Ce este răspunsul la incidente?
Descoperiți modul în care un răspuns la incidente eficient ajută organizațiile să detecteze, să remedieze și să oprească atacurile cibernetice.
Definirea răspunsului la incidente
Înainte de a defini răspunsul la incidente, este important să fie clar ce anume este un incident. În IT, există trei termeni care sunt utilizați uneori alternativ, dar care înseamnă lucruri diferite:
- Un eveniment este o acțiune inofensivă care are loc frecvent, cum ar fi crearea unui fișier, ștergerea unui folder sau deschiderea unui e-mail. Un eveniment în sine nu indică în mod obișnuit o breșă, dar atunci când este asociat cu alte evenimente poate semnala o amenințare.
- O alertă este o notificare declanșată de un eveniment, care poate fi sau nu o amenințare.
- Un incident reprezintă un grup de alerte corelate pe care oamenii sau instrumentele de automatizare le-au considerat ca fiind probabil o amenințare reală. În sine, fiecare alertă poate să nu pară o amenințare majoră, dar, atunci când sunt combinate, indică o posibilă breșă.
Răspunsul la incidente reprezintă acțiunile pe care le efectuează o organizație atunci când consideră că este posibil să fi apărut o breșă de securitate în sistemele IT sau în date. De exemplu, specialiștii în securitate vor acționa dacă observă dovezi că există un utilizator neautorizat, malware sau o nefuncționare a măsurilor de securitate.
Obiectivele unui răspuns sunt eliminarea unui atac cibernetic cât mai rapid posibil, recuperarea, notificarea clienților sau a agențiilor guvernamentale conform legilor regionale și aflarea modalității de diminuare a riscului unei breșe similare în viitor.
Cum funcționează răspunsul la incidente?
În mod normal, răspunsul la incidente începe atunci când echipa de securitate primește o alertă credibilă de la un sistem de management al evenimentelor și informațiilor de securitate (SIEM).
Membrii echipei trebuie să verifice dacă evenimentul se califică ca incident, apoi să izoleze sistemele infectate și să elimine amenințarea. Dacă incidentul este grav sau rezolvarea durează mult timp, este posibil ca organizațiile să trebuiască să restaureze datele de backup, să se confrunte cu o răscumpărare sau să anunțe clienții că datele lor au fost compromise.
Din acest motiv, pe lângă echipa de securitate cibernetică sunt implicate de obicei și alte persoane în răspuns. Experți în confidențialitate, avocați și factorii de decizie din cadrul companiei vor ajuta la stabilirea abordării organizației în ceea ce privește un incident și urmările sale.
Tipuri de incidente de securitate
Există mai multe modalități prin care atacatorii încearcă să acceseze datele unei firme sau să compromită în alt mod sistemele și operațiunile sale de afaceri. Iată câteva dintre cele mai comune:
-
Phishing
Phishingul este un tip de inginerie socială în care un atacator utilizează un e-mail, un SMS sau un apel telefonic pentru a-și asuma identitatea unei mărci sau a unei persoane cu reputație. Printr-un atac tipic de phishing se încearcă convingerea destinatarilor să descarce malware sau să-și furnizeze parola. Aceste atacuri exploatează încrederea utilizatorilor și implementează tehnici psihologice, cum ar fi teama, pentru a-i determina pe oameni să acționeze. Multe dintre aceste atacuri nu vizează pe cineva anume, fiind îndreptate spre mii de persoane, în speranța că una va răspunde. Cu toate acestea, există o versiune mai sofisticată, numită phishing țintit, care utilizează cercetare aprofundată pentru a crea un mesaj conceput să fie persuasiv pentru o anumită persoană. -
Malware
Malware se referă la orice software proiectat să dăuneze unui sistem informatic sau să fure date. Acesta se manifestă în multe forme diferite, printre care viruși, ransomware, spyware și cai troieni. Actori rău intenționați instalează malware profitând de vulnerabilitățile hardware și software sau convingând un angajat să facă acest lucru utilizând o tehnică de inginerie socială.
