PrepareIdentifyContainEradicateRecoverLessonsIR cycle

Реагування на інцидент

12 хв. читанняБезпека

Майже кожна організація з часом стає скомпрометованою. Різниця між локалізованим інцидентом і катастрофічним порушенням здебільшого полягає в тому, що відбувається в перші кілька годин після виявлення. Структурована основа для його обробки — реагування на інциденти — удосконалювалася протягом десятиліть, а основи масштабуються від підприємства до окремого користувача.

Повний текст статті подано англійською мовою нижче.

IIncident response (IR) — це структурований процес обробки інциденту безпеки від виявлення до відновлення. Дисципліна виникла на основі моделей реагування на надзвичайні ситуації та була кодифікована в таких стандартах, як NIST SP 800-61 і SANS PICERL. Фази передбачувані; складність полягає у виконанні під тиском.

Шість етапів

  1. Підготовка. Створіть команду, інструменти та збірники програм, перш ніж щось станеться. Більшість недостатньо підготовлених організацій не усвідомлюють, що вони недостатньо підготовлені, доки не опиняться в центрі інциденту.
  2. Iідентифікація. Визначте, що щось не так. Часто найважчий етап — більшість порушень залишаються непоміченими місяцями.
  3. Стримування. Обмежте шкоду. Не дати зловмиснику поширитися далі. Короткострокове стримування (ізолювати уражені системи) і довгострокове стримування (чисті перебудови перед повторним підключенням).
  4. Eradication. Видаліть присутність зловмисника — зловмисне програмне забезпечення, механізми збереження, скомпрометовані облікові дані. Ось де рішенням стає відновлення, а не очищення.
  5. Recovery. Відновлення нормальної роботи систем. Уважно стежте за повторною появою загрози.
  6. Здобуті уроки. Задокументуйте, що сталося, що спрацювало, що ні, і що потрібно змінити. Ця фаза пропускається під тиском дедлайну; це те, що робить майбутні інциденти менш поганими.

Перша година

Коли ви підозрюєте інцидент, перша година має непропорційне значення:

  • Перевірте, що сповіщення реальне. Хибні спрацьовування витрачають ресурси; швидке втручання у відповідь на неправильно прочитане сповіщення може погіршити реальні обставини.
  • Активуйте групу інфрачервоних зв’язків. Якщо у вас її немає, ваш ІТ-керівник, зовнішня фірма з інфрачервоних зв’язків і консультант мають негайно приїхати на виклик.
  • Зберігайте докази. Не очищайте системи перед судово-медичною експертизою знімки. Знімок диска, пам’яті, стану журналу.
  • Спілкуйтеся з дисципліною. Не спілкуйтеся в електронній пошті чи чаті, які може читати зловмисник. Використовуйте позасмугові канали, доки не підтвердите, що є чистим.
  • Не зламуйте речі швидше, ніж ви це зрозумієте. Витягування мережевих кабелів зупиняє зловмисника, але також зупиняє ваше розслідування, якщо ви спочатку не захопите стан.

Стримування шаблони

  • Мережева ізоляція скомпрометованих хостів — вимкніть їхній порт комутатора, перемістіть їх у карантинну VLAN, завершіть їхній сеанс VPN.
  • Обертання облікових даних для будь-якого облікового запису, який міг бути відкритим. Особливо облікові записи служб.
  • Вимкніть вектори збереження — заплановані завдання, служби, автозапуски, облікові записи бекдорів — але лише після того, як ви їх задокументували, оскільки вони часто є єдиним записом того, що зробив зловмисник.
  • Блокуйте пункти призначення команд і керування на брандмауері та Рівень DNS.
  • Примусова повторна автентифікація для всіх облікових записів; відкликати активні сеанси та токени.

Зовнішня допомога

IІнциденти, що перевищують рівень зловмисного програмного забезпечення, зазвичай потребують допомоги спеціаліста:

  • IR фірми (CrowdStrike, Mandiant, Volexity, NCC Group, Coalition Incident) Response) — оплачувані працівники або погодинна участь. Спеціалізовані інструменти та розпізнавання шаблонів із багатьох попередніх інцидентів.
  • Counsel — щодо зобов’язань сповіщати про порушення, регуляторної роботи, виплати викупу.
  • IСтраховий носій — якщо у вас є кіберстрахування, негайно повідомте; вони часто мають затверджені списки постачальників і процедури політики.
  • Правоохоронні органи — ФБР щодо програм-вимагачів у США (особливо з урахуванням платежів), місцева поліція, національні CERT. Вони можуть не вирішити ваш інцидент, але збирають дані про загрози.
  • ISACs і CERTs — спільноти для обміну інформацією для окремих секторів. Швидкий спосіб дізнатися, чи бачать інші організації ту саму кампанію.

