Trace Id is missing
Põhisisu juurde
Microsofti turbeteenus

Mida tähendab intsidentidele reageerimine?

Siit saate teada, kuidas tõhus intsidendile reageerimine aitab ettevõtetel küberrünnakuid tuvastada, lahendada ja peatada.

Lisateave Microsoft Sentineli kohta

Intsidentidele reageerimise tähendus

Enne intsidendile reageerimise määratlemist on oluline teada, mis on intsident. IT-s on kolm terminit, mida vahel kasutatakse samas kontekstis, kuid mis tähendavad erinevaid asju.

  1. Sündmus on ohutu tegevus, mis toimub sageli (nt faili loomine, kausta kustutamine või meilisõnumi avamine). Sündmus üksi ei viita tavaliselt turbemurdele, kuid kui see on seotud muude sündmustega, võib see märku anda ohust. 
  2. Hoiatus on teatis, mille käivitab sündmus, mis võib, aga ei pruugi olla ohtlik.
  3. Intsident on korreleeruvate hoiatuste rühm, mida inimesed või automatiseerimisriistad on pidanud tõenäoliseks tegelikuks ohuks. Iga hoiatus üksi ei pruugi näida suure ohuna, kuid kombineerimisel viitavad need võimalikule turbemurdele.

Intsidendile reageerimine tähendab organisatsiooni toiminguid, kui ollakse veendunud, et IT-süsteemides või andmetes on turbemurre. Näiteks tegutsevad turbetöötajad, kui nad näevad tõendust volitamata kasutaja, ründevara või turbemeetmete tõrke kohta.

Reageerimise eesmärk on kõrvaldada küberrünnak nii kiiresti kui võimalik, taastuda, teavitada kliente või valitsusasutusi piirkondlike seaduste kohaselt ja õppida vähendama sarnase turbemurde ohtu tulevikus.

Kuidas toimib intsidentidele reageerimine?

Intsidendile reageerimine algab tavaliselt siis, kui turbemeeskond saab hoiatuse turbeteabe ja -sündmuste halduse (SIEM) süsteemist.

Meeskonna liikmed peavad veenduma, et sündmus kvalifitseerub intsidendina, seejärel isoleerima nakatunud süsteemid ja eemaldama ohu. Kui intsident on tõsine või selle lahendamine võtab kaua aega, võib juhtuda, et ettevõte peab taastama andmed, tegelema lunarahaga või teavitama kliente, et nende andmed on ohus.

Seetõttu on reageerimisse tavaliselt kaasatud ka teised inimesed peale küberturbe töörühma. Privaatsuseksperdid, advokaadid ja äriotsuste tegijad aitavad paika panna, kuidas organisatsioon juhtumile läheneb ja selle järel käitub.

Turbeintsidentide tüübid

Ründajatel on mitmeid viise, kuidas proovida ettevõtte andmetele juurde pääseda või muul viisil selle süsteeme ja äritoiminguid ohustada. Siin on toodud mõned levinumad.

  • Andmepüük

    Andmepüük on manipulatsiooni tüüp, kus ründaja matkib meilis, sõnumis või telefonikõnes usaldusväärset kaubamärki või isikut. Tüüpiline andmepüügirünnak proovib veenda adressaate alla laadima ründevara või avaldama parooli. Need ründed kuritarvitavad inimeste usaldust ja kasutavad psühholoogilisi tehnikaid (nt hirmutamine), et panna inimesi tegutsema. Paljud neist rünnetest ei ole suunatud, vaid on saadetud tuhandetele inimestele lootusega, et vähemalt mõni neist vastab. Keerukam versioon sellest on harpuunimine, kus tehakse põhjalikku uurimistööd, et luua sõnum, mis on mõeldud konkreetse isiku veenmiseks.

  • Ründevara

    Ründevara on mis tahes tarkvara, mis on loodud kahjustama arvutisüsteemi või varastama andmeid. See võib esineda eri kujul, sh viiruse, lunavara, nuhkvara ja troojahobuna. Kurjategijad kasutavad ründevara installimiseks ära riist- ja tarkvara nõrkusi või veenavad manipuleerimise abil töötaja seda tegema.