-
Ransomware
Printr-un atac ransomware, actorii rău intenționați utilizează malware pentru a cripta date și sisteme critice, apoi amenință că vor face datele publice sau le vor distruge dacă victima nu plătește o răscumpărare.
-
Refuz-serviciu
Într-un atac de tip refuz serviciu (atac DDoS), un actor rău intenționat supraîncărcă o rețea sau un sistem cu trafic până când acesta încetinește sau se blochează. De obicei, atacatorii vizează companii de mare vizibilitate, cum ar fi bănci sau guverne, cu scopul de a le face să piardă timp și bani, dar orice organizație, de orice dimensiune, poate fi victima acestui tip de atac.
-
Interceptor
O altă metodă pe care infractorii cibernetici o utilizează pentru a fura date cu caracter personal este să se infiltreze în mijlocul unei conversații online între persoane care cred au o comunicare privată. Interceptând mesaje și copiindu-le sau schimbându-le înainte de a le trimite destinatarului intenționat, aceștia încearcă să manipuleze unul dintre participanți pentru a le oferi date valoroase.
-
Amenințare din interior
Deși majoritatea atacurilor sunt efectuate de persoane din afara unei organizații, echipele de securitate trebuie să fie atente și la amenințări din interior. Angajații și alte persoane care au în mod legitim acces la resurse restricționate pot cauza, din greșeală sau, în unele cazuri, în mod intenționat, scurgeri de date confidențiale.
-
Acces neautorizat
Multe breșe de securitate încep cu acreditări de conturi furate. Dacă actorii rău intenționați obțin parole printr-o campanie de phishing sau prin ghicirea unei parole comune, odată ce obțin acces la un sistem, pot instala malware, pot face recunoașterea rețelei sau pot să își escaladeze privilegiile pentru a le permite accesul la sisteme și date mai confidențiale.
Ce este un plan de răspuns la incidente?
Răspunsul la un incident necesită ca o echipă să colaboreze în mod eficient și eficace pentru a elimina amenințarea și a îndeplini cerințele de reglementare. În aceste situații de mare stres, este ușor să vă pierdeți cu firea și să faceți greșeli, motiv pentru care multe firme dezvoltă un plan de răspuns la incidente. Planul definește rolurile și responsabilitățile și cuprinde pașii necesari pentru a rezolva, a documenta și a comunica în mod corespunzător un incident.
Importanța unui plan de răspuns la incidente
Un atac semnificativ nu afectează în mod negativ doar operațiunile unei organizații, ci afectează și reputația firmei în rândul clienților și al comunității și poate avea și ramificații legale. Toate aspectele, inclusiv cât de rapid răspunde echipa de securitate la atac și modul în care managementul comunică despre incident, influențează costul său general.
Firmele care ascund daunele față de clienți și de instituțiile guvernamentale sau care nu iau în serios o amenințare pot intra în contradicție cu reglementările. Aceste tipuri de greșeli se întâmplă mai des atunci când participanții nu au un plan. În vâltoarea evenimentelor, există riscul ca oamenii să ia decizii pripite, determinate de teamă, care vor afecta organizația.
Un plan bine gândit le permite utilizatorilor să știe ce ar trebui să facă în fiecare fază a unui atac, astfel încât să nu fie nevoie să se gândească la aceste lucruri din mers. Iar după recuperare, dacă există întrebări din partea publicului, organizația va putea să arate exact cum a răspuns și să le ofere clienților liniștea că incidentul a fost luat în serios și s-au implementat pașii necesari pentru a preveni un rezultat mai rău.
Pașii răspunsului la incidente
Există mai multe modalități de a aborda răspunsul la incidente și multe organizații se bazează pe alte organizații de standarde de securitate pentru a-și ghida abordarea. SysAdmin Audit Network Security (SANS) este o organizație privată care oferă un cadru de răspuns în șase pași, care este prezentat mai jos. De asemenea, multe organizații adoptă cadrul de recuperare după incidente al National Institute of Standards and Technology (NIST).
