Hva er hendelsesrespons?
Finn ut hvordan effektiv hendelsesrespons hjelper organisasjoner å oppdage, behandle og stoppe cyberangrep.
Definisjon av hendelsesrespons
Før du kan definere svar på hendelser, er det viktig å være klar på hva en hendelse er. Innen IT er det tre begreper som ofte brukes om hverandre, men som betyr forskjellige ting:
- En handling er ufarlig og noe som skjer ofte, som for eksempel å opprette en fil, slette en mappe eller å åpne en e-post. En handling i seg selv er ikke nødvendigvis en indikator på et brudd, men når det skjer i kombinasjon med andre hendelser, kan det signalisere en trussel.
- En varsling er et varsel som utløses av en hendelse, som kan være en trussel.
- En hendelse er en gruppe samsvarte varsler som mennesker eller automatiseringsverktøy anser å være en sannsynlig trussel. Hvert varsel kan i seg selv ikke se ut til å være en stor trussel, men når de kombineres, indikerer de et mulig brudd.
Hendelsesrespons er handlingene som en organisasjon tar når den tror IT-systemer eller data kan ha blitt brutt. For eksempel kan sikkerhetseksperter handle når de ser bevis på en uautorisert bruker, skadelig programvare eller brudd på sikkerhetstiltak.
Responsens mål er å eliminere et cyberangrep så fort som mulig for så å gjenopprette og varsle kunder eller myndigheter som kreves ved regionale lover, og lære hvordan du kan redusere risikoen for et lignende brudd i fremtiden.
Hvordan fungerer hendelsesrespons?
Hendelsesrespons starter ofte når sikkerhetsteamet får en troverdig varsling fra administrasjon av sikkerhetsinformasjon og -hendelser (SIEM) system.
Teammedlemmer må kunne bekrefte at episoden kvalifiseres som en hendelse, og så isolere infiserte systemer og fjerne trusselen. Hvis hendelsen er såpass alvorlig eller at det tar lang tid å løse problemet, må organisasjoner kanskje gjenopprette sikkerhetskopierte data, håndtere løsepenger eller varsle kunder om at dataene deres ble kompromittert.
Av denne grunn er det ofte andre mennesker enn sikkerhetsteamet som er involvert i responsen. Sikkerhetseksperter, advokater og forretningsbeslutningstakere hjelper med å vurdere organisasjonens tilnærming til en hendelse og dens ettervirkning.
Typer sikkerhetshendelser
Det er flere måter angripere vil prøve å få tilgang til et selskaps data eller på annen måte kompromittere systemene og forretningsdriften. Her er noen av de mest vanlige måtene:
-
Phishing
Phishing er en type sosial manipulering der en angriper bruker e-post, tekstmelding eller en telefonsamtale for å etterligne et kjent merke eller en person. Et typisk-angrep vil prøve å overtale mottaker til å laste ned skadelig programvare eller å overgi sine passord. Disse angrepene utnytter menneskers tillit og benytter seg av psykologiske teknikker som frykt for å få folk til å reagere. Mange av disse angrepene er uten et spesifikt mål og sendes ut til tusenvis av mennesker i håp om at én person svarer. Men det finnes en mer sofistikert versjon som kalles målrettet phishing som benytter seg av dypere forskning for å lage et budskap med intensjonen om å kunne overtale en enkeltperson. -
Skadelig programvare
Skadelig programvare omtaler all programvare som er designet for å skade et datasystem eller å hente data. Det kommer i mange forskjellige former inkludert virus, løsepengevirus, spionprogram og trojaner. Dårlige aktører installerer skadelig programvare ved å utnytte maskinvare- og programvaresårbarheter, eller ved å overbevise en ansatt om å gjøre det ved hjelp av en sosial ingeniørteknikk.
