Trace Id is missing
Gå till huvudinnehåll
Microsoft Security

Vad är svar på händelse?

Se hur effektiva svar på händelser gör att organisationer kan upptäcka, åtgärda och stoppa cyberattacker.

Mer information om Microsoft Sentinel

Definition av svar på händelse

Innan vi definierar svar på händelse är det viktigt att förstå vad en incident är. Inom IT finns det tre begrepp som ibland används omväxlande men som betyder olika saker:

  1. En händelse är en harmlös åtgärd som sker ofta, som att skapa en fil, ta bort en mapp eller öppna ett e-postmeddelande. En händelse i sig själv är vanligtvis inte ett tecken på en säkerhetsöverträdelse men när den kombineras med andra händelser kan det tyda på ett hot. 
  2. En varning är ett meddelande som utlöses av en händelse, som kan vara ett hot eller inte.
  3. En incident är en grupp korrelerade varningar som människor eller automationsverktyg med stor sannolikhet anser vara ett verkligt hot. Var och en för sig verkar inte varje varning vara ett stort hot, men tillsammans kan de vara en indikation på en möjlig överträdelse.

Svar på händelse är de åtgärder som en organisation vidtar när man tror att IT-system eller data kan ha blivit utsatta för ett intrång. Säkerhetsspecialister agerar till exempel om de ser bevis på en obehörig användare, skadlig kod eller misslyckade säkerhetsåtgärder.

Målet med svaret är att eliminera en cyberattack så snabbt som möjligt, återställa, meddela eventuella kunder eller myndigheter enligt kraven i regionala lagar samt lära sig hur man minskar risken för liknande överträdelser i framtiden.

Hur fungerar svar på händelse?

Svar på händelse inleds vanligtvis när säkerhetsteamet får en trovärdig varning från ett SIEM-system (system för säkerhetsinformation och händelsehantering).

Teammedlemmar måste verifiera att händelsen kan kvalificeras som en incident och sedan isolera infekterade system och ta bort hotet. Om incidenten är allvarlig eller tar lång tid att lösa kan organisationer behöva återställa säkerhetskopierade data, hantera krav på en lösensumma eller meddela kunder att deras data har komprometterats.

Av denna anledning deltar vanligtvis även andra än cybersäkerhetsteamet i svaret. Integritetsexperter, jurister och affärsbeslutsfattare hjälper till att fastställa organisationens tillvägagångssätt under och efter en incident.

Typer av säkerhetsincidenter

Det finns flera sätt som angripare försöker komma åt ett företags data eller på annat sätt kompromettera dess system och affärsverksamhet. Här är några av de vanligaste:

  • Nätfiske

    Nätfiske är en typ av social manipulering där en angripare använder e-post, sms eller ett telefonsamtal för att imitera välkända varumärken eller personer. I en typisk nätfiskeattack försöker mottagarna övertalas att ladda ned skadlig kod eller ange sina lösenord. Dessa attacker utnyttjar människors förtroende och använder psykologiska tekniker som rädsla för att få människor att agera. Många av dessa attacker saknar ett specifikt mål och går ut till tusentals människor i hopp om att bara en ska svara. I en mer avancerad version som kallas harpunfiske används däremot omfattande efterforskningar för att skapa ett meddelande som är avsett att övertyga en viss person.

  • Skadlig kod

    Skadlig kod syftar på all programvara som är utformad för att skada ett datorsystem eller exfiltrera data. Det finns i många olika former, bland annat virus, utpressningstrojaner, spionprogram och trojanska hästar. Angripare installerar skadlig kod genom att utnyttja sårbarheter i maskinvara och programvara eller genom att övertyga en anställd att göra det genom social manipulering.

  • Utpressningstrojaner

    I en attack med utpressningstrojaner använder angripare skadlig kod för att kryptera kritiska data och system och hotar sedan att offentliggöra informationen eller förstöra den om offret inte betalar en lösensumma.

  • Överbelastningsattack

    I en överbelastningsattack (DDoS-attack) överväldigar en hotaktör ett nätverk eller system med trafik tills det saktar ned eller kraschar. Angripare riktar vanligtvis in sig på högprofilerade företag som banker eller myndigheter med målet att kosta dem tid och pengar, men organisationer av alla storlekar kan bli offer för den här typen av attacker.

  • Man-i-mitten-attack

    En annan metod som cyberbrottslingar använder för att stjäla personliga uppgifter är att sätta in sig själva i en onlinekonversation mellan personer som tror att de kommunicerar privat. Genom att fånga upp meddelanden och kopiera dem eller ändra dem innan de skickas till den avsedda mottagaren försöker de manipulera en av deltagarna att ge dem värdefulla uppgifter.

  • Internt hot

    Även om de flesta attacker utförs av personer utanför en organisation, måste säkerhetsteam också vara uppmärksamma på interna hot. Medarbetare och andra personer som har berättigad åtkomst till begränsade resurser kan oavsiktligt eller i vissa fall avsiktligt läcka känslig information.

Vad är en plan för svar på händelse?

Hantering av en incident kräver att ett team har ett effektivt samarbete för att kunna eliminera hotet och uppfylla regelkrav. I dessa stressiga situationer är det lätt att bli förvirrad och göra misstag, vilket är anledningen till att många företag tar fram en plan för svar på händelse. Den här planen innehåller definitioner av roller och ansvar samt de steg som behövs för att korrekt lösa, dokumentera och informera om en incident.

Vikten av en plan för svar på händelse

En betydande attack skadar inte bara verksamheten i en organisation, den påverkar också företagets rykte bland kunder och allmänheten och kan dessutom ha juridiska konsekvenser. Allt från hur snabbt säkerhetsteamet reagerar på attacken till hur chefer informerar om incidenten påverkar den totala kostnaden.

Företag som döljer skadorna för kunder och myndigheter eller som inte tar ett hot på tillräckligt stort allvar riskerar att bryta mot förordningar. Dessa typer av misstag är vanligare när en plan saknas. I stundens hetta finns det en risk att människor fattar förhastade beslut som drivs av rädsla och som kommer att skada organisationen.

Med en genomtänkt plan vet folk vad de ska göra i varje fas av en attack och slipper improvisera. Och om det efter återställningen finns frågor från allmänheten kan organisationen visa exakt hur man reagerade. Kunderna kan då känna sig trygga eftersom de får veta att organisationen tog incidenten på allvar och implementerade de åtgärder som krävdes för att förhindra ett sämre resultat.

Steg i svar på händelse

Det finns mer än ett sätt att ta sig an svar på händelse, och många organisationer förlitar sig på en säkerhetsstandardorganisation som kan vägleda deras tillvägagångssätt. SysAdmin Audit Network Security (