Trace Id is missing
Preskoči na glavno vsebino
Microsoftova varnost

Kaj je odziv na dogodek?

Raziščite, kako lahko organizacije z učinkovitim odzivom na dogodek odkrijejo, obravnavajo in ustavijo kibernetske napade.

Definicija odziva na dogodek

Preden določite odziv na dogodek, se morate najprej seznaniti z definicijo dogodka. Na področju IT-ja so na voljo trije izrazi, ki so včasih izmenljivi, vendar pomenijo različne stvari:

  1. Dogodek je neškodljivo pogosto dejanje, na primer ustvarjanje datoteke, brisanje mape ali odpiranje e-poštnega sporočila. Dogodek sam po sebi običajno ni znak kršitve, skupaj z drugimi dogodki pa lahko pomeni grožnjo. 
  2. Opozorilo je obvestilo, ki ga sproži dogodek, ki je lahko morebitna grožnja.
  3. Incident je skupina povezanih opozoril, za katere so ljudje ali orodja za avtomatizacijo ocenili, da lahko predstavljajo resnično grožnjo. Posamezna opozorila sama po sebi morda ne predstavljajo večje grožnje, skupaj z drugimi opozorili pa lahko pomenijo morebitno kršitev.

Odzivi na dogodek so ukrepi, ki jih organizacija izvede, ko meni, da je prišlo do kršitve varnosti sistemov IT ali podatkov. Varnostni strokovnjaki bodo na primer ukrepali, če opazijo dokaze o nepooblaščenem uporabniku, zlonamerni programski opremi ali nedelovanju varnostnih ukrepov.

Cilji odziva so čim hitrejša odprava kibernetskega napada, obnovitev, obveščanje strank ali vladnih ustanov v skladu z regionalnimi zakoni, in učenje, kako zmanjšati tveganje podobnih kršitev v prihodnosti.

Kako deluje odziv na dogodek?

Odziv na dogodek se običajno začne, ko varnostna ekipa prejme verodostojno opozorilo iz sistema za upravljanje varnostnih informacij in dogodkov (SIEM).

Člani ekipe morajo preveriti, ali dogodek izpolnjuje pogoje incidenta, nato pa izolirati prizadete sisteme in odstraniti grožnjo. Če je dogodek resen oziroma njegovo odpravljanje traja dlje časa, morajo organizacije morda obnoviti varnostne kopije podatkov, se spopasti z morebitnimi zahtevami glede odkupnine ali obvestiti stranke, da so bili njihovi podatki ogroženi.

Zato so v odziv običajno poleg ekipe za kibernetsko varnost vključeni tudi drugi ljudje. Strokovnjaki za zasebnost, pravniki in poslovni nosilci odločanja nudijo pomoč pri določanju pristopa organizacije k dogodku in njegovim posledicam.

Vrste varnostnih dogodkov

Napadalci poskušajo na več načinov pridobiti podatke podjetja ali kako drugače ogroziti njegove sisteme in poslovne postopke. V nadaljevanju so predstavljeni najpogostejši načini:

  • Lažno predstavljanje

    Lažno predstavljanje je vrsta socialnega inženiringa, kjer napadalec pooseblja ugledno blagovno znamko ali osebo z uporabo e-poštnega sporočila, besedila ali telefonskega klica. Običajni napad z lažnim predstavljanjem poskuša prepričati prejemnike k prenosu zlonamerne programske opreme ali posredovanju gesla. Ti napadi izkoriščajo zaupanje ljudi in uporabljajo psihološke tehnike, kot je strah, da bi prisilili ljudi k določenim dejanjem. Mnogi od teh napadov niso ciljno usmerjeni in so poslani na tisoče ljudem v upanju, da se bo le eden odzval. Pri bolj dovršeni različici, imenovani ciljano lažno predstavljanje, pa napadalci izvedejo podrobne raziskave, da ustvarijo prepričljivo sporočilo za določenega posameznika.
  • Zlonamerna programska oprema

    Zlonamerna programska oprema se nanaša na katero koli programsko opremo, ki je zasnovana tako, da škoduje računalniškemu sistemu ali nepooblaščeno filtrira podatke. Na voljo je v različnih oblikah, vključno z virusi, izsiljevalsko programsko opremo, vohunsko programsko opremo in trojanskimi konji. Akterji groženj namestijo zlonamerno programsko opremo tako, da izkorišča ranljivosti strojne in programske opreme oziroma v to prepriča zaposlenega s tehniko socialnega inženiringa.
  • Izsiljevalska programska oprema

    Pri napadu z izsiljevalsko programsko opremo akterji groženj z zlonamerno programsko opremo šifrirajo pomembne podatke in sisteme ter grozijo, da bodo podatke javno objavili ali jih uničili, če žrtev ne plača odkupnine.

