Что такое реагирование на инциденты?
Узнайте, как эффективное реагирование на инциденты помогает организациям обнаруживать, нейтрализовать и блокировать кибератаки.
Определение реагирования на инциденты
Прежде чем говорить о реагировании, важно разобраться, что такое инцидент. В ИТ-сфере есть три термина, которые иногда используются как синонимы, но на самом деле означают разные вещи.
- Событие — это безобидное, регулярно происходящее действие, например создание файла, удаление папки или открытие электронного письма. Обычно событие само по себе не является признаком нарушения безопасности. Но если оно происходит одновременно с другими событиями, это может сигнализировать об угрозе.
- Оповещение — это уведомление о событии, которое может быть связано с угрозой.
- Инцидент — это группа взаимосвязанных оповещений, которые человек или автоматизированная система сочли реальной угрозой. Каждое оповещение в отдельности может не быть маркером серьезной угрозы, но в совокупности они указывают на возможное нарушение безопасности.
Реагирование на инциденты — это действия, которые организация предпринимает, когда есть основания полагать, что произошел взлом ИТ-системы или утечка данных. Например, специалисты по безопасности будут принимать меры, если увидят признаки неавторизованного доступа, запуска вредоносной программы или сбоя в системе защиты.
Цели такого реагирования — как можно быстрее пресечь кибератаку, восстановить данные и уведомить клиентов или государственные органы в соответствии с региональными законами. После этого важно понять, как снизить риск аналогичных взломов в будущем.
Как работает реагирование на инциденты
Реагирование на инцидент обычно начинается с того, что служба безопасности получает достоверное оповещение от системы управления информационной безопасностью и событиями безопасности (SIEM).
Специалисты должны убедиться, что событие квалифицируется как инцидент, а затем изолировать затронутые системы и устранить угрозу. Иногда инциденты приводят к серьезным последствиям и требуется много времени для их устранения. В таких случаях компании вынуждены восстанавливать данные из резервной копии, решать проблемы с выкупом или уведомлять клиентов о том, что их данные были скомпрометированы.
По этой причине к реагированию на инциденты обычно привлекаются не только специалисты по кибербезопасности. Стратегию борьбы с последствиями атаки разрабатывают эксперты по конфиденциальности, юристы и руководители компании.
Типы инцидентов безопасности
Злоумышленники разными способами получают доступ к данным компании или иным образом ставят под угрозу корпоративные системы и бизнес-процессы. Ниже приведены наиболее распространенные методы.
-
Фишинг
Фишинг — это атака с применением социальной инженерии, при которой злоумышленник связывается с жертвой с помощью электронной почты, SMS или по телефону и выдает себя за знакомого человека или представителя известного бренда. При типичной фишинговой атаке получателя пытаются обманом заставить загрузить вредоносную программу или предоставить пароль. Злоумышленники эксплуатируют доверчивость людей, а также заставляют их что-то сделать с помощью психологического давления, например, вызывая страх. Большинство таких атак направлены на тысячи людей в надежде на то, что кого-то удастся обмануть. Но бывает и более сложный подход, который называется целевым фишингом. В таком случае проводится тщательный анализ и создается сообщение, которое должно быть убедительным для конкретного человека. -
Вредоносные программы
Вредоносная программа — это любое программное обеспечение, которое предназначено для кражи данных или нанесения вреда компьютерной системе. Например, это могут быть вирусы, программы-шантажисты, программы-шпионы и трояны. Чтобы установить вредоносную программу, злоумышленники используют уязвимости аппаратного и программного обеспечения или убеждают сотрудника сделать это с помощью социальной инженерии.
-
Программы-шантажисты
При атаках с применением программ-шантажистов злоумышленники используют вредоносное ПО для шифрования важных данных и систем, а затем угрожают раскрыть или уничтожить информацию, если жертва не заплатит выкуп.
-
Отказ в обслуживании
При распределенных атаках типа "отказ в обслуживании" (DDoS) злоумышленники перегружают трафиком сеть или систему, чтобы замедлить ее работу или вызвать сбой. Обычно злоумышленники атакуют социально значимые организации, например банки или госучреждения, чтобы прервать их работу и лишить денег. Но жертвой атаки такого типа может стать и любая другая компания.
-
Злоумышленник в середине
Еще один способ кражи персональных данных — это вмешательство в онлайн-общение между людьми, которые считают, что их беседа приватна. Киберпреступники перехватывают сообщения и копируют или изменяют их перед отправкой получателю. Они пытаются манипулировать одним из участников разговора, чтобы тот передал им ценные данные.
