en helg för att ta hänsyn till oförutsedda händelser och korrigerande åtgärder.

• Undvik distraktioner

  Skjuta upp långsiktiga investeringar i säkerhet, t.ex. implementera stora och komplexa nya säkerhetssystem eller ersätta skydd mot skadlig programvara tills återställningen har gjorts. Allt som inte har direkt och omedelbart påverkan på den aktuella återställningsåtgärden är distraherande.

Här är några användbara tips:

• Återställ aldrig alla lösenord samtidigt

  Återställning av lösenord bör först fokusera på kända komprometterade konton baserat på din undersökning och potentiellt vara administratörs- eller tjänstkonton. Om det krävs ska användarlösenord återställas på ett stegat och kontrollerat sätt.

• Konsolidera körning av återställningsaktiviteter

  Såvida du inte har ett omedelbart hot om att förlora affärskritiska data bör du planera en konsoliderad åtgärd för att snabbt åtgärda alla komprometterade resurser (till exempel värdar och konton) i stället för att åtgärda komprometterade resurser när du hittar dem. När du komprimerar det här tidsfönstret blir det svårt för attackoperatorer att anpassa sig och bibehålla beständighet.

• Använda befintliga verktyg

  Sök efter och använd funktionerna i verktyg som du redan har distribuerat innan du försöker distribuera och lär dig ett nytt verktyg under en återställning.

• Undvik att luta dig från dina adversary

  Som praktiskt bör du vidta åtgärder för att begränsa informationen som är tillgänglig till årsdagar om återställningsåtgärden. Adversaries typically have access to all production data and email in a major cybersecurity incident. Men i verkligheten har de flesta attackerarna inte tid att övervaka all din kommunikation.

  Microsofts Säkerhets operations Center (SOC) har använt en icke-produktionsklientorganisation Microsoft 365 för säker kommunikation och samarbete för medlemmar i svarsteamet för incidenter.

Drift

Här är några mål att ta hänsyn till när du ska återställa en händelse:

• Ha en tydlig plan och begränsad omfattning

  Arbeta tillsammans med dina tekniska team för att ta fram en tydlig plan med begränsad omfattning. Planer kan komma att ändras baserat på adversiv aktivitet eller ny information, men du bör arbeta hårt för att begränsa omfattningens expansion och ta på dig ytterligare uppgifter.

• Rensa planägarskap

  Återställningsåtgärder innebär att många personer utför många olika aktiviteter samtidigt, så att du kan utse en projektledande lead för åtgärden för tydlig beslutsfattarinformation och definitivt information som ska flöda mellan kristeamet.

• Underhålla kommunikationer från intressenter

  Arbeta med kommunikationsteam för att tillhandahålla uppdateringar i tid och hantering av förväntan på organisationens intressenter.

Här är några användbara tips:

• Ta del av dina möjligheter och begränsningar

  Det är mycket svårt, mycket komplext och nytt för många experter i branschen att hantera stora säkerhetsincidenter. Du bör överväga att lägga till expertkunskap från externa organisationer eller professionella tjänster om teamen behöver hjälp eller om du inte är säker på vad du ska göra härnäst.

• Samla in de lektioner du lärt dig

  Skapa och kontinuerligt förbättra rollspecifika handböcker för säkerhetsåtgärder, även om det är din första incident utan några skriftliga procedurer.

Kommunikation på ledningens och styrelsenivå för incidentsvar kan vara svårt om det inte är övat eller förväntat. Kontrollera att du har en kommunikationsplan för att hantera statusrapportering och förväntningar för återställning.

Incidentsvarsprocess

Överväg den här allmänna vägledningen om incidentsvarsprocessen för dina säkerhetsåtgärder och personal.

1. Bestäm och agera

När ett verktyg för identifiering av hot, till exempel Microsoft Sentinel eller Microsoft 365 Defender upptäcker en sannolik attack, skapar det en händelse. MTTA-måttet (Mean Time to Acknowledge) för SOC-svarstiden börjar med tiden då den här attacken uppmärksammas av din säkerhetspersonal.

En analytiker som gör ett arbetspass är antingen delegerad eller tar ägarskap till händelsen och utför en första analys. Tidsstämpeln för det här är slutet på MTTA-svarstiden och påbörjar mttr-måttet (Mean Time to Remediate).

Eftersom analytikern som äger incidenten utvecklar en tillräckligt hög säkerhetsnivå för att de förstår attackens berättelse och omfattning kan de snabbt flytta över till att planera och utföra rensningsåtgärder.

Beroende på attackens natur och omfattning kan analytiker rensa upp attackartefakter allt eftersom (till exempel e-postmeddelanden, slutpunkter och identiteter) eller så kan de skapa en lista med komprometterade resurser för att rensa upp på en gång (kallas big bang)

• Rensa allt eftersom

  För de flesta vanliga incidenter som upptäcks tidigt i attackåtgärden kan analytiker snabbt städa upp artefakterna när de hittar dem. Det här placerar nackdelarna i en nackdel och gör att de inte kan gå vidare i nästa steg i sin attack.

