Trace Id is missing
Preskoči na glavni sadržaj
Microsoft Security

Što je odgovor na incident?

Otkrijte kako učinkovit odgovor na incident pomaže tvrtkama i ustanovama da otkriju, otklone i zaustave računalne napade.

Definicija odgovora na incidente

Prije definiranja odgovora na incidente važno je znati što je to incident. U IT-u postoje tri izraza koji se ponekad koriste kao sinonimi, a označavaju različite pojmove:

  1. Događaj je neopasna radnja koja se često pojavljuje, npr. stvaranje datoteke, brisanje mape ili otvaranje poruke e-pošte. Događaj obično nije znak da je ugrožena sigurnost, ali kada se upari s drugim događajima, može biti riječ o prijetnji. 
  2. Upozorenje je obavijest koju aktivira događaj, što može i ne mora biti prijetnja.
  3. Incident je grupa povezanih upozorenja koje ljudi ili alati za automatizaciju smatraju upozorenjem na ozbiljnu prijetnju. Ne mora svako upozorenje izgledati kao velika prijetnja, ali više njih u kombinaciji naznačavaju moguće kršenje.

Odgovor na incidente radnje su koje tvrtka ili ustanova poduzima ako smatra da su IT sustavi ili podaci možda ugroženi. Primjerice, stručnjaci za sigurnost reagirat će ako primijete neovlaštene korisnike, zlonamjerni softver ili neuspjele sigurnosne mjere.

Ciljevi su odgovora eliminiranje računalnog napada što je prije moguće, oporavak, obavijest za sve klijente ili državne agencije u skladu s regionalnim zakonima te informiranje o načinu na koji se može smanjiti rizik od sličnog kršenja u budućnosti.

Kako funkcioniraju odgovori na incidente?

Odgovor na neki incident obično započinje kada sigurnosni tim dobije vjerodostojno upozorenje od sustava za upravljanje sigurnosnim informacijama i događajima (SIEM).

Članovi tima moraju provjeriti može li se događaj okvalificirati kao incident, a zatim izdvajaju zaražene sustave i uklanjaju prijetnju. Ako je incident ozbiljan ili ako je za rješavanje problema potrebno puno vremena, tvrtke ili ustanove možda će morati vratiti podatke iz sigurnosnih kopija, riješiti situaciju uzrokovanu ucjenjivačkim softverom ili obavijestiti korisnike da su im podaci ugroženi.

Zbog toga su za odgovor najčešće potrebne osobe izvan tima za računalnu sigurnost. Stručnjaci za zaštitu privatnosti, odvjetnici i donositelji poslovnih odluka pomoći će odrediti pristup tvrtke ili ustanove incidentu i planu za njegovo otklanjanje.

Vrste sigurnosnih incidenata

Nekoliko je načina na koje napadači pokušaju pristupiti podacima tvrtki ili na neki drugi način ugroziti njihove sustave i poslovne operacije. Evo nekoliko najčešćih:

  • Krađa identiteta

    Krađa identiteta vrsta je društvenog inženjeringa u kojem se napadač putem e-pošte, SMS poruka ili telefonskog poziva lažno predstavlja kao neka ugledna tvrtka ili osoba. U tipičnom napadu s krađom identiteta primatelje se pokušava uvjeriti da preuzmu zlonamjerni softver ili otkriju lozinku. Ti se napadi temelje na povjerenju osoba, a koriste se metode napada kao što je strah da bi se ljude nagnalo na neki čin. Mnogi od tih napada nisu ciljano usmjereni, već se upućuju tisućama ljudi u nadi da će jedan od njih odgovoriti. No sofisticiranija verzija pod nazivom individualizirana krađa identiteta koristi dubinsko istraživanje da bi sastavila poruku e-pošte namijenjenu samo jednoj osobi.
  • Zlonamjerni softver

    Zlonamjerni softver odnosi se na svaki softver osmišljen za nanošenje štete računalnom sustavu ili izvlačenje podataka. Ima mnogo oblika, uključujući viruse, ucjenjivački softver, špijunski softver i trojanske konje. Napadači instaliraju zlonamjerni softver iskorištavajući slabe točke hardvera i softvera ili pridobiju zaposlenike koji to mogu učiniti pomoću tehnike društvenog inženjeringa.
  • Ucjenjivački softver

    U napadu ucjenjivačkim softverom napadači instaliraju zlonamjerni softver za šifriranje ključnih podataka i sustava, a zatim prijete da će te podatke objaviti ili ih uništiti ako žrtva ne plati otkupninu.

