Trace Id is missing
Prejsť na hlavný obsah
Zabezpečenie od spoločnosti Microsoft

Čo je odozva na incidenty?

Preskúmajte, ako efektívna odozva na incidenty pomáha organizáciám zisťovať, riešiť a zastaviť kybernetické útoky.

Ďalšie informácie o riešení Microsoft Sentinel

Definícia odozvy na incidenty

Pred definovaním odozvy na incidenty je dôležité mať ujasnené, čo je incident. V oblasti IT existujú tri výrazy, ktoré sa niekedy používajú zameniteľne, ale znamenajú rôzne veci:

  1. Udalosť je neškodná akcia, ktorá sa vyskytuje často, napríklad vytvorenie súboru, odstránenie priečinka alebo otvorenie e-mailu. Udalosť sama o sebe zvyčajne nie je príznakom narušenia, ale pri spojení s inými udalosťami môže signalizovať hrozbu. 
  2. Upozornenie je oznámenie spúšťané udalosťou, ktorá môže, ale nemusí byť hrozbou.
  3. Incident je skupina korelovaných upozornení, ktoré ľudia alebo nástroje automatizácie považujú za skutočnú hrozbu. Každé upozornenie samo o sebe nemusí byť významnou hrozbou, ale ak ich je viac, naznačujú možné narušenie.

Odozva na incident sú akcie, ktorú organizácia vykoná, keď sa domnieva, že mohlo dôjsť k narušeniu zabezpečenia IT systémov alebo údajov. Odborníci na zabezpečenie napríklad budú konať, ak uvidia dôkaz o neoprávnenom používateľovi, malvéri alebo zlyhaní opatrení zabezpečenia.

Cieľom odozvy je čo najrýchlejšie eliminovať kybernetický útok, zotaviť sa, informovať zákazníkov alebo vládne agentúry podľa požiadaviek miestnych zákonov a zistiť, ako znížiť riziko podobného narušenia v budúcnosti.

Ako funguje odozva na incidenty?

Odozva na incident sa zvyčajne spustí, keď tím zabezpečenia dostane upozornenie zo systému pre riadenie informácií a udalostí zabezpečenia (SIEM).

Členovia tímu musia overiť, či je udalosť incidentom, a potom izolovať infikované systémy a odstrániť hrozbu. Ak je incident závažný alebo jeho vyriešenie trvá dlho, organizácie možno budú musieť obnoviť zálohované údaje, zaoberať sa výkupným alebo upozorniť zákazníkov, že ich údaje boli zneužité.

Z tohto dôvodu sú do odozvy zvyčajne zapojení aj iní ľudia okrem tímu kybernetickej bezpečnosti. Odborníci na ochranu osobných údajov, právnici a tvorcovia podnikových rozhodnutí pomôžu určiť prístup organizácie k incidentu a jeho následkom.

Typy bezpečnostných incidentov

Existuje niekoľko spôsobov, ako sa útočníci snažia získať prístup k údajom spoločnosti alebo inak ohroziť jej systémy a obchodné operácie. Tu je niekoľko najbežnejších:

  • Neoprávnené získavanie údajov

    Neoprávnené získavanie údajov alebo phishing je typ sociálneho inžinierstva, pri ktorom útočník používa e-mail, SMS správu alebo telefonický hovor na zosobnenie renomovanej značky alebo osoby. Typický útok neoprávneného získavania údajov sa pokúša presvedčiť príjemcov, aby si stiahli malvér alebo poskytli svoje heslo. Tieto útoky zneužívajú dôveru ľudí a využívajú psychologické techniky, ako je napríklad strach, ktorými presvedčia ľudí na vykonanie nejakej činnosti. Mnohé z týchto útokov nie sú namierené na konkrétnu osobu, ale dostanú sa k tisícom ľudí v nádeji, že aspoň jeden človek zareaguje. Sofistikovanejšia verzia s názvom cielené neoprávnené získavanie údajov (spear phishing) však využíva podrobný výskum na vytvorenie presvedčivej správy určenej pre jednu osobu.

