Trace Id is missing
Pāriet uz galveno saturu
Microsoft drošība

Kas ir atbilde uz incidentu?

Izpētiet, kā efektīva atbilde uz incidentu palīdz organizācijām noteikt, risināt un apturēt kiberuzbrukumus.

Uzzināt par Microsoft Sentinel

Atbildes uz incidentu definīcija

Pirms definēt atbildi uz incidentu, ir svarīgi, lai būtu skaidrs, kas ir incidents. IT jomā pastāv trīs termini, kas dažkārt tiek lietoti kā sinonīmi, bet nozīmē dažādas lietas:

  1. Notikums ir nekaitīga darbība, kas notiek bieži, piemēram, faila izveide, mapes dzēšana vai e-pasta ziņojuma atvēršana. Pats par sevi notikums parasti nenorāda uz pārkāpumu, bet apvienojumā ar citiem notikumiem tas var signalizēt par apdraudējumu. 
  2. Brīdinājums ir tāda notikuma izraisīts paziņojums, kas var būt un var nebūt apdraudējums.
  3. Incidents ir savstarpēji saistītu brīdinājumu grupa, kurus cilvēki vai automatizācijas rīki uzskata par iespējamu patiesu apdraudējumu. Katrs brīdinājums pats par sevi var nešķist kā būtisks apdraudējums, bet visi kopā tie norāda uz iespējamu pārkāpumu.

Atbilde uz incidentu ir darbības, ko organizācija veic, ja tā uzskata, ka IT sistēmās vai datos, iespējams, ir noticis pārkāpums. Piemēram, drošības speciālisti rīkosies, ja redzēs pierādījumus par nesankcionētu lietotāju, ļaunprogrammatūru vai drošības mēru kļūmi.

Atbildes reakcijas mērķi ir pēc iespējas ātrāk novērst kiberuzbrukumu, veikt atkopšanu, informēt visus klientus vai valsts iestādes, kā to pieprasa reģionālie tiesību akti, un noskaidrot, kā samazināt līdzīgu pārkāpumu risku nākotnē.

Kā darbojas atbilde uz incidentu?

Atbilde uz incidentu parasti sākas, kad drošības komanda saņem ticamu brīdinājumu no drošības informācijas un notikumu pārvaldības (SIEM) sistēmas.

Komandas dalībniekiem ir jāpārbauda, vai notikums kvalificējas kā incidents, un pēc tam ir jāizolē inficētās sistēmas un jāatbrīvojas no apdraudējuma. Ja incidents ir nopietns vai tā novēršana prasa daudz laika, organizācijām var būt nepieciešams atjaunot dublējuma datus, tikt galā ar izpirkšanas maksas pieprasījumu vai informēt klientus, ka viņu dati ir apdraudēti.

Šī iemesla dēļ atbildes reakcijā parasti tiek iesaistītas arī personas, kas nav kiberdrošības komandas dalībnieki. Konfidencialitātes speciālisti, juristi un biznesa lēmumu pieņēmēji palīdzēs noteikt organizācijas pieeju incidentam un tā sekām.

Drošības incidentu veidi

Pastāv vairāki veidi, kā uzbrucēji var mēģināt piekļūt uzņēmuma datiem vai kā citādi kompromitēt tā sistēmas un uzņēmējdarbību. Lūk, daži no visbiežākajiem veidiem:

  • Pikšķerēšana

    Pikšķerēšana ir sociālās inženierijas veids, kur uzbrucējs izmanto e-pasta ziņojumu, īsziņu vai tālruņa zvanu, lai uzdotos par uzticamu zīmolu vai personu. Tipisks pikšķerēšanas uzbrukums mēģina pārliecināt adresātus lejupielādēt ļaunprogrammatūru vai norādīt savu paroli. Šie uzbrukumi izmanto cilvēku uzticēšanos un tādus psiholoģiskās ietekmēšanas paņēmienus kā bailes, lai cilvēkiem liktu rīkoties. Daudzi no šiem uzbrukumiem nav mērķtiecīgi, aptverot daudzus tūkstošus cilvēku cerībā, ka vismaz viens rīkosies. Tomēr sarežģītāka versija, ko sauc par mērķētu pikšķerēšanu, izmanto padziļinātu izpēti, lai izveidotu ziņojumu, kas konkrētai personai šķistu pārliecinošs.

