Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Современные инструменты безопасности продолжают совершенствовать свою способность защищать сети и конечные точки организаций от киберпреступников. Но злоумышленники все еще иногда находят способ проникнуть внутрь.
Группы безопасности должны быть в состоянии остановить угрозы и восстановить нормальную работу как можно быстрее. Вот почему важно, чтобы эти группы не только располагали нужными инструментами, но и понимали, как эффективно реагировать на инцидент. Такие ресурсы, как шаблон реагирования на инциденты, можно настроить для определения плана с ролями и обязанностями, процессами и контрольным списком действий.
Но подготовка на этом не заканчивается. Команды должны постоянно обучаться адаптации по мере быстрого развития угроз. Каждый инцидент в сфере безопасности должен использоваться как образовательная возможность, помогающая организации лучше подготовиться к будущим инцидентам или даже предотвратить их.
Институт SANS определяет структуру, содержащую шесть шагов к успешному IR.
Да, это замедляет работу IR. Но более важно тщательно выполнять каждый этап, чем пытаться сэкономить время на ускоренных шагах.
1: Подготовка
Цель: подготовить вашу команду к эффективному реагированию на события.
Все — кто имеет доступ к вашим системам, должны быть готовы к инциденту, а не только группа реагирования на инциденты. В большинстве нарушений кибербезопасности виноват человеческий фактор. Итак, первым и наиболее важным шагом в области IR является обучение персонала тому, на что следует обращать внимание. Использование шаблонного плана реагирования на инциденты для определения ролей и обязанностей для всех участников — руководителей служб безопасности, менеджеров по операциям, групп службы поддержки, менеджеров по идентификации и доступу, а также аудита, соответствия требованиям, коммуникаций и руководителей — может обеспечить эффективную координацию.
Злоумышленники будут продолжать совершенствовать свои методы социальной инженерии и скрытого фишинга, чтобы стараться быть на шаг впереди обучающих и информационных кампаний. Хотя почти все теперь знают, что нужно игнорировать плохо написанное электронное письмо, в котором обещается вознаграждение в обмен на небольшой авансовый платеж, некоторые цели станут жертвами текстового сообщения в нерабочее время, выдавая себя за своего босса и прося помощи с срочной задачей. Для учета этих изменений ваше внутреннее обучение должно регулярно обновляться, чтобы отражать последние тенденции и методы.
Вашим специалистам по реагированию на инциденты - или центру управления безопасностью (SOC), если он у вас есть, — также потребуется регулярное обучение, в идеале основанное на моделировании реальных инцидентов. Интенсивные настольные упражнения могут повысить уровень адреналина и дать вашей команде представление о том, каково это - столкнуться с реальным инцидентом. Вы можете обнаружить, что некоторые члены команды сияют, когда горит огонь, в то время как другим требуется дополнительное обучение и руководство.
Другой частью вашей подготовки является определение конкретной стратегии реагирования. Наиболее распространенный подход заключается в локализации и ликвидации инцидента. Другой вариант - наблюдать за ходом инцидента, чтобы вы могли оценить поведение злоумышленника и определить его цели, предполагая, что это не причинит непоправимого вреда.
Помимо обучения и стратегии, технологии играют огромную роль в реагировании на инциденты. Журналы являются критически важным компонентом. Проще говоря, чем больше вы будете регистрировать, тем проще и эффективнее будет команде IR расследовать инцидент.
Кроме того, использование платформы обнаружения конечных точек и реагирования (EDR) или инструмента расширенного обнаружения и реагирования (XDR) с централизованным управлением позволит вам быстро предпринимать защитные действия, такие как изоляция компьютеров, отключение их от сети и масштабное выполнение команд противодействия.
Другие технологии, необходимые для IR, включают виртуальную среду, в которой можно анализировать журналы, файлы и другие данные, а также достаточно места для хранения этой информации. Вы же не хотите тратить время во время инцидента на настройку виртуальных машин и выделение места для хранения.