- Pregătirea - Înainte de a avea loc un incident, este important să se diminueze vulnerabilitățile și să fie definite politici și proceduri de securitate. În faza de pregătire, organizațiile efectuează o evaluare a riscurilor pentru a determina unde au puncte slabe și a acorda prioritate activelor. Această fază include scrierea și rafinarea procedurilor de securitate, definirea rolurilor și a responsabilităților și actualizarea sistemelor pentru a reduce riscurile. Majoritatea organizațiilor revizuiesc cu regularitate această etapă și aduc îmbunătățiri politicilor, procedurilor și sistemelor pe măsură ce învață lecții sau se modifică tehnologiile.
- Identificarea amenințării - În orice zi, echipa de securitate poate primi mii de avertizări care indică o activitate suspectă. Unele dintre ele sunt fals pozitive sau pot să nu atingă nivelul unui incident. După ce a fost identificat un incident, echipa caută natura breșei și documentează ceea ce află, inclusiv sursa breșei, tipul de atac și obiectivele atacatorului. Tot în această etapă, echipa trebuie să informeze participanții direct interesați și să comunice pașii următori.
- Izolarea amenințării - Izolarea unei amenințări cât mai repede posibil este prioritatea următoare. Cu cât actorilor rău intenționați li se permite accesul mai mult timp, cu atât pot cauza mai multe pagube. Echipa de securitate lucrează pentru a izola rapid de restul rețelelor aplicațiile sau sistemele atacate. Acest lucru îi împiedică pe atacatori să acceseze alte părți ale afacerii.
- Eliminarea amenințării - După finalizarea fazei de izolare, echipa elimină atacatorul și orice malware din sistemele și resursele afectate. Acest lucru poate implica trecerea sistemelor în mod offline. De asemenea, echipa va continuă să-i țină pe participanții direct interesați la curent cu progresul.
- Recuperarea și restaurarea - Recuperarea după un incident poate dura câteva ore. După ce amenințarea dispare, echipa restaurează sistemele, recuperează datele din backup și monitorizează zonele afectate pentru a se asigura că atacatorul nu revine.
- Feedbackul și rafinarea - După rezolvarea incidentului, echipa revizuiește ce s-a întâmplat și identifică îmbunătățirile care pot fi aduse procesului. Ceea ce se învață din această fază ajută echipa să îmbunătățească apărarea organizației.
Ce este o echipă de răspuns la incidente?
O echipă de răspuns la incidente, care se mai numește și echipă de răspuns la incidente de securitate informatică (CSIRT), echipă de răspuns la incidente cibernetice (CIRT) sau echipă de răspuns în caz de urgență informatică (CERT), este alcătuită dintr-un grup multifuncțional de persoane din cadrul organizației care sunt responsabile pentru executarea planului de răspuns la incidente. Din echipă fac parte nu doar persoanele care elimină amenințarea, ci și cele care iau decizii de afaceri sau juridice legate de un incident. O echipă obișnuită cuprinde următorii membri:
Un manager de răspuns la incidente, adesea directorul IT, care monitorizează toate fazele răspunsului și îi ține la curent pe participanții interni direct interesați.
Analiștii de securitate cercetează incidentul pentru a încerca să înțeleagă ce se întâmplă. De asemenea, ei își documentează descoperirile și colectează dovezi judiciare.
Cei care cercetează amenințările caută în afara organizației pentru a colecta informații care oferă context suplimentar.
O persoană din conducere, cum ar fi responsabilul principal cu securitatea informațiilor sau un responsabil principal cu informațiile, oferă îndrumare și servește drept punct legătură cu alți directori.
Specialiștii în resurse umane ajută la gestionarea amenințărilor interne.
Consiliul general ajută echipa să parcurgă problemele legate de răspundere și se asigură că sunt colectate dovezi judiciare.
- Specialiștii în relații publice coordonează comunicarea externă precisă cu mass-media, clienții și alți participanți direct interesați.
O echipă de răspuns la incidente poate să facă parte dintr-un centru de operațiuni de securitate (SOC), care gestionează operațiunile de securitate dincolo de răspunsul la incidente.
