Na čo si dať pozor po kybernetickom bezpečnostnom incidente vo vašej spoločnosti

Zistenie, že vaša organizácia práve utrpela kybernetický bezpečnostný incident Nie je to práve najlepší začiatok dňa: systémy zablokované, služby nefunkčné, telefonáty od ustarostených zákazníkov a vydesený technický tím. Okrem počiatočného šoku však skutočne záleží na tom, čo robíte v nasledujúcich hodinách: čo preverujete, koho upozorníte, čo si uschováte ako dôkaz a ako obnovíte prevádzku bez toho, aby ste útočníkovi nechali akúkoľvek priechodnosť.

Reagujte s chladnou hlavou, rýchlosťou a metódou Toto je kľúčové pre zabezpečenie toho, aby útok zostal vážnym problémom a neprerástol do finančnej, právnej a reputačnej katastrofy. V nasledujúcich riadkoch nájdete komplexného sprievodcu založeného na osvedčených postupoch pre reakciu na incidenty, digitálnu forenznú analýzu a plánovanie kontinuity podnikania, ktorý zahŕňa všetko, čo by ste mali skontrolovať po kybernetickom bezpečnostnom incidente a ako toto preskúmanie zorganizovať, aby ste sa poučili zo skúseností, posilnili obranu a splnili zákonné povinnosti.

Čo sa skutočne stalo: Pochopenie incidentu a jeho závažnosti

Predtým, ako sa čohokoľvek dotknete naslepo, musíte pochopiť, akému útoku čelíte.Ransomvér, ktorý šifruje kritické servery, nie je to isté ako tichý útok s cieľom ukradnúť údaje alebo neoprávnený prístup na firemnú webovú stránku. Správna identifikácia určuje všetko, čo nasleduje.

Jednou z prvých úloh je klasifikovať incident v závislosti od prevládajúceho útoku: ransomvér, krádež dôverných informácií, kompromitácia firemných účtov, úprava webových stránok, zneužitie zraniteľností atď. S postupom analýzy a objavením postihnutých aktív sa počiatočná klasifikácia často mení, preto je vhodné tento vývoj zdokumentovať.

Je tiež dôležité lokalizovať vstupný vektorPhishingové správy so škodlivými prílohami, podvodné odkazy, infikované USB disky, RDP vystavené internetu, neopravené zraniteľnosti serverov, ukradnuté prihlasovacie údaje, nesprávna konfigurácia cloudu… Identifikácia tohto prístupového bodu vám umožňuje lepšie definovať rozsah a predovšetkým zabrániť opakovaniu sa takejto situácie.

Ďalším aspektom, ktorý stojí za dôkladné preskúmanie, je, či sa útok javí ako cielený alebo oportunistický.Hromadné kampane generických e-mailov, automatizované skenovanie známych zraniteľností alebo boty zneužívajúce exponované služby zvyčajne naznačujú náhodný útok. Ak sa však pozoruje detailná znalosť prostredia, konkrétne odkazy na spoločnosť alebo použitie nástrojov špecifických pre dané odvetvie, pravdepodobne ide o cielený útok.

Odtiaľ musia byť uvedené všetky potenciálne ohrozené aktíva.pracovné stanice, Servery LinuxDatabázy, cloudové služby, obchodné aplikácie, mobilné zariadenia a akýkoľvek systém, ktorý zdieľa sieť alebo prihlasovacie údaje s pôvodne postihnutým tímom. Čím presnejší bude tento inventár, tým jednoduchšie bude definovať skutočný rozsah incidentu a stanoviť priority reakcie.

Zhromažďujte a uchovávajte dôkazy bez toho, aby ste ich ohrozili

Keď sa incident zistí, prirodzeným pokušením je formátovať, vymazať a začať odznova.Ale to je zvyčajne závažná chyba z forenzného a právneho hľadiska. Ak chcete podať sťažnosť, uplatniť si poistnú udalosť alebo jednoducho pochopiť, čo sa stalo, musíte si zachovať platné dôkazy.