  • Ļaunprogrammatūra

    Ļaunprogrammatūra ir jebkura programmatūra, kas veidota, lai kaitētu datora sistēmai vai lai izvilktu datus. Tā var būt visdažādākajās formās, tostarp kā vīrusi, izspiedējprogrammatūra, spiegprogrammatūra un Trojas zirgi. Ļaunprātīgi aktori instalē ļaunprogrammatūru, izmantojot aparatūras un programmatūras ievainojamības priekšrocības, vai pārliecina to izdarīt kādu darbinieku, izmantojot kādu sociālās inženierijas paņēmienu.

  • Izspiedējprogrammatūra

    Izspiedējprogrammatūras uzbrukumā ļaunprātīgie aktori izmanto ļaunprogrammatūru, lai šifrētu kritiskus datus un sistēmas, un pēc tam draud padarīt šos datus publiskus vai iznīcināt, ja upuris nesamaksās izpirkšanas maksu.

  • Pakalpojuma atteikums

    Pakalpojumatteices uzbrukuma (DDoS uzbrukuma) gadījumā draudu izpildītājs pārpludina tīklu vai sistēmu ar trafiku, līdz darbība palēninās vai notiek avārija. Parasti uzbrucēji mērķē uz augsta profila uzņēmumiem, piemēram, bankām vai valsts iestādēm, ar mērķi izraisīt laika un naudas izmaksas, bet par šāda veida uzbrukuma upuri var kļūt visu lielumu organizācijas.

  • Pārtveršana

    Cits paņēmiens, ko kibernoziedznieki izmanto, lai nozagtu personas datus, ir iespraukties tiešsaistes sarunā starp personām, kas uzskata, ka komunicē privāti. Pārtverot ziņojumus un kopējot tos vai mainot tos pirms nosūtīšanas paredzētajam adresātam, viņi mēģināt manipulēt ar kādu no dalībniekiem, lai izvilinātu vērtīgus datus.

  • Iekšējie draudi

    Lai gan lielāko daļu uzbrukumu veic personas ārpus organizācijas, drošības komandām ir jāmeklē arī iekšējie draudi. Darbinieki un citas personas, kurām ir likumīga piekļuve ierobežotiem resursiem, var netīši vai dažos gadījumos apzināti nopludināt sensitīvus datus.

Kas ir atbildes uz incidentu plāns?

Lai reaģētu uz incidentu, komandai ir efektīvi jāsadarbojas, lai novērstu apdraudējumu un ievērotu normatīvās prasības. Šajās liela stresa situācijās ir viegli satraukties un kļūdīties, tāpēc daudzi uzņēmumi izstrādā atbildes uz incidentu plānu. Plāns definē lomas un pienākumus un ietver darbības, kas nepieciešamas, lai pareizi atrisinātu, dokumentētu incidentu un paziņotu par to.

Atbildes uz incidentu plāna svarīgums

Būtisks uzbrukums ne tikai izjauc organizācijas darbību, bet arī ietekmē uzņēmuma reputāciju starp klientiem un kopienā, turklāt tam var būt arī juridiskas sekas. Viss, tostarp tas, cik ātri drošības komanda reaģē uz uzbrukumu un kā vadītāji izplata informāciju par incidentu, ietekmē tā kopējās izmaksas.