-
Внутренние угрозы
Большинство атак организуют сторонние люди, не работающие в компании. Но специалистам службы безопасности важно следить и за внутренними угрозами. Сотрудники и другие лица, которые используют в работе ресурсы с ограниченным доступом, могут случайно или намеренно раскрыть конфиденциальную информацию.
-
Несанкционированный доступ
Часто причиной появления бреши в системе безопасности становятся украденные учетные данные. Неважно, как злоумышленники получили пароль: организовали фишинговую кампанию или угадали стандартную комбинацию. Когда у них есть доступ к системе, они могут установить вредоносные программы, провести рекогносцировку сети или повысить свои привилегии и добраться до более конфиденциальных систем и данных.
Что такое план реагирования на инциденты?
Когда возникает проблема безопасности, специалисты должны работать сообща и действовать эффективно, чтобы устранить угрозу и соблюсти нормативные требования. В таких стрессовых ситуациях легко растеряться и совершить ошибку. Поэтому многие компании разрабатывают план реагирования на инциденты. Такой план распределяет роли и обязанности и содержит инструкции по надлежащему устранению проблем, документированию и информированию об инциденте.
Зачем нужен план реагирования на инциденты
Серьезная атака не только нарушает внутренние бизнес-процессы, но и влияет на репутацию компании среди клиентов и сообщества, а также может повлечь за собой юридические последствия. Итоговый ущерб зависит от поведения всех участников процесса: начиная со скорости реакции службы безопасности и заканчивая информированием со стороны руководителей.
Если компания скрывает факт взлома от клиентов и госорганов или недостаточно серьезно относится к угрозе, это может являться нарушением нормативных требований. Такие ошибки возникают, когда у участников процесса нет плана действий. Люди боятся последствий атаки и на эмоциях принимают необдуманные решения, которые в итоге вредят организации.
Если у сотрудников есть продуманный план, они знают, что нужно делать на каждом этапе атаки, и им не приходится выдумывать что-то на ходу. Когда работа системы восстановлена, к компании могут возникнуть вопросы. Но если все действовали по плану, специалистам не составит труда показать, как именно они отреагировали на угрозу. Это позволит убедить клиентов, что вы серьезно отнеслись к инциденту и предприняли меры для предотвращения более тяжких последствий.
Пошаговая инструкция по реагированию на инциденты
Существует несколько подходов к реагированию на инциденты. В этой сфере многие компании полагаются на руководства от организаций, которые разрабатывают стандарты обеспечения безопасности. Институт SANS — это частная организация, которая составила описанную ниже шестиэтапную схему реагирования на инциденты. Компании также ориентируются на рекомендации по восстановлению работы системы после инцидентов от Национального института стандартов и технологий (NIST).
- Подготовка. До возникновения инцидента важно уменьшить количество уязвимостей, настроить политики безопасности и определить процедуры защиты. На этапе подготовки организации оценивают риски, чтобы выявить слабые места и приоритизировать активы. Этот этап включает в себя написание и уточнение процедур безопасности, распределение ролей и обязанностей, а также обновление систем для снижения риска. Технологии меняются, и специалисты извлекают уроки из свершившихся атак. Поэтому большинство компаний регулярно возвращаются к этому этапу и улучшают политики, процедуры и системы.
- Выявление угрозы. Каждый день служба безопасности может получать тысячи оповещений о подозрительной активности. Некоторые из них являются ложными срабатываниями или незначительными событиями, которые не эскалируются до уровня инцидента. Если же специалисты выявляют инцидент, то они изучает характер нарушения и документируют собранную информацию об источнике угрозы, типе атаки и целях злоумышленников. На этом этапе команда также должна проинформировать заинтересованных лиц и обсудить дальнейшие шаги.
- Изоляция угрозы. Следующий шаг — максимально быстро ограничить распространение угрозы. Чем дольше у злоумышленников есть доступ к системе, тем больший ущерб они могут нанести. Служба безопасности должна быстро изолировать от остальных сетей приложения или системы, которые подверглись атаке. Это помогает предотвратить доступ злоумышленников к другим частям корпоративной инфраструктуры.
- Устранение угрозы. Когда угроза изолирована, специалисты удаляют злоумышленников и все вредоносные программы из затронутых систем и ресурсов. Иногда может потребоваться отключить эти системы от сети. При этом служба безопасности продолжает информировать заинтересованных лиц о ходе работ.