Prvým krokom je izolácia postihnutých systémov bez ich náhleho vypnutia.Aby sa predišlo strate údajov v pamäti alebo zmene kritických záznamov, bežným postupom je odpojenie od siete, blokovanie vzdialeného prístupu a zastavenie nepodstatných služieb, ale ponechanie zariadenia zapnutého, kým sa nezískajú forenzné snímky.

Vytváranie úplných kópií diskov a systémov je základným postupomDôrazne sa odporúča vytvoriť aspoň dve kópie: jednu na médiu iba na zápis (napr. DVD-R alebo BD-R) na účely forenznej ochrany a druhú na novom médiu, ktoré sa použije na spracovanie, analýzu a v prípade potreby aj na obnovu dát. Pevné disky vybraté zo systémov by sa mali spolu s vytvorenými kópiami uložiť na bezpečnom mieste.

Kľúčové informácie musia byť zdokumentované pre každé použité médium.Kto vytvoril kópiu, kedy, na akom systéme, s akými nástrojmi a kto následne pristupoval k týmto médiám. Udržiavanie prísneho reťazca úschovy má zásadný význam, ak je potrebné tieto dôkazy neskôr predložiť sudcovi alebo poisťovni.

Okrem obrazov diskov je potrebné zabezpečiť aj protokoly a stopy. všetkých typov: systémové protokoly, aplikácie, firewally, VPN, poštové servery, proxy, sieťové zariadenia, riešenia EDR/XDR, SIEM atď. Tieto protokoly slúžia na rekonštrukciu útoku aj na identifikáciu laterálneho pohybu, úniku údajov alebo pretrvávania útočníka.

Je vhodné čo najskôr posúdiť, či je potrebné podniknúť právne kroky.V takom prípade sa dôrazne odporúča mať špecializovaného forenzného znalca, ktorý dokáže riadiť zhromažďovanie dôkazov, používať vhodné nástroje a vypracovať právne platné technické správy. Čím skôr sa zapojí, tým menšie je riziko kontaminácie alebo straty užitočných dôkazov.

Dokumentácia incidentu: čo je potrebné zapísať

Zatiaľ čo sa útoku darí obmedzovať a systémy sa zachraňujú, je ľahké prehliadnuť dokumentáciu.Ale potom sa to zabudne, či už pri neskoršej analýze alebo pri plnení regulačných povinností. Preto je dôležité všetko zapísať od začiatku.

Je veľmi užitočné presne nastaviť dátum a čas detekcie.ako aj prvý pozorovaný príznak: upozornenie z bezpečnostného nástroja, anomálie výkonu, uzamknuté účty, správa o ransomvéri, sťažnosti používateľov atď. Ak je známy, mal by sa zaznamenať aj približný čas začiatku útoku alebo narušenia bezpečnosti.

Súbežne s tým je potrebné zostaviť zoznam postihnutých systémov, služieb a údajov.s uvedením, či ide o aktíva kritické pre podnikanie alebo podporné aktíva. Tieto informácie budú nevyhnutné pre stanovenie priorít obnovy a výpočet ekonomického a prevádzkového dopadu incidentu.

Každá akcia vykonaná počas reakcie musí byť zaznamenaná.Čo bolo odpojené, aké zmeny hesla boli vykonané, aké záplaty boli použité, aké služby boli zastavené alebo obnovené, aké opatrenia na obmedzenie šírenia boli prijaté a kedy. Toto nie je román, ale skôr jasná a zrozumiteľná časová os.

Je tiež potrebné zaznamenať mená všetkých zúčastnených osôb. V krízovom manažmente: kto koordinuje, ktorí technici sú zapojení, ktorí majitelia firiem sú informovaní, ktorí externí poskytovatelia pomáhajú atď. To potom pomáha pri kontrole výkonnosti tímu a vhodnosti úloh definovaných v pláne reakcie.

Jedným aspektom, na ktorý sa niekedy zabúda, je uchovávanie kópie relevantnej komunikácie.E-maily vymieňané s klientmi, záchranné správy, rozhovory s poisťovateľom, komunikácia s úradmi, interné rozhovory o kritických rozhodnutiach atď. Tieto informácie môžu byť cenné pre forenzné vyšetrovania, preukázanie náležitej starostlivosti regulačným orgánom a pre zlepšenie protokolov krízovej komunikácie.