Спілкування під час інциденту

Деякі з найважливіших рішень стосуються спілкування:

  • IВнутрішня комунікація. Необхідно знати до локалізації, потім ширше. Уникайте загальнодоступних каналів, де зловмисник може прослухати.
  • Сповіщення клієнта. Часто вимагається законом протягом певних вікон (72 години відповідно до GDPR). Складено ретельно — досить розпливчасто, щоб бути точним, поки триває розслідування, достатньо конкретно, щоб бути корисним.
  • Повідомлення регулятора. Спеціально для сектору (SEC щодо суттєвих порушень, HIPAA для охорони здоров’я, державні AG у більшості штатів США).
  • Публічна заява. Якщо інцидент стане або стане публічним, питання часу та кадрування. Не кажіть більше, ніж знаєте; не кажіть менше, ніж чесно.

Відновлення та перебудова

Для серйозних інцидентів правилом є перебудова, а не очищення. Зловмисники залишають механізми збереження у важкодоступних місцях — ключі реєстру, заплановані завдання під незвичайними обліковими записами, модифіковані бібліотеки DLL, бекдор-двійкові файли з мітками часу, що відповідають законним файлам. Спроба очистити глибоко скомпрометований хост рідко буває успішною. Перебудуйте з завідомо справних носіїв і відновіть дані після сканування.

Порядок відновлення також має значення: спочатку інфраструктура ідентифікації (щоб облікові дані були надійними), потім робочі системи, потім пристрої користувача. Перезапуск ноутбука користувача в Active Directory, який все ще може бути скомпрометований, дає зловмиснику свіжу точку опори.

Для фізичних осіб: зменшено IR

IЯкщо ваші особисті облікові записи зламано:

  1. Використовуйте завідомо чистий пристрій — бажано нову машину — щоб зробити решту. Не виправляйте нічого на потенційно зламаному ноутбуці.
  2. Скиньте свій основний пароль електронної пошти та 2FA з чистого пристрою. Електронна пошта контролює все інше.
  3. Скинути банк і брокерську службу звідти.
  4. Перегляньте правила пересилання електронної пошти — зловмисники часто додають пересилання, щоб зафіксувати скидання пароля після того, як ви змінили пароль.
  5. Перегляньте підключені програми та дозволи OAuth; відкликати незнайомі.
  6. Запустити повне сканування шкідливих програм на оригінальному пристрої; якщо щось здається не так, очистіть і інсталюйте повторно.
  7. Моніторинг фінансових звітів протягом наступних кількох місяців — шахрайство після викрадення облікових даних часто відбувається через кілька тижнів.

Здобуті уроки

Фаза, яку пропускають. Огляд після інциденту має дати відповідь:

  • Як зловмисник потрапив?
  • Які заходи детективного контролю вийшли з ладу?
  • Які засоби детективного контролю його затримали (зрештою)?
  • Які засоби профілактичного контролю зупинили б це?
  • Що буде наступним кроком, щоб поставити їх на місце?

Чесний відгук є ціннішим, ніж сама відповідь. Повторні інциденти в тій самій організації зазвичай відображають невивчені уроки.

Часті запитання

Чи повинен я платити викуп, якщо мене атакує програма-вимагач?
Майже ніколи не був першим вибором. Відновлення з офлайн-резервних копій, консультація спеціалістів, перевірка наявності дешифраторів. Платіж фінансує зловмисників і сигналізує про те, що ви платите; деякі юрисдикції також обмежують виплати групам, які перебувають під санкціями. Перегляньте нашу статтю про програмне забезпечення-вимагач <a href="/learning/ransomware"></a>, щоб дізнатися більше.
Скільки часу зазвичай потрібно організаціям, щоб виявити порушення?
Середній час між вторгненням і виявленням становив приблизно 80 днів станом на 2024-2025 роки, порівняно з 200+ днями десять років тому — значне покращення, але все ще дуже довго. Багато інцидентів виявляються третіми сторонами (правоохоронними органами, дослідниками безпеки, звітами клієнтів), а не внутрішнім моніторингом.
Чи потрібен мені письмовий план реагування на інцидент?
Для будь-якої організації, яка має співробітників, клієнтів або конфіденційні дані, так. Навіть односторінковий документ із контактами команди, номерами постачальників і повноваженнями приймати рішення не може перевершити план. Під час написання висвітлюються прогалини, які ви б виявили під час справжнього інциденту.
Що таке настільна вправа?
Сценарій реагування на інцидент — зазвичай 1-2 години з фактичною командою. Хтось читає сценарій; учасники описують, що б вони зробили; поверхні прогалин і неясностей. Найдешевший спосіб виявити слабкі сторони ІЧ до того, як їх перевірять.
Чи може малий бізнес дозволити собі реагувати на інциденти?
Так, завдяки домовленостям із фірмами, що займаються IR (відносно скромна річна плата за право дзвонити, коли щось трапиться). Кіберстрахування часто включає ІЧ-послуги. Вартість незапланованого інциденту без ІЧ-підтримки зазвичай більша, ніж утримання.
Пояснення реагування на інциденти: що робити, якщо вас зламали