-
Løsepengevirus
I et løsepengevirus -angrep vil dårlige aktører bruke skadelig programvare for å kryptere kritisk data og systemer, for så å true med å gjøre disse dataene offentlig for alle, eller å ødelegge dataen hvis offeret ikke betaler løsepenger.
-
Tjenestenektangrep (DDos-angrep)
I et tjenestenektangrep (DDoS-angrep) vil en dårlig aktør overvelde et nettverk av systemer helt til det enten bremser ned eller krasjer fullstendig. Vanligvis retter angripere seg mot høyprofilerte selskaper som banker eller myndigheter med mål om å koste dem tid og penger, men organisasjoner av alle størrelser kan bli utsatt for denne typen angrep.
-
Mellommannen
En annen metode nettkriminelle bruker til å stjele personlige data er å ta seg inn midt i en nettsamtale mellom folk som tror de kommuniserer privat. Ved å avskjære meldinger og kopiere eller endre dem før de sendes til mottaker, prøver de å manipulere en av deltakerne til å gi dem verdifull data.
-
Interne trusler
Selv om de fleste angrep utføres av personer utenfor en organisasjon, må sikkerhetsteam også være på utkikk etter interne trusler. Ansatte og andre personer som har tilgang til begrensede ressurser kan utilsiktet, eller i noen tilfeller med vilje lekke sensitive data.
-
Uautorisert tilgang
Mange sikkerhetsbrudd begynner med stjålet kontolegitimasjon. Enten dårlige aktører skaffer seg passord via en phishing-kampanje eller ved å gjette et vanlig passord, kan de installere skadelig programvare, gjøre nettverksgjenkjenning eller eskalere privilegiene sine når de får tilgang til et system, for å gi dem tilgang til mer sensitive systemer og data.
Hva er en plan for hendelsesrespons?
Å svare på en hendelse krever at et team kan arbeide sammen på en effektiv måte, og at de effektivt klarer å eliminere trusselen og tilfredsstille forskriftskrav. I disse situasjonene med høyt stress er det lett å bli forvirret og gjøre feil, som er grunnen til at mange bedrifter utvikler en plan for hendelsesrespons. Planen definerer roller og ansvar og inneholder det som er nødvendig for å løse, dokumentere og kommunisere om en hendelse.
Viktigheten av en plan for hendelsesrespons
Et betydelig angrep gjør ikke bare skade på driften til en organisasjon, men det påvirker også bedriftens omdømme hos kunder og fellesskapet. Det kan også ha juridiske konsekvenser. Alt inkludert hvor fort sikkerhetsteamet svarer på angrepet til hvordan ledere kommuniserer om hendelsen, vil påvirke den totale kostnaden.
Bedrifter som forsøker å skjule skaden fra kunder og myndigheter, eller som ikke tok trusselen på alvor, kan gå i strid med regelverket. Disse feilene er oftere sett der deltakerne ikke har en plan. I øyeblikkets hete er det en risiko at folk vil ta forhastede beslutninger drevet av frykt som ender opp med å skade hele organisasjon.
En godt gjennomtenkt plan lar alle vite hva de skal gjøre i alle angrepets faser, slik at de ikke må improvisere underveis. Hvis det er spørsmål fra publikum etter gjenoppretting, vil organisasjonen være i stand til å vise nøyaktig hvordan de svarte og gi kundene sine sinnsro om at de tok hendelsen på alvor og implementerte de nødvendige stegene for å forebygge et verre resultat.
Trinn for hendelsesrespons
Det er mer enn én måte å tilnærme seg hendelsesrespons, og mange organisasjoner er avhengige av en organisasjon for sikkerhetsstandarder for å veilede deres tilnærming. SysAdmin Audit Network Security (SANS) er en privat organisasjon som tilbyr en sekstrinns rammeverk for respons, som vises nedenfor. Mange organisasjon benytter seg også av National Institute of Standards and Technology (NIST) rammeverk for gjenoppretting etter hendelser.