  • Lunavara

    Lunavararünde korral kasutavad kurjategijad ründevara kriitiliste andmete ja süsteemide krüptimiseks ning ähvardavad seejärel andmed avalikuks teha või need hävitada, kui ohver lunaraha ei maksa.

  • Teenusetõkestus

    Teenusetõkestuse ründe (DDoS-ründe) puhul koormab küberohustaja võrgu või süsteemi liiklusega üle, kuni see muutub aeglaseks või läheb krahhi. Tavaliselt võtavad ründajad sihtmärgiks kõrge profiiliga ettevõtetteid (nt pangad või valitsused), et kulutada nende aega ja raha, kuid igas suuruses organisatsioonid võivad seda tüüpi rünnete ohvriks osutuda.

  • Vahendusrünne

    Veel üks meetod, mida küberkurjategijad isikuandmete varastamiseks kasutavad, on sekkuda veebivestlusse inimeste vahel, kes usuvad, et suhtlevad privaatselt. Nad jälgivad sõnumeid ja kopeerivad neid või muudavad neid enne soovitud saajale saatmist, et manipuleerida ühte osapoolt väärtuslikke andmeid avaldama.

  • Siseoht

    Kuigi enamike rünnete taga on inimesed, kes ei tööta samas asutuses, peavad turbemeeskonnad olema valvel siseohtude suhtes. Töötajad ja teised inimesed, kellel on seaduslik juurdepääs piiratud ressurssidele, võivad tahtmatult või mõnel juhul tahtlikult lekitada tundlikke andmeid.

Mis on intsidentidele reageerimise kava?

Intsidendile reageerimiseks peab meeskond tõhusalt ja tulemuslikult koostööd tegema, et kõrvaldada oht ja täita regulatiivnõudeid. Sellistes stressisituatsioonides on lihtne pead kaotada ja vigu teha. Seetõttu koostavad paljud ettevõtted intsidendile reageerimise kava. Kava määratleb rollid ja vastutusalad ning sisaldab juhiseid intsidendi õigeks lahendamiseks, dokumenteerimiseks ja sellest rääkimiseks.

Intsidentidele reageerimise kava tähtsus

Oluline rünne ei kahjusta ainult ettevõtte tegevust, vaid ka ettevõtte mainet klientide ja kogukonna ees ning sellel võivad olla ka õiguslikud tagajärjed. Kõik, ka see, kui kiiresti turbemeeskond rünnakule reageerib ja kuidas juhid intsidendist räägivad, mõjutab selle üldist kahju.

Ettevõtted, kes peidavad kahju klientide ja valitsusasutuste eest või kes ei võta ohtu piisavalt tõsiselt, võivad rikkuda eeskirju. Seda tüüpi vead on levinumad siis, kui osalistel pole kava. Kiirustades ja pikemalt mõtlemata teevad inimesed hirmust ajendatud otsuseid, mis võivad ettevõttele kahju teha.

Läbimõeldud plaan annab inimestele teada, mida nad peaksid ründe igas etapis tegema, et nad ei peaks seda jooksvalt välja mõtlema. Kui pärast taastumist on avalikkusel küsimusi, saab organisatsioon täpselt näidata, kuidas nad reageerisid, ja pakkuda klientidele meelerahu, et intsidenti võeti tõsiselt ja halvima vältimiseks rakendati vajalikke toimingud.

Intsidentidele reageerimise etapid

Intsidentidele reageerimiseks on mitu võimalust ja paljud organisatsioonid toetuvad oma lähenemises turbestandardite organisatsioonile. SysAdmin Audit Network Security (SANS) on privaatne organisatsioon, mis pakub kuue etapiga reageerimisraamistikku, mida kirjeldatakse allpool. Paljud organisatsioonid võtavad kasutusele ka Riikliku Standardi ja Tehnikainstituudi (NIST) intsidenditaaste raamistiku.