  • Zavrnitev storitve

    Pri napadu za zavrnitev storitve (napad DDoS) akter grožnje preplavi omrežje ali sistem s prometom, dokler ta ni upočasnjen oziroma ali se sesuje. Napadalci običajno ciljajo ugledna podjetja, kot so banke ali vlade z namenom povzročitve izgube časa ali denarja, vendar so lahko žrtve takšnih napadov organizacije vseh velikosti.

  • Posrednik

    Še en način, ki ga kibernetski kriminalci uporabljajo za krajo osebnih podatkov, je, da se vključijo v spletni pogovor med ljudmi, ki mislijo, da komunicirajo zasebno. Prestrežejo sporočila, jih kopirajo ali spremenijo, nato pa pošljejo predvidenemu prejemniku z namenom manipuliranja z enim od udeležencev pogovora, da bi jim ta posredoval pomembne podatke.

  • Notranja grožnja

    Čeprav večino napadov izvedejo ljudje zunaj organizacije, morajo biti varnostne ekipe pozorne tudi na notranje grožnje. Zaposleni in druge osebe, ki lahko zakonito dostopajo do omejenih virov, lahko nenamerno ali v nekaterih primerih namerno posredujejo občutljive podatke.

Kaj je načrt za odziv na dogodek?

Za odziv na dogodek je potrebno učinkovito in uspešno sodelovanje ekipe, ki odpravi grožnjo in zagotovi skladnost z zakonskimi zahtevami. V takšnih stresnih razmerah zlahka postanemo zmedeni in delamo napake, zato številna podjetja pripravijo načrt za odzivanje na dogodke. V načrtu so določene vloge in odgovornosti ter vključeni koraki, potrebni za ustrezno reševanje in dokumentiranje dogodka ter obveščanje o njem.

Pomembnost načrta za odziv na dogodek

Obsežen napad ne škoduje le poslovanju organizacije, temveč vpliva tudi na ugled podjetja pri strankah in v skupnosti ter ima hkrati tudi pravne posledice. Na skupne stroške napada vplivajo različni dejavniki, vključno s tem, kako hitro se varnostna ekipa odzove na napad in kako vodje posredujejo informacije o dogodku.

Podjetja, ki prikrijejo škodo pred strankami in vladnimi ustanovami ali ki grožnje ne obravnavajo dovolj resno, lahko kršijo predpise. Takšne vrste napak so pogostejše, če udeleženci nimajo načrta. V trenutku panike obstaja nevarnost, da ljudje zaradi strahu sprejmejo nepremišljene odločitve, ki lahko škodujejo organizaciji.

Dobro premišljen načrt ljudem omogoča, da so seznanjeni z ukrepi, ki jih morajo izvesti v posameznih fazah napada, tako da jim ni treba sproti iskati rešitev. Če ima po zaustavitvi napada javnost določena vprašanja, lahko organizacija posreduje ustrezno dokumentirane korake odzivanja, s čimer strankam zagotovi, da je bil dogodek primerno obravnavan in so bili izvedeni potrebni ukrepi za preprečitev hujših posledic.

Koraki odziva na dogodek

Odziv na dogodek je mogoče obravnavati na več načinov, številne organizacije pa se pri tem zanašajo na organizacijo za varnostne standarde, ki usmerja njihov pristop. SysAdmin Audit Network Security (SANS) je zasebna organizacija, ki ponuja spodnje ogrodje za odziv v šestih korakih. Številne organizacije so sprejele tudi ogrodje za obnovitev po dogodku Državnega inštituta za standarde in tehnologijo (NIST).

