Trace Id is missing
Pređi na glavni sadržaj
Microsoft bezbednost

Šta je to reagovanje na incident?

Istražite kako efikasno reagovanje na incident pomaže organizacijama da otkriju, adrese i zaustave sajber-napade.

Saznajte više o usluzi Microsoft Sentinel

Definicija reagovanja na incident

Pre definisanja reagovanja na incident važno je da budete jasni o tome šta je to incident. U IT sektoru postoje tri termina koja se ponekad koriste zamenski, ali znače različite stvari:

  1. Događaj je bezazlena radnja koja se često dešava, kao što je kreiranje datoteke, brisanje fascikle ili otvaranje e-poruke. Sam događaj obično nije pokazatelj proboja, ali kada se upari sa drugim događajima, to može da ukazuje na pretnju. 
  2. Obaveštenje je obaveštenje koje aktivira događaj, što može biti pretnja ili ne.
  3. Incident je grupa povezanih upozorenja koja su za ljude ili alatke za automatizaciju verovatno predstavljala iskrenu pretnju. Svako upozorenje možda neće izgledati kao glavna pretnja, ali kada se kombinuju, ukazuju na mogući proboj.

Reagovanje na incident je radnja koju organizacija preduzima kada smatra da su IT sistemi ili podaci možda probijeni. Na primer, bezbednosni stručnjaci će reagovati ako vide dokaz o neovlašćenom korisniku, malveru ili neuspešnim bezbednosnim merama.

Ciljevi odgovora su da eliminišete kibernetički napad što je brže moguće, oporavite, obavestite sve klijente ili vladine agencije prema regionalnim zakonima i saznate kako da smanjite rizik od sličnog proboja u budućnosti.

Kako funkcioniše reagovanje na incident?

Reagovanje na incident obično počinje kada bezbednosni tim dobije verodostojno upozorenje od sistema za upravljanje bezbednosnim informacijama i događajima (SIEM).

Članovi tima moraju da provere da li se događaj kvalifikuje kao incident, a zatim da izoluju zaražene sisteme i uklone pretnju. Ako je incident ozbiljan ili traje dugo da se reši, organizacije će možda morati da vraćaju rezervne kopije podataka, da se suoče sa otkupom ili da obaveste klijente da su njihovi podaci ugroženi.

Iz ovog razloga, osobe koje nisu iz tima kibernetičke bezbednosti obično su uključene u odgovor. Stručnjaci za privatnost, advokati i donosioci poslovnih odluka pomoći će u određivanju pristupa organizacije incidentu i njegovim posledicima.

Tipovi bezbednosnih incidenata

Postoji nekoliko načina na koje napadači pokušavaju da pristupe podacima preduzeća ili na drugi način ugrožavaju sisteme i poslovne operacije. Evo nekoliko najčešćih:

  • Phishing

    Phishing je tip društvenog inženjeringa pri kojem napadač koristi e-poštu, tekstualnu poruku ili telefonski poziv za imitiranje renimiranog brenda ili osobe. Tipičan phishing napad pokušava da ubedi primaoce da preuzmu malver ili da navedu svoju lozinku. Ovi napadi iskorišćavaju poverenje ljudi i primenuju psihičke tehnike kao što je strah da bi ljudi reagovali. Mnogi od ovih napada nisu ciljani, idu na hiljade ljudi u nadi da će samo jedan odgovoriti. Međutim, sofisticiranija verzija pod imenom „ciljani phishing“ koristi dubinsko istraživanje za pravljenje poruke koja treba da bude ubedljiva za jednog pojedinca.

  • Malver

    Malver se odnosi na softver koji je dizajniran da ošteti računarski sistem ili izuzme podatke. Dolazi u mnogo različitih oblika, uključujući viruse, ransomver, špijunski softver i trojanski konji. Loši akteri instaliraju malver koristeći prednosti hardverskih i softverskih ranjivosti ili ubeđuju zaposlenog da to uradi koristeći tehniku društvenog inženjeringa.