- Forberedelse - Før en hendelse oppstår, er det viktig å redusere svakheter og definere sikkerhetspolicyer og prosedyrer. I forberedelsesfasen vil en organisasjon utføre en risikovurdering for å bestemme hvor svakhetene finnes, og hvordan de kan prioritere sine ressurser. Denne fasen innebærer skriving og raffinering av sikkerhetsprosedyrer, definering av roller og ansvar og oppdatering av systemer for å redusere risiko. De fleste organisasjoner går regelmessig tilbake til dette stadiet for å forbedre sine policyer, prosedyrer og systemer etterhvert som de får mer kunnskap eller teknologien endrer seg.
- Trusselidentifikasjon - I løpet av en vilkårlig dag, kan et sikkerhetsteam motta tusenvis av varsler som indikerer mistenkelig aktivitet. Noen av disse er falske positiver og vil derfor ikke stige til nivået til en hendelse. Med en gang en hendelse har blitt oppdaget må teamet grave i bruddets natur og dokumentere funn, inkludert kilden til bruddet, typen angrep og angripermål. I dette stadiet må teamet også informere interessenter for å kommunisere de neste stegene.
- Trusselbegrensning - Å begrense en trussel så fort som mulig er den neste prioriteringen på listen. Desto lengre en dårlig aktør har tilgang, desto større skade kan de utføre. Sikkerhetsteamet jobber raskt for å isolere apper eller systemer som er under angrep fra resten av nettverket. Dette bidrar til å forhindre at angriperne får tilgang til andre deler av bedriften.
- Eliminering av trusler - Når isoleringen er utført og trusselen er begrenset, kan teamet fjerne angriperen og eventuell skadelig programvare fra de påvirkede systemer og ressurser. Dette kan innebære å ta systemer offline. Teamet fortsetter også å holde interessenter informerte om fremdriften.
- Gjenoppretting og restaurering - Å gjenopprette etter et angrep kan ta flere timer. Når trusselen er borte kan teamet gjenopprette systemer og data fra sikkerhetskopier, og få en oversikt over de mest påvirkede områdene for å forsikre seg om at angriperen ikke slår til igjen.
- Tilbakemelding og forbedring - Når hendelsen er løst kan teamet vurdere hva som har skjedd og identifisere forbedringer som kan gjøres i prosessen. Å lære av denne fasen hjelper teamet med å forbedre organisasjonens forsvar.
Hva er et team for hendelsesrespons?
Et hendelsesresponsteam kalles også et datasikkerhet- og hendelsesresponsteam (CSIRT), et cyberhendelsesresponsteam (CIRT) eller et databeredskapsteam (CERT), inkluderer en tverrfunksjonell gruppe personer i organisasjonen som er ansvarlige for å utføre hendelsesresponsplanen. Dette inkluderer også ikke bare de som fjerner trusselen, men også de som tar avgjørelser på vegne av bedriften som er relatert til en hendelse. Et typisk team inneholder følgende medlemmer:
En hendelsesresponsansvarlig, ofte IT-direktøren, overvåker alle faser av responsen og holder interne interessenter informert.
Sikkerhetsanalytikere som undersøker hendelsen for å prøve å forstå hva som skjer. De dokumenterer også funnene sine og samler rettsmedisinske bevis.
Trusselforskere ser utenfor organisasjonen for å samle etterretninger som gir ekstra kontekst.
Noen fra ledelsen, for eksempel en informasjonssikkerhetssjef eller en informasjonssjef, gir veiledning og fungerer som et bindeledd til andre ledere.
HR hjelper til med å håndtere innsidetrusler.
Generaladvokat hjelper teamet med å navigere i ansvarsspørsmål og sørger for at rettsmedisinske bevis samles inn.
- PR-spesialister koordinerer nøyaktig ekstern kommunikasjon med media, kunder og andre interessanter.
Et hendelsesresponsteam kan være en undergruppe av et sikkerhetsoperasjonssenter (SOC), som behandler sikkerhetsoperasjoner utover hendelsesrespons.