  • Malvér

    Malvér je akýkoľvek softvér, ktorý je určený na poškodenie počítačového systému alebo exfiltráciu údajov. Dodáva sa v mnohých rôznych formách vrátane vírusov, ransomwaru, spywaru a trójskych koní. Útočníci inštalujú malvér využívaním nedostatočného zabezpečenia hardvéru a softvéru alebo tak, že na to presvedčia nejakého zamestnanca použitím techniky sociálneho inžinierstva.

  • Ransomware

    Pri útoku ransomwarom útočníci pomocou malvéru zašifrujú kritické údaje a systémy a potom hrozia zverejnením alebo zničením týchto údajov, ak obeť nezaplatí výkupné.

  • Útok zahltením servera služby

    Pri útoku zahltením servera služby (útok DDoS) útočník hrozby zahltí sieť alebo systém prenosmi, kým sa nespomalí alebo nezlyhá. Útočníci sa zvyčajne zameriavajú na významné spoločnosti, ako sú banky alebo vládne organizácie, s cieľom pripraviť ich o čas a peniaze, ale obeťami tohto typu útoku sa môžu stať organizácie všetkých veľkostí.

  • Muž uprostred

    Ďalším spôsobom, ktorý kyberzločinci používajú na odcudzenie osobných údajov, je vloženie sa do online konverzácie medzi ľuďmi, ktorí sa domnievajú, že komunikujú súkromne. Zachytávaním správ a ich kopírovaním alebo upravovaním pred odoslaním určenému príjemcovi sa pokúšajú vmanipulovať jedného účastníka do poskytnutia cenných údajov.

  • Hrozba zvnútra

    Napriek tomu, že väčšinu útokov vykonávajú ľudia mimo organizácie, tímy zabezpečenia musia dávať pozor aj na hrozby zvnútra. Zamestnanci a iní ľudia, ktorí majú oprávnene prístup k obmedzeným zdrojom, môžu neúmyselne alebo v niektorých prípadoch úmyselne spôsobovať únik citlivých údajov.

Čo je plán odozvy na incidenty?

Reagovanie na incident vyžaduje, aby tím účinne a efektívne spolupracoval na eliminácii hrozby a splnení regulačných požiadaviek. V týchto stresových situáciách ľahko dochádza k zmätkom a chybám, preto mnohé spoločnosti pristupujú k vypracovaniu plánu odozvy na incidenty. Takýto plán definuje roly a zodpovednosti a obsahuje kroky potrebné na správne vyriešenie a zdokumentovanie incidentu a informovanie o ňom.

Dôležitosť plánu odozvy na incidenty

Významný útok nielenže poškodzuje operácie organizácie, ale má vplyv aj na reputáciu podniku medzi zákazníkmi a komunitou a môže mať aj právne následky. Všetko vrátane toho, ako rýchlo tím zabezpečenia zareaguje na útok a ako vedúci pracovníci komunikujú o incidente, ovplyvňuje jeho celkové náklady.

Spoločnosti, ktoré skrývajú škody pred zákazníkmi a štátnymi orgánmi alebo ktoré neberú hrozbu dostatočne vážne, sa môžu dostať do konfliktu s predpismi. Tieto typy chýb sú bežnejšie, keď účastníci nemajú plán. V danej chvíli hrozí riziko, že ľudia budú robiť unáhlené rozhodnutia, ktoré budú motivované strachom a nakoniec poškodia organizáciu.

Dobre premyslený plán umožňuje ľuďom vedieť, čo majú robiť v každej fáze útoku, aby to nemuseli vymýšľať za chodu. A ak po zotavení existujú otázky od verejnosti, organizácia bude môcť presne ukázať, ako zareagovala, a poskytnúť zákazníkom istotu, že incident vzala vážne a implementovala kroky potrebné na zabránenie horšiemu výsledku.

Kroky odozvy na incidenty

Existuje viacero prístupov k reagovaniu na incidenty a mnohé organizácie sa spoliehajú na organizáciu bezpečnostných štandardov, ktorá ich prístup usmerňuje. SysAdmin Audit Network Security (SANS) je súkromná organizácia, ktorá ponúka šesťstupňový rámec odozvy, ktorý je uvedený nižšie. Mnohé organizácie prijímajú aj rámec zotavenia z incidentov vypracovaný organizáciou NIST (National Institute of Standards and Technology ).