Oznámenia agentúram, klientom a zúčastneným tretím stranám

Keď sa počiatočný oblak prachu začne usadzovať, je čas upozorniť príslušnú osobu.Nie je to voliteľná záležitosť: v mnohých prípadoch to vyžadujú predpisy a v iných je transparentnosť nevyhnutná na zachovanie dôvery.

Ak sa incident týka osobných údajov (zákazníci, zamestnanci, používatelia, pacienti, študenti…), je potrebné preskúmať povinnosti vyplývajúce zo všeobecného nariadenia o ochrane údajov (GDPR) a miestnych právnych predpisov. V Španielsku to znamená informovať Španielsky úrad pre ochranu údajov (AEPD) o riziku pre práva a slobody jednotlivcov, zvyčajne do 72 hodín od zistenia porušenia.

Kedy môže incident predstavovať trestný čin (ransomvér, vydieranie, podvod, krádež citlivých informácií, hrozby pre kritickú infraštruktúru) je vhodné nahlásiť tieto incidenty štátnym bezpečnostným silám. V Španielsku zvyčajne zasahujú jednotky ako Brigáda pre technologické vyšetrovanie Národnej polície alebo Skupina pre telematickú kriminalitu Civilnej gardy, ktoré môžu tiež koordinovať svoju činnosť s medzinárodnými organizáciami.

Na štátnej úrovni existujú špecializované centrá, ktoré sa oplatí sledovať., ako napríklad INCIBE-CERT pre občanov a súkromné ​​subjekty alebo iné sektorovo špecifické tímy CSIRT. Ich informovanie môže poskytnúť dodatočnú technickú podporu, prístup k spravodajským informáciám o podobných hrozbách, dešifrovacím nástrojom alebo indíciám o prebiehajúcich kampaniach.

Spoločnosti s poistnými zmluvami pre kybernetické riziká by si mali preštudovať podmienky oznamovaniaJe to preto, že mnohé poisťovne vyžadujú, aby boli informované vo veľmi krátkych termínoch a podmieňujú krytie dodržiavaním určitých pokynov pre reakciu a využívaním schválených poskytovateľov.

Nakoniec je čas zamyslieť sa nad komunikáciou so zákazníkmi, partnermi a zamestnancami.Ak došlo k ohrozeniu údajov alebo k ovplyvneniu kritických služieb, je lepšie, aby boli zamestnanci informovaní priamo organizáciou, a nie prostredníctvom únikov informácií alebo tlačových správ. Jasné a úprimné správy, ktoré vo všeobecnosti vysvetľujú, čo sa stalo, ktoré informácie môžu byť ovplyvnené, aké opatrenia sa prijímajú a aké kroky sa odporúčajú pre dotknuté osoby, sú zvyčajne najlepšou stratégiou na ochranu reputácie.

Zadržať, izolovať a obmedziť postup útočníka.

Hneď ako sa potvrdí, že došlo k skutočnému incidentu, začínajú sa preteky s časom. aby sa zabránilo útočníkovi v ďalšom postupe, krádeži ďalších údajov alebo spôsobení ďalších škôd, ako je šifrovanie záloh alebo ohrozenie ďalších účtov.

Prvým krokom je izolácia napadnutých systémov od sieteToto platí pre káblové aj bezdrôtové pripojenia. V mnohých prípadoch postačí jednoduché odpojenie sieťových rozhraní, prekonfigurovanie sietí VLAN alebo použitie špecifických pravidiel brány firewall na blokovanie podozrivej komunikácie. Cieľom je zadržať útočníka bez zničenia dôkazov alebo bezohľadného vypínania systémov.

Spolu s fyzickou alebo logickou izoláciou je nevyhnutné skontrolovať aj vzdialený prístup.VPN, vzdialené plochy, pripojenia tretích strán, privilegovaný prístup atď. Môže byť potrebné dočasne zakázať určitý prístup, kým nebude jasné, ktoré prihlasovacie údaje mohli byť ohrozené.

