インシデント対応

インシデント対応 (IR) は、セキュリティ インシデントを検出から回復まで処理するための構造化されたプロセスです。この規律は緊急対応パターンから生まれ、NIST SP 800-61 や SANS PICERL などの標準に成文化されました。フェーズは予測可能です。難しいのは、プレッシャーの下での実行です。

6 つのフェーズ

1. 準備. 何かが起こる前に、チーム、ツール、ランブックを構築します。準備が不十分な組織のほとんどは、インシデントの最中になるまで準備が不十分であることに気づきません。
2. Identification. 何かが間違っていることを検出します。多くの場合、最も困難なフェーズです。ほとんどの侵害は数か月間検出されません。
3. 封じ込め. 被害を制限します。攻撃者がさらに拡散するのを阻止します。短期的な封じ込め (影響を受けるシステムの隔離) と長期的な封じ込め (再接続前のクリーンな再構築)。
4. Eradication. 攻撃者の存在 (マルウェア、永続化メカニズム、侵害された資格情報) を削除します。この場合、クリーニングではなく再構築が解決策となります。
5. Recovery. システムを通常の動作に復元します。脅威の再発を注意深く監視します。
6. L学んだ教訓。 何が起こったのか、何が機能したのか、何が機能しなかったのか、何を変更する必要があるのか​​を文書化します。このフェーズは、締め切りのプレッシャーによりスキップされます。これを実行することで、今後のインシデントの被害が軽減されます。

最初の 1 時間

インシデントの疑いがある場合、最初の 1 時間は不釣り合いに重要です。

• アラートが本物であることを確認してください。 誤検知はリソースを無駄にします。誤読したアラートに即座に行動を起こすと、実際の状況がさらに悪化する可能性があります。
• IR チームを活動化します。 チームがない場合は、IT リーダー、外部の IR 会社、弁護士全員がすぐに電話に出る必要があります。
• 証拠を保存します。 フォレンジック スナップショットの前にシステムをワイプしないでください。スナップショット ディスク、メモリ、ログの状態。
• 規律と通信します。 攻撃者が読んでいる可能性のある電子メールやチャットで話さないでください。何がクリーンであるかを確認するまで帯域外チャネルを使用してください。
• 理解するより早く物事を壊さないでください。ネットワーク ケーブルを引き抜くと攻撃者は阻止されますが、最初に状態をキャプチャしないと調査も停止します。

封じ込めパターン

• ネットワーク侵害されたホストのisolation - スイッチ ポートを無効にし、隔離VLANに移動し、VPN セッションを強制終了します。公開された可能性のあるアカウントの
• C資格情報ローテーション。特にサービス アカウント。
• 永続性ベクトルを無効にする — スケジュールされたタスク、サービス、自動実行、バックドア アカウント — ただし、攻撃者が行ったことの唯一の記録であることが多いため、文書化した後でのみ使用してください。
• コマンド アンド コントロールの宛先をブロックする ファイアウォールと DNS でlayer.
• すべてのアカウントで再認証を強制する。アクティブなセッションとトークンを取り消します。

外部ヘルプ

商品マルウェア レベルを超えるインシデントには、通常、専門家の支援が必要です:

• IR 企業 (CrowdStrike、Mandiant、Volexity、NCC Group、Coalition Incident Response) - 有給のリテイナーまたは時間ごとのエンゲージメント。過去の多くのインシデントからの特殊なツールとパターン認識。
• Counsel — 違反通知義務、規制当局への関与、身代金支払いに関する考慮事項。
• 保険会社 — サイバー保険に加入している場合は、すぐに通知してください。
• 法執行 — 米国のランサムウェア (特に支払いを考慮したもの) に対する FBI、地方警察、国内 CERT。これらはインシデントを解決しないかもしれませんが、脅威インテリジェンスを収集します。
• ISAC および CERTs — セクター固有の情報共有コミュニティ。他の組織が同じキャンペーンを見ているかどうかを簡単に確認する方法。

インシデント中のコミュニケーション

最も危険な意思決定のいくつかはコミュニケーションに関するものです:

• 内部コミュニケーション. 封じ込めまでは必知事項であり、その後はより広範囲に及ぶ。攻撃者がリッスンする可能性のあるパブリック チャネルを避けてください。
• 顧客への通知。 多くの場合、特定の時間内 (GDPR では 72 時間) 内に法的に要求されます。慎重に起草 - 調査が続く間は正確であるほど曖昧で、役に立つほど具体的。
• R規制当局への通知。 セクター固有 (重大な違反については SEC、医療については HIPAA、米国のほとんどの州の州 AG)。
• 公開声明。 インシデントが公表される、または公表される予定である場合、タイミングと枠組みが重要です。自分が知っている以上のことを語らないでください。

リカバリと再構築

重大なインシデントの場合、ルールはクリーンではなく再構築です。攻撃者は、レジストリ キー、通常とは異なるアカウントでスケジュールされたタスク、変更された DLL、正規のファイルと一致するタイムスタンプを持つバックドア バイナリなど、見つけにくい場所に永続化メカニズムを残します。深く侵害されたホストを駆除しようとしても、成功することはほとんどありません。正常なメディアから再構築し、スキャン後にデータを復元します。

再構築の順序も重要です。最初に ID インフラストラクチャ (認証情報が信頼できるため)、次に運用システム、次にユーザー デバイスの順です。ユーザーのラップトップを再起動して、依然として侵害されている可能性のある Active Directory にアクセスすると、攻撃者に新たな足場が与えられます。

個人の場合: 縮小された IR

個人アカウントが侵害された場合:

1. 残りの作業には、クリーンなことがわかっているデバイス (できれば新しいマシン) を使用してください。侵害された可能性のあるラップトップからは何も修正しないでください。
2. クリーンなデバイスからプライマリ電子メール パスワードと 2FA をリセットしてください。電子メールはその他すべてを制御します。
3. そこから銀行と証券会社をリセットします。
4. 電子メール転送ルールを見てください。攻撃者は、パスワードを変更した後にパスワードのリセットをキャプチャするために転送を追加することがよくあります。
5. 接続されているアプリと OAuth 許可を確認します。馴染みのないものを取り消します。
6. R元のデバイスで完全なマルウェア スキャンを実行します。何か問題があると思われる場合は、データを消去して再インストールしてください。
7. 今後数か月間財務諸表を監視します。資格情報の盗難による詐欺は、多くの場合数週間後に発生します。

L学んだ教訓

スキップされるフェーズ。インシデント後のレビューでは、次の答えが得られるはずです。

• 攻撃者はどのようにして侵入しましたか?
• 失敗した検出制御は何ですか?
• (最終的には)検出された検出制御は何ですか?
• 攻撃を阻止したであろう予防制御は何ですか?
• 攻撃者を侵入させるための次のステップは何ですか?場所?

正直なレビューは、回答そのものよりも価値があります。同じ組織でインシデントが繰り返される場合、通常、学ばなかった教訓が反映されます。