This is the Trace Id: 97f66818a2f3b26f4119785c22e38a38
Preskoči na glavni sadržaj Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Prikaži sve proizvode Računalna sigurnost pogonjena umjetnom inteligencijom Sigurnost u oblaku Sigurnost podataka i upravljanje njima Identitet i pristup mreži Zaštita privatnosti i upravljanje rizicima Sigurnost za umjetnu inteligenciju Male i srednje velike tvrtke Unified SecOps model "svi su nepouzdani" Cijene Servisi Partneri Zašto Microsoft Security Svjesnost o računalnoj sigurnosti Iskustva korisnika Osnovna sigurnost Probne verzije proizvoda Priznanje struke Microsoft Security Insider Microsoftovo izvješće o digitalnoj obrani Security Response Center Blog o paketu Microsoft Security Microsoftove konferencije o sigurnosti Microsoftova zajednica tehničkih stručnjaka Dokumentacija Biblioteka tehničkog sadržaja Obuka i certifikati Compliance Program for Microsoft Cloud Microsoftov centar za pouzdanost Service Trust Portal Microsoftova inicijativa za sigurnu budućnost Središte za poslovna rješenja Obratite se odjelu prodaje Započnite besplatno probno razdoblje Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed reality Microsoft HoloLens Microsoft Viva Quantum computing Održivost Obrazovanje Automobili Financijske usluge Državna uprava Zdravstvo Proizvodnja Maloprodaja Pronađi partnera Postani partner Mreža partnera Microsoft Marketplace Softverske tvrtke Blog Microsoftovo oglašavanje Centar za razvojne inženjere Dokumentacija Događaji Licenciranje Microsoft Learn Microsoft Research Prikaz karte web-mjesta
osoba upotrebljava velik dodirni zaslon

Što je odgovor na incident?

Otkrijte kako učinkovit odgovor na incident pomaže tvrtkama ili ustanovama da otkriju, otklone i zaustave računalne napade.
Saznajte više o rješenju Microsoft Sentinel

Definicija odgovora na incidente

Prije definiranja odgovora na incident važno je znati što je to incident. U IT-ju postoje tri izraza koji se ponekad upotrebljavaju kao sinonimi, a označavaju različite pojmove:
 

  1. Događaj je neopasna radnja koja se često pojavljuje kao što je stvaranje datoteke, brisanje mape ili otvaranje poruke e-pošte. Događaj obično nije znak kršenja sigurnosti, ali u kombinaciji s drugim događajima, može označavati prijetnju. 
  2. Upozorenje je obavijest koju aktivira događaj, što može i ne mora biti prijetnja.
  3. Incident je grupa povezanih upozorenja koje osobe ili alati za automatizaciju smatraju upozorenjem na ozbiljnu prijetnju. Ne mora svako upozorenje izgledati kao velika prijetnja, ali više njih u kombinaciji upućuju na moguće kršenje sigurnosti.

Odgovor na incidente radnje su koje tvrtka ili ustanova poduzima ako smatra da su IT sustavi ili podaci možda ugroženi. Primjerice, stručnjaci za sigurnost reagirat će ako primijete neovlaštene korisnike, zlonamjerni softver ili neuspjele sigurnosne mjere.

Ciljevi odgovora su eliminiranje računalnog napada što je prije moguće, oporavak, obavijest za sve klijente ili državne agencije u skladu s regionalnim zakonima, kao i informiranje o načinu na koji se može smanjiti rizik od sličnog kršenja u budućnosti.

Kako funkcionira odgovor na incident?

Odgovor na incident obično započinje kada tim za sigurnost dobije vjerodostojno upozorenje od sustava za Upravljanje sigurnosnim informacijama i događajima (SIEM).

Članovi tima moraju provjeriti može li se događaj okvalificirati kao incident, a zatim izoliraju zaražene sustave i uklanjaju prijetnju. Ako je incident ozbiljan ili ako je za rješavanje problema potrebno mnogo vremena, tvrtke ili ustanove možda će morati vratiti podatke iz sigurnosnih kopija, riješiti situaciju uzrokovanu ucjenjivačkim softverom ili obavijestiti korisnike da su im podaci kompromitirani.