Blokovanie podozrivých účtov a prihlasovacích údajov sa musí vykonávať presnePočnúc účtami s vysokými privilégiami, exponovanými servisnými účtami, používateľmi priamo zapojenými do narušenia alebo tými, ktorí vykazujú anomálnu aktivitu, je vhodné vynútiť rozsiahle zmeny hesiel, keď je situácia lepšie pod kontrolou, pričom prioritou sú najprv kritické účty.

Technickejším krokom je posilnenie segmentácie a filtrovania návštevnosti Aby sa zabránilo bočnému pohybu a komunikácii velenia a riadenia, vstupujú do hry pravidlá firewallu, riešenia IDS/IPS, EDR/XDR a ďalšie kontroly, ktoré umožňujú blokovanie škodlivých domén, IP adries a vzorcov prevádzky identifikovaných počas analýzy.

Zároveň je potrebné chrániť zálohy.Ak sú zálohy online alebo sú prístupné z napadnutých systémov, existuje riziko, že môžu byť tiež šifrované alebo s nimi môže byť manipulované. Odporúča sa ich odpojiť, overiť ich integritu a rezervovať si ich na fázu obnovy, keď si budete istí, že sú v poriadku.

Digitálna forenzná analýza: rekonštrukcia útoku a lokalizácia zraniteľností

Po odstránení hrozby sa začína samotná časť „digitálnej forenznej analýzy“.Tá precízna práca krok za krokom rekonštrukcie toho, čo útočník urobil, ako vošiel, čoho sa dotkol a ako dlho bol vo vnútri.

Forenzná analýza začína spracovaním zhromaždených dôkazov.Obrazy diskov, záznamy pamäte, systémové a sieťové protokoly, vzorky škodlivého softvéru, upravené súbory atď., a tiež poučenie sa z reálnych incidentov, ako napríklad zlyhania v riešeniach EDRŠpecializované nástroje sa používajú na rekonštrukciu časových osí, sledovanie zmien konfigurácie, identifikáciu podozrivých procesov a mapovanie nezvyčajných sieťových pripojení.

Jedným z hlavných cieľov je lokalizovať zneužité zraniteľnosti a bezpečnostné medzeryMôže to zahŕňať zastaraný softvér, predvolené konfigurácie, neoprávnene otvorené porty, účty bez dvojfaktorového overenia, nadmerné povolenia, chyby pri vývoji alebo zlyhania segmentácie siete. Tento zoznam slabých stránok potom bude tvoriť základ pre nápravné opatrenia, ako aj nástroje na... Správa zabezpečenia aplikácií (ASPM).

Analýza tiež určuje skutočný rozsah útoku.To zahŕňa určenie, ktoré systémy boli skutočne napadnuté, ktoré účty boli použité, ku ktorým údajom bol prístup alebo ktoré boli odcudzené a ako dlho sa útočník mohol voľne pohybovať. V zložitých prostrediach si to môže vyžadovať dni alebo týždne podrobného preskúmania.

Ak existujú náznaky úniku údajov, sieťové a databázové protokoly sa skúmajú podrobnejšie. kvantifikovať, koľko informácií uniklo, kam a v akom formáte. Tieto informácie sú kľúčové pre posúdenie právneho a reputačného vplyvu, ako aj oznamovacích povinností voči orgánom a dotknutým stranám.

Všetka táto práca sa odráža v technických a výkonných správachTieto správy by mali vysvetliť nielen technické aspekty útoku, ale aj jeho dôsledky pre podnikanie a odporúčania na zlepšenie. Slúžia ako základ pre zdôvodnenie investícií do bezpečnosti, preskúmanie interných procesov a posilnenie školenia zamestnancov.

Posúďte škody, ohrozené údaje a vplyv na podnikanie

Okrem čisto technických aspektov je po incidente potrebné predložiť čísla a dôsledky.Teda posúdiť vplyv z prevádzkového, ekonomického, právneho a reputačného hľadiska.

