Table of Contents

Sztuka reagowania na incydenty: Best Practices and Real-World Examples.

Reagowanie na incydenty jest krytycznym elementem postawy cyberbezpieczeństwa organizacji. Efektywne reagowanie na incydenty może pomóc organizacjom zminimalizować wpływ incydentów bezpieczeństwa i skrócić czas odzyskiwania danych. National Institute of Standards and Technology (NIST) opracował ramy reagowania na incydenty, znane jako NIST SP 800-61 Rev. 2. W tym artykule omówimy najlepsze praktyki reagowania na incydenty według NIST SP 800-61 Rev. 2 i zaproponujemy kilka ulepszeń do standardu.

Najlepsze praktyki reagowania na incydenty

NIST SP 800-61 Rev. 2 dostarcza ram dla reakcji na incydenty, które składają się z czterech faz: przygotowania, wykrywania i analizy, powstrzymywania, eliminacji i odzyskiwania. Poniżej przedstawiono kilka najlepszych praktyk dla każdej fazy procesu reagowania na incydenty:

Faza przygotowania

  • Opracowanie planu reagowania na incydenty, który nakreśla role i obowiązki zespołu reagowania na incydenty, procedury zgłaszania i obsługi incydentów oraz kanały komunikacji z podmiotami zewnętrznymi.
  • Przeszkolić i wyedukować zespół reagowania na incydenty w zakresie planu reagowania na incydenty, w tym procedur wykrywania, zgłaszania i reagowania na incydenty.
  • Opracowanie i utrzymanie listy krytycznych aktywów i danych, w tym ich lokalizacji, własności i poziomu wrażliwości.

Faza wykrywania i analizy

  • Monitorowanie sieci i systemów pod kątem podejrzanej aktywności i anomalii.
  • Wykorzystanie systemów wykrywania i zapobiegania włamaniom do wykrywania i zapobiegania atakom.
  • Zbadanie podejrzanej aktywności w celu określenia, czy jest to uzasadniony incydent.

Faza ograniczania

  • Odizolowanie zaatakowanych systemów i sieci, aby zapobiec rozprzestrzenianiu się incydentu.
  • Zebranie i zachowanie dowodów do analizy i ewentualnego postępowania prawnego.
  • Zidentyfikowanie i opanowanie pierwotnej przyczyny incydentu.

Faza eliminacji i odzyskiwania

  • Usunięcie złośliwego oprogramowania lub innego złośliwego kodu z zaatakowanych systemów.
  • Przywrócenie systemów i danych z kopii zapasowych.
  • Załatanie podatności, które zostały wykorzystane w incydencie.

Ulepszenia do NIST SP 800-61 Rev. 2

Chociaż NIST SP 800-61 Rev. 2 zapewnia użyteczne ramy dla reakcji na incydenty, istnieją pewne obszary, w których można je ulepszyć. Poniżej przedstawiono kilka sugerowanych usprawnień:

1. Włączenie informacji o zagrożeniach

Wywiad o zagrożeniach to proces zbierania i analizowania informacji o taktykach, technikach i procedurach (TTP) podmiotów stanowiących zagrożenie. Informacje te mogą być wykorzystane do skuteczniejszego wykrywania i reagowania na incydenty bezpieczeństwa. Informacje o zagrożeniach mogą być zbierane z różnych źródeł, w tym z otwartych źródeł, forów dark web i komercyjnych źródeł informacji o zagrożeniach.

Włączając informacje o zagrożeniach do procesów reagowania na incydenty, organizacje mogą zwiększyć swoją zdolność do wykrywania i reagowania na incydenty. Na przykład, jeśli wiadomo, że aktor zagrożenia używa określonego typu złośliwego oprogramowania lub exploita, wywiad o zagrożeniach może pomóc organizacjom w identyfikacji i blokowaniu tych zagrożeń, zanim zdołają one wyrządzić szkody. Wywiad o zagrożeniach może również pomóc organizacjom w identyfikacji wskaźników kompromisu (IOC), które mogą być wykorzystane do wykrywania i reagowania na incydenty bezpieczeństwa.