  • Uskraćivanje usluga

    U napadu uskraćivanjem usluga (DDoS napadu) napadač prometom preoptereti mrežu ili sustav tako da se on uspori ili padne. Obično napadači ciljaju visokoprofilne tvrtke kao što su banke ili državne ustanove s ciljem da izgube vrijeme i novac, ali i organizacije svih veličina mogu biti žrtva te vrste napada.

  • Posrednički napad

    Drugi način koji internetski lopovi koriste za krađu osobnih podataka jest da upadnu u mrežni razgovor između ljudi koji misle da komuniciraju privatno. Presretanjem poruka i njihovim kopiranjem ili promjenom prije slanja primatelju kojem su namijenjeni pokušavaju manipulirati jednim od sudionika tako da im on da vrijedne podatke.

  • Interna prijetnja

    Iako većinu napada izvode osobe izvan tvrtki i ustanova, timovi za sigurnost moraju biti na oprezu i zbog internih prijetnji. Zaposlenici i druge osobe koje legitimno imaju pristup ograničenim resursima mogu slučajno ili u nekim slučajevima namjerno omogućiti curenje povjerljivih podataka.

Što je plan odgovora na incidente?

Da bi odgovorio na neki incident, tim mora učinkovito i djelotvorno surađivati kako bi uklonio prijetnju i zadovoljio regulatorne propise. U takvim situacijama povećanog stresa jednostavno se smesti i pogriješiti te upravo stoga mnoge tvrtke osmišljavaju plan odgovora na incidente. Tim se planom definiraju uloge i odgovornosti te on obuhvaća korake za pravilno rješavanje, dokument i komunikaciju o incidentu.

Važnost plana odgovora na incidente

Ozbiljan napad ne samo da nanosi štetu radu tvrtke ili ustanove, već utječe i na poslovni ugled među klijentima i zajednicom, a može imati i zakonske posljedice. Sve to, uključujući brzinu odgovora sigurnosnog tima na napad i način na koji rukovoditelji komuniciraju o incidentu, utječe na ukupni trošak proizašao iz napada.

Tvrtke koje skrivaju štetu od klijenata i državnih ustanova ili koje takve prijetnje ne shvaćaju dovoljno ozbiljno mogu se ogriješiti o zakon. Takve su vrste pogrešaka češće ako ne postoji plan. U kritičnom trenutku postoji opasnost da će zaposlenici donijeti nepromišljene odluke zbog straha da će tvrtka ili ustanova pretrpjeti štetu.

Dobro promišljeni plan korisnicima omogućuje da znaju što bi trebali raditi u svakoj fazi napada, pa ne moraju odlučivati u hodu. A ako se nakon oporavka postave pitanja u javnosti, tvrtka ili ustanova moći će točno pokazati kako je odgovorila i umiriti korisnike da je incident ozbiljno shvatila i implementirala korake za sprječavanje još goreg ishoda.

Koraci odgovora na incidente

Više je načina za pristup odgovoru na incidente, a mnoge se tvrtke i ustanove u svojem pristupu oslanjaju na organizaciju za sigurnosne standarde. SysAdmin Audit Network Security (SANS) privatna je organizacija koja nudi platformu za odgovor u šest koraka, opisanu u nastavku. Mnoge tvrtke ili ustanove također usvajaju platformu za oporavak od incidenata Nacionalnog instituta za standarde i tehnologiju (NIST).

