This is the Trace Id: f711d68be8170d295eb9ec8831b56136
Перейти до основного Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Переглянути всі продукти Кібербезпека на основі ШІ Безпека в хмарі Безпеки й система керування даними Доступ до ідентичностей і мережі Захист конфіденційності та керування ризиками Захист для ШІ Для малого та середнього бізнесу Уніфіковані операції системи безпеки Нульова довіра Ціни Послуги Партнери Переваги Захисного комплексу Microsoft Поінформованість про кібербезпеку Історії клієнтів Основи безпеки Ознайомлювальні версії продуктів Визнання в галузі Microsoft Security Insider Звіт про цифровий захист (Digital Defense Report) від корпорації Майкрософт Центр реагування на кіберзагрози Блоґ про Захисний комплекс Microsoft Заходи, присвячена Захисному комплексу Microsoft Спільнота технічних спеціалістів Microsoft Документація Бібліотека технічного вмісту Навчання та сертифікація Програма забезпечення відповідності вимогам для Microsoft Cloud Центр безпеки та конфіденційності Microsoft Портал надійності Microsoft Ініціатива щодо безпечного майбутнього Центр рішень для бізнесу Зв’язатися з відділом збуту Почати безкоштовне ознайомлення Захисний комплекс Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Гібридна реальність Microsoft HoloLens Microsoft Viva Квантові обчислення Сталий розвиток Освіта Автомобілі Фінансові послуги Державні установи Охорона здоров’я Виробництво Торгівля Знайти партнера Стати партнером Мережа партнерів Microsoft Marketplace Компанії з розробки ПЗ Блоґ Microsoft Advertising Центр розробників Документація Заходи Ліцензування Microsoft Learn Дослідження Microsoft Переглянути карту сайту
людина працює з великим сенсорним дисплеєм

Що таке реагування на інциденти?

Дізнайтеся, як ефективне реагування на інциденти допомагає організаціям виявляти кібератаки, зупиняти їх і усувати їхні наслідки.
Дізнайтеся більше про Microsoft Sentinel

Визначення реагування на інциденти

Перш ніж визначати, як реагувати на інцидент, важливо чітко зрозуміти, що таке інцидент. У ІТ є три терміни, які іноді використовуються взаємозамінно, але означають різні речі.
 

  1. Подія – це нешкідлива дія, яка часто трапляється, як от, створення файлу, видалення папки або відкриття електронного листа. Сама по собі подія зазвичай не є ознакою порушення, але в поєднанні з іншими подіями може сигналізувати про загрозу. 
  2. Оповіщення – це сповіщення, ініційоване подією, що може становити або не становити загрозу.
  3. Інцидент – це група взаємопов’язаних оповіщень, які люди або засоби автоматизації визнали такими, що можуть становити реальну загрозу. Кожне оповіщення може не бути серйозною загрозою, але в поєднанні вони вказують на можливе порушення безпеки.

Реагування на інциденти – це дії, які виконує організація, якщо вважає, що ІТ-системи або дані могли постраждати. Наприклад, фахівці з безпеки діятимуть, якщо виявлять ознаки присутності неавторизованого користувача, зловмисних програм або збоїв у заходах безпеки.

Мета реагування – усунути кібератаку якомога швидше, відновити систему, сповістити клієнтів або державні установи відповідно до регіональних законів і дізнатися, як знизити ризик аналогічного порушення в майбутньому.

Як діє реагування на інциденти?

Реагування на інциденти зазвичай починається, коли команда безпеки отримує оповіщення від системи керування захистом інформації (SIEM).

Учасникам команди потрібно переконатися, що подія відповідає вимогам інциденту, а потім ізолювати інфіковані системи й видалити загрозу. Якщо інцидент серйозний або займає багато часу, організаціям може знадобитися відновити резервну копію даних, вирішити питання викупу або сповістити клієнтів про порушення безпеки їхніх даних.

З цієї причини до реагування зазвичай залучаються люди, які не належать до команди кібербезпеки. Експерти з питань конфіденційності, адвокати й особи, які приймають рішення щодо бізнесу, допомагають визначити підхід організації до інциденту та його усунення.

Типи інцидентів із безпекою

Існує кілька способів, якими зловмисники намагаються отримати доступ до даних компанії або іншим чином поставити під загрозу її системи й бізнес-операції. Нижче наведено кілька найпоширеніших дій.