  • Príprava – Pred výskytom incidentu je dôležité obmedziť zraniteľnosti  a definovať politiky a postupy zabezpečenia. V prípravnej fáze organizácie vykonávajú hodnotenie rizík s cieľom určiť, kde majú slabé stránky, a stanoviť priority prostriedkov. Táto fáza zahŕňa tvorbu a zdokonaľovanie postupov zabezpečenia, definovanie rolí a zodpovedností a aktualizáciu systémov na zníženie rizika. Väčšina organizácií túto etapu pravidelne prehodnocuje a vylepšuje politiky, postupy a systémy počas získavania poznatkov alebo zmeny technológií.
  • Identifikácia hrozieb – Každý deň môže tím zabezpečenia dostávať tisíce upozornení, ktoré naznačujú podozrivú aktivitu. Niektoré z nich sú nesprávne pozitívne alebo nemusia dosahovať úroveň incidentu. Po identifikácii incidentu sa tím zaoberá povahou narušenia a zdokumentuje zistenia vrátane zdroja narušenia, typu útoku a cieľov útočníka. V tejto fáze musí tím tiež informovať zúčastnené strany a oznámiť ďalšie kroky.
  • Obmedzenie hrozby – Ďalšou prioritou je čo najrýchlejšie obmedzenie hrozby. Čím dlhšie majú útočníci umožnený prístup, tým väčšie škody môžu urobiť. Tím zabezpečenia pracuje na rýchlom izolovaní napadnutých aplikácií alebo systémov pred zvyškom sietí. To pomáha zabrániť útočníkom v prístupe k iným častiam podniku.
  • Eliminácia hrozby – Po dokončení obmedzenia tím odstráni útočníka a všetok malvér z ovplyvnených systémov a zdrojov. Môže to zahŕňať odstavenie systémov do režimu offline. Tím tiež naďalej informuje zúčastnené strany o postupe.
  • Zotavenie a obnovenie – Obnovenie po incidente môže trvať niekoľko hodín. Po odstránení hrozby tím obnoví systémy, obnoví údaje zo zálohy a monitoruje ovplyvnené oblasti, aby sa uistil, že útočník sa nevráti.
  • Pripomienky a zdokonaľovanie – Po vyriešení incidentu tím skontroluje, čo sa stalo, a identifikuje vylepšenia, ktoré je možné vykonať v danom procese. Poučenie sa z tejto fázy pomáha tímu zlepšiť obranné mechanizmy organizácie.

Čo je tím odozvy na incidenty?

Tím odozvy na incidenty, ktorý sa nazýva aj tím odozvy na incidenty zabezpečenia počítačov (CSIRT), tím odozvy na kybernetické incidenty (CIRT) alebo tím odozvy na počítačové tiesňové prípady (CERT), tvorí skupina ľudí v organizácii, ktorí sú zodpovední za vykonávanie plánu odozvy na incidenty. Patria sem nielen ľudia, ktorí odstraňujú samotnú hrozbu, ale aj tí, ktorí prijímajú obchodné alebo právne rozhodnutia týkajúce sa incidentu. Typický tím má týchto členov:

  • Manažér odozvy na incidenty, často riaditeľ IT, dohliada na všetky fázy odozvy a informuje interné zúčastnené strany. 

  • Bezpečnostní analytici skúmajú incident a snažia sa pochopiť, čo sa deje. Zároveň dokumentujú svoje zistenia a zhromažďujú forenzné dôkazy.

  • Výskumníci hrozieb hľadajú informácie mimo organizácie, aby získali ďalšie súvislosti. 

  • Niekto z vedenia, napríklad riaditeľ pre informačnú bezpečnosť alebo riaditeľ IT, poskytuje usmernenia a slúži ako kontakt pre ostatných vedúcich pracovníkov.

  • Odborníci na ľudské zdroje pomáhajú riadiť hrozby zvnútra.

  • Hlavný právny zástupca pomáha tímu pri riešení otázok týkajúcich sa zodpovednosti a zabezpečuje zhromažďovanie forenzných dôkazov.

  • Odborníci na vzťahy s verejnosťou koordinujú presnú externú komunikáciu s médiami, zákazníkmi a ďalšími zúčastnenými stranami.

Tím odozvy na incidenty môže byť podmnožinou centra operácií zabezpečenia (SOC), ktoré spracúva operácie zabezpečenia nad rámec odozvy na incidenty.