Uzņēmumi, kuri slēpj zaudējumus no klientiem un valsts iestādēm vai kuri neuztver apdraudējumu pietiekami nopietni, var pārkāpt tiesiskās normas. Šāda veida kļūdas biežāk rodas, ja dalībniekiem nav plāna. Momenta karstumā pastāv risks, ka cilvēki izbīlī pieņems nepārdomātus lēmumus, kuru rezultātā organizācijai tiks nodarīs kaitējums.

Labi pārdomāts plāns ļauj lietotājiem uzzināt, kas viņiem jādara katrā uzbrukuma posmā, tāpēc viņiem tas nav ātri jāizdomā. Turklāt, ja pēc atkopšanas radīsies publiski jautājumi, organizācija varēs precīzi parādīt, kā tā reaģēja, un sniegt klientiem sirdsmieru, ka tā incidentu uztvēra nopietni un veica darbības, kas nepieciešamas, lai novērstu sliktāku iznākumu.

Atbildes uz incidentu darbības

Pastāv vairāki veidi, kā atbildēt uz incidentu, un daudzas organizācijas paļaujas uz drošības standartu organizāciju, lai tā noteiktu rīcību. SysAdmin Audit Network Security (SANS) ir privāta organizācija, kas piedāvā sešu darbību atbildes reakcijas struktūru, kura ir izklāstīta tālāk. Daudzas organizācijas ievieš arī Nacionālais standartu un tehnoloģijas institūta (National Institute of Standards and Technology — NIST) incidentu atkopšanas struktūru.

  • Sagatavošanās — pirms incidenta rašanās ir svarīgi samazināt ievainojamības un definēt drošības politikas un procedūras. Sagatavošanās fāzē organizācijas veic riska novērtēšanu, lai noteiktu, kur ir to vājības, un noteiktu prioritāti aktīviem. Šajā fāzē ietilpst drošības procedūru rakstīšana un precizēšana, lomu un pienākumu definēšana, kā arī sistēmu atjaunināšana, lai mazinātu risku. Vairākums organizāciju regulāri pārskata šo posmu un veic politiku, procedūru un sistēmu uzlabojumus, apgūstot mācību vai manoties tehnoloģijām.
  • Apdraudējumu identifikācija — katru dienu drošības komanda var saņemt tūkstošiem brīdinājumu, kas norāda uz aizdomīgu darbību. Daži no tiem ir aplami pozitīvi vai var nesasniegt incidenta līmeni. Kad incidents ir identificēts, komanda izpēta pārkāpuma veidu un dokumentē uzzināto, tostarp pārkāpuma avotu, uzbrukuma veidu un uzbrucēja mērķus. Šajā posmā komandai ir arī jāinformē ieinteresētās puses un jāpavēsta par nākamajām darbībām.
  • Apdraudējuma ierobežošana — nākamā prioritāte ir iespējami ātrāka apdraudējuma ierobežošana. Jo ilgāk ļaunprātīgiem aktoriem ir atļauta piekļuve, jo vairāk bojājumu tie var radīt. Drošības komanda strādā, lai ātri izolētu programmas vai sistēmas, kurām ir uzbrukts no pārējiem tīkliem. Tas palīdz neļaut uzbrucējiem piekļūt citām uzņēmuma daļām.
  • Apdraudējuma novēršana — kad ierobežošana ir pabeigta, komanda noņem uzbrucēju un visu ļaunprogrammatūru no ietekmētajām sistēmām un resursiem. Tas var ietvert sistēmu pārslēgšanu bezsaistē. Komanda arī turpina informēt ieinteresētās puses par norisi.
  • Atkopšana un atjaunošana — atkopšana no incidenta var prasīt vairākas stundas. Kad apdraudējums ir likvidēts, komanda atjauno sistēmas, atkopj datus, izmantojot dublējumu, un pārrauga ietekmētos apgabalus, lai nodrošinātu, ka uzbrucējs neatgriežas.
  • Atsauksmes un precizēšana — kad incidents ir atrisināts, komanda pārskata, kas notika, un identificē iespējamos procesa uzlabojumus. Mācība no šīs fāzes palīdz komandai uzlabot organizācijas aizsardzību.