Zbog toga su za odgovor najčešće potrebne osobe izvan tima za računalnu sigurnost. Stručnjaci za zaštitu privatnosti, odvjetnici i donositelji poslovnih odluka pomoći će odrediti pristup tvrtke ili ustanove incidentu i posljedicama.

Vrste sigurnosnih incidenata

Nekoliko je načina na koje napadači pokušaju pristupiti podacima tvrtke ili na neki drugi način ugroziti sustave i poslovne operacije. Evo nekoliko najčešćih:

Krađa identiteta

Krađa identiteta vrsta je društvenog inženjeringa u kojem se napadač putem e-pošte, SMS poruka ili telefonskog poziva lažno predstavlja kao ugledna tvrtka ili osoba. U tipičnom napadu s krađom identiteta primatelje se pokušava uvjeriti da preuzmu zlonamjerni softver ili otkriju lozinku. Ti se napadi temelje na povjerenju osoba, a koriste se metode napada kao što je strah da bi se ljude nagnalo na neki čin. Mnogi od tih napada nisu ciljano usmjereni, već se upućuju tisućama ljudi u nadi da će jedan od njih odgovoriti. No sofisticiranija verzija pod nazivom individualizirana krađa identiteta upotrebljava dubinsko pretraživanje radi sastavljanja poruke e-pošte namijenjene samo jednoj osobi.

Zlonamjerni softver

Zlonamjerni softver odnosi se na svaki softver osmišljen za nanošenje štete računalnom sustavu ili izvlačenje podataka. Dolazi u mnogo oblika, uključujući viruse, ucjenjivački softver, špijunski softver i trojanske konje. Napadači instaliraju zlonamjerni softver iskorištavajući ranjivosti hardvera i softvera ili uvjeravanjem zaposlenika koji to mogu učiniti pomoću tehnike društvenog inženjeringa.

Ucjenjivački softver

U napadu ucjenjivačkim softverom zlonamjerni akteri upotrebljavaju zlonamjerni softver za šifriranje ključnih podataka i sustava, a zatim prijete da će te podatke objaviti ili ih uništiti ako žrtva ne plati otkupninu.

Uskraćivanje usluga

U napadu uskraćivanjem usluga (DDoS napadu) napadač prometom preoptereti mrežu ili sustav dok se ne uspori ili padne. Obično napadači ciljaju visokoprofilne tvrtke kao što su banke ili državne ustanove s ciljem da izgube vrijeme i novac, ali tvrtke ili ustanove svih veličina mogu biti žrtve te vrste napada.

Posrednički napad

Još jedan način koji računalni zločinci upotrebljavaju za krađu osobnih podataka je ubacivanje u mrežni razgovor između ljudi koji misle da komuniciraju privatno. Presretanjem poruka i njihovim kopiranjem ili promjenom prije slanja primatelju kojem su namijenjeni pokušavaju manipulirati jednim od sudionika tako da im on da vrijedne podatke.

Interna prijetnja

Iako većinu napada izvode osobe izvan tvrtki ili ustanova, timovi za sigurnost moraju biti na oprezu i zbog internih prijetnji. Zaposlenici i druge osobe koje legitimno imaju pristup ograničenim resursima mogu slučajno ili u nekim slučajevima namjerno omogućiti curenje povjerljivih podataka.

Neovlašten pristup

Mnogo kršenja sigurnosti započinje s ukradenim vjerodajnicama za račun. Bez obzira na to saznaju li napadači lozinke putem kampanje krađe identiteta ili pogode uobičajenu lozinku, kada dobiju pristup sustavu, mogu instalirati zlonamjerni softver, izvidjeti mrežu ili eskalirati svoje ovlasti kako bi dobili pristup još povjerljivijim sustavima i podacima.

Što je plan odgovora na incident?