Наконец, вам понадобится система для документирования ваших выводов по инциденту, будь то с помощью электронных таблиц или специального инструмента для документирования IR. В вашей документации должны быть указаны временные рамки инцидента, какие системы и пользователи были затронуты, а также какие вредоносные файлы и индикаторы компрометации (IOC) вы обнаружили (как в данный момент, так и ретроспективно).
2: Идентификация
Цель: определить, были ли ваши данные взломаны, и собрать IOC.
Существует несколько способов определить, что инцидент произошел или в настоящее время продолжается.
Если настройки обнаружения для ваших продуктов безопасности установлены слишком высоко, вы будете получать слишком много предупреждений о незначительных действиях на ваших конечных точках и в сети. Это отличный способ перегружать вашу команду и может привести ко множеству игнорируемых предупреждений.
Обратный сценарий, при котором ваши настройки установлены на слишком низком уровне, не менее проблематичен, поскольку вы можете пропустить критические события. Сбалансированная система безопасности обеспечит необходимое количество оповещений, чтобы вы могли выявлять инциденты, заслуживающие дальнейшего расследования, не испытывая усталости от оповещения. Ваши поставщики средств безопасности могут помочь вам найти правильный баланс и, в идеале, автоматически фильтровать оповещения, чтобы ваша команда могла сосредоточиться на том, что важно.
На этапе идентификации вы задокументируете все показатели компрометации (IOC), полученные из предупреждений, такие как скомпрометированные хосты и пользователи, вредоносные файлы и процессы, новые разделы реестра и многое другое.
После того, как вы задокументируете все IOC, вы перейдете к этапу сдерживания.
3: Сдерживание
Цель: Минимизировать ущерб.
Сдерживание - это такая же стратегия, как и отдельный шаг в ИК.
Вам потребуется разработать подход, подходящий для вашей конкретной организации, с учетом последствий как для безопасности, так и для бизнеса. Хотя изоляция устройств или отключение их от сети может предотвратить распространение атаки по всей организации, это также может привести к значительному финансовому ущербу или другим последствиям для бизнеса. Эти решения должны быть приняты заблаговременно и четко сформулированы в вашей IR-стратегии.
Сдерживание может быть разбито как на краткосрочные, так и на долгосрочные этапы, с уникальными последствиями для каждого.
Дополнительные шаги на этом этапе включают документирование того, какие активы и угрозы содержались во время инцидента, а также группировку устройств на основе того, были ли они скомпрометированы или нет. Если вы не уверены, предполагайте худшее. Как только все устройства будут классифицированы и будут соответствовать вашему определению защиты, этот этап будет завершен.
Бонусный шаг: расследование
Цель: определить, кто, что, когда, где, почему, как.
На данном этапе стоит отметить еще один важный аспект IR: расследование.
Расследование проводится на протяжении всего процесса IR. Хотя это и не отдельный этап, его следует учитывать при выполнении каждого шага. Цель расследования - ответить на вопросы о том, к каким системам был осуществлен доступ и каковы причины взлома. Когда инцидент локализован, команды могут способствовать тщательному расследованию, собирая как можно больше релевантных данных из таких источников, как образы дисков и памяти, а также журналы.
Эта блок-схема наглядно демонстрирует общий процесс:
Возможно, вы знакомы с термином цифровая криминалистика и реагирование на инциденты (DFIR), но стоит отметить, что цели ИК-криминалистики отличаются от целей традиционной криминалистики. В ИК основная цель криминалистики - помочь максимально эффективно переходить от одного этапа к следующему, чтобы возобновить нормальные бизнес-операции.
Методы цифровой криминалистики предназначены для извлечения как можно большего количества полезной информации из любых захваченных улик и превращения ее в полезные разведданные, которые могут помочь составить более полную картину инцидента или даже помочь в судебном преследовании злоумышленника.
Точки данных, которые добавляют контекст к обнаруженным артефактам, могут включать в себя то, как злоумышленник вошел в сеть или перемещался по ней, к каким файлам был получен доступ или они были созданы, какие процессы были выполнены и многое другое. Конечно, это может быть трудоемким процессом, который может конфликтовать с IR.