Фішинг

Фішинг – це тип соціотехніки, коли зловмисник використовує електронну пошту, текст або телефонний дзвінок, щоб видати себе за авторитетний бренд або особу. Під час типової фішингової атаки зловмисники намагаються переконати користувача завантажити зловмисну програму або повідомити свій пароль. Ці атаки експлуатують довіру людей і використовують психологічні прийоми, як-от страх, щоб змусити людей діяти. Багато таких атак є нецільовими, вони спрямовані на тисячі людей у надії, що лише один відгукнеться. Однак у складнішій версії під назвою "цільовий фішинг" використовуються глибокі дослідження, щоб створити повідомлення, яке повинно бути переконливим для одного користувача.

Шкідливе програмне забезпечення

Зловмисні програми – це будь-яке програмне забезпечення, призначене, щоб завдати шкоди комп’ютерній системі або спричинити витік даних. Вони бувають різних форм, зокрема віруси, зловмисні програми з вимогою викупу, шпигунські та троянські програми. Зловмисники інсталюють зловмисні програми, використовуючи вразливості апаратного й програмного забезпечення або переконуючи працівника зробити це за допомогою методу соціотехніки.

Зловмисні програми з вимогою викупу

Під час атаки зловмисних програм із вимогою викупу використовуються зловмисні програми для шифрування критично важливих даних і систем, а потім жертві погрожують оприлюднити дані або знищити їх, якщо вона не заплатить викуп.

Відмова в обслуговуванні

Під час атаки "відмова в обслуговуванні" (DDoS-атаки) джерело загрози перевантажує мережу чи систему трафіком, доки вона не сповільнить роботу або не вийде з ладу. Зазвичай зловмисники націлені на високопрофільні компанії, як-от банки або державні органи, з метою заощадити їм час і гроші, але організації будь-якого розміру можуть стати жертвами атаки такого типу.

Атака зловмисного посередника

Ще один метод, який використовують кіберзлочинці для викрадення персональних даних, – це втручання посеред онлайн-розмови між людьми, які вважають, що вони спілкуються приватно. Перехоплюючи повідомлення, копіюючи їх або змінюючи перед відправленням адресату, вони намагаються маніпулювати одним з учасників, щоб змусити його передати їм цінні дані.

Внутрішня загроза

Хоча більшість атак ведуть користувачі поза межами організації, командам безпеки також потрібно шукати внутрішні загрози. Співробітники й інші особи, які на законних підставах мають допуск до ресурсів з обмеженим доступом, можуть ненавмисно, а в деяких випадках і навмисно спричинити витік делікатних даних.

Несанкціонований доступ

Багато порушень безпеки починаються з викрадених облікових даних. Незалежно від того, чи отримують зловмисники паролі за допомогою фішингової кампанії або вгадують типовий пароль, отримавши доступ до системи, вони можуть інсталювати зловмисні програми, здійснювати мережеву інформаційну розвідку або делегувати свої права, щоб отримати доступ до більш конфіденційних систем і даних.

Що таке план реагування на інциденти?

Під час реагування на інцидент команда повинна ефективно й результативно працювати разом, щоб усунути загрозу та задовольнити регуляторні вимоги. У таких стресових ситуаціях легко розхвилюватись і припуститися помилок, саме тому багато компаній розробляють план реагування на інциденти. План визначає ролі та обов’язки й включає кроки, необхідні для належного вирішення та документування інциденту й повідомлення про нього.

Важливість плану реагування на інциденти

Значна атака не лише завдає шкоди діяльності організації, а й впливає на репутацію бізнесу серед клієнтів і громадськості, а також може мати юридичні наслідки. На загальні витрати впливає все, зокрема те, як швидко команда безпеки реагує на атаку та як керівники повідомляють про інцидент, що стався.

Компанії, які приховують збитки від клієнтів і державних установ або не сприймають загрозу достатньо серйозно, можуть порушити законодавство. Такі помилки трапляються частіше, коли відсутній план реагування. У запалі моменту існує ризик, що люди прийматимуть необдумані рішення під впливом страху, які в підсумку можуть зашкодити організації.

Добре продуманий план дає людям змогу знати, що вони мають робити на кожному етапі атаки, тож їм не доведеться вигадувати його на ходу. А після відновлення, якщо в громадськості виникнуть запитання, організація зможе показати, як саме вона відреагувала, і дати клієнтам упевненість у тому, що вона серйозно поставилася до інциденту й здійснила кроки, необхідні для запобігання гіршому результату.