Automatizácia odozvy na incidenty

Vo väčšine organizácií siete a riešenia zabezpečenia generujú oveľa viac upozornení zabezpečenia, než dokáže tím odozvy na incidenty reálne spravovať. Mnohé podniky implementujú automatizáciu odozvy na incidenty, aby sa mohli zamerať na legitímne hrozby. Automatizácia využíva umelú inteligenciu a strojové učenie na triedenie upozornení, identifikáciu incidentov a odstraňovanie hrozieb prostredníctvom vykonávania štandardizovaných postupov odozvy založených na programových skriptoch.

Security orchestration automation and response (SOAR) je kategória nástrojov zabezpečenia, ktoré podniky používajú na automatizáciu odozvy na incidenty. Tieto riešenia ponúkajú nasledujúce možnosti:

  • Korelácia údajov v rámci viacerých koncových bodov a riešení zabezpečenia na identifikáciu incidentov pre ľudí na riešenie.

  • Spustenie vopred naprogramovaného štandardizovaného postupu na izolovanie a riešenie známych typov incidentov.

  • Generovanie časovej osi skúmania s akciami, rozhodnutiami a forenznými dôkazmi, ktoré možno použiť na analýzu.

  • Zavedenie relevantných externých analytických nástrojov na ľudskú analýzu.

Implementácia plánu odozvy na incidenty

Vypracovanie plánu odozvy na incidenty sa môže zdať náročné, ale môže výrazne znížiť riziko, že vaša firma nebude počas závažného incidentu pripravená. Tu je postup, ako začať:

  • Identifikácia a stanovenie priority položiek

    Prvým krokom v pláne odozvy na incidenty je vedieť, čo chránite. Zdokumentujte dôležité údaje svojej organizácie vrátane toho, kde sa nachádzajú a aká je úroveň ich dôležitosti pre podnik.

  • Rozpoznanie potenciálnych rizík

    Každá organizácia má rôzne riziká. Oboznámte sa s najväčšími zraniteľnosťami svojej organizácie a vyhodnoťte spôsoby, ktorými by ich útočník mohol zneužiť. 

  • Vytvorenie postupov odozvy

    Počas stresového incidentu vám jasné postupy pomôžu zabezpečiť, aby sa incident riešil rýchlo a efektívne. Začnite definovaním toho, čo sa považuje za incident, a potom určte kroky, ktoré by mal váš tím podniknúť na odhalenie, izoláciu a zotavenie z incidentu, vrátane postupov na dokumentovanie rozhodnutí a zhromažďovanie dôkazov.

  • Vytvorenie tímu odozvy na incidenty

    Vytvorte tím zahŕňajúci viacero funkcií, ktorý bude zodpovedný za pochopenie postupov odozvy a reakciu v prípade incidentu. Nezabudnite jasne definovať úlohy a zohľadniť netechnické úlohy, ktoré môžu pomôcť pri rozhodovaní v súvislosti s komunikáciou a zodpovednosťou. Zahrňte niekoho z vedenia, kto bude obhajovať tím a jeho potreby na najvyšších úrovniach spoločnosti. 

  • Definovanie plánu komunikácie

    Plán komunikácie vás zbaví dohadov o tom, kedy a ako informovať ostatných v organizácii aj mimo nej o tom, čo sa deje. Premyslite si rôzne scenáre, ktoré vám pomôžu určiť, za akých okolností musíte informovať vedúcich pracovníkov, celú organizáciu, zákazníkov a médiá alebo iné externé zúčastnené strany.

  • Školenie zamestnancov

    Útočníci sa zameriavajú na zamestnancov na všetkých úrovniach organizácie, preto je veľmi dôležité, aby každý rozumel plánu odozvy a vedel, čo má robiť, ak má podozrenie, že sa stal obeťou útoku. Pravidelne testujte svojich zamestnancov, či dokážu rozpoznať phishingové e-maily, a uľahčite im informovanie tímu odozvy na incidenty, ak náhodou kliknú na škodlivé prepojenie alebo otvoria infikovanú prílohu. 

Riešenia odozvy na incidenty

Pripravenosť na závažný incident je dôležitou súčasťou zabezpečenia vašej organizácie pred hrozbami. Zriadenie interného tímu odozvy na incidenty vám dá istotu, že budete pripravení, ak sa stanete obeťou útočníka.