Примечательно, что DFIR претерпел изменения с момента появления этого термина. Сегодня организации располагают сотнями или тысячами компьютеров, каждый из которых имеет сотни гигабайт или даже несколько терабайт хранилища, поэтому традиционный подход сбора и анализа полных образов дисков со всех скомпрометированных компьютеров больше не является практичным.
Текущие условия требуют более оперативного подхода, при котором фиксируется и анализируется конкретная информация с каждой скомпрометированной машины.
4: Устранение
Цель: убедиться, что угроза полностью устранена.
После завершения этапа локализации можно переходить к уничтожению, которое может быть выполнено либо с помощью очистки диска, восстановления в чистую резервную копию, либо полного перезапуска диска. Очистка включает в себя удаление вредоносных файлов и удаление или изменение разделов реестра. Повторная настройка означает переустановку операционной системы.
Прежде чем предпринимать какие-либо действия, команда IR захочет ознакомиться с любыми политиками организации, которые, например, требуют перепрофилирования определенных компьютеров в случае атаки вредоносного ПО.
Как и в случае с предыдущими шагами, документация играет определенную роль в устранении. Команда IR должна тщательно документировать действия, предпринятые на каждой машине, чтобы убедиться, что ничего не было пропущено. В качестве дополнительной проверки вы можете выполнить активное сканирование ваших систем на наличие каких-либо признаков угрозы после завершения процесса устранения.
5: Восстановление
Цель: вернуться к нормальной работе.
Все ваши усилия были направлены именно сюда! Этап восстановления - это когда вы можете возобновить работу в обычном режиме. Определение того, когда восстанавливать операции, является ключевым решением на данном этапе. В идеале это может произойти без задержек, но может потребоваться дождаться нерабочего времени в вашей организации или другого периода тишины.
Еще одна проверка, чтобы убедиться, что в восстановленных системах не осталось никаких IOC. Вам также необходимо определить, по-прежнему ли существует первопричина, и внедрить соответствующие исправления.
Теперь, когда вы узнали об инцидентах такого типа, вы сможете отслеживать их в будущем и устанавливать средства защиты.
6: Извлеченные уроки
Цель: задокументировать произошедшее и улучшить свои возможности.
Теперь, когда инцидент благополучно остался позади, пришло время поразмыслить над каждым важным шагом в области IR и ответить на ключевые вопросы. Существует множество вопросов и аспектов, которые следует задать и проанализировать, ниже приведены несколько примеров:
Затем цикл возвращается к подготовке, где вы можете внести необходимые улучшения, такие как обновление вашего шаблона плана реагирования на инциденты, технологий и процессов, а также обеспечить более качественную подготовку ваших сотрудников.
4 профессиональных совета, как оставаться в безопасности
Давайте завершим четырьмя заключительными предложениями, которые следует иметь в виду:
Группы безопасности должны быть в состоянии остановить угрозы и восстановить нормальную работу как можно быстрее. Вот почему важно, чтобы эти группы не только располагали нужными инструментами, но и понимали, как эффективно реагировать на инцидент. Такие ресурсы, как шаблон реагирования на инциденты, можно настроить для определения плана с ролями и обязанностями, процессами и контрольным списком действий.
Но подготовка на этом не заканчивается. Команды должны постоянно обучаться адаптации по мере быстрого развития угроз. Каждый инцидент в сфере безопасности должен использоваться как образовательная возможность, помогающая организации лучше подготовиться к будущим инцидентам или даже предотвратить их.
Институт SANS определяет структуру, содержащую шесть шагов к успешному IR.
- Подготовка
- Идентификация
- Сдерживание
- Устранение
- Восстановление
- Извлеченные уроки
Да, это замедляет работу IR. Но более важно тщательно выполнять каждый этап, чем пытаться сэкономить время на ускоренных шагах.
1: Подготовка
Цель: подготовить вашу команду к эффективному реагированию на события.