- Восстановление. После инцидента возобновление нормальной работы может занять несколько часов. Когда угроза устранена, служба безопасности реанимирует систему и восстанавливает данные из резервной копии. Также важно проконтролировать состояние затронутых атакой ресурсов, чтобы убедиться, что злоумышленник не вернулся.
- Сбор данных и улучшения. После устранения инцидента служба безопасности анализирует произошедшее и определяет, как можно улучшить процесс реагирования. На этом этапе команда извлекает уроки, которые помогают усилить защиту организации.
Из кого состоит команда реагирования на инциденты?
Команду реагирования на инциденты называют по-разному: группой реагирования на инциденты в сфере компьютерной безопасности (CSIRT), командой реагирования на киберинциденты (CIRT) или службой реагирования на нарушения компьютерной безопасности (CERT). Это кросс-функциональная команда, которая отвечает за реализацию плана по реагированию на инциденты. В нее входят не только люди, которые устраняют угрозы, но и те, кто принимают коммерческие или юридические решения, связанные с инцидентом. Обычно такая команда состоит из перечисленных ниже специалистов.
Руководитель команды реагирования на инциденты (часто это ИТ-директор) контролирует все этапы и информирует заинтересованных лиц внутри компании.
Аналитики информационной безопасности изучают инцидент и пытаются выяснить, что произошло. Также они документируют результаты своих изысканий и собирают данные для дальнейших экспертиз.
Исследователи угроз анализируют ситуацию за пределами организации и собирают информацию, которая даст дополнительный контекст.
Директор по информационной безопасности или директор по информационным технологиям дает общие указания и служит связующим звеном между сотрудниками и другими представителями руководства.
Специалисты по кадрам помогают контролировать внутренние угрозы.
Главный юрисконсульт компании помогает команде разобраться в вопросах ответственности за инцидент и обеспечивает сбор информации для судебной экспертизы.
- Специалисты по связям с общественностью координируют коммуникацию со СМИ, клиентами и другими заинтересованными сторонами.
Команда реагирования на инциденты может быть частью центра информационной безопасности (SOC), который обеспечивает защиту активов компании в целом.
Автоматизация реагирования на инциденты
Часто в организациях сети и решения для обеспечения безопасности генерируют большое количество оповещений, которые команда реагирования на инциденты не в состоянии обработать. Чтобы специалисты могли сосредоточиться на реальных угрозах, многие компании автоматизируют реагирование на инциденты. В рамках автоматизации применяются инструменты на базе искусственного интеллекта и машинного обучения. Они приоритизируют оповещения, выявляют инциденты и устраняют угрозы с помощью схем реагирования на основе программных сценариев.
Системы оркестрации, автоматизации и реагирования на инциденты безопасности (SOAR) — это категория инструментов, которые предприятия используют для автоматизации этих процессов. Такие решения обладают следующим функционалом:
Сопоставление данных с нескольких конечных точек и средств обеспечения безопасности для выявления инцидентов, с которыми должны разбираться специалисты.
Запуск готовых сценариев реагирования для изоляции и устранения угроз известных типов.
Создание графика расследования, который включает действия, решения и сбор доказательств для анализа.
Сбор релевантных внешних данных для анализа специалистами.
Как реализовать план реагирования на инциденты
Разработка плана реагирования на инциденты может показаться сложной задачей. Но такой план значительно снижает риск того, что компания окажется неподготовленной к серьезной угрозе. Вот, с чего стоит начать работу.
-
Выявите все активы и расставьте приоритеты
Первый шаг в плане реагирования на инциденты — выяснить, какие именно активы вы защищаете. Задокументируйте критически важные корпоративные данные, в том числе сведения об их местонахождении и степени важности для бизнеса.
-
Определите возможные риски
У каждой организации есть свои риски. Изучите самые серьезные уязвимости компании и оцените, как злоумышленник может их использовать.
-
Разработайте процедуры реагирования
Во время стрессовой ситуации четкие процедуры помогут быстро и эффективно справиться с инцидентом. Для начала определите, что вы квалифицируете как инцидент. Затем опишите шаги, которые должна предпринять служба безопасности для обнаружения атаки, изоляции угрозы и дальнейшего восстановления системы. Сюда же относятся процедуры документирования решений и сбора свидетельств.
-
Сформируйте команду реагирования на инциденты
Создайте кросс-функциональную команду, которая будет отвечать за процедуры реагирования и их реализацию в случае возникновения инцидента. Четко определите роли и не забудьте о нетехнических специалистах, которые помогут принять решения, связанные с информированием и юридической ответственностью. Также желательно включить в команду кого-то из руководителей, чтобы этот человек отстаивал интересы коллег на уровне директоров компании.