  • Priprema – prije nego što se incident dogodi, važno je da smanjite broj slabih točaka te definirate sigurnosne pravilnike i postupke. U fazi pripreme tvrtke ili ustanove provode procjenu rizika da bi otkrile slabe točke i odredile prioritet resursa. Ta faza obuhvaća pisanje i sužavanje sigurnosnih postupaka, definiranje uloga i odgovornosti te ažuriranje sustava radi smanjenja rizika. Većina tvrtki ili ustanova tu fazu redovito ponavlja i poboljšava pravilnike, postupke i sustave dok usvajaju nove značajke i promjene tehnologije.
  • Prepoznavanje prijetnji – svakog dana tim za sigurnost može primiti tisuće upozorenja koja upućuju na neku sumnjivu aktivnost. Neke su od njih lažne ili se možda neće podići na razinu incidenta. Kada se incident identificira, tim utvrđuje prirodu kršenja sigurnosti i otkrivenih dokumenata, uključujući izvor kršenja, vrstu napada i ciljeve napadača. U toj fazi tim mora informirati zainteresirane strane i komunicirati o daljnjim koracima.
  • Izolacija sigurnosne prijetnje – otkrivena prijetnja mora se što prije izolirati. Što je napadačima dulje omogućen pristup, veća je šteta koju mogu napraviti. Sigurnosni tim nastoji što brže izolirati napadnute aplikacije i sustave od ostalih mreža. Time se napadačima onemogućuje pristup drugim dijelovima tvrtke.
  • Eliminacija sigurnosne prijetnje – kada se prijetnja izolira, tim uklanja napadača i sav zlonamjerni softver iz zahvaćenih sustava i resursa. Zbog toga sustav može biti neko vrijeme izvan mreže. Tim i dalje obavještava zainteresirane strane o tijeku procedure.
  • Oporavak i vraćanje – oporavak od incidenta može potrajati nekoliko sati. Kada se prijetnja otkloni, tim vraća sustave, oporavlja podatke iz sigurnosne kopije i nadzire zahvaćena područja kako se napadač ne bi vratio.
  • Povratne informacije i sužavanje rezultata – kada se incident riješi, tim pregledava što se dogodilo i utvrđuje koja se poboljšanja mogu izvršiti za taj postupak. Učenje iz te faze timu omogućuje da poboljša obranu tvrtke ili ustanove.

Što je tim za odgovor na incidente?

Tim za odgovor na incidente, koji se naziva i tim za odgovor na računalne sigurnosne incidente (CSIRT), tim za odgovor na računalne incidente (CIRT) ili tim za odgovor na računalne incidente u hitnim slučajevima (CERT), obuhvaća višefunkcionalnu grupu ljudi u nekoj tvrtki ili ustanovi odgovornih za izvršavanje plana odgovora na incidente. To obuhvaća ne samo osobe koje otklanjaju prijetnje, već i one koje donose poslovne ili pravne odluke povezane s incidentom. Tipični tim ima sljedeće članove:

  • upravitelja odgovora na incidente, često direktor IT-a, nadzire sve faze odgovora i informira interne zainteresirane strane 

  • sigurnosne analitičare koji istražuju incident da bi razumjeli što se događa; oni i dokumentiraju sve što otkriju te prikupljaju forenzičke dokaze

  • istražitelje prijetnji koji izvan tvrtke ili ustanove prikupljaju informacije koje pružaju dodatni kontekst 

  • nekog iz uprave, kao što je voditelj odjela za sigurnost informacija ili voditelj informacijskog odjela, koji daje upute i služi kao veza prema drugim direktorima

  • stručnjake za ljudske resurse koji pomažu u upravljanju internim prijetnjama

  • glavnog savjetnika, koji tim usmjerava na probleme s odgovornošću i omogućuje prikupljanje forenzičkih dokaza

  • stručnjake za odnose s javnošću koji koordiniraju točnu vanjsku komunikaciju s medijima, klijentima i drugim zainteresiranim stranama

tim za odgovor na incidente, koji može biti podskup centra za sigurnosne operacije (SOC-a) i koji upravlja sigurnosnim operacijama i izvan područja odgovora na incidente.