Da bi odgovorio na incident, tim mora učinkovito i djelotvorno surađivati kako bi uklonio prijetnju i zadovoljio regulatorne preduvjete. U takvim situacijama povećanog stresa jednostavno se smesti i pogriješiti te upravo stoga mnoge tvrtke osmišljavaju plan odgovora na incidente. Tim se planom definiraju uloge i odgovornosti i obuhvaća korake za pravilno rješavanje, dokumentiranje i komunikaciju o incidentu.

Važnost plana odgovora na incident

Ozbiljan napad ne samo da nanosi štetu radu tvrtke ili ustanove, već utječe i na poslovni ugled među klijentima i zajednicom, a može imati i zakonske posljedice. Sve to, uključujući brzinu odgovora sigurnosnog tima na napad i način na koji rukovoditelji komuniciraju o incidentu, utječe na ukupni trošak proizašao iz napada.

Tvrtke koje skrivaju štetu od klijenata i državnih ustanova ili koje takve prijetnje ne shvaćaju dovoljno ozbiljno mogu se ogriješiti o zakon. Takve su vrste pogrešaka češće ako ne postoji plan. U kritičnom trenutku postoji opasnost da će zaposlenici donijeti nepromišljene odluke zbog straha da će tvrtka ili ustanova pretrpjeti štetu.

Dobro promišljeni plan korisnicima omogućuje da znaju što bi trebali raditi u svakoj fazi napada, pa ne moraju odlučivati u hodu. A ako se nakon oporavka postave pitanja u javnosti, tvrtka ili ustanova moći će točno pokazati kako je odgovorila i umiriti korisnike da je incident ozbiljno shvatila i implementirala korake za sprječavanje još goreg ishoda.

Koraci odgovora na incident

Više je načina za pristup odgovoru na incident, a mnoge se tvrtke ili ustanove u svojem pristupu oslanjaju na organizaciju za sigurnosne standarde. SysAdmin Audit Network Security (SANS) privatna je organizacija koja pruža platformu za odgovor u šest koraka, opisanu u nastavku. Mnoge tvrtke ili ustanove također prihvaćaju okvir za oporavak od incidenta agencije (NIST) National Institute of Standards and Technology.
 
  • Priprema – Prije nego što se incident dogodi, važno je smanjiti ranjivosti i definirati sigurnosne pravilnike i postupke. U fazi pripreme tvrtke ili ustanove provode procjenu rizika kako bi otkrile ranjivosti i odredile prioritet resursima. Ta faza obuhvaća pisanje i sužavanje sigurnosnih postupaka, definiranje uloga i odgovornosti te ažuriranje sustava radi smanjenja rizika. Većina tvrtki ili ustanova tu fazu redovito ponavlja i poboljšava pravilnike, postupke i sustave s usvajanjem novih uvida ili promjenama tehnologije.
  • Prepoznavanje prijetnji – Svakog dana tim za sigurnost može primiti tisuće upozorenja koja upućuju na sumnjivu aktivnost. Neka su od njih lažna ili se možda neće podići na razinu incidenta. Kada se incident identificira, tim utvrđuje prirodu kršenja sigurnosti i otkrivenih dokumenata, uključujući izvor kršenja, vrstu napada i ciljeve napadača. U toj fazi tim mora informirati zainteresirane strane i komunicirati o daljnjim koracima.
  • Izolacija sigurnosne prijetnje – Otkrivena prijetnja mora se što prije izolirati. Što je napadačima dulje omogućen pristup, veća je šteta koju mogu napraviti. Sigurnosni tim nastoji što brže izolirati napadnute aplikacije i sustave od ostalih mreža. Time se napadačima onemogućuje pristup drugim dijelovima tvrtke.
  • Eliminacija sigurnosne prijetnje – Kada se prijetnja izolira, tim uklanja napadača i sav zlonamjerni softver iz zahvaćenih sustava i resursa. Zbog toga sustav može biti neko vrijeme izvan mreže. Tim i dalje obavještava zainteresirane strane o napretku.
  • Oporavak i vraćanje – Oporavak od incidenta može potrajati nekoliko sati. Kada se prijetnja otkloni, tim vraća sustave, oporavlja podatke iz sigurnosne kopije i nadzire zahvaćena područja kako se napadač ne bi vratio.
  • Povratne informacije i poboljšavanje – Kada se incident riješi, tim pregledava što se dogodilo i utvrđuje koja se poboljšanja mogu izvršiti za taj postupak. Učenje iz te faze timu omogućuje da poboljša zaštitu tvrtke ili ustanove.