Automatisering i hendelsesrespons
I de fleste organisasjoner vil nettverk og sikkerhetsløsninger generere flere sikkerhetsvarsler enn det hendelsesresponsteamet realistisk klarer å håndtere. For å hjelpe dem med å holde fokuset på legitime trusler, implementerer mange bedrifter automatisering av hendelsesrespons. Automatisering bruker AI og maskinlæring for å prioritere varsler, identifisere hendelser og luke ut trusler ved å kjøre en strategiplan basert på programmatiske skript.
Automatisering av sikkerhetsorkestrering og respons (SOAR) er en kategori av sikkerhetsverktøy som bedrifter bruker for å automatisere hendelsesrespons. Disse løsningene kan tilby følgende funksjonaliteter:
Å korrelere data på tvers av flere endepunkter og sikkerhetsløsninger for å kunne identifisere hendelser som mennesker burde følge opp.
Kjøre en forhåndskodet strategiplan for å isolere og ta tak i kjente typer hendelser.
Genererer en etterforskningstidslinje som inkluderer handlinger, avgjørelser og rettsmedisinske bevis som kan bli brukt til analyse.
Bringe inn relevant, ekstern intelligens for menneskelig analyse.
Hvordan implementere en plan for hendelsesrespons
Det å utvikle en plan for hendelsesrespons kan virke skremmende, men det kan redusere risikoen betydelig for at bedriften din er uforberedt hvis en større hendelse skulle finne sted. Slik kommer du i gang:
-
Identifisere og prioritere eiendeler
Det første steget i en plan for hendelsesrespons er å vite hva du beskytter. Dokumentasjon av bedriftens kritiske data, inkludert hvor den finner sted og nivået av betydning for virksomheten.
-
Oppdag potensielle risikoer
Hver organisasjon har forskjellige risikoer. Bli kjent med din organisasjons største svakheter og evaluer måtene en angriper kan utnytte dem.
-
Utvikle responsprosedyrer
Under en stressende hendelse vil klare prosedyrer gå langt for å sikre at hendelsen håndteres raskt og effektivt. Start med å definere hva som kvalifiserer som en hendelse, og bestem deretter trinnene teamet ditt bør ta for å oppdage, isolere og komme seg fra hendelsen, inkludert prosedyrer for å dokumentere beslutninger og samle bevis.
-
Dann et team for hendelsesrespons
Dann et tverrfunksjonelt team som har ansvar for å forstå prosedyrene rundt respons og mobilisering hvis det skulle oppstå en hendelse. Vær klar på definisjonen av rollene og kontoene for ikke-tekniske roller som kan hjelpe å ta avgjørelser som er relatert til kommunikasjon og ansvar. Inkluder noen i ledergruppen som vil være en talsmann for teamet og dets behov på de høyeste nivåene i selskapet.
-
Definer kommunikasjonsplanen din
En kommunikasjonsplan vil fjerne tvil rundt når og hvordan du skal fortelle andre på inn- og utsiden av organisasjonen om hva som skjer. Tenk gjennom forskjellige scenarioer for å hjelpe deg å bestemme under hvilke omstendigheter du trenger å informere ledere, hele organisasjonen, kunder, media eller andre interessenter.
-
Tren ansatte
Dårlige aktører går målrettet mot ansatte på alle nivåer av organisasjonen. Derfor er det viktig at alle forstår responsplanen og vet hva de skal gjøre hvis de mistenker at de har blitt utsatt for et angrep. Test de ansatte med jevne mellomrom for å bekrefte at de kan gjenkjenne phishing-e-poster og gjør det enkelt for dem å varsle hendelsesresponsteamet hvis de ved et uhell klikker på en dårlig lenke eller åpner et infisert vedlegg.
Løsninger for hendelsesrespons
Å være forberedt på en stor hendelse er en viktig del av å holde organisasjonen din trygg. Ved å danne et internt team for hendelsesrespons, kan du være trygg på at du er klar hvis du blir angrepet av en dårlig aktør.