Kas ir komanda atbildēm uz incidentiem?

Komanda atbildēm uz incidentiem, kas tiek dēvēta arī par datordrošības komandu atbildēm uz incidentiem (computer security incident response team —CSIRT), kiberincidentu reaģēšanas darba grupu (cyber incident response team — CIRT) vai datora ārkārtas reaģēšanas darba grupu (computer emergency response team — CERT), ietver tādu daudzfunkcionālu personu grupu organizācijā, kura ir atbildīga par atbildes uz incidentu plāna izpildi. Tā ietver ne tikai personas, kuras noņem apdraudējumu, bet arī personas, kuras pieņem biznesa vai juridiskus lēmumus saistībā ar incidentu. Tipiska komanda ietver šādus dalībniekus:

  • Atbildes uz incidentu vadītājs, kas bieži vien ir IT direktors, pārrauga visas atbildes fāzes un informē iekšējās ieinteresētās puses. 

  • Drošības analītiķi izpēta incidentu, lai mēģinātu saprast, kas notiek. Viņi arī dokumentē savus atradumus un apkopo izmeklēšanas liecības.

  • Apdraudējumu pētnieki lūkojas ārpus organizācijas, lai apkopotu informāciju, kas nodrošina papildu kontekstu. 

  • Kāds no vadības, piemēram, vecākais informācijas drošības vadītājs vai informācijas nodaļas vadītājs, sniedz norādes un darbojas kā sakaru uzturētājs ar citiem vadītājiem.

  • Cilvēkresursu speciālisti palīdz pārvaldīt iekšējos apdraudējumus.

  • Juridiskais konsultants palīdz komandai tikt galā ar atbildības problēmām un nodrošina, lai tiktu apkopotas izmeklēšanas liecības.

  • Sabiedrisko attiecību speciālisti koordinē precīzu ārējo saziņu ar plašsaziņas līdzekļiem, klientiem un citām ieinteresētajām pusēm.

Komanda atbildēm uz incidentiem var būt drošības darbību centra (security operations center — SOC) apakškopa, kas nodarbojas ar drošības darbībām arī pēc atbildes uz incidentu.

Atbildes uz incidentu automatizācija

Vairākumā organizāciju tīkli un drošības risinājumi ģenerē daudz vairāk drošības brīdinājumu, nekā komanda atbildēm uz incidentiem var reāli pārvaldīt. Lai palīdzētu tai koncentrēties uz likumīgiem apdraudējumiem, daudzi uzņēmumi ievieš atbildes uz incidentu automatizāciju. Automatizācija izmanto AI un mašīnmācīšanos, lai novērtētu brīdinājumus, identificētu incidentus un izskaustu apdraudējumus, izpildot atbildes reakcijas rokasgrāmatu, kuras pamatā ir programmiski skripti.

drošības orķestrācijas automatizācija un atbildes reakcija (Security orchestration automation and response — SOAR) ir tādu drošības rīku kategorija, ko uzņēmumi izmanto, lai automatizētu atbildi uz incidentu. Šie risinājumi piedāvā šādas iespējas:

  • Korelēt datus starp vairākiem galapunktiem un drošības risinājumiem, lai identificētu incidentus, kuriem cilvēki var veikt sekojuma darbības.

  • Palaist iepriekš skriptētu rokasgrāmatu, lai izolētu zināmos incidentu veidus un novērstu tos.

  • Ģenerēt izmeklēšanas laika grafiku, kas ietver darbības, lēmumus un izmeklēšanas liecības, ko var izmantot analīzei.

  • Iekļaut atbilstošu ārējo informāciju, ko var analizēt cilvēki.