Все — кто имеет доступ к вашим системам, должны быть готовы к инциденту, а не только группа реагирования на инциденты. В большинстве нарушений кибербезопасности виноват человеческий фактор. Итак, первым и наиболее важным шагом в области IR является обучение персонала тому, на что следует обращать внимание. Использование шаблонного плана реагирования на инциденты для определения ролей и обязанностей для всех участников — руководителей служб безопасности, менеджеров по операциям, групп службы поддержки, менеджеров по идентификации и доступу, а также аудита, соответствия требованиям, коммуникаций и руководителей — может обеспечить эффективную координацию.
Злоумышленники будут продолжать совершенствовать свои методы социальной инженерии и скрытого фишинга, чтобы стараться быть на шаг впереди обучающих и информационных кампаний. Хотя почти все теперь знают, что нужно игнорировать плохо написанное электронное письмо, в котором обещается вознаграждение в обмен на небольшой авансовый платеж, некоторые цели станут жертвами текстового сообщения в нерабочее время, выдавая себя за своего босса и прося помощи с срочной задачей. Для учета этих изменений ваше внутреннее обучение должно регулярно обновляться, чтобы отражать последние тенденции и методы.
Вашим специалистам по реагированию на инциденты - или центру управления безопасностью (SOC), если он у вас есть, — также потребуется регулярное обучение, в идеале основанное на моделировании реальных инцидентов. Интенсивные настольные упражнения могут повысить уровень адреналина и дать вашей команде представление о том, каково это - столкнуться с реальным инцидентом. Вы можете обнаружить, что некоторые члены команды сияют, когда горит огонь, в то время как другим требуется дополнительное обучение и руководство.
Другой частью вашей подготовки является определение конкретной стратегии реагирования. Наиболее распространенный подход заключается в локализации и ликвидации инцидента. Другой вариант - наблюдать за ходом инцидента, чтобы вы могли оценить поведение злоумышленника и определить его цели, предполагая, что это не причинит непоправимого вреда.
Помимо обучения и стратегии, технологии играют огромную роль в реагировании на инциденты. Журналы являются критически важным компонентом. Проще говоря, чем больше вы будете регистрировать, тем проще и эффективнее будет команде IR расследовать инцидент.
Кроме того, использование платформы обнаружения конечных точек и реагирования (EDR) или инструмента расширенного обнаружения и реагирования (XDR) с централизованным управлением позволит вам быстро предпринимать защитные действия, такие как изоляция компьютеров, отключение их от сети и масштабное выполнение команд противодействия.
Другие технологии, необходимые для IR, включают виртуальную среду, в которой можно анализировать журналы, файлы и другие данные, а также достаточно места для хранения этой информации. Вы же не хотите тратить время во время инцидента на настройку виртуальных машин и выделение места для хранения.
Наконец, вам понадобится система для документирования ваших выводов по инциденту, будь то с помощью электронных таблиц или специального инструмента для документирования IR. В вашей документации должны быть указаны временные рамки инцидента, какие системы и пользователи были затронуты, а также какие вредоносные файлы и индикаторы компрометации (IOC) вы обнаружили (как в данный момент, так и ретроспективно).
2: Идентификация
Цель: определить, были ли ваши данные взломаны, и собрать IOC.
Существует несколько способов определить, что инцидент произошел или в настоящее время продолжается.
- Внутреннее обнаружение: инцидент может быть обнаружен вашей внутренней группой мониторинга или другим сотрудником вашей организации (благодаря вашим усилиям по повышению осведомленности о безопасности), с помощью оповещений от одного или нескольких ваших продуктов безопасности или во время упреждающего поиска угроз.
- Внешнее обнаружение: сторонний консультант или поставщик управляемых услуг может обнаруживать инциденты от вашего имени, используя инструменты безопасности или методы поиска угроз. Или деловой партнер может заметить аномальное поведение, указывающее на потенциальный инцидент.
- Раскрытие отфильтрованных данных: наихудший сценарий - узнать о произошедшем инциденте только после обнаружения того, что данные были отфильтрованы из вашей среды и размещены на сайтах Интернета или даркнета. Последствия будут еще хуже, если такие данные включают конфиденциальную информацию о клиентах и новости просочатся в прессу до того, как у вас появится время подготовить скоординированный общественный ответ.