Utnytt SIEM og SOAR-løsninger som Microsoft Sentinel som benytter seg av automatisering for å hjelpe deg å identifisere og svare automatisk på hendelser. Organisasjoner med færre ressurser kan forstørre teamet sitt med en tjenesteleverandør som har mulighet til å håndtere flere faser av hendelsesresponsen. Uansett om du bemanner hendelserespons internt eller eksternt, burde du sørge for at du har en plan.
Mer informasjon om Microsoft Sikkerhet
Microsoft trusselbeskyttelse
Identifiser og svar på hendelser på tvers av organisasjonen med det nyeste innen trusselbeskyttelse.
Microsoft Sentinel
Avdekk sofistikerte trusler og reager besluttsomt med en effektiv SIEM-løsning, levert av skyen og kunstig intelligens.
Microsoft Defender XDR
Stopp angrep på tvers av endepunkt, e-poster, identiteter, apper og data.
Vanlige spørsmål
-
Hendelsesrespons er alle stegene en organisasjon tar når de mistenker et sikkerhetsbrudd. Målet er å isolere og luke ut angripere så raskt som mulig, overholde forskrifter for personvern, og gjenopprette trygt med så lite skade på organisasjonen som mulig.
-
Et tverrfunksjonelt team er ansvarlig for hendelsesrespons. IT-avdelingen vil typisk være ansvarlig for å identifisere, isolere og gjenopprette etter en trussel, men det er i midlertid mer til hendelsesrespons enn å finne og kvitte seg med dårlige aktører. Avhengig av hva slags type angrep, kan det hende at noen må ta en avgjørelse på vegne av bedriften, for eksempel hvordan man skal forholde seg til løsepenger. Juridisk rådgiver og PR-eksperter hjelper til med å sikre at organisasjonen overholder lover om personvern, inkludert passende varsling til kunder og myndigheter. Hvis trusselen begås av en ansatt vil HR rådføres om passende tiltak.
-
CSIRT er et annet navn for team for hendelsesrespons. Det inkluderer et tverrfunksjonelt team av mennesker som er ansvarlige for å administerere alle aspekter av hendelsesrespons, inkludert å oppdage, isolere og fjerne trusselen, gjenoppretting, intern og ekstern kommunikasjon, dokumentasjon og rettsmedisinsk analyse.
-
De fleste organisasjoner bruker en SIEM eller en SOAR -løsning for å hjelpe dem å identifisere og svare på en trussel. Disse løsningene samler vanligvis data fra flere systemer og bruker maskinlæring for å identifisere sanne trusler. De kan også automatisere svar på visse typer trusler basert på en forhåndskodet strategiplan.
-
Livssyklusen for hendelsesrespons inkluderer seks trinn:
- Forberedelse finner sted før en hendelse har blitt indentifiser og inkluderer en definisjon på hva organisasjonen anser som en hendelse, og alle policyer og nødvendige prosedyrer for å forhindre, oppdage, fjerne og komme seg fra et angrep.
- Identifikasjon av trussel er en prosess som benytter seg av både menneskelig analyse og automatisering for å identifisere hvilke hendelser som er reelle trusler som trenger å behandles.
- Begrensning av trussel er handlingene teamet utfører for å isolere trusselen begrense den fra å infisere andre områder i bedriften.
- Eliminering av trussel inkluderer steg for å fjerne skadelig programvare og angripere fra en organisasjon.
- Gjenoppretting og restaurering inkluderer omstart av systemer og maskiner, og gjenoppretting av data som har gått tapt.
- Tilbakemelding og utbedring er prosessen der teamet tar seg tid til å gå gjennom hva de har lært fra hendelsen, og hvordan de kan ta i bruk disse lærdommene i policyer og prosedyrer.
Følg Microsoft Sikkerhet