• Förbereda för en big bang

  Den här metoden är lämplig för ett scenario där en adversary redan har lösts in och upprättat redundanta åtkomstmekanismer till din miljö. Detta förekommer ofta i kundincidenter som undersökts av Microsofts identifierings- och svarsteam (INCIDENT). Med den här metoden bör analytiker undvika att luta sig över adversary tills de har upptäckt sin närvaro fullt ut, eftersom oväntade kan hjälpa till med att helt störa deras verksamhet.

  Microsoft har lärt sig att en del av en åtgärd ofta ger tips om en kontraversation, vilket ger dem möjlighet att reagera och snabbt göra händelsen värsta. En attackerare kan till exempel sprida attacken ytterligare, ändra deras åtkomstmetoder för att avgöra identifieringen, dölja sina spår och identifiera nya data och systemskador och upptäcka den här miljön på bästa sätt.

  Att rensa bort nätfiske och skadliga e-postmeddelanden kan ofta göras utan att attackeret lutar, men att rensa upp skadlig kod från värdar och återta kontrollen över konton har stor risk för identifiering.

Det här är inga enkla beslut att fatta och det finns inget som ersätter erfarenhet av att göra de här samtalen. En samverkande arbetsmiljö och kultur i DIN SOC hjälper till att säkerställa att analytiker kan utnyttja varandras upplevelse.

De specifika svarsstegen beror på attackens typ, men de vanligaste procedurerna som används av analytiker kan vara:

• Klientslutpunkter (enheter)

  Identifiera slutpunkten och kontakta användaren eller IT-åtgärder/supporten för att påbörja en ominstallation.

• Server eller program

  Arbeta med IT-åtgärder och programägare för att ordna snabb åtgärd av dessa resurser.

• Användarkonton

  Återta kontrollen genom att inaktivera kontot och återställa lösenordet för komprometterade konton. De här procedurerna kan utvecklas när användarna går över till lösenordslös autentisering med hjälp Windows Hello eller någon annan form av multifaktorautentisering (MFA). Ett separat steg är att upphöra med alla autentiseringstoken för kontot med Microsoft Defender för molnappar.

  Analytikerna kan också granska MFA-metodens telefonnummer och enhetsregistrering för att säkerställa att det inte har kapats genom att kontakta användaren och återställa informationen efter behov.

• Tjänstkonton

  På grund av den höga risken för service eller affärsrisk bör dina analytiker arbeta med tjänstekontots ägare av arkivhandling och efter behov hamna på IT-drift igen för att ordna snabb åtgärd av dessa resurser.

• E-postmeddelanden

  Ta bort attacken eller nätfiskemeddelandet och rensa ibland dem för att hindra användare från att återställa borttagna e-postmeddelanden. Spara alltid en kopia av det ursprungliga e-postmeddelandet för att senare söka efter analys efter attack, till exempel rubriker, innehåll, skript och bifogade filer.

• Annat

  Du kan köra anpassade åtgärder baserat på attackens natur, till exempel återkalla programtoken och konfigurera om servrar och tjänster.

2. Rensning efter incident

Eftersom du inte drar nytta av lektioner förrän du ändrar framtida åtgärder bör du alltid integrera all användbar information från undersökningen i dina säkerhetsåtgärder igen.

Fastställ kopplingarna mellan tidigare och framtida incidenter av samma hot aktör eller metoder och fånga in dessa inlärningar för att undvika att upprepa manuellt arbete och analysfördröjningar i framtiden.

Dessa inlärning kan ske i flera olika former, men vanliga metoder omfattar analys av:

• Indikatorer på kompromett (IOCS).

  Spela in eventuella IoCs, till exempel filshashar, skadliga IP-adresser och e-postattribut, i dina SOC-system för hotinformation.

• Okända eller oavsiktliga säkerhetsproblem.

  Analytikerna kan initiera processer för att säkerställa att felkorrigeringar tillämpas, felkonfigurering korrigeras och leverantörer (inklusive Microsoft) informeras om "nolldagar" svagheter så att de kan skapa och distribuera säkerhetskorrigeringar.

• Interna åtgärder som att aktivera loggning av tillgångar som täcker dina molnbaserade och lokala resurser.

  Granska dina befintliga säkerhetsbaslinjer och överväg att lägga till eller ändra säkerhetskontroller. Se till exempel guiden Azure Active Directory säkerhetsåtgärder för information om hur du aktiverar en lämplig granskningsnivå i katalogen innan nästa incident inträffar.

Granska dina svarsprocesser för att identifiera och lösa eventuella luckor som hittats under händelsen.

Resurser för incidentsvar

• Översikt över Microsofts säkerhetsprodukter och resurser för nya roller och erfarna analytiker
• Planera för soc-enheten
• Spelböcker för detaljerad vägledning om hur du svarar på vanliga attackmetoder
• Microsoft 365 Defender incidentsvar
• Svar på Microsoft Sentinel-incidenter

Viktiga Säkerhetsresurser från Microsoft