Кроки з реагування на інциденти

Існує кілька підходів до реагування на інциденти, і багато організацій покладаються на організацію зі стандартів безпеки, яка керує їхнім підходом. SysAdmin Audit Network Security (SANS) – це приватна організація, яка пропонує система шести кроків реагування – Довідник обробника інцидентівшестикрокову систему реагування, наведену нижче. Багато організацій також застосовують систему відновлення після інцидентів Національного інституту стандартизації та технологій (NIST).
 
  • Підготовка. Перш ніж інцидент станеться, важливо зменшити вразливості й визначити політику та процедури безпеки. На етапі підготовки організації проводять оцінку ризиків, щоб визначити свої слабкі місця й установити пріоритетність активів. Цей етап включає розробку й вдосконалення процедур безпеки, визначення ролей та обов’язків, а також оновлення систем для зменшення ризиків. Більшість організацій регулярно повертаються до цього етапу та вдосконалюють політику, процедури й системи відповідно до накопиченого досвіду або змін у технологіях.
  • Ідентифікація загроз. За один день команда безпеки може отримати тисячі оповіщень, які вказують на підозрілу активність. Деякі з них є помилковими або не досягають рівня інциденту. Після виявлення інциденту команда вивчає характер порушення та документує результати, зокрема, джерело порушення, тип атаки й цілі зловмисника. На цьому етапі команда також має інформувати зацікавлені сторони й повідомляти про подальші кроки.
  • Локалізація загрози. Наступним пріоритетом є якнайшвидша локалізація загрози. Що довше зловмисники мають доступ до системи, то більшої шкоди вони можуть завдати. Команда безпеки працює над тим, щоб швидко ізолювати програми або системи, які зазнали атаки, від решти мереж. Це допомагає запобігти доступу зловмисників до інших частин бізнесу.
  • Усунення загрози. Після завершення локалізації команда видаляє зловмисника та будь-які зловмисні програми з уражених систем і ресурсів. Це може передбачати виведення систем в офлайн. Команда також продовжує інформувати зацікавлені сторони про прогрес.
  • Відновлення. Відновлення після інциденту може зайняти кілька годин. Коли загроза зникає, команда відновлює системи й дані з резервних копій і контролює уражені області, щоб переконатися, що зловмисник не повернеться.
  • Зворотний зв’язок і доопрацювання. Коли інцидент вирішено, команда аналізує те, що сталося, і визначає, як удосконалити процес. Навчання на цьому етапі допомагає команді посилити захист організації.

Що таке служба реагування на інциденти?

Команда з реагування на інциденти, яку також називають командою з реагування на інциденти комп’ютерної безпеки (CSIRT), командою з реагування на інциденти кібербезпеки (CIRT) або командою з реагування на комп’ютерні надзвичайні ситуації (CERT), включає міжфункціональну групу осіб в організації, які відповідають за виконання плану реагування на інциденти. Сюди входять не лише працівники, які усувають загрозу, а й ті, хто приймає ділові або юридичні рішення, пов’язані з інцидентом. Зазвичай команда включає вказаних нижче учасників.
 
  • Менеджер із реагування на інциденти, часто директор з інформаційних технологій, контролює всі етапи реагування й інформує внутрішні зацікавлені сторони. 
     
  • Аналітики з безпеки досліджують інцидент, щоб зрозуміти, що відбувається. Вони також документують висновки й збирають докази.
     
  • Дослідники загроз шукають інформацію за межами організації, щоб зібрати аналітичні дані, які надають додатковий контекст. 
     
  • Представник керівництва, наприклад, керівник служби інформаційної безпеки або керівник відділу інформаційних технологій, надає вказівки та слугує зв’язковим для інших керівників.
     
  • Фахівці з управління персоналом допомагають боротися з внутрішніми загрозами.
     
  • Головний юрисконсульт допомагає команді зорієнтуватися в питаннях відповідальності й забезпечує збір судових доказів.
     
  • Фахівці зі зв’язків із громадськістю координують точну зовнішню комунікацію зі ЗМІ, клієнтами й іншими зацікавленими сторонами.
Команда з реагування на інциденти може бути підгрупою центру безпечних операцій (SOC), який займається безпечними операціями, що виходять за рамки реагування на інциденти.