Kā ieviest atbildes uz incidentu plānu

Atbildes uz incidentu plāna izstrāde var šķist biedējoša, taču tas var ievērojami samazināt risku, ka jūsu uzņēmums nebūs sagatavots lielam incidentam. Šeit aprakstīts, kā sākt darbu:

  • Aktīvu identificēšana un to prioritāšu noteikšana

    Pirmā darbība atbildes uz incidentu plānā ir zināt, ko jūs aizsargājat. Dokumentējiet savas organizācijas kritiskos datus, tostarp to atrašanās vietu un svarīguma līmeni uzņēmumā.

  • Potenciālo risku noteikšana

    Organizāciju riski atšķiras. Iepazīstiet savas organizācijas lielākās ievainojamības un novērtējiet veidus, kā uzbrucējs varētu tās izmantot. 

  • Atbildes reakcijas procedūru izstrāde

    Stresaina incidenta laikā skaidras procedūras būs ļoti noderīgas, lai panāktu ātru un efektīvu incidenta novēršanu. Sāciet, definējot, kas tiek kvalificēts kā incidents, un pēc tam nosakiet darbības, kas jūsu komandai ir jāveic, lai noteiktu, izolētu incidentu un atkoptu no tā, tostarp procedūras lēmumu dokumentēšanai un pierādījumu apkopošanai.

  • Komandas atbildēm uz incidentiem izveide

    Izveidojiet daudzfunkcionālu komandu, kas ir atbildīga par atbildes reakcijas procedūru izprašanu un mobilizēšanu, ja rodas kāds incidents. Noteikti skaidri definējiet lomas un uzskaitiet netehniskās lomas, kas var palīdzēt pieņemt lēmumus saistībā ar saziņu un atbildību. Iekļaujiet kādu vadītāju komandā, kas būs komandas un tās vajadzību aizstāvis uzņēmuma augstākajā līmenī. 

  • Sava saziņas plāna definēšana

    Saziņas plāns neatstās vietu minējumiem, kad un kā informēt citus lietotājus organizācijā un ārpus tās par notikušo. Pārdomājiet dažādus scenārijus, lai noteiktu, kādos apstākļos jums ir jāinformē vadītāji, visa organizācija, klienti un masu mēdiji vai citas ārējas ieinteresētās puses.

  • Darbinieku apmācība

    ļaunprātīgi aktori mērķē uz darbiniekiem visos organizācijas līmeņos, tāpēc ir tik svarīgi, lai visi saprastu jūsu atbildes reakcijas plānu un zinātu, kā rīkoties, ja rodas aizdomas, ka viņi ir uzbrukuma upuri. Periodiski testējiet savus darbiniekus, lai pārliecinātos, vai viņi var atpazīt pikšķerēšanas e-pasta ziņojumus, un atvieglojiet tiem ziņošanu komandai atbildēm uz incidentiem, ja tie nejauši noklikšķina uz ļaunprātīgas saites vai atver inficētu pielikumu. 

Atbildes uz incidentu risinājumi

Sagatavošanās lielam incidentam ir svarīga daļa jūsu organizācijas uzturēšanai drošībā no apdraudējumiem. Iekšējas komandas atbildēm uz incidentiem izveide sniegs jums pārliecību, ka būsit gatavs, ja kļūsit par ļaunprātīga aktora upuri.

Izmantojiet tādu SIEM un SOAR risinājumu kā Microsoft Sentinel priekšrocības, kuri izmanto automatizāciju, lai palīdzētu jums identificēt incidentus un automātiski uz tiem reaģēt. Organizācijas, kurām ir mazāk resursu, var papildināt savas komandas ar pakalpojumu sniedzēju, kas var rīkoties vairākās atbildes uz incidentu fāzēs. Taču neatkarīgi no tā, vai atbildi uz incidentu veiks iekšēji vai ārēji darbinieki, pārliecinieties, vai jums ir plāns.

Papildinformācija par komplektu Microsoft drošība

Microsoft pretdraudu aizsardzība

Identificējiet incidentus un reaģējiet uz tiem visā organizācijā, izmantojot jaunākās pretdraudu aizsardzības iespējas.