-
Составьте план информирования
С планом информирования вам не придется гадать, когда и как сообщать об инциденте людям внутри и за пределами организации. Продумайте различные сценарии и определите, при каких обстоятельствах нужно информировать руководство, всю компанию, клиентов, СМИ или других сторонних заинтересованных лиц.
-
Обучите сотрудников
Жертвой злоумышленников может стать любой сотрудник. Поэтому важно, чтобы все в компании понимали план реагирования и знали, что делать при подозрении на атаку. Периодически проверяйте своих работников, чтобы убедиться, что они умеют распознавать фишинговые письма. Создайте условия, в которых они смогут легко уведомить команду реагирования на инциденты, если случайно нажмут на вредоносную ссылку или откроют зараженное вложение.
Решения для реагирования на инциденты
Обеспечение готовности к серьезным инцидентам — это важная часть защиты компании от угроз. Если в компании сформирована команда реагирования на инциденты, то люди будут знать, что делать при атаках злоумышленников.
В то же время решения SIEM и SOAR, например Microsoft Sentinel, помогут выявлять инциденты и автоматически реагировать на них. Если у организации не так много ресурсов, можно заключить договор с поставщиком соответствующих услуг, который будет контролировать несколько этапов. Но в любом случае у компании должен быть план реагирования на инциденты: неважно, сформировали ли вы команду внутри компании или наняли сторонних специалистов.
Подробнее о Microsoft Security
Решения Майкрософт для защиты от угроз
Выявляйте инциденты в своей организации и реагируйте на них с помощью новейших средств защиты от угроз.
Microsoft Sentinel
Используйте функциональное решение SIEM на основе облачных и ИИ-технологий, чтобы выявлять и устранять сложные угрозы.
Microsoft Defender XDR
Блокируйте атаки на конечные точки, электронную почту, удостоверения, приложения и данные.
Вопросы и ответы
-
Реагирование на инциденты — это все действия, которые предпринимает организация при подозрении на нарушение безопасности. Цель состоит в том, чтобы как можно быстрее изолировать и устранить угрозу. При этом важно соблюсти требования к конфиденциальности данных и безопасно восстановить работу системы с минимальным ущербом для организации.
-
За реагирование на инциденты отвечает кросс-функциональная команда. Обычно за выявление, изоляцию и устранение угроз ответственны ИТ-специалисты. Однако реагирование на инциденты — это не просто поиск злоумышленников и блокирование атак. Руководители принимают принципиальные для компании решения, например о выплате выкупа. Юрисконсульты и специалисты по связям с общественностью помогают обеспечить соблюдение законов о конфиденциальности данных, включая надлежащее уведомление клиентов и госорганов. Если же угроза связана с сотрудником, отдел кадров рекомендует соответствующие меры.
-
CSIRT — это другое название команды реагирования на инциденты. Это кросс-функциональная команда, которая отвечает за управление всеми аспектами реагирования на инциденты, включая обнаружение, изоляцию и устранение угроз, восстановление работы системы, информирование людей внутри компании и за ее пределами, документирование и экспертизу для судебных разбирательств.
-
Большинство организаций используют решения SIEM или SOAR, которые помогают находить угрозы и реагировать на них. Обычно эти решения агрегируют данные из нескольких систем и используют машинное обучение для выявления реальных угроз. Они также позволяют автоматизировать реагирование на определенные виды угроз на основе готовых сценариев.
-
Жизненный цикл реагирования на инциденты можно разделить на шесть этапов:
- Подготовка происходит до выявления инцидента. На этом этапе определяется, какие события считаются инцидентами, а также настраиваются необходимые политики и процедуры для предотвращения, обнаружения, устранения угроз и восстановления после атак.
- На этапе выявления угрозы аналитики и инструменты автоматизации определяют, какие события являются реальными угрозами, которые нужно устранить.
- Изоляция угрозы — это действия, которые команда предпринимает, чтобы предотвратить ее распространение на другие ресурсы компании.
- Устранение угрозы подразумевает удаление вредоносных программ и злоумышленников из корпоративных систем.
- Восстановление включает перезапуск систем и устройств и возврат утраченных данных.
- Сбор данных и улучшение — это процессы, которые позволяют команде извлечь из инцидента уроки и скорректировать политики и процедуры.
Следите за новостями Microsoft Security