Najprv sa analyzuje prevádzkový vplyv.Patria sem: výpadky služieb, prerušenia výroby, prestoje kritických systémov, oneskorenia dodávok alebo projektov, neschopnosť fakturovať, zrušenie termínov alebo zásahov atď. Tieto informácie sú základom pre odhad strát v dôsledku prerušenia prevádzky.

Potom je potrebné dotknuté údaje veľmi dôkladne preskúmať.osobné údaje zákazníkov, zamestnancov, dodávateľov alebo pacientov; finančné údaje; obchodné tajomstvá; duševné vlastníctvo; zmluvy; zdravotné záznamyAkademické záznamy atď. Každý typ údajov má rôzne súvisiace riziká a povinnosti.

V prípade osobných údajov je potrebné posúdiť úroveň citlivosti. (napríklad zdravotné alebo finančné údaje verzus jednoduché kontaktné informácie), objem zverejnených záznamov a pravdepodobnosť škodlivého použitia, ako je podvod, krádež identity alebo vydieranie. Toto posúdenie určuje, či sa má informovať Španielsky úrad na ochranu údajov (AEPD) a dotknuté strany, ako aj aké kompenzačné opatrenia sa majú ponúknuť.

Po tretie, vypočíta sa priamy ekonomický dopad.Tieto náklady zahŕňajú externé služby kybernetickej bezpečnosti, právnikov, krízovú komunikáciu, obnovu systému, urgentné obstaranie nových bezpečnostných nástrojov, nadčasy, cestovanie atď. Okrem toho existujú aj nepriame vplyvy, ktoré sa ťažšie merajú, ako napríklad strata zákazníkov, poškodenie reputácie, regulačné pokuty alebo zmluvné penále.

Nakoniec sa posudzuje vplyv na reputáciu a dôvera zainteresovaných strán.Patria sem reakcie zákazníkov, investorov, partnerov, médií a zamestnancov. Zle zvládnutý incident s malou transparentnosťou alebo pomalou reakciou môže mať za následok poškodenie reputácie, ktoré pretrváva roky, a to aj v prípade, že bol technicky vyriešený správne.

Bezpečná obnova: obnovenie systémov bez opätovného zapojenia nepriateľa

Keď sa zistí, čo sa stalo, a útočník bude vylúčený, začne sa fáza reštartovania systémov. a návrat k normálu. Ak sa chcete vyhnúť opätovným infekciám alebo ponechaniu aktívnych zadných vrátok, uponáhľajte sa.

Prvým krokom je definovať priority obnovyNie všetky systémy sú rovnako dôležité pre kontinuitu podnikania: je potrebné identifikovať tie, ktoré sú skutočne kritické (fakturácia, objednávky, podporné systémy, platformy zákazníckych služieb, základná komunikácia) a obnoviť ich ako prvé, pričom tie sekundárneho alebo čisto administratívneho charakteru ponechať na neskôr.

Pred obnovením je potrebné systémy vyčistiť alebo preinštalovať.V mnohých prípadoch je najbezpečnejšou možnosťou naformátovať a preinštalovať systém od začiatku, potom použiť opravy a zosilnené konfigurácie, a nie sa pokúšať manuálne „vyčistiť“ napadnutý systém. To zahŕňa dôkladnú kontrolu spúšťacích skriptov, naplánovaných úloh, servisných účtov, kľúčov registra a všetkých možných mechanizmov perzistencie.

Obnova údajov sa musí vykonať z overených záloh. ako nekompromisné. Na tento účel sa zálohy analyzujú pomocou nástrojov proti škodlivému softvéru a dátumy sa kontrolujú, aby sa vybrali verzie pred začiatkom incidentu. Vždy, keď je to možné, sa odporúča najskôr obnoviť systém v izolovanom testovacom prostredí a overiť, či všetko funguje správne a bez známok škodlivej aktivity.

Počas návratu systémov a služieb do produkcie musí byť monitorovanie obzvlášť intenzívne.Cieľom je okamžite odhaliť akýkoľvek pokus útočníka o opätovné pripojenie, anomálnu aktivitu, neočakávané nárasty prevádzky alebo nezvyčajný prístup. Riešenia ako EDR/XDR, SIEM alebo spravované monitorovacie služby (MDR) v tomto vylepšenom dohľade výrazne pomáhajú.