Автоматизація реагування на інциденти

У більшості організацій мережі й рішення з безпеки генерують набагато більше сповіщень, ніж команда з реагування на інциденти може реально обробити. Щоб допомогти їй зосередитися на реальних загрозах, багато компаній упроваджують систему автоматизації реагування на інциденти. Система автоматизації використовує ШІ та машинне навчання для сортування оповіщень, ідентифікації інцидентів і усунення загроз шляхом виконання плану дій реагування на основі програмних сценаріїв.

Автоматизована відповідь на питання безпеки (SOAR) – це категорія інструментів безпеки, які компанії використовують для автоматизації реагування на інциденти. Ці рішення пропонують такі можливості.
 
  • Зіставлення даних із різних кінцевих точок і рішень безпеки для виявлення інцидентів, які потребують подальших дій із боку людини.
     
  • Запуск заздалегідь написаного плану дій для ізоляції та усунення відомих типів інцидентів.
     
  • Створення графіку розслідування, що включає дії, рішення й докази, які можуть бути використані для аналізу.
     
  • Залучення відповідних зовнішніх даних для аналізу людиною.



Реалізація плану реагування на інциденти

Розробка плану реагування на інциденти може здатися складним завданням, але це може значно знизити ризик того, що ваш бізнес виявиться непідготовленим під час серйозного інциденту. Ось як ви можете почати роботу:

Визначення й пріоритезація активів

Першим кроком у плані реагування на інцидент є розуміння того, що ви захищаєте. Задокументуйте критично важливі дані вашої організації, зокрема їхнє місцезнаходження й рівень важливості для бізнесу.

Визначення потенційних ризиків

Кожна організація стикається з різними ризиками. Ознайомтеся з найбільш вразливими місцями вашої організації та оцініть, як зловмисник може їх використати. 

Розробка процедур реагування

Під час стресового інциденту наявність чітких процедур допоможе швидко й ефективно вирішити проблему. Почніть із визначення того, що вважається інцидентом, а потім визначте кроки, які ваша команда має вжити для виявлення, ізоляції та відновлення після інциденту, включно з процедурами документування рішень і збору доказів.

Створення команди з реагування на інциденти

Створіть міжфункціональну команду, яка відповідатиме за розуміння процедур реагування та мобілізацію в разі інциденту. Обов’язково чітко визначте ролі та врахуйте нетехнічні ролі, які можуть допомогти в прийнятті рішень, пов’язаних із комунікацією та відповідальністю. Включіть до складу виконавчої команди когось, хто буде відстоювати інтереси команди та її потреби на найвищих рівнях компанії. 

Визначення плану комунікацій

План комунікацій позбавить вас від необхідності здогадуватися, коли і як повідомляти іншим всередині та поза організацією про те, що відбувається. Продумайте різні сценарії, які допоможуть вам визначити, за яких обставин потрібно інформувати керівників, усю організацію, клієнтів, а також ЗМІ та інші зовнішні зацікавлені сторони.

Навчання працівників

Зловмисники атакують співробітників на всіх рівнях організації, тому важливо, щоб усі розуміли ваш план реагування та знали, що робити, якщо вони підозрюють, що стали жертвою атаки. Періодично тестуйте своїх співробітників, щоб переконатися, що вони вміють розпізнавати фішингові електронні листи, і щоб їм було легко повідомити команду реагування на інциденти, якщо вони випадково натиснули шкідливе посилання або відкрили заражене вкладення.

Рішення для реагування на інциденти

Підготовка до серйозного інциденту – це важлива частина захисту вашої організації від загроз. Створення внутрішньої команди з реагування на інциденти дасть вам упевненість у тому, що ви будете готові, якщо станете жертвою зловмисника.

Скористайтеся перевагами рішень SIEM і SOAR, як-от Microsoft Sentinel, що використовують систему автоматизації для виявлення інцидентів та автоматичного реагування на них. Організації з меншими ресурсами можуть посилити свої команди за допомогою постачальника послуг, який може впоратися з кількома етапами реагування на інциденти. Але незалежно від того, чи будете ви залучати зовнішніх спеціалістів до реагування на інциденти, переконайтеся, що у вас є план.