  • Ettevalmistus – enne intsidendi ilmnemist on oluline vähendada nõrkusi ning panna paika turbepoliitikad ja -protseduurid. Ettevalmistusetapis korraldavad ettevõtted riskianalüüsi, et teha kindlaks nõrgad kohad ja prioriseerida varasid. See etapp hõlmab turbeprotseduuride kirjutamist ja täpsustamist, rollide ja kohustuste määratlemist ning süsteemide värskendamist, et riske vähendada. Enamik organisatsioone vaatab selle etapi regulaarselt uuesti üle ning täiustab poliitikaid, protseduure ja süsteeme, kui õpitakse juurde või tehnoloogid muutuvad.
  • Ohu tuvastamine – turbemeeskond võib iga päev saada tuhandeid teateid, mis viitavad kahtlasele tegevusele. Mõned neist on valepositiivsed või ei pruugi küündida intsidendi tasemele. Pärast intsidendi tuvastamist uurib meeskond turbemurde olemust ja dokumenteerib leiud, sh turbemurde allikas, ründe tüüp ja ründaja eesmärgid. Selles etapis peab meeskond teavitama huvirühmi ja tegema teatavaks edasised etapid.
  • Ohu ohjeldamine – ohu võimalikult kiire ohjeldamine on järgmine prioriteet. Mida kauem on kurjategijatel juurdepääs, seda rohkem kahju nad saavad teha. Turbemeeskond isoleerib kiiresti rünnatud rakendused või süsteemid ülejäänud võrkudest. See aitab takistada ründajate juurdepääsu ettevõtte muudele osadele.
  • Ohu kõrvaldamine – kui ohjeldamine on lõpetatud, eemaldab meeskond ründaja ja mis tahes ründevara mõjutatud süsteemidest ja ressurssidest. See võib hõlmata süsteemide ühenduseta režiimi viimist. Samuti hoiab meeskond huvirühmi edenemisega kursis.
  • Taastumine ja taastamine – juhtumist taastumine võib võtta mitu tundi. Kui oht on kadunud, taastab meeskond süsteemid, taastab varundatud andmed ja jälgib mõjutatud alasid, et ründaja ei naaseks.
  • Tagasiside ja viimistlemine – kui intsident on lahendatud, vaatab meeskond juhtunu üle ja tuvastab protsessis võimalikud tehtavad täiendused. Õppimine selles etapis aitab meeskonnal organisatsiooni kaitset paremaks muuta.

Mis on intsidentidele reageerimise rühm?

Intsidendile reageerimise rühm (ka arvutiturbe intsidentide reageerimisrühm (CSIRT), küberintsidentide reageerimisrühm (CIRT) või arvuti hädaabi reageerimisrühm (CERT)) hõlmab ristfunktsionaalset asutuse töötajate rühma, kes vastutavad intsidendile reageerimise kava täitmise eest. See hõlmab lisaks ohu eemaldajatele ka neid inimesi, kes teevad juhtumiga seotud ärilisi või juriidilisi otsuseid. Tavaliselt on rühmas järgmised liikmed.

  • Intsidendile reageerimise juht (sageli IT-juht) jälgib kõiki reageerimise etappe ja hoiab ettevõttesiseseid huvirühmi kursis. 

  • Turbeanalüütikud uurivad juhtumit, et mõista, mis toimub. Samuti dokumenteerivad nad oma leiud ja koguvad tõendusmaterjali.

  • Ohuuurijad otsivad teavet väljastpoolt organisatsiooni, mis pakub täiendavat konteksti. 

  • Keegi juhtkonnast (nt teabeturbe peaametnik või teabevolinik) annab juhtnööre ja aitab teiste juhtivtöötajatega koostööd teha.

  • Personalispetsialistid aitavad hallata siseohte.

  • Üldnõustaja aitab meeskonnal lahendada vastutusküsimusi ja tagab tõendusmaterjali kogumise.

  • Avalike suhete spetsialistid koordineerivad täpset välissuhtlust meedia, klientide ja teiste huvirühmadega.

Intsidendile reageerimise rühm võib olla turbetoimingute keskuse (SOC) alamrühm, mis tegeleb ka muude turbetoimingutega peale intsidentidele reageerimise.

Intsidentidele reageerimise automatiseerimine

Enamikes asutustes toodavad võrgud ja turbelahendused palju rohkem turbeteateid, kui intsidentidele reageerimise rühm suudab realistlikult hallata. Selleks et aidata ettevõttel keskenduda tõelistele ohtudele, automatiseerivad paljud ettevõtted intsidentidele reageerimise. Automatiseerimine kasutab tehisintellekti ja masinõpet hoiatuste olulisuse määramiseks, intsidentide tuvastamiseks ja ohtude väljaselgitamiseks. Selleks käivitatakse programmeerimisskriptide põhjal reageerimise tegevuskava.