  • Priprava – preden pride do dogodka, je pomembno, da zmanjšate ranljivosti ter določite varnostne pravilnike in postopke. V fazi priprave organizacije izvedejo oceno tveganja, da določijo morebitne pomanjkljivosti in prioriteto sredstev. Ta faza vključuje pisanje in izpopolnjevanje varnostnih postopkov, določanje vlog in odgovornosti ter posodabljanje sistemov za zmanjšanje tveganja. Večina organizacij redno pregleduje to fazo in uvaja izboljšave pravilnikov, postopkov ter sistemov, ko pridobijo nove informacije oziroma se tehnologije spremenijo.
  • Prepoznavanje groženj – vsak dan lahko varnostna ekipa prejme več tisoč opozoril, ki kažejo na sumljivo dejavnost. Nekatera od njih so napačne pozitivne prepoznave ali ne dosegajo ravni dogodka. Ko je dogodek prepoznan, ekipa preuči naravo kršitve in dokumentira ugotovitve, vključno z virom kršitve, vrsto napada in cilji napadalca. V tej fazi mora ekipa obvestiti tudi zainteresirane skupine in določiti nadaljnje korake.
  • Omejitev grožnje – naslednja prednostna naloga je čim hitrejša omejitev grožnje. Čim dlje imajo akterji groženj dostop, tem večjo škodo lahko povzročijo. Varnostna ekipa mora hitro osamiti napadene aplikacije ali sisteme od preostalih omrežij. S tem prepreči napadalcem dostop do drugih delov podjetja.
  • Odstranitev grožnje – ko je faza omejitve dokončana, ekipa odstrani napadalca ter morebitno zlonamerno programsko opremo iz prizadetih sistemov in virov. Ta postopek lahko vključuje prekinitev povezave s sistemi. Ekipa še naprej obvešča zainteresirane skupine o napredku.
  • Obnovitev – postopek obnovitve po dogodku lahko traja več ur. Ko je grožnja odpravljena, ekipa obnovi sisteme in podatke iz varnostnih kopij ter spremlja prizadeta območja, da se napadalec ne vrne.
  • Povratne informacije in izboljšave – ko je dogodek razrešen, ekipa pregleda, kaj se je zgodilo, in prepozna morebitne prihodnje izboljšave. Z učenjem v okviru te faze ekipa lažje izboljša obrambo organizacije.

Kaj je skupina za odzivanje na dogodek?

Skupina za odzivanje na dogodek, ki se imenuje tudi varnostna skupina za odzivanje na računalniške dogodke (CSIRT), skupina za odzivanje na kibernetske dogodke (CIRT) ali skupina za odzivanje na računalniške nujne primere (CERT), vključuje skupino ljudi različnih funkcij v organizaciji, ki so odgovorni za izvajanje načrta za odziv na dogodek. Ta skupina ne vključuje le oseb, ki odstranijo grožnjo, temveč tudi tiste, ki sprejemajo poslovne ali pravne odločitve, povezane z dogodkom. Običajna skupina vključuje te člane:

  • Vodja odziva na dogodek – pogosto je to direktor oddelka za IT – nadzira vse faze odzivanja in obvešča notranje zainteresirane skupine. 

  • Varnostni analitiki raziskujejo dogodek in poskušajo razumeti dogajanje. Svoje ugotovitve dokumentirajo in zbirajo forenzične dokaze.

  • Raziskovalci groženj zbirajo podatke obveščanja o grožnjah zunaj organizacije za namene pridobivanja dodatnega konteksta. 

  • Nekdo iz vodstva, na primer vodja za informacijsko varnost ali vodja informatike, zagotavlja smernice in ima vlogo povezovalca z drugimi vodstvenimi delavci.

  • Strokovnjaki za človeške vire pomagajo upravljati notranje grožnje.

  • Splošni svetovalec pomaga skupini pri reševanju težav glede odgovornosti in zagotavlja zbiranje forenzičnih dokazov.

  • Strokovnjaki za odnose z javnostmi usklajujejo natančno zunanjo komunikacijo z mediji, strankami in drugimi zainteresiranimi skupinami.

Skupina za odzivanje na dogodek je lahko podskupina središča za varnostne postopke (SOC), ki obravnava varnostne postopke , ki presegajo odzivanje na dogodek.