Людина працює на ноутбуку з моніторами, що показують код

Захист від загроз Microsoft

Виявляйте інциденти у вашій організації та реагуйте на них за допомогою новітніх засобів захисту від загроз.
Ознайомитися
Дві людини користуються комп’ютерами в офісі

Реагування на інциденти Microsoft

Отримуйте допомогу до, під час і після кіберінциденту за допомогою комплексних проактивних і реактивних служб реагування на інциденти.
Ознайомитися
користування смартфоном біля ноутбука за столом

Microsoft Sentinel

Об’єднайте дані та контекст безпеки для захисту на основі агентів за допомогою платформи з орієнтацією на ШІ.
Ознайомитися
двоє колег переглядають дані на ноутбуці за столом.

Microsoft Defender XDR

Зупиняйте атаки на кінцеві точки, електронну пошту, ідентичності, програми й дані.
Ознайомитися
Повернутися до розділу "Пов’язані продукти"
Запитання й відповіді

Запитання й відповіді

  • Реагування на інцидент – це всі дії, яких виконує організація, коли виникає підозра на порушення безпеки. Мета полягає в тому, щоб якомога швидше ізолювати й ліквідувати зловмисників, дотриматись правил конфіденційності даних і безпечно відновити роботу з мінімальною шкодою для організації.
  • За реагування на інцидент відповідає функціональна команда. Зазвичай ІТ-відділ відповідає за виявлення, ізоляцію та відновлення після загроз, однак реагування на інциденти не обмежується лише пошуком і усуненням зловмисників. Залежно від типу атаки, комусь може знадобитися прийняти бізнес-рішення, наприклад, як вирішити питання щодо викупу. Юрисконсульт і фахівці зі зв’язків із громадськістю допомагають забезпечити дотримання організацією законів про конфіденційність даних, зокрема пов’язаних із належним інформуванням клієнтів та державних установ. Якщо загрозу створює працівник, відділ управління персоналом надає рекомендації щодо відповідних дій.
  • CSIRT – це ще одна назва команди з реагування на інциденти. Вона включає функціональну команду людей, які відповідають за управління всіма аспектами реагування на інциденти, зокрема, виявлення, ізоляцію та усунення загрози, відновлення, внутрішню й зовнішню комунікацію, документацію та експертний аналіз.
  • Більшість організацій використовують рішення SIEM або SOAR для виявлення загроз і реагування на них. Ці рішення зазвичай об’єднують дані з кількох систем і використовують машинне навчання для виявлення справжніх загроз. Вони також можуть автоматизувати реагування на певні види загроз на основі заздалегідь створених планів дій.
  • Життєвий цикл реагування на інциденти включає шість етапів:
     
    1. Підготовка відбувається до виявлення інциденту та включає визначення того, що організація вважає інцидентом, а також усіх політик і процедур, необхідних для запобігання, виявлення, усунення й відновлення після атаки.
    2. Ідентифікація загроз – це процес, який використовує як людей-аналітиків, так і систему автоматизації для визначення того, які події є реальними загрозами, що потребують реагування.
    3. Локалізація загрози – це дії, які команда вживає для ізоляції загрози й запобігання її поширенню на інші сфери бізнесу. 
    4. Усунення загроз включає кроки з видалення зловмисних програм і зловмисників з організації.
    5. Відновлення передбачає перезапуск систем і комп’ютерів, а також повернення всіх втрачених даних. 
    6. Зворотний зв’язок і доопрацювання – це процес, який команда використовує для того, щоб винести уроки з інциденту й застосувати їх у політиках і процедурах. 

Підпишіться на новини про Захисний комплекс Microsoft

Copilot для організацій Copilot для особистого використання Microsoft 365 Ознайомтеся з продуктами Microsoft Програми для Windows 11 Профіль облікового запису Центр завантажень Повернення Відстеження замовлення Microsoft для освіти Пристрої для освіти Microsoft Teams для освіти Microsoft 365 Education Office Education Підвищення кваліфікації викладачів Спеціальні пропозиції для студентів і батьків Azure для студентів
ШІ від Microsoft Захисний комплекс Microsoft Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Розробник Microsoft Microsoft Learn Підтримка ШІ-програм на Marketplace Технічна спільнота Microsoft Microsoft Marketplace Microsoft Power Platform Компанії з розробки ПЗ Visual Studio Вакансії Конфіденційність у Microsoft Інвестори
Українська (Україна) Конфіденційність інформації про здоров’я споживачів Звернутися до корпорації Microsoft Конфіденційність Керування файлами cookie Умови використання Товарні знаки Відомості про рекламу