  • Ransomver

    U napadu ransomverom, loši akteri koriste malver za šifrovanje kritičnih podataka i sistema, a zatim prete da će učiniti podatke javnim ili da će ih uništiti ako žrtva ne plati otkupninu.

  • Onemogućavanje usluge

    U napadu radi onemogućavanja usluga (DDoS napad), akter pretnji preopterećuje mrežu ili sistem saobraćajem dok se ne uspori ili ne padne. Napadači obično ciljaju kompanije visokog profila kao što su banke ili vlade sa ciljem da ih koštaju vremena i novca, ali organizacije svih veličina mogu biti žrtva ove vrste napada.

  • Posrednik

    Drugi metod koji sajber kriminalci koriste za krađu ličnih podataka jeste da se umeću u razgovore na mreži između ljudi koji veruju da komuniciraju privatno. Ako presretnu poruke i kopiraju ih ili promene pre slanja namenjenom primaocu, oni pokušavaju da manipulišu nekim od učesnika kako bi im dao vredne podatke.

  • insajderska pretnja

    Iako većinu napada obavljaju ljudi izvan organizacije, bezbednosni timovi takođe moraju da budu u toku sa insajderskim pretnjama. Zaposleni i druge osobe koje legitimno imaju pristup ograničenim resursima mogu slučajno ili u nekim slučajevima namerno da propuste osetljive podatke.

Šta je to plan reagovanja na incident?

Reagovanje na incident zahteva da tim radi efikasno i efikasno na uklanjanju pretnji i ispunjavanju regulatornih zahteva. U ovim veoma stresnim situacijama lako je postati uznemiren i pogrešiti, zbog čega mnoge kompanije razvijaju plan reagovanja na incidente. Plan definiše uloge i odgovornosti i uključuje korake potrebne za ispravno rešavanje, dokumentivanje i komunikaciju o incidentu.

Važnost plana reagovanja na incident

Veliki napad ne samo da šteti radu organizacije, već utiče i na reputaciju preduzeća među klijentima i zajednicom, a može imati i pravne posledice. Sve, uključujući brzinu reagovanja bezbednosnog tima na napad i način na koji rukovodioci komuniciraju o incidentu, utiče na njegov ukupni trošak.

Preduzeća koja sakriju štetu od klijenata i vlada ili koja ne shvate pretnju dovoljno ozbiljno mogu da prekrše propise. Ovi tipovi grešaka su česti kada učesnici nemaju plan. U žaru trenutka, postoji rizik da će ljudi donositi nepromišljene odluke vođeni strahom koji će naškoditi organizaciji.

Dobro promišljeni plan ljudima omogućava da znaju šta treba da rade u svakoj fazi napada, tako da ne moraju da ga izmišljaju u pokretu. A nakon oporavka, ako bude pitanja javnosti, organizacija će moći da pokaže kako je tačno reagovala i da klijente umiri time što je ozbiljno shvatila incident i preduzela korake neophodne da spreči gori ishod.

Koraci reagovanja na incident

Postoji više načina za pristup reagovanja na incident i mnoge organizacije se oslanjaju na organizaciju bezbednosnih standarda kako bi vodile svoj pristup. SysAdmin Audit Network Security (SANS) je privatna organizacija koja nudi okvir za reagovanje u šest koraka, koji je naveden ispod. Mnoge organizacije takođe usvajaju okvir za oporavak incidenta Nacionalnog instituta za standarde i tehnologiju (NIST).