Što je tim za odgovor na incident?

Tim za odgovor na incident, koji se naziva i tim za odgovor na računalne sigurnosne incidente (CSIRT), tim za odgovor na računalne incidente (CIRT) ili tim za odgovor na računalne incidente u hitnim slučajevima (CERT), obuhvaća višefunkcionalnu grupu osoba u tvrtki ili ustanovi odgovornih za izvršavanje plana odgovora na incident. To obuhvaća ne samo osobe koje otklanjaju prijetnje, već i one koje donose poslovne ili pravne odluke povezane s incidentom. Tipični tim ima sljedeće članove:
 
  • upravitelja odgovora na incidente, često direktor IT-a, nadzire sve faze odgovora i informira interne zainteresirane strane 
     
  • sigurnosne analitičare koji istražuju incident da bi razumjeli što se događa; oni i dokumentiraju sve što otkriju te prikupljaju forenzičke dokaze
     
  • istražitelje prijetnji koji izvan tvrtke ili ustanove prikupljaju informacije koje pružaju dodatni kontekst 
     
  • nekog iz uprave, kao što je voditelj odjela za sigurnost informacija ili voditelj informacijskog odjela, koji daje upute i služi kao veza prema drugim direktorima
     
  • stručnjake za ljudske resurse koji pomažu u upravljanju internim prijetnjama
     
  • glavnog savjetnika, koji tim usmjerava na probleme s odgovornošću i omogućuje prikupljanje forenzičkih dokaza
     
  • Stručnjaci za odnose s javnošću koordiniraju točnu vanjsku komunikaciju s medijima, klijentima i drugim zainteresiranim stranama.
Tim za odgovor na incidente, koji može biti grana centra za sigurnosne operacije (SOC-a), koji upravlja sigurnosnim operacijama i izvan odgovora na incident.



Automatizacija odgovora na incident

U većini tvrtki ili ustanova mreže i sigurnosna rješenja generiraju mnogo više sigurnosnih upozorenja od onoga čime tim za odgovor na incident može upravljati. Da bi se lakše usredotočile na legitimne prijetnje, mnoge tvrtke implementiraju automatizaciju odgovora na incidente. Za automatizaciju se upotrebljava umjetna inteligencija i strojno učenje radi određivanja prioriteta upozorenja, prepoznavanja incidenata i izolacije prijetnji prema proceduralnom priručniku za odgovor utemeljenom na programskim skriptama.

Automatizacija organizacije i odgovora na sigurnosne incidente (SOAR) kategorija je sigurnosnih alata koje tvrtke upotrebljavaju za automatizaciju odgovora na incident. Ta rješenja pružaju sljedeće mogućnosti:
 
  • korelaciju podataka u više krajnjih točaka i sigurnosnih rješenja radi prepoznavanja incidenata koje će zaposlenici pratiti
     
  • pokretanje unaprijed skriptiranog proceduralnog priručnika radi izdvajanja i rješavanja poznate vrste incidenata
     
  • generiranje vremenske crte koja obuhvaća akcije, odluke i forenzičke dokaze koji se mogu koristiti za analizu
     
  • Unos relevantnih vanjskih podataka za analizu koju izvršavaju zaposlenici.



Kako implementirati plan odgovora na incident

Razvoj plana odgovora na incident može se činiti složenim, ali njime se znatno smanjuje rizik da će se tvrtka nepripremljena suočiti s ozbiljnim incidentom. Upute za početak rada:

Identifikacija resursa i određivanje prioriteta

Prvi korak plana odgovora na incident je znati što štitite. Dokumentirajte ključne podatke tvrtke ili ustanove, uključujući lokaciju i njihovu važnost za tvrtku.