Automatizarea răspunsului la incidente
În majoritatea organizațiilor, rețelele și soluțiile de securitate generează mult mai multe avertizări de securitate decât poate gestiona în mod realist echipa de răspuns la incidente. Pentru a ajuta echipa să se concentreze asupra amenințărilor legitime, multe firme implementează automatizarea răspunsului la incidente. Automatizarea utilizează inteligența artificială și învățarea programată pentru a tria avertizările, a identifica incidentele și a elimina amenințările prin executarea unui manual de proceduri pentru răspunsuri, bazat pe scripturi programate.
Automatizarea și răspunsul de orchestrare a securității (SOAR) reprezintă o categorie de instrumente de securitate pe care firmele le utilizează pentru a automatiza răspunsul la incidente. Aceste soluții oferă următoarele capacități:
Corelează datele din mai multe puncte finale și soluții de securitate pentru a identifica incidentele pe care oamenii trebuie să le urmărească.
Rulează un manual de proceduri scriptat în prealabil pentru a izola și a aborda tipurile de incidente cunoscute.
Generează o cronologie investigativă care include acțiuni, decizii și dovezi juridice care pot fi utilizate pentru analiză.
Aduc informații externe relevante pentru analiza umană.
Cum se implementează un plan de răspuns la incidente
Dezvoltarea unui plan de răspuns la incidente poate părea intimidantă, dar poate reduce semnificativ riscul ca firma dvs. să nu fie pregătită când are loc un incident major. Iată cum să începeți:
-
Identificați și prioritizați activele
Primul pas al unui plan de răspuns la incidente este să știți ce anume protejați. Documentați datele critice ale organizației dvs., inclusiv locul unde se află și nivelul său de importanță pentru afacere.
-
Determinați riscurile potențiale
Fiecare organizație are riscuri diferite. Familiarizați-vă cu cele mai mari vulnerabilități ale organizației dvs. și evaluați modurile în care un atacator le-ar putea exploata.
-
Dezvoltați proceduri de răspuns
În timpul unui incident stresant, procedurile clare vor da rezultate mult mai bune pentru a vă asigura că incidentul este abordat rapid și în mod eficient. Începeți prin a defini ceea ce se califică ca incident, apoi stabiliți pașii pe care ar trebui să-i efectueze echipa pentru a detecta, a izola și a recupera în urma incidentului, inclusiv procedurile pentru documentarea deciziilor și colectarea de dovezi.
-
Creați o echipă de răspuns la incidente
Construiți o echipă multifuncțională care este responsabilă pentru înțelegerea procedurilor de răspuns și care să se mobilizeze dacă se produce un incident. Nu uitați să definiți clar rolurile și răspunderea pentru rolurile nontehnice care vă pot ajuta să luați decizii legate de comunicare și responsabilitate. Includeți în echipa executivă o persoană care va fi un susținător al echipei și al necesităților acesteia la cele mai înalte niveluri ale firmei.
-
Definiți planul de comunicare
Un planul de comunicare va evita incertitudinile referitoare la momentul și modalitatea de a le spune celorlalți din interiorul și din afara organizației ce se întâmplă. Gândiți-vă la mai multe scenarii pentru a stabili în ce circumstanțe este nevoie să informați conducerea, întreaga organizație, clienții și mass-media sau alți participanți direct interesați externi.
-
Instruiți angajații
Actorii rău intenționați vizează angajați de la toate nivelurile organizației, motiv pentru care este foarte important ca toți să vă înțeleagă planul de răspuns și să știe ce să facă dacă suspectează că au fost victima unui atac. Testați periodic angajații pentru a vă asigura că pot recunoaște e-mailurile de phishing și că le este ușor să notifice echipa de răspuns la incident dacă fac clic accidental pe un link rău intenționat sau deschid o atașare infectată.
Soluțiile răspunsului la incidente
A fi pregătit pentru un incident major este o parte importantă a menținerii siguranței organizației în fața amenințărilor. Configurarea unei echipe interne de răspuns la incidente vă va oferi încrederea că veți fi gata în cazul în care deveniți victima unui actor rău intenționat.