  • Priprema – pre nego što dođe do incidenta, važno je da smanjite ranjivosti i definišete bezbednosne smernice i procedure. U fazi pripreme organizacije sprovode procenu rizika kako bi utvrdile gde imaju slabosti i odredile prioritet resursa. Ova faza obuhvata pisanje i sužavanje bezbednosnih procedura, definisanje uloga i odgovornosti i ažuriranje sistema radi smanjenja rizika. Većina organizacija redovno preispituje ovu fazu i unapređuje politike, procedure i sisteme kako uče lekcije ili se menjaju tehnologije.
  • Identifikacija pretnji – za dati dan, bezbednosni tim može primiti hiljade upozorenja koja ukazuju na sumnjivu aktivnost. Neke od njih su potvrđene greške ili možda neće dostići nivo incidenta. Kada se identifikuje incident, tim će uočiti prirodu proboja i dokumenata, uključujući izvor proboja, vrstu napada i ciljeve napadača. U ovoj fazi tim takođe treba da informiše zainteresovane strane i prenese sledeće korake.
  • Obuzdavanje pretnji – obuzdavanje pretnje što je brže moguće predstavlja sledeći prioritet. Što je lošijim akterima duže dozvoljen pristup, to mogu naneti veću štetu. Bezbednosni tim radi na brzoj izolaciji aplikacija ili sistema koji su pod napadom od ostalih mreža. Ovo pomaže u sprečavanju napadača da pristupe drugim delovima poslovanja.
  • Eliminisanje pretnji – kada se obuzdavanje dovrši, tim uklanja napadača i malver iz sistema i resursa na koje ovo utiče. To može da podrazumeva skidanje sistema van mreže. Tim takođe nastavlja da obaveštava zainteresovane strane o napretku.
  • Oporavak i vraćanje u prethodno stanje – oporavak od incidenta može potrajati nekoliko sati. Kada pretnja nestane, tim vraća sisteme u prethodno stanje, oporavlja podatke iz rezervne kopije i nadgleda zahvaćene oblasti kako bi se osiguralo da se napadač ne vrati.
  • Povratne informacije i poboljšanja – kada se incident reši, tim pregleda šta se desilo i identifikuje poboljšanja koja se mogu izvršiti u vezi sa procesom. Učenje na osnovu ove faze pomaže timu da poboljša odbranu organizacije.

Šta je to tim za reagovanje na incident?

Tim za reagovanje na incident, koji se naziva i tim za odgovor na bezbednosne incidente računara (CSIRT), tim za odgovore na sajber incidente (CIRT) ili tim za odgovore na hitne slučajeve računara (CERT), uključuje višefunkcionalnu grupu ljudi u organizaciji koji su odgovorni za izvršavanje plana reagovanja na incident. Ovo obuhvata ne samo osobe koje uklanjaju pretnju, već i one koji donose poslovne ili pravne odluke u vezi sa incidentom. Tipičan tim uključuje sledeće članove:

  • Menadžer odgovora na incident, često direktor IT sektora, nadgleda sve faze odgovora i obaveštava unutrašnje zainteresovane strane. 

  • Analitičari bezbednosti istražuju incident da bi pokušali da razumeju šta se dešava. Takođe dokumentuju svoje rezultate i prikupljaju forenzičke dokaze.

  • Istraživači pretnji pregledaju situaciju izvan organizacije da bi prikupili informacije koje pružaju dodatni kontekst. 

  • Neko iz menadžmenta, kao što je glavni službenik za bezbednost informacija ili glavni informativni službenik, pruža uputstva i služi kao veza sa drugim rukovodiocima.

  • Stručnjaci za ljudske resurse pomažu u upravljanju insajderskim pretnjama.

  • Opšti savetnik pomaže timu da rešava probleme sa odgovornošću i obezbeđuje prikupljanje forenzičkih dokaza.

  • Stručnjaci za odnose sa javnošću koordiniraju tačnu spoljnu komunikaciju sa medijima, klijentima i drugim zainteresovanim stranama.

Tim za reagovanje na incident može da bude podskup centra za bezbednosne operacije (SOC), koji rukuje bezbednosnim operacijama izvan odgovora na incident.