Если настройки обнаружения для ваших продуктов безопасности установлены слишком высоко, вы будете получать слишком много предупреждений о незначительных действиях на ваших конечных точках и в сети. Это отличный способ перегружать вашу команду и может привести ко множеству игнорируемых предупреждений.
Обратный сценарий, при котором ваши настройки установлены на слишком низком уровне, не менее проблематичен, поскольку вы можете пропустить критические события. Сбалансированная система безопасности обеспечит необходимое количество оповещений, чтобы вы могли выявлять инциденты, заслуживающие дальнейшего расследования, не испытывая усталости от оповещения. Ваши поставщики средств безопасности могут помочь вам найти правильный баланс и, в идеале, автоматически фильтровать оповещения, чтобы ваша команда могла сосредоточиться на том, что важно.
На этапе идентификации вы задокументируете все показатели компрометации (IOC), полученные из предупреждений, такие как скомпрометированные хосты и пользователи, вредоносные файлы и процессы, новые разделы реестра и многое другое.
После того, как вы задокументируете все IOC, вы перейдете к этапу сдерживания.
3: Сдерживание
Цель: Минимизировать ущерб.
Сдерживание - это такая же стратегия, как и отдельный шаг в ИК.
Вам потребуется разработать подход, подходящий для вашей конкретной организации, с учетом последствий как для безопасности, так и для бизнеса. Хотя изоляция устройств или отключение их от сети может предотвратить распространение атаки по всей организации, это также может привести к значительному финансовому ущербу или другим последствиям для бизнеса. Эти решения должны быть приняты заблаговременно и четко сформулированы в вашей IR-стратегии.
Сдерживание может быть разбито как на краткосрочные, так и на долгосрочные этапы, с уникальными последствиями для каждого.
- Краткосрочные: Сюда входят шаги, которые вы можете предпринять в данный момент, такие как выключение систем, отключение устройств от сети и активное наблюдение за действиями субъекта угрозы. У каждого из этих шагов есть свои плюсы и минусы.
- Долгосрочный сценарий: В лучшем случае зараженную систему следует отключить, чтобы вы могли безопасно перейти к этапу устранения. Однако это не всегда возможно, поэтому вам может потребоваться принять такие меры, как исправление, смена паролей, отключение определенных служб и многое другое.
Дополнительные шаги на этом этапе включают документирование того, какие активы и угрозы содержались во время инцидента, а также группировку устройств на основе того, были ли они скомпрометированы или нет. Если вы не уверены, предполагайте худшее. Как только все устройства будут классифицированы и будут соответствовать вашему определению защиты, этот этап будет завершен.
Бонусный шаг: расследование
Цель: определить, кто, что, когда, где, почему, как.
На данном этапе стоит отметить еще один важный аспект IR: расследование.
Расследование проводится на протяжении всего процесса IR. Хотя это и не отдельный этап, его следует учитывать при выполнении каждого шага. Цель расследования - ответить на вопросы о том, к каким системам был осуществлен доступ и каковы причины взлома. Когда инцидент локализован, команды могут способствовать тщательному расследованию, собирая как можно больше релевантных данных из таких источников, как образы дисков и памяти, а также журналы.
Эта блок-схема наглядно демонстрирует общий процесс:
Возможно, вы знакомы с термином цифровая криминалистика и реагирование на инциденты (DFIR), но стоит отметить, что цели ИК-криминалистики отличаются от целей традиционной криминалистики. В ИК основная цель криминалистики - помочь максимально эффективно переходить от одного этапа к следующему, чтобы возобновить нормальные бизнес-операции.
Методы цифровой криминалистики предназначены для извлечения как можно большего количества полезной информации из любых захваченных улик и превращения ее в полезные разведданные, которые могут помочь составить более полную картину инцидента или даже помочь в судебном преследовании злоумышленника.
Точки данных, которые добавляют контекст к обнаруженным артефактам, могут включать в себя то, как злоумышленник вошел в сеть или перемещался по ней, к каким файлам был получен доступ или они были созданы, какие процессы были выполнены и многое другое. Конечно, это может быть трудоемким процессом, который может конфликтовать с IR.