Profitați de soluțiile SIEM și SOAR, cum ar fi Microsoft Sentinel, care utilizează automatizarea pentru a vă ajuta să identificați și să răspundeți automat la incidente. Organizațiile cu mai puține resurse își pot mări echipele cu un furnizor de servicii care poate gestiona mai multe faze ale răspunsului la incidente. Dar, indiferent dacă echipa de răspuns la incidente este internă sau externă, asigurați-vă că aveți un plan.
Aflați mai multe despre Microsoft Security
Protecția Microsoft împotriva amenințărilor
Identificați și răspundeți la incidentele din întreaga organizație cu cea mai recentă protecție împotriva amenințărilor.
Microsoft Sentinel
Descoperiți amenințări sofisticate și răspundeți decisiv cu o soluție SIEM puternică, susținută de mediul cloud și de inteligența artificială.
Microsoft Defender XDR
Opriți atacurile asupra punctelor finale, a e-mailului, a identităților, a aplicațiilor și a datelor.
Întrebări frecvente
-
Răspunsul la incidente reprezintă toate activitățile pe care le efectuează o organizație atunci când suspectează o breșă de securitate. Obiectivul este să izolați și să eliminați atacatorii cât mai rapid posibil, să respectați reglementările privind confidențialitatea datelor și să vă recuperați în siguranță cu cât mai puține daune posibil pentru organizație.
-
O echipă multifuncțională este responsabilă pentru răspunsul la incidente. În mod normal, departamentul IT va fi responsabil pentru identificarea, izolarea și recuperarea în urma amenințărilor, însă răspunsul la incidente înseamnă mai mult decât găsirea și eliminarea unor actori rău intenționați. În funcție de tipul atacului, poate fi necesar ca cineva să ia o decizie de afaceri, cum ar fi modul de a aborda o solicitare de răscumpărare. Consultanții juridici și specialiștii în relații publice vă ajută să vă asigurați că organizația respectă legile privind confidențialitatea datelor, inclusiv că realizează notificarea corespunzătoare a clienților și a guvernelor. Dacă amenințarea este comisă de un angajat, departamentul de resurse umane recomandă o acțiune corespunzătoare.
-
CSIRT este un alt nume dat unei echipe de răspuns la incidente. Acesta include o echipă multifuncțională de persoane responsabile pentru gestionarea tuturor aspectelor legate de răspunsul la incidente, inclusiv detectarea, izolarea și eliminarea amenințării, recuperarea, comunicarea internă și externă, documentarea și analiza judiciară.
-
Majoritatea organizațiilor utilizează o soluție SIEM sau SOAR drept ajutor pentru a identifica și a răspunde la amenințări. Aceste soluții înglobează de obicei date de la mai multe sisteme și utilizează învățarea programată pentru a ajuta la identificarea amenințărilor reale. De asemenea, pot automatiza răspunsul pentru anumite tipuri de amenințări pe baza manualelor de proceduri scriptate în prealabil.
-
Ciclul de viață al răspunsului la incidente cuprinde șase etape:
- Pregătirea are loc înainte de identificarea unui incident și presupune definirea a ceea ce organizația consideră un incident și toate politicile și procedurile necesare de prevenire, detectare, eliminare și recuperare în urma unui atac.
- Identificarea amenințărilor este un proces care utilizează atât analiști umani, cât și automatizarea pentru a identifica evenimentele care reprezintă amenințări reale care trebuie abordate.
- Izolarea amenințărilor este acțiunea pe care o efectuează echipa pentru a izola o amenințare și a o împiedica să infecteze alte zone ale afacerii.
- Eliminarea amenințărilor cuprinde pașii pentru eliminarea malware-ului și a atacatorilor dintr-o organizație.
- Recuperarea și restaurarea acoperă repornirea sistemelor și mașinilor și restaurarea tuturor datelor care s-au pierdut.
- Feedbackul și rafinarea reprezintă procesul pe care îl face echipa pentru a descoperi lecțiile învățate în urma incidentului și aplicarea acestora în politici și proceduri.
Urmăriți Microsoft Security