Avtomatizacija odziva na dogodek

V večini organizacij omrežja in varnostne rešitve ustvarijo veliko več varnostnih opozoril, kot jih lahko skupina za odzivanje na dogodek dejansko upravlja. Številna podjetja zato uvedejo avtomatizacijo odziva na dogodek, da se lahko lažje osredotočijo na utemeljene grožnje. Avtomatizacija uporablja umetno inteligenco in strojno učenje za razvrščanje opozoril, prepoznavanje dogodkov ter odpravljanje groženj z izvajanjem postopkovnega priročnika za odzivanje, ki temelji na programskih skriptih.

Varnostna orkestracija, avtomatizacija in odzivanje (SOAR) je kategorija varnostnih orodij, ki jih podjetja uporabljajo za avtomatizacijo odzivanja na dogodke. Te rešitve vključujejo naslednje zmogljivosti:

  • Povezovanje podatkov v več končnih točkah in varnostnih rešitvah za prepoznavanje dogodkov, ki jih morajo spremljati ljudje.

  • Izvajanje predhodno pripravljen postopkovnih priročnikov na podlagi skript za osamitev in obravnavanje znanih vrst dogodkov.

  • Ustvarjanje časovnice preiskave, ki vključuje ukrepe, odločitve in forenzične dokaze, ki jih lahko uporabite za analizo.

  • Uvajanje ustreznega zunanjega poslovnega obveščanja za namene izvajanja človeške analize.

Uvedba načrta za odziv na dogodek

Ustvarjanje načrta za odziv na dogodek se morda sliši zastrašujoče, vendar lahko z njim bistveno zmanjšate tveganje nepripravljenosti podjetja v primeru večjega dogodka. Tukaj so na voljo navodila za začetek:

  • Prepoznajte in prednostno razvrstite sredstva

    Prvi korak v načrtu za odziv na dogodek je, da veste, kaj ščitite. Dokumentirajte pomembne podatke organizacije, vključno s tem, kje so shranjeni in kako pomembni so za podjetje.

  • Določite morebitna tveganja

    Posamezne organizacije imajo različna tveganja. Seznanite se z največjimi ranljivostmi organizacije in ocenite, kako jih napadalec lahko izkoristi. 

  • Razvijte postopke odzivanja

    Med stresnim dogodkom jasni postopki omogočajo hitro in učinkovito obravnavanje dogodka. Najprej opredelite definicijo dogodka, nato pa določite korake, ki jih mora ekipa izvesti za odkrivanje in osamitev dogodka ter obnovitev po dogodku, vključno s postopki za dokumentiranje odločitev in zbiranje dokazov.

  • Ustvarite skupino za odzivanje na dogodek

    Sestavite ekipo različnih funkcij, ki je odgovorna za razumevanje postopkov odzivanja in mobilizacijo v primeru dogodka. Jasno določite vloge in upoštevajte netehnične vloge, ki lahko pripomorejo k lažjemu sprejemanju odločitev v zvezi s komunikacijo in odgovornostjo. V vodstveno ekipo vključite osebo, ki bo predstavnik ekipe in njenih potreb na najvišjih ravneh podjetja. 

  • Določite načrt za komunikacijo

    Z načrtom za komunikacijo odpravite ugibanja o tem, kdaj in kako obvestiti druge ljudi v organizaciji in zunaj nje o dogajanju. Razmislite o različnih scenarijih, v okviru katerih boste lažje določili okoliščine, ko morate obvestiti vodstvo, celotno organizacijo, stranke in medije ali druge zunanje zainteresirane skupine.

  • Usposabljate zaposlene

    Akterji groženj ciljajo zaposlene na vseh ravneh organizacije, zato je izjemno pomembno, da vsi razumejo načrt za odzivanje in so seznanjeni z ukrepi, ki jih morajo izvesti, če sumijo, da so žrtev napada. Redno preskušajte zaposlene, da preverite, ali lahko prepoznajo e-poštna sporočila z lažnim predstavljanjem, in jim omogočite preprosto obveščanje skupine za odzivanje na dogodke, če nenamerno kliknejo škodljivo povezavo ali odprejo okuženo prilogo. 

Rešitve odziva na dogodek

Priprava na večji dogodek je pomemben del zagotavljanja varnosti organizacije pred grožnjami. Uvedba notranje skupine za odzivanje na dogodke zagotavlja, da ste ustrezno pripravljeni, če postanete žrtev akterja groženj.