Utvrđivanje potencijalnih rizika

Svaka tvrtka ili ustanova ima različite rizike. Utvrdite najveće ranjivosti tvrtke ili ustanove i procijenite načine na koje ih napadači mogu iskoristiti. 

Razvoj procedura za odgovor

Tijekom stresnih incidenata jasne procedure pridonijet će bržem i učinkovitijem rješavanju incidenta. Najprije definirajte što se kvalificira kao incident, a zatim odredite korake koje vaš tim mora poduzeti da bi prepoznao i izolirao incident te izvršio oporavak, uključujući procedure za dokumentiranje odluka i prikupljanje dokaza.

Sastavljanje tima za odgovor na incident

Sastavite višefunkcionalan tim zadužen za razumijevanje procedura za odgovor i mobilizaciju u slučaju incidenta. Svakako jasno definirajte uloge i račun za netehničke uloge koje mogu pomoći u donošenju odluka koje se odnose na komunikaciju i odgovornost. Uključite nekoga u tim izvršnih direktora tko će biti predstavnik tima i potreba na najvišim razinama tvrtke. 

Donošenje plana za komunikaciju

Planom za komunikaciju otklonit će se nagađanje kada i kako drugima unutar i izvan tvrtke ili ustanove reći što se zbiva. Razmislite o različitim scenarijima kako biste lakše utvrdili u kojim okolnostima morate obavijestiti direktore, cijelu tvrtku ili ustanovu, klijente i medije ili druge vanjske zainteresirane strane.

Obuka zaposlenika

Napadači ciljaju zaposlenike na svim razinama tvrtke ili ustanove, stoga je važno da svi razumiju vaš plan odgovora i da znaju što učiniti ako posumnjaju da su žrtva napada. Povremeno testirajte zaposlenike kako biste bili sigurni da mogu prepoznati poruke e-pošte za krađu identiteta i pojednostavite postupak obavještavanja tima za odgovor na incident u slučaju da kliknu zlonamjernu vezu ili otvore zaražen privitak.

Rješenja za odgovor na incident

Priprema za ozbiljne incidente važan je dio zaštite tvrtke ili ustanove od prijetnji. Sastavljanjem internog tima za odgovor na incidente dobivate sigurnost da ćete znati što učiniti ako postanete žrtva napadača.

Iskoristite rješenja SIEM i SOAR, kao što je Microsoft Sentinel, koja koriste automatizaciju za jednostavnije prepoznavanje incidenata i automatski odgovor na njih. Tvrtke i ustanove s manje resursa mogu proširiti svoje timove davateljem usluga koji može upravljati većim brojem faza odgovora na incidente. No bez obzira na to odgovarate li na incidente interno ili vanjski, potrebno je imati plan.



Osoba radi na prijenosnom računalu s monitorima koji prikazuju kod

Microsoftova zaštita od prijetnji

Prepoznajte incidente i odgovorite na njih u cijeloj tvrtki ili ustanovi uz najnovije značajke zaštite od prijetnji.
Istražite
Dvije osobe upotrebljavaju računala u uredu

Microsoftov odgovor na incident

Zatražite pomoć prije, tijekom i nakon računalnog incidenta s proaktivnim i reaktivnim servisima za odgovor na incidente.
Istražite
upotreba pametnog telefona uz prijenosno računalo za stolom

Microsoft Sentinel

Objedinite sigurnosne podatke i kontekst za poticanje agentske zaštite uz SIEM & prvenstveno AI platformu.
Istražite
dvoje kolega pregledava podatke na prijenosnom računalu za stolom.