Automatizacija reagovanja na incident

U većini organizacija, mreže i bezbednosna rešenja generišu mnogo više bezbednosnih upozorenja nego što tim za odgovor na incident može realno da reši. Da bi se oni fokusirali na legitimne pretnje, mnoga preduzeća primenjuju automatizaciju reagovanja na incident. Automatizacija koristi veštačku inteligenciju i mašinsko učenje za trijažu upozorenja, identifikovanje incidenata i iskorenjivanje pretnji izvršavanjem pravilnika za odgovor na osnovu programskih skripti.

Automatizacija bezbednosne orkestracije i odgovora (SOAR) je kategorija bezbednosnih alatki koje preduzeća koriste za automatizovanje reagovanjovanje na incidenta na incident. Ova rešenja nude sledeće mogućnosti:

  • Povežite podatke u više krajnjih tačaka i bezbednosnih rešenja da biste identifikovali incidente koje ljudi mogu da prate.

  • Pokrenite unapred skriptovani pravilnik da biste izolovali i rešili poznate tipove incidenata.

  • Generišite istraživačku vremensku osu koja uključuje radnje, odluke i forenzičke dokaze koji se mogu koristiti za analizu.

  • Koristite relevantnu spoljnu inteligenciju za ljudsku analizu.

Kako da primenite plan reagovanja na incident

Razvoj plana odgovora na incident može delovati zastrašujuće, ali to može znatno da smanji rizik da će vaše preduzeće biti nespremno tokom velikog incidenta. Evo kako da počnete:

  • Identifikovanje i određivanje prioriteta resursa

    Prvi korak u planu odgovora na incident jeste da znate šta štitite. Dokumentujte kritične podatke organizacije, uključujući to gde se ona nalazi i njen nivo važnosti za preduzeće.

  • Utvrđivanje potencijalnih rizika

    Svaka organizacija ima različite rizike. Upoznajte se sa najvećim ranjivostima organizacije i procenite načine na koje napadač može da ih iskoristi. 

  • Razvijte procedure reakcije

    Tokom stresnog incidenta, jasne procedure će se dugo kretati do toga da bi se osiguralo da se incident brzo i efikasno reši. Počnite tako što ćete definisati šta se kvalifikuje kao incident, a zatim odredite korake koje vaš tim treba da preduzme da bi otkrio, izolovao i oporavio incident, uključujući procedure za dokumentovanje odluka i prikupljanje dokaza.

  • Kreiranje tima za reagovanje na incident

    Napravite međufunkcionalni tim koji je odgovoran za razumevanje procedura odgovora i mobilizovanje ako dođe do incidenta. Obavezno jasno definišite uloge i nalog za netehničke uloge koje mogu pomoći u donošenju odluka vezanih za komunikaciju i odgovornost. Uključite nekoga u izvršni tim koji će biti predstavnik za tim i njegove potrebe na najvišim nivoima preduzeća. 

  • Definišite plan komunikacije

    Plan komunikacije će umanjiti nagađanje o tome kada i kako da drugima saopštite šta se dešava u organizaciji i izvan nje. Razmislite o različitim scenarijima kako biste mogli da utvrdite pod kojim okolnostima treba da informišete rukovodioce, celu organizaciju, klijente i medije ili druge spoljne zainteresovane strane.

  • Obučite zaposlene

    Loši akteri ciljaju zaposlene na svim nivoima organizacije, zbog čega je važno da svi razumeju vaš plan odgovora i znaju šta da rade ako sumnjaju da su bili žrtva napada. Povremeno testirajte zaposlene da biste potvrdili da mogu da prepoznaju phishing e-poruke i olakšajte im da o tome obaveštavaju tim za odgovor na incidente ako slučajno kliknu na neispravnu vezu ili otvore zaraženi prilog. 

Rešenja za reagovanje na incident

Pripremanje za glavni incident je važan deo zaštite organizacije od pretnji. Podešavanje tima za odgovore na interni incident će vam pružiti pouzdanost da ćete biti spremni ako ste žrtva lošeg glumca.