Izkoristite zmogljivosti rešitev SIEM in SOAR, kot je Microsoft Sentinel, kjer lahko z avtomatizacijo prepoznate dogodke in se samodejno odzovete nanje. Organizacije z manj viri lahko v svoje ekipe vključijo ponudnika storitev, ki lahko izvede več faz odziva na dogodek. Vedno imejte na voljo načrt, ne glede na to, ali za odzivanje na dogodke zaposlujete notranje ali zunanje sodelavce.

Več informacij o Microsoftovi varnosti

Zaščita pred grožnjami Microsoft

Prepoznajte dogodke v celotni organizaciji in se odzovite nanje z najnovejšimi funkcijami za zaščito pred grožnjami.

Microsoft Sentinel

Odkrivajte zapletene grožnje ter se odločno odzovite nanje z zmogljivo rešitvijo SIEM, ki uporablja tehnologijo oblaka in umetne inteligence.

Microsoft Defender XDR

Ustavite napade na različne končne točke, e-pošto, identitete, aplikacije in podatke.

Pogosta vprašanja

  • Odziv na dogodek so vse dejavnosti, ki jih organizacija izvede v primeru suma kršitve varnosti. Cilj je čim hitreje osamiti in odpraviti napadalce, upoštevati predpise glede zasebnosti podatkov in izvesti varno obnovitev s čim manjšo škodo za organizacijo.

  • Za odzivanje na dogodke je odgovorna skupina različnih funkcij. Oddelek za IT je običajno zadolžen za prepoznavanje in osamitev groženj ter obnovitev po njih, vendar je odzivanje na dogodke več kot le iskanje in odstranjevanje akterjev groženj. Glede na vrsto napada bo morda nekdo moral sprejeti poslovno odločitev, na primer kako obravnavati zahtevo po odkupnini. Pravni svetovalci in strokovnjaki za odnose z javnostmi nudijo pomoč pri zagotavljanju skladnosti organizacije z zakoni glede zasebnosti podatkov, vključno z ustreznim obveščanjem strank in vlad. Če je za grožnjo odgovoren zaposleni, kadrovska služba svetuje glede ustreznega ukrepanja.

  • CSIRT je drugo ime za skupino za odzivanje na dogodke. Vključuje skupino ljudi različnih funkcij, ki je odgovorna za upravljanje vseh vidikov odzivanja na dogodke, vključno z zaznavanjem, osamitvijo in odpravljanjem grožnje, obnovitvijo, notranjo in zunanjo komunikacijo, dokumentiranjem ter forenzično analizo.

  • Večina organizacij uporablja rešitev SIEM ali SOAR za namene lažjega prepoznavanja groženj in odzivanja nanje. Te rešitve običajno združujejo podatke iz več sistemov in uporabljajo strojno učenje za prepoznavanje resničnih groženj. Prav tako lahko avtomatizirajo odzivanje na določene vrste groženj na podlagi predhodno pripravljen postopkovnih priročnikov, ki temeljijo na skriptih.

  • Življenjski cikel odziva na dogodek vključuje šest stopenj:

    1. Priprava je postopek, izveden pred prepoznavanjem dogodka, ki vključuje določitev definicije dogodka za organizacijo ter vse pravilnike in postopke, potrebne za preprečevanje, zaznavanje in odpravljanje napada ter obnovitev po njem.
    2. Prepoznavanje groženj je postopek, kjer sta uporabljeni človeška analiza in avtomatizacija za prepoznavanje resničnih groženj, ki jih je treba obravnavati.
    3. Omejitev grožnje so ukrepi, ki jih ekipa izvede za osamitev grožnje in preprečitev njene širitve na druga področja poslovanja. 
    4. Odstranitev grožnje vključuje korake za odstranitev zlonamerne programske opreme in napadalcev iz organizacije.
    5. Obnovitev vključuje ponovni zagon sistemov in računalnikov ter obnovitev morebitnih izgubljenih podatkov. 
    6. Povratne informacije in izboljšave so postopek, ki ga ekipa izvede za prepoznavanje pridobljenega znanja v okviru dogodka ter uvajanje teh novih spoznanj v pravilnike in postopke. 

Spremljajte Microsoftovo varnost