Automatizacija odgovora na incidente

U većini tvrtki ili ustanova mreže i sigurnosna rješenja generiraju mnogo više sigurnosnih upozorenja od onoga čime tim za odgovor na incidente može zaista upravljati. Da bi se lakše usredotočile na legitimne prijetnje, mnoge tvrtke implementiraju automatizaciju odgovora na incidente. Za automatizaciju se koristi umjetna inteligencija i strojno učenje radi razvrstavanja upozorenja, prepoznavanja incidenata i izolacije prijetnji prema proceduralnom priručniku za odgovor utemeljenom na programskim skriptama.

Automatizacija organizacije i odgovora na sigurnosne incidente (SOAR) kategorija je sigurnosnih alata koje tvrtke koriste za automatizaciju odgovora na incidente. Ta rješenja nude sljedeće mogućnosti:

  • korelaciju podataka u više krajnjih točaka i sigurnosnih rješenja radi prepoznavanja incidenata koje će zaposlenici pratiti

  • pokretanje unaprijed skriptiranog proceduralnog priručnika radi izdvajanja i rješavanja poznate vrste incidenata

  • generiranje vremenske crte koja obuhvaća akcije, odluke i forenzičke dokaze koji se mogu koristiti za analizu

  • unos relevantnih vanjskih podataka za analizu koju izvršavaju zaposlenici.

Kako implementirati plan odgovora na incidente

Razvoj plana odgovora na incidente može se činiti složenim, ali njime se znatno smanjuje rizik da će vaša tvrtka nepripremljena dočekati velike incidente. Upute za početak rada:

  • Identifikacija resursa i određivanje prioriteta

    Prvi korak plana odgovora na incidente jest znati što želite zaštititi. Dokumentirajte ključne podatke tvrtke ili ustanove, uključujući mjesto na kojem se nalaze i njihovu važnost za poslovanje.

  • Utvrđivanje potencijalnih rizika

    Svaka tvrtka ili ustanova ima svoje rizike. Utvrdite najslabije točke svoje tvrtke ili ustanove te procijenite načine na koje ih napadači mogu iskoristiti. 

  • Razvoj procedure za odgovore

    Tijekom stresnih incidenata jasna procedura pridonijet će bržem i učinkovitijem rješavanju incidenta. Najprije definirajte što se kvalificira kao incident, a zatim odredite korake koje vaš tim mora poduzeti da bi prepoznao i izolirao incident te izvršio oporavak, uključujući postupke za dokumentiranje odluka i prikupljanje dokaza.

  • Sastavljanje tima za odgovor na incidente

    Sastavite višefunkcionalni tim zadužen za objašnjenje procedura za odgovor te mobilizaciju u slučaju incidenta. Svakako jasno definirajte uloge i račun za netehničke uloge koje mogu pomoći u donošenju odluka koje se odnose na komunikaciju i odgovornost. Uključite nekoga u izvršni tim koji će biti predstavnik tima i njegove potrebe na najvišim razinama tvrtke. 

  • Donošenje plana za komunikaciju

    Planom za komunikaciju otklonit će se nagađanje kada i kako drugima unutar i izvan tvrtke ili ustanove reći što se zbiva. Razmislite o različitim scenarijima da biste lakše utvrdili u kojim okolnostima morate obavijestiti direktore, cijelu tvrtku ili ustanovu, klijente i medije ili druge vanjske zainteresirane strane.

  • Obuka zaposlenika

    Napadači ciljaju zaposlenike na svim razinama tvrtke ili ustanove, pa je zato važno da svi razumiju vaš plan odgovora te da znaju što učiniti ako posumnjaju da su žrtva napada. Povremeno testirajte zaposlenike da biste bili sigurni da mogu prepoznati poruke e-pošte za krađu identiteta te im pojednostavite postupak obavijesti timu za odgovor na incidente u slučaju da kliknu prevarantsku vezu ili otvore zaraženi privitak. 

Rješenja za odgovor na incidente

Priprema za velike incidente važan je dio zaštite tvrtke ili ustanove od prijetnji. Sastavljanjem internog tima za odgovor na incidente dobivate sigurnost da ćete znati što učiniti ako postanete žrtva napadača.