Istnieje kilka sposobów, w jakie organizacje mogą włączyć informacje o zagrożeniach do swoich procesów reagowania na incydenty. Na przykład, organizacje mogą subskrybować komercyjne źródła informacji o zagrożeniach, które dostarczają aktualnych informacji o znanych zagrożeniach i podatnościach. Organizacje mogą również korzystać z otwartych źródeł informacji w celu gromadzenia informacji o podmiotach stanowiących zagrożenie i ich metodach działania. Wreszcie, organizacje mogą korzystać z platform wywiadu o zagrożeniach w celu zautomatyzowania procesu zbierania i analizowania informacji o zagrożeniach.

Na przykład cyberatak na ukraińską sieć energetyczną w 2015 r. był wyrafinowanym i skoordynowanym atakiem, w którym wykorzystano niestandardowe złośliwe oprogramowanie i którego celem były przemysłowe systemy sterowania (ICS). Atak został przypisany aktorowi zagrożeń znanemu jako SandWorm, który był wcześniej nieznany. Jednak analizując złośliwe oprogramowanie użyte w ataku, badacze cyberbezpieczeństwa byli w stanie zidentyfikować kilka IOC, które można wykorzystać do wykrywania i reagowania na przyszłe ataki SandWorma.

Włączenie informacji o zagrożeniach do procesów reagowania na incydenty może również pomóc organizacjom w poprawieniu ich postawy w zakresie bezpieczeństwa cybernetycznego w czasie. Analizując informacje o zagrożeniach oraz identyfikując wzorce i trendy, organizacje mogą zidentyfikować obszary słabości w swojej infrastrukturze bezpieczeństwa i podjąć kroki w celu poprawy obrony.

2. Podkreśl znaczenie komunikacji

Efektywna komunikacja jest niezbędna do skutecznego reagowania na incydenty. Kanały i procedury komunikacyjne powinny być ustanowione z wyprzedzeniem, aby zapewnić, że interesariusze są informowani i aktualizowani o stanie incydentu. Obejmuje to komunikację wewnętrzną w ramach zespołu reagowania na incydenty oraz komunikację z zewnętrznymi interesariuszami, takimi jak wyższe kierownictwo, radca prawny, organy ścigania i klienci.

Plan reagowania na incydenty powinien określać kanały i procedury komunikacyjne, które będą wykorzystywane podczas incydentu. Obejmuje to określenie, kto będzie odpowiedzialny za komunikację z wewnętrznymi i zewnętrznymi interesariuszami, jak często będą przekazywane aktualizacje i jakie informacje będą udostępniane. Jasna i zwięzła komunikacja może pomóc interesariuszom w podejmowaniu świadomych decyzji i odpowiednich działań podczas incydentu.

Na przykład podczas ataku ransomware komunikacja ma kluczowe znaczenie dla koordynacji reakcji i określenia najlepszego sposobu działania. Komunikacja wewnętrzna w zespole reagowania na incydenty jest niezbędna, aby zapewnić, że wszyscy członkowie są świadomi najnowszych informacji i że wszyscy pracują na rzecz wspólnego celu. Komunikacja zewnętrzna z wyższym kierownictwem jest niezbędna do informowania go o incydencie i wpływie na organizację. Komunikacja z organami ścigania jest również ważna w celu zgłoszenia incydentu i uzyskania wskazówek dotyczących dalszego postępowania.

Oprócz nakreślenia kanałów i procedur komunikacyjnych, plan reagowania na incydenty powinien również uwzględniać znaczenie dokumentowania całej komunikacji związanej z incydentem. Obejmuje to utrzymywanie dzienników rozmów telefonicznych, e-maili i innych form komunikacji, a także dokumentowanie decyzji podjętych podczas procesu reagowania na incydent.

Skuteczna komunikacja jest ważna nie tylko podczas procesu reagowania na incydent, ale również w fazie analizy po incydencie. Po rozwiązaniu incydentu interesariusze powinni zostać poinformowani o wyciągniętych wnioskach i wszelkich zmianach, które zostaną wprowadzone w celu usprawnienia procesu reagowania na incydenty w przyszłości.