Využite výhody riešení SIEM a SOAR, ako je Microsoft Sentinel, ktoré využívajú automatizáciu, aby vám pomohli identifikovať incidenty a automaticky na ne reagovať. Organizácie s menšími zdrojmi môžu svoje tímy rozšíriť o poskytovateľa služieb, ktorý zvládne viacero fáz odozvy na incidenty. Či už však odozvy na incidenty zabezpečujete interne alebo externe, uistite sa, že máte plán.

Ďalšie informácie o zabezpečení od spoločnosti Microsoft

Microsoft Ochrana pred bezpečnostnými hrozbami

Identifikujte incidenty vo vašej organizácii a reagujte na ne pomocou najnovšej ochrany pred bezpečnostnými hrozbami.

Ďalšie informácie

Microsoft Sentinel

Odhaľte sofistikované hrozby a rázne na ne reagujte s výkonným riešením SIEM, ktoré používa cloud a umelú inteligenciu.

Ďalšie informácie

Microsoft Defender XDR

Zastavte útoky v koncových bodoch, e-mailoch, identitách, aplikáciách a údajoch.

Ďalšie informácie

Najčastejšie otázky

  • Odozva na incidenty sú všetky aktivity, ktoré organizácia vykonáva, keď má podozrenie na narušenie zabezpečenia. Cieľom je čo najrýchlejšie izolovať a vytesniť útočníkov, dodržiavať predpisy o ochrane údajov a bezpečne sa zotaviť s čo najmenšími škodami pre organizáciu.

  • Za odozvy na incidenty je zodpovedný tím zahŕňajúci viacero funkcií. IT oddelenie je zvyčajne zodpovedné za identifikáciu, izoláciu a zotavenie z hrozieb, no odozva na incidenty je viac než len hľadanie a zbavovanie sa útočníkov. V závislosti od typu útoku môže byť potrebné urobiť obchodné rozhodnutie, napríklad ako riešiť výkupné. Právni poradcovia a odborníci na vzťahy s verejnosťou pomáhajú zabezpečiť, aby organizácia dodržiavala zákony o ochrane osobných údajov vrátane vhodného informovania zákazníkov a štátne orgány. Ak hrozbu spáchal zamestnanec, oddelenie ľudských zdrojov odporučí vhodné opatrenia.

  • CSIRT je iný názov pre tím odozvy na incidenty. Zahŕňa tím ľudí z rôznych funkcií, ktorí sú zodpovední za riadenie všetkých aspektov odozvy na incidenty vrátane zisťovania, izolovania a eliminácie hrozieb, obnovy, internej a externej komunikácie, dokumentácie a forenzných analýz.

  • Väčšina organizácií používa riešenie SIEM alebo SOAR na pomoc pri identifikácii hrozieb a odozve na ne. Tieto riešenia zvyčajne agregujú údaje z viacerých systémov a využívajú strojové učenie na identifikáciu skutočných hrozieb. Môžu tiež automatizovať odozvu na určité druhy hrozieb na základe vopred naprogramovaných štandardizovaných postupov.

  • Životný cyklus odozvy na incidenty zahŕňa šesť etáp:

    1. Príprava prebieha ešte pred identifikáciou incidentu a zahŕňa definíciu toho, čo organizácia považuje za incident, a všetky politiky a postupy potrebné na prevenciu, detekciu, elimináciu a obnovu po útoku.
    2. Identifikácia hrozieb je proces, ktorý využíva ľudských analytikov aj automatizáciu na identifikáciu toho, ktoré udalosti sú skutočnými hrozbami a je potrebné ich riešiť.
    3. Obmedzenie hrozby je činnosť, ktorú tím vykonáva s cieľom izolovať hrozbu a zabrániť jej v infikovaní ďalších oblastí podniku. 
    4. Eliminácia hrozby zahŕňa kroky na odstránenie malvéru a útočníkov z organizácie.
    5. Zotavenie a obnovenie zahŕňa reštartovanie systémov a počítačov a obnovenie všetkých stratených údajov. 
    6. Pripomienky a zdokonaľovanie je proces, pomocou ktorého tím odhaľuje ponaučenia z incidentu s cieľom zaviesť tieto poznatky do politík a postupov. 

Sledujte Microsoft