Turbe orkestreerimine, automatiseerimine ja reageerimine (SOAR) on turbetööriistade kategooria, mida ettevõtted kasutavad intsidentidele reageerimise automaatiseerimiseks. Need lahendused pakuvad järgmisi võimalusi.

  • Need korreleerivad andmeid mitme lõpp-punkti ja turbelahenduse lõikes, et tuvastada intsidendid, millega peaksid tegelemist jätkama inimesed .

  • Need kasutavad eelnevalt koostatud tegevuskava tuntud intsidenditüüpide isoleerimiseks ja lahendamiseks.

  • Need loovad uuringu ajaskaala, kus on tegevused, otsused ja tõendusmaterjal, mida saab analüüsimiseks kasutada.

  • Need võtavad asjakohase välisabina kasutusele inimanalüüsi.

Kuidas intsidentidele reageerimise kava rakendada?

Intsidendile reageerimise kava väljaarendamine võib näida hirmutav, kuid see vähendab märkimisväärselt riski, et teie ettevõte ei ole suureks intsidendiks ette valmistunud. Alustamiseks tehke järgmist.

  • Varade tuvastamine ja tähtsuse alusel järjestamine

    Intsidendile reageerimise kava esimene etapp on teada, mida kaitsete. Dokumenteerige oma asutuse kriitilised andmed, sealhulgas nende asukoht ja olulisuse tase ettevõtte jaoks.

  • Potentsiaalsete riskide tuvastamine

    Igal organisatsioonil on eri riskid. Tutvuge oma organisatsiooni suurimate nõrkustega ja hinnake, kuidas ründaja saaks neid ära kasutada. 

  • Reageerimisprotseduuride arendamine

    Stressirohke intsidendi ajal on selged protseduurid suureks abiks, et tagada intsidendi kiire ja tõhus lahendamine. Alustuseks määratlege intsidendi olemus ja seejärel määratlege, mida teie meeskond peaks tegema intsidendi tuvastamiseks, isoleerimiseks ja sellest taastumiseks, sealhulgas protseduurid otsuste dokumenteerimiseks ja tõendusmaterjali kogumiseks.

  • Intsidentidele reageerimise rühma koostamine

    Koostage ristfunktsionaalne meeskond, kes vastutab reageerimistoimingute mõistmise ja intsidendi korral nende läbi viimise eest. Määratlege kindlasti selgelt rollid ning arvestage mittetehniliste rollidega, mis aitavad langetada suhtluse ja vastutusega seotud otsuseid. Kaasake juhtkonna liige, kes on toetab töörühma ja nende vajadusi ettevõtte kõrgeimatel tasanditel. 

  • Teavituskava määratlus

    Teavituskava paneb kindlalt paika, millal ja kuidas anda nii asutusesiseselt kui ka -väliselt teada, mis toimub. Mõelge läbi erinevaid stsenaariume, mis aitavad teil otsustada, millistel juhtudel peate teavitama juhte, kogu organisatsiooni, kliente ja meediat või muid väliseid huvirühmi.

  • Töötajate koolitamine

    Pahategijad võtavad sihtmärgiks töötajaid organisatsiooni kõigil tasemetel. Seetõttu on oluline, et kõik mõistaksid teie reageerimiskava ja teaksid, mida teha, kui kahtlustavad, et on langenud rünnaku ohvriks. Testige aeg-ajalt oma töötajaid veendumaks, et nad tunnevad andmepüügisõnumid ära, ja muutke lihtsaks intsidentidele reageerimise rühma teavitamine, kui töötaja klõpsab kogemata pahatahtlikku linki või avab nakatunud manuse. 

Intsidentidele reageerimise lahendused

Valmisolek suureks intsidendiks on oluline osa oma ettevõtte ohtude eest kaitsmisest. Asutusesisese intsidentidele reageerimise töörühma kokkupanek annab teile kindluse, et olete valmis, kui juhtute langema kurjategija ohvriks.