Iskoristite prednosti SIEM i SOAR rešenja kao što je Microsoft Sentinel, koja koriste automatizaciju kako bi vam pomogla da identifikujete incidente i automatski odgovarate na njih. Organizacije sa manje resursa mogu da podstiče svoje timove kod dobavljača usluga koji može da kontroliše više faza reagovanja na incident. Ali bilo da interno ili eksterno reagujete na incidente, uverite se da imate plan.

Saznajte više o paketu „Microsoft bezbednost“

Microsoft zaštita od pretnji

Identifikujte incidente u organizaciji i odgovorite na njih najnovijim rešenjima za zaštitu od pretnji.

Saznajte više

Microsoft Sentinel

Otkrijte sofisticirane pretnje i odlučno odgovorite pomoću moćnog SIEM rešenja koje koristi tehnologiju oblaka i veštačku inteligenciju.

Saznajte više

Microsoft Defender XDR

Zaustavite napade na krajnje tačke, e-poštu, identitete, aplikacije i podatke.

Saznajte više

Najčešća pitanja

  • Reagovanje na incident su sve aktivnosti koje organizacija preduzima kada sumnja na bezbednosni proboj. Cilj je da izolujete i iskorenite napadače što je pre moguće, da se usaglasite sa propisima o privatnosti podataka i bezbedno oporavite organizaciju uz što je moguće manju štetu.

  • Višefunkcionalni tim je odgovoran za reagovanje na incident. IT će obično biti zadužen za identifikovanje, izolovanje i oporavak od pretnji, ali postoji više od odgovora na incidente od pronalaženja i uklanjanje loših aktera. U zavisnosti od tipa napada, neko će možda morati da donese poslovnu odluku, kao što je način na koji se rešava otkup. Pravni savetnik i profesionalci za odnose sa javnošću obezbeđuju da organizacija bude u skladu sa zakonima o privatnosti podataka, uključujući odgovarajuća obaveštenja klijenata i vlada. Ako je pretnju izvršio zaposleni, ljudski resursi savetuju odgovarajuću radnju.

  • CSIRT je drugo ime za tim za reagovanje na incident. On obuhvata višefunkcionalni tim ljudi koji su odgovorni za upravljanje svim aspektima reagovanja na incident, uključujući otkrivanje, izolaciju i eliminisanje pretnji, oporavka, interne i spoljne komunikacije, dokumentacije i forenzičke analize.

  • Većina organizacija koristi SIEM ili SOAR rešenje kako bi ih lakše identifikovale i reagovale na pretnje. Ova rešenja obično prikupljaju podatke iz više sistema i koriste mašinsko učenje da bi pomogla u identifikovanju pravih pretnji. Oni takođe mogu da automatizuju odgovor za određene vrste pretnji na osnovu unapred skriptovanih pravilnika.

  • Životni ciklus reagovanja na incident uključuje šest faza:

    1. Priprema se odvija pre identifikovanja incidenta i uključuje definiciju onoga što organizacija smatra incidentom i svim smernicama i procedurama neophodnim za sprečavanje, otkrivanje, eliminisanje i oporavak od napada.
    2. Identifikacija pretnji je proces koji koristi ljudske analitičare i automatizaciju radi identifikovanja događaja koji su stvarne pretnje koje treba rešiti.
    3. Suzbijanje pretnji je radnja koju tim preduzima da bi izolovao pretnju i sprečio je da zarazi druge oblasti preduzeća. 
    4. Eliminacija pretnji obuhvata korake za uklanjanje malvera i napadača iz organizacije.
    5. Oporavak i vraćanje u prethodno stanje uključuju ponovno pokretanje sistema i računara i vraćanje izgubljenih podataka u prethodno stanje. 
    6. Povratne informacije i sužavanje obima je proces koji tim preduzima za otkrivanje lekcija iz incidenta i primenu tih učenja na smernice i procedure. 

Pratite Microsoft bezbednost