Podkreślając znaczenie komunikacji w planie reagowania na incydenty, organizacje mogą zapewnić, że interesariusze są informowani i zaangażowani w proces reagowania na incydenty, co może pomóc w zminimalizowaniu skutków incydentów bezpieczeństwa i skróceniu czasu odzyskiwania danych.

3. Zapewnienie wytycznych dotyczących analizy po incydencie

Analiza po incydencie jest zasadniczym elementem skutecznego reagowania na incydenty. Obejmuje ona dokładne zbadanie incydentu i reakcji w celu zidentyfikowania wyciągniętych wniosków i obszarów do poprawy. Przeprowadzając analizę po incydencie, organizacje mogą zidentyfikować luki w swoich procesach reagowania na incydenty i podjąć kroki w celu poprawy ogólnej postawy bezpieczeństwa.

Analiza powypadkowa powinna rozpocząć się jak najszybciej po rozwiązaniu incydentu. Zespół reagujący na incydent powinien zebrać dane i udokumentować incydent oraz reakcję. Obejmuje to dokumentowanie osi czasu incydentu, działań podjętych podczas reakcji oraz wszelkiej komunikacji związanej z incydentem.

Po zebraniu wstępnych danych, zespół reagujący na incydent powinien przeprowadzić analizę przyczyny źródłowej w celu zidentyfikowania podstawowej przyczyny incydentu. Może to obejmować przeglądanie logów, badanie konfiguracji systemów oraz przeprowadzanie oceny podatności. Analiza pierwotnej przyczyny powinna zidentyfikować wszelkie luki w procesie reagowania na incydenty i przedstawić zalecenia dotyczące usprawnienia.

Po zakończeniu analizy pierwotnej przyczyny zespół reagowania na incydenty powinien opracować raport po incydencie, który podsumowuje incydent i reakcję, identyfikuje pierwotną przyczynę i przedstawia zalecenia dotyczące usprawnień. Raport po incydencie powinien być udostępniony kierownictwu wyższego szczebla, zespołowi reagowania na incydenty i innym zainteresowanym stronom.

Na przykład po naruszeniu danych firmy Equifax w 2017 r. firma przeprowadziła analizę po incydencie w celu określenia wniosków i obszarów do poprawy. Analiza wskazała kilka obszarów, w których proces reagowania na incydenty mógłby zostać ulepszony, w tym potrzebę lepszych procesów zarządzania łatami i ulepszonych kanałów komunikacji podczas incydentu.

Poprzez dostarczenie większej ilości wytycznych dotyczących analizy po incydencie, NIST SP 800-61 Rev. 2 może pomóc organizacjom w doskonaleniu procesów reagowania na incydenty w czasie. Wytyczne powinny zawierać najlepsze praktyki dotyczące przeprowadzania analizy po incydencie, takie jak identyfikacja pierwotnej przyczyny incydentu, dokumentowanie incydentu i reakcji oraz formułowanie zaleceń dotyczących usprawnień. Wytyczne powinny również podkreślać znaczenie wykorzystania analizy po incydencie do ciągłego doskonalenia procesu reagowania na incydenty.

Przykłady reagowania na incydenty w świecie rzeczywistym

1. Naruszenie danych firmy Equifax

W 2017 roku firma Equifax doświadczyła ogromnego naruszenia danych, które dotknęło ponad 143 miliony klientów. Incydent został spowodowany przez lukę w systemach informatycznych firmy. Plan reakcji Equifax na incydenty był nieodpowiedni, a firma nie wykryła naruszenia przez kilka miesięcy. Naruszenie zostało spowodowane luką w pakiecie oprogramowania open-source używanym przez Equifax.

Po wykryciu naruszenia, Equifax podjął kroki w celu opanowania i złagodzenia incydentu. Firma wyłączyła zagrożone systemy i wynajęła zewnętrzną firmę zajmującą się kryminalistyką w celu przeprowadzenia dochodzenia. W wyniku dochodzenia stwierdzono, że naruszenie zostało spowodowane brakiem załatania znanej luki w pakiecie oprogramowania open-source.