Kasutage ära SIEM- ja SOAR-lahendusi (nt Microsoft Sentinel), mis kasutavad automatiseerimist intsidentide tuvastamiseks ja neile automaatselt reageerimiseks. Vähemate ressurssidega organisatsioonid saavad täiendada oma meeskondi teenusepakkujaga, kes suudab toime tulla mitme intsidendile reageerimise etapiga. Olenemata sellest, kas intsidentidele reageerimisega tegelevad sise- või välitöötajad, veenduge, et teil oleks plaan.

Lisateave Microsofti turbeteenuse kohta

Microsofti ohutõrje

Uusima ohutõrje funktsiooni abil saate tuvastada intsidendid oma organisatsioonis ja neile reageerida.

Lisateave

Microsoft Sentinel

Saate tuvastada keerukad ohud ja reageerida otsustavalt võimsa SIEM-lahendusega, mille aluseks on pilv- ja tehisintellektiplatvorm.

Lisateave

Microsoft Defender XDR

Saate peatada nii lõpp-punktide, meilide, identiteetide, rakenduste kui ka andmetega seotud ründed.

Lisateave

Korduma kippuvad küsimused

  • Intsidendile reageerimine tähendab kõiki organisatsiooni toiminguid turbemurde kahtluse korral. Eesmärk on ründajad võimalikult kiiresti isoleerida ja välja tõrjuda, järgida andmete privaatsuse eeskirju ja taastuda turvaliselt nii väikse kahjuga organisatsioonile kui võimalik.

  • Intsidentidele reageerimise eest vastutab ristfunktsionaalne töörühm. Tavaliselt vastutab ohtude tuvastamise, isoleerimise ja ohtudest taastumise eest IT-osakond, kuid intsidendile reageerimine on enamat kui kurjategijate leidmine ja eemaldamine. Olenevalt ründe tüübist võib juhtuda, et langetada tuleb äriotsus, näiteks kuidas reageerida lunaraha küsimisele. Õigusnõustaja ja avalike suhete spetsialistid aitavad tagada, et organisatsioon järgiks andmeprivaatsusseadusi, sealhulgas teavitaks asjakohaselt kliente ja valitsusasutusi. Kui rikkumise paneb toime töötaja, annab personaliosakond nõu asjakohase tegevuse kohta.

  • CSIRT on intsidentidele reageerimise töörühma teine nimi. See tähendab ristfunktsionaalset töörühma, kes vastutab intsidendile reageerimise kõigi aspektide haldamise eest, sealhulgas ohtude tuvastamine, isoleerimine ja kõrvaldamine, taaste, sise- ja välikommunikatsioon, dokumentatsioon ja tõendusmaterjalide analüüs.

  • Enamik ettevõtteid võtab ohtude tuvastamiseks ja neile readeerimiseks abiks SIEM- või SOAR-lahenduse. Need lahendused koondavad tavaliselt andmeid mitmest süsteemist ja kasutavad tõeliste ohtude tuvastamiseks masinõpet. Samuti võivad need eelnevalt koostatud tegevuskavade põhjal automatiseerida reageerimist teatud tüüpi ohtudele.

  • Intsidendile reageerimise elutsüklis on kuus etappi:

    1. Ettevalmistus leiab aset enne intsidendi tuvastamist. See tähendab intsidendi defineerimist ettevõtte poolt ning kõiki poliitikaid ja protseduure, mida on vaja rünnaku vältimiseks, tuvastamiseks, kõrvaldamiseks ja taastumiseks.
    2. Ohu tuvastamine on protsess, mis kasutab nii inimanalüütikuid kui ka automatiseerimist, et teha kindlaks, millised sündmused on reaalsed ohud, millega tuleb tegeleda.
    3. Ohu ohjeldamine tähendab meeskonna toiminguid ohu isoleerimiseks ja ettevõtte muude valdkondade nakatamise takistamiseks. 
    4. Ohtude kõrvaldamine hõlmab juhiseid ründevara ja ründajate organisatsioonist eemaldamiseks.
    5. Taastumine ja taastamine hõlmavad süsteemide ja arvutite taaskäivitamist ning kaotsiläinud andmete taastamist. 
    6. Tagasiside ja viimistlemine on meeskonna protsess intsidendist õppimiseks ning uute teadmiste poliitikatele ja protseduuridele rakendamiseks. 

Jälgige Microsofti turbeteenust