Microsoft Defender XDR

Zaustavite napade na svim krajnjim točkama, u e-pošti, identitetima, aplikacijama i podacima.
Istražite
Natrag na sekciju Povezani proizvodi
Najčešća pitanja

Najčešća pitanja

  • Odgovor na incident obuhvaća sve aktivnosti koje tvrtka ili ustanova poduzima kada sumnja na kršenje sigurnosti. Cilj je što brže izolirati i ukloniti napadače, uskladiti se s propisima o zaštiti privatnosti podataka i siguran oporavak uz što manje štete za tvrtku ili ustanovu.
  • Za odgovor na incident zadužen je višefunkcionalan tim. Za prepoznavanje, izolaciju i oporavak od prijetnji obično je zadužen IT, no odgovor na incidente ne sastoji se samo od pronalaženja i uklanjanja napadača. Ovisno o vrsti napada, netko će možda morati donijeti poslovnu odluku, npr. kako riješiti ucjenjivački napad. Pravni savjetnici i stručnjaci za odnose s javnošću brinu se za to da tvrtka ili ustanova bude usklađena sa zakonima o zaštiti privatnosti podataka, uključujući odgovarajuću obavijest za klijente i državne ustanove. Ako je prijetnju počinio zaposlenik, odjel ljudskih resursa savjetuje o odgovarajućim mjerama.
  • CSIRT je drugi naziv za tim za odgovor na incident. Obuhvaća višefunkcionalan tim osoba zaduženih za upravljanje svim aspektima odgovora na incident, uključujući otkrivanje, izolaciju i otklanjanje prijetnji, oporavak, internu i vanjsku komunikaciju, dokumentaciju i forenzičku analizu.
  • Za prepoznavanje prijetnji i odgovor na njih većina tvrtki i ustanova upotrebljava rješenje SIEM ili SOAR. Ta rješenja obično sažimaju podatke iz većeg broja sustava i za prepoznavanje stvarnih prijetnji upotrebljavaju strojno učenje. Na temelju unaprijed skriptiranih proceduralnih priručnika mogu i automatizirati odgovor za određene vrste prijetnji.
  • Životni ciklus odgovora na incident ima šest faza:
     
    1. Priprema se odvija prije pojave incidenta i sadrži definiciju onoga što tvrtka ili ustanova smatra incidentom te sve pravilnike i postupke za sprječavanje, otkrivanje, otklanjanje i oporavak od napada.
    2. Identifikacija prijetnji proces u kojem sudjeluju analitičari i automatizacija za prepoznavanje događaja koji su stvarne prijetnje i koje je potrebno otkloniti.
    3. Izolacija prijetnje podrazumijeva radnje tima za izolaciju prijetnje i sprječavanje zaraze na drugim područjima poslovanja. 
    4. Otklanjanje prijetnji podrazumijeva korake za otklanjanje zlonamjernog softvera i napadača iz tvrtke ili ustanove.
    5. Oporavak i vraćanje podrazumijevaju ponovno pokretanje sustava i računala te vraćanje izgubljenih podataka. 
    6. Povratne informacije i poboljšavanje postupak je koji tim poduzima da bi iz incidenta izvukao uvide i uvrstio ta znanja u pravilnike i procedure. 

Pratite Microsoft Security

Copilot za tvrtke ili ustanove Copilot za osobnu upotrebu Microsoft 365 Windows 11 aplikacije Profil računa Centar za preuzimanje Povrat proizvoda Praćenje narudžbe Recikliranje Microsoft Education Uređaji za obrazovanje Microsoft Teams za obrazovanje Microsoft 365 Education Office Education Obuka i razvoj predavača Ponude za učenike i roditelje Azure za učenike
Microsoft AI Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoftovo oglašavanje Microsoft 365 Copilot Microsoft Teams Razvojni inženjer za Microsoft Microsoft Learn Podrška za aplikacije tržišnog mjesta umjetne inteligencije Zajednica Microsoft Tech Microsoft Marketplace Microsoft Power Platform Softverske tvrtke Visual Studio Karijere O Microsoftu Privatnost u Microsoftu Ulagači
Hrvatski (Hrvatska) Zaštita privatnosti podataka o zdravlju potrošača Kontaktirajte Microsoft Zaštita privatnosti Upravljanje kolačićima Uvjeti korištenja Zaštitni znakovi O našim oglasima EU Compliance DoCs