Využite fázu rekonštrukcie na zlepšenie bezpečnostných kontrol Je to múdre rozhodnutie. Napríklad, pravidlá pre heslá sa dajú posilniť, viacfaktorová autentifikácia, posilniť segmentáciu siete, znížiť nadmerné privilégiá, zahrnúť biele zoznamy aplikácií alebo nasadiť ďalšie nástroje na detekciu narušení a kontrolu prístupu.

Ponaučenia a neustále zlepšovanie po incidente

Keď pominie naliehavosť, je čas si pokojne sadnúť. a analyzovať, čo sa podarilo, čo sa pokazilo a čo sa dá zlepšiť. Zaobchádzanie s incidentom ako so skutočným tréningom je to, čo skutočne zvyšuje úroveň zrelosti kybernetickej bezpečnosti.

Je bežné zorganizovať preskúmanie po incidente Toto stretnutie zahŕňa zástupcov IT, bezpečnostných, obchodných, právnych, komunikačných oddelení a v prípade potreby aj externých dodávateľov. Preberá sa na ňom časový harmonogram, prijaté rozhodnutia, zistené problémy, úzke miesta a slepé miesta v detekcii alebo reakcii.

Jedným z výsledkov tohto preskúmania je úprava plánu reakcie na incidenty.predefinovať role a kontakty, zlepšiť komunikačné šablóny, spresniť technické postupy, objasniť kritériá eskalácie alebo pridať špecifické prípady použitia (napr. útoky ransomvéru, úniky údajov alebo cloudové incidenty).

Ďalším nevyhnutným riešením je uprednostniť opatrenia na ochranu konštrukcií Na základe zistených zraniteľností: oprava systémov, posilnenie konfigurácií, segmentácia sietí, kontrola pravidiel firewallu, implementácia MFA tam, kde ešte nie je zavedená, obmedzenie vzdialeného prístupu, uplatnenie princípu najnižších privilégií a zlepšenie inventára aktív.

Zároveň incident zvyčajne zdôrazňuje potrebu väčšieho povedomia a odbornej prípravy.Nácviky proti phishingu, praktické workshopy o reakcii na ne, stretnutia o osvedčených postupoch pri manipulácii s informáciami a simulované cvičenia pomáhajú zamestnancom vedieť, ako konať a znižovať riziko ľudskej chyby, ktorá spôsobuje toľko narušení bezpečnosti.

Organizácie s menším počtom interných zdrojov môžu zvážiť outsourcing spravovaných služieb. ako napríklad nepretržité monitorovanie, riadená detekcia a reakcia (MDR) alebo externé tímy pre reakciu na incidenty, ktoré dopĺňajú interné tímy CSIRT. Toto je obzvlášť dôležité, keď nie je možné udržiavať nepretržité monitorovanie alebo keď sú prostredia veľmi zložité.

Nakoniec sa každý dôkladne analyzovaný incident stáva pákou na zlepšenie. To posilňuje odolnosť, urýchľuje reakčné schopnosti a znižuje pravdepodobnosť, že podobný útok bude v budúcnosti rovnako úspešný. Pohľad na riadenie incidentov ako na nepretržitý cyklus prípravy, detekcie, reakcie a učenia sa odlišuje od organizácií, ktoré iba „hasia požiare“, od tých, ktoré z každého úderu skutočne vychádzajú silnejšie.

Udržiavanie komplexného prehľadu o tom, na čo si dať pozor po kybernetickom bezpečnostnom incidente – od identifikácie útoku cez zachovanie dôkazov, komunikáciu s tretími stranami, bezpečnú obnovu a získané ponaučenia – vám umožňuje prejsť od improvizovanej paniky k profesionálnej a štruktúrovanej reakcii, ktorá je schopná obmedziť škody, dodržiavať predpisy a hmatateľne posilniť bezpečnosť organizácie.