Firma Equifax podjęła kroki w celu zaradzenia incydentowi i usunięcia jego skutków, wdrażając nowe kontrole bezpieczeństwa, oferując bezpłatne monitorowanie kredytu klientom dotkniętym incydentem oraz wypłacając miliony dolarów w ramach ugód i kar.

2. Atak ransomware NotPetya

W 2017 roku atak ransomware NotPetya dotknął firmy na całym świecie, powodując miliardy dolarów szkód. Atak został rozprzestrzeniony poprzez aktualizację oprogramowania dla popularnego pakietu oprogramowania księgowego. Atak wykorzystywał kombinację znanych luk w zabezpieczeniach i niestandardowego złośliwego oprogramowania do propagacji w sieciach i szyfrowania danych.

Organizacje, które posiadały skuteczne plany reagowania na incydenty, były w stanie szybko zidentyfikować i opanować atak. Na przykład gigant żeglugowy Maersk był w stanie odizolować zainfekowane systemy i przywrócić działalność w ciągu kilku dni. Jednak wiele organizacji było nieprzygotowanych i poniosło znaczne straty w wyniku ataku.

3. Atak na łańcuch dostaw SolarWinds

W 2020 roku atak łańcucha dostaw na firmę SolarWinds, dostawcę oprogramowania, dotknął wiele agencji rządowych i organizacji prywatnych. Atak został przeprowadzony przez grupę sponsorowaną przez państwo, która umieściła złośliwe oprogramowanie w aktualizacji oprogramowania dla produktu Orion firmy SolarWinds.

Organizacje posiadające skuteczne plany reagowania na incydenty były w stanie szybko zidentyfikować i opanować atak. Na przykład Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury Departamentu Bezpieczeństwa Wewnętrznego (CISA) wydała dyrektywę awaryjną, w której nakazała agencjom federalnym odłączenie produktów SolarWinds Orion, których dotyczyły ataki. Organizacje prywatne również podjęły kroki w celu zidentyfikowania i usunięcia zaatakowanych systemów.

4. Atak ransomware Colonial Pipeline

W maju 2021 roku Colonial Pipeline, główny operator rurociągów paliwowych w Stanach Zjednoczonych, doznał ataku ransomware, który spowodował tymczasowe wyłączenie jego rurociągu. Atak został przeprowadzony przez grupę cyberprzestępczą znaną jako DarkSide.

Plan reakcji Colonial Pipeline na incydenty pozwolił firmie szybko zidentyfikować i opanować atak. Firma zamknęła swój rurociąg jako środek ostrożności i wynajęła zewnętrzną firmę zajmującą się kryminalistyką w celu przeprowadzenia dochodzenia. Firma porozumiała się również z agencjami federalnymi i innymi zainteresowanymi stronami, aby skoordynować reakcję.

5. Podatność serwera Microsoft Exchange

Na początku 2021 roku w Microsoft Exchange Server, popularnej platformie do obsługi poczty elektronicznej i współpracy, odkryto wiele luk zero-day. Podatności pozwalały atakującym na dostęp i kradzież wrażliwych danych z dotkniętych systemów.

Organizacje, które posiadały skuteczne plany reagowania na incydenty, były w stanie szybko zidentyfikować i załatać podatności. Microsoft wydał łaty na te luki, a organizacje zostały poinformowane o konieczności ich natychmiastowego zastosowania. Jednak wiele organizacji ociągało się z załataniem swoich systemów, pozostawiając je podatnymi na atak.

Wnioski

Przykłady z realnego świata pokazują, jak ważne jest efektywne planowanie i przygotowanie reakcji na incydenty. Poprzez stosowanie najlepszych praktyk i ciągłe doskonalenie procesów reagowania na incydenty, organizacje mogą być lepiej przygotowane do reagowania na incydenty bezpieczeństwa i chronić swoje zasoby i dane. Incydenty omówione w tym artykule, w tym naruszenie danych Equifax, atak ransomware NotPetya, atak na łańcuch dostaw SolarWinds, atak ransomware Colonial Pipeline oraz luka w serwerze Microsoft Exchange, podkreślają ewoluującą naturę zagrożeń cyberbezpieczeństwa oraz znaczenie utrzymywania proaktywnej i skutecznej strategii reagowania na incydenty.