Papildinformācija

Microsoft Sentinel

Atklājiet sarežģītus apdraudējumus un izlēmīgi reaģējiet uz tiem ar jaudīgu SIEM risinājumu, kura darbību nodrošina mākoņpakalpojumi un mākslīgais intelekts.

Papildinformācija

Microsoft Defender XDR

Apturiet uzbrukumus galapunktos, e-pastā, identitātēs, programmās un datos.

Papildinformācija

Bieži uzdotie jautājumi

  • Atbilde uz incidentu ir visas darbības, ko organizācija veic, kad tai rodas aizdomas par drošības pārkāpumu. Mērķis ir pēc iespējas ātrāk izolēt uzbrucējus un no tiem atbrīvoties, ievērot datu konfidencialitātes noteikumus un veikt drošu atkopšanu ar pēc iespējas mazākiem bojājumiem organizācijai.

  • Daudzfunkcionāla komanda ir atbildīga par atbildi uz incidentu. IT darbinieki parasti ir atbildīgi par apdraudējumu identificēšanu, izolēšanu un atkopšanu no tiem, tomēr atbilde uz incidentu ir kas vairāk par tikai ļaunprātīgu aktoru atrašanu un atbrīvošanos no tiem. Atkarībā no uzbrukuma veida kādam var būt nepieciešams pieņemt biznesa lēmumu, piemēram, kā rīkoties izpirkšanas maksas pieprasījuma gadījumā. Juridisko konsultāciju un sabiedrisko attiecību speciālisti palīdz nodrošināt, lai organizācija atbilstu datu konfidencialitātes tiesību aktiem, tostarp atbilstoši informējot klientus un valsts iestādes. Ja apdraudējumu ir izraisījis darbinieks, cilvēkresursi iesaka atbilstošu rīcību.

  • CSIRT ir cits komandas atbildēm uz incidentiem nosaukums. Tā ietver daudzfunkcionālu personu komandu, kas ir atbildīga par visu atbildes uz incidentu aspektu pārvaldību, tostarp draudu noteikšanu, izolēšanu un likvidēšanu, atkopšanu, iekšējo un ārējo saziņu, dokumentēšanu un izmeklēšanas analīzi.

  • Vairākums organizāciju izmanto SIEM vai SOAR risinājumu, kas tām palīdz identificēt apdraudējumus un reaģēt uz tiem. Šie risinājumi parasti apkopo datus no vairākām sistēmām un izmanto mašīnmācīšanos, lai palīdzētu identificēt patiesus apdraudējumus. Tie var arī automatizēt atbildes reakciju uz noteikta veida apdraudējumiem, pamatojoties uz iepriekš skriptētām rokasgrāmatām.

  • Atbildes uz incidentu dzīves cikls ietver sešus posmus:

    1. Sagatavošanās notiek pirms incidenta identificēšanas un ietver definēšanu, ko organizācija uzskata par incidentu, kā arī visu to politiku un procedūru definēšanu, kas nepieciešamas, lai nepieļautu, noteiktu, novērstu uzbrukumu un atkoptu no tā.
    2. Apdraudējuma identifikācija ir process, kas izmanto gan cilvēkus-analītiķus, gan automatizāciju, lai noteiktu, kuri notikumi ir reāli apdraudējumi, kas ir jānovērš.
    3. Apdraudējuma ierobežošana ir darbības, ko komanda veic, lai izolētu apdraudējumu un neļautu tam inficēt citus uzņēmuma apgabalus. 
    4. Apdraudējuma novēršana ietver darbības, lai noņemtu ļaunprogrammatūru un uzbrucējus no organizācijas.
    5. Atkopšana un atjaunošana ietver sistēmu un datoru restartēšanu un zaudēto datu atjaunošanu. 
    6. Atsauksmes un precizēšana ir process, ko komanda veic, lai atklātu no incidenta gūto mācību un lietotu šo mācību politikām un procedūrām. 

Sekot Microsoft drošībai