Примечательно, что DFIR претерпел изменения с момента появления этого термина. Сегодня организации располагают сотнями или тысячами компьютеров, каждый из которых имеет сотни гигабайт или даже несколько терабайт хранилища, поэтому традиционный подход сбора и анализа полных образов дисков со всех скомпрометированных компьютеров больше не является практичным.
Текущие условия требуют более оперативного подхода, при котором фиксируется и анализируется конкретная информация с каждой скомпрометированной машины.
4: Устранение
Цель: убедиться, что угроза полностью устранена.
После завершения этапа локализации можно переходить к уничтожению, которое может быть выполнено либо с помощью очистки диска, восстановления в чистую резервную копию, либо полного перезапуска диска. Очистка включает в себя удаление вредоносных файлов и удаление или изменение разделов реестра. Повторная настройка означает переустановку операционной системы.
Прежде чем предпринимать какие-либо действия, команда IR захочет ознакомиться с любыми политиками организации, которые, например, требуют перепрофилирования определенных компьютеров в случае атаки вредоносного ПО.
Как и в случае с предыдущими шагами, документация играет определенную роль в устранении. Команда IR должна тщательно документировать действия, предпринятые на каждой машине, чтобы убедиться, что ничего не было пропущено. В качестве дополнительной проверки вы можете выполнить активное сканирование ваших систем на наличие каких-либо признаков угрозы после завершения процесса устранения.
5: Восстановление
Цель: вернуться к нормальной работе.
Все ваши усилия были направлены именно сюда! Этап восстановления - это когда вы можете возобновить работу в обычном режиме. Определение того, когда восстанавливать операции, является ключевым решением на данном этапе. В идеале это может произойти без задержек, но может потребоваться дождаться нерабочего времени в вашей организации или другого периода тишины.
Еще одна проверка, чтобы убедиться, что в восстановленных системах не осталось никаких IOC. Вам также необходимо определить, по-прежнему ли существует первопричина, и внедрить соответствующие исправления.
Теперь, когда вы узнали об инцидентах такого типа, вы сможете отслеживать их в будущем и устанавливать средства защиты.
6: Извлеченные уроки
Цель: задокументировать произошедшее и улучшить свои возможности.
Теперь, когда инцидент благополучно остался позади, пришло время поразмыслить над каждым важным шагом в области IR и ответить на ключевые вопросы. Существует множество вопросов и аспектов, которые следует задать и проанализировать, ниже приведены несколько примеров:
- Идентификация: Сколько времени потребовалось для обнаружения инцидента после того, как произошла первоначальная компрометация?
- Сдерживание: Сколько времени потребовалось для сдерживания инцидента?
- Устранение: После устранения вы по-прежнему находили какие-либо признаки вредоносного ПО или компрометации?
Затем цикл возвращается к подготовке, где вы можете внести необходимые улучшения, такие как обновление вашего шаблона плана реагирования на инциденты, технологий и процессов, а также обеспечить более качественную подготовку ваших сотрудников.
4 профессиональных совета, как оставаться в безопасности
Давайте завершим четырьмя заключительными предложениями, которые следует иметь в виду:
- Чем больше вы будете регистрировать, тем проще будет расследование. Обязательно регистрируйте как можно больше данных, чтобы сэкономить деньги и время.
- Будьте готовы, имитируя атаки на вашу сеть. Это покажет, как ваша команда SOC анализирует оповещения и их способность общаться, что крайне важно во время реального инцидента.
- Сотрудники являются неотъемлемой частью системы безопасности вашей организации. Знаете ли вы, что 95% кибератак вызваны человеческими ошибками? Вот почему важно периодически проводить обучение для двух групп: конечных пользователей и вашей команды безопасности.
- Рассмотрите возможность привлечения специализированной сторонней IR-команды по вызову, которая может немедленно вмешаться для оказания помощи в более сложных инцидентах, которые могут оказаться за пределами возможностей вашей команды разрешить. Эти команды, которые, возможно, разрешили сотни инцидентов, будут обладать опытом работы в области ИК и инструментами, необходимыми для того, чтобы приступить к работе и ускорить вашу ИК.