Iskoristite rješenja SIEM i SOAR, kao što je Microsoft Sentinel, koja koriste automatizaciju za jednostavnije prepoznavanje incidenata i automatski odgovor na njih. Tvrtke i ustanove s manje resursa mogu proširiti svoje timove davateljem usluga koji može upravljati većim brojem faza odgovora na incidente. No bez obzira na to odgovarate li na incidente interno ili vanjski, potrebno je imati plan.

Saznajte više o rješenju Microsoft Security

Microsoftova zaštita od prijetnji

Prepoznajte incidente i odgovorite na njih u cijeloj tvrtki ili ustanovi uz najnovije značajke zaštite od prijetnji.

Microsoft Sentinel

Otkrijte sofisticirane prijetnje i odlučno odgovorite na njih pomoću snažnog SIEM rješenja utemeljenog na oblaku i umjetnoj inteligenciji.

Microsoft Defender XDR

Zaustavite napade na svim krajnjim točkama, u e-pošti, identitetima, aplikacijama i podacima.

Najčešća pitanja

  • Odgovor na incidente obuhvaća sve aktivnosti koje tvrtka ili ustanova poduzima kada sumnja na kršenje sigurnosti. Cilj je što brže izolirati i ukloniti napadače, uskladiti se s propisima o zaštiti privatnosti podataka i siguran oporavak uz što manje štete za tvrtku ili ustanovu.

  • Za odgovore na incidente zadužen je višefunkcijski tim. Za prepoznavanje, izolaciju i oporavak od prijetnji obično je zadužen IT, no odgovor na incidente ne sastoji se samo od pronalaženja i uklanjanja napadača. Ovisno o vrsti napada, netko će možda morati donijeti poslovnu odluku, npr. kako riješiti ucjenjivački napad. Pravni savjetnici i stručnjaci za odnose s javnošću brinu se za to da tvrtka ili ustanova bude usklađena sa zakonima o zaštiti privatnosti podataka, uključujući odgovarajuću obavijest za klijente i državne ustanove. Ako je zaposlenik počinio pogrešku, odjel ljudskih potencijala savjetuje o daljnjoj radnji.

  • CSIRT je drugi naziv za tim za odgovor na incidente. Obuhvaća višefunkcionalan tim osoba zaduženih za upravljanje svim aspektima odgovora na incidente, uključujući otkrivanje, izolaciju i otklanjanje prijetnji, oporavak, internu i vanjsku komunikaciju, dokumentaciju i forenzičku analizu.

  • Za prepoznavanje prijetnji i odgovor na njih većina tvrtki i ustanova koristi rješenje SIEM ili SOAR. Ta rješenja obično sažimaju podatke iz većeg broja sustava te za prepoznavanje stvarnih prijetnji koriste strojno učenje. Na temelju unaprijed skriptiranih proceduralnih priručnika mogu i automatizirati odgovor za određene vrste prijetnji.

  • Životni ciklus odgovora na incidente ima šest faza:

    1. Priprema se odvija prije pojave incidenta i sadrži definiciju onoga što tvrtka ili ustanova smatra incidentom te sve pravilnike i postupke za sprječavanje, otkrivanje, otklanjanje i oporavak od napada.
    2. Identifikacija prijetnji proces u kojem sudjeluju analitičari i automatizacija za prepoznavanje događaja koji su stvarne prijetnje i koje je potrebno otkloniti.
    3. Izolacija prijetnje podrazumijeva radnje tima za izolaciju prijetnje i sprječavanje zaraze na drugim područjima poslovanja. 
    4. Otklanjanje prijetnji podrazumijeva korake za otklanjanje zlonamjernog softvera i napadača iz tvrtke ili ustanove.
    5. Oporavak i vraćanje podrazumijevaju ponovno pokretanje sustava i računala te vraćanje izgubljenih podataka. 
    6. Povratne informacije i sužavanje rezultata postupak je koji tim poduzima da bi iz incidenta naučio lekciju i uvrstio ta znanja u pravilnike i procedure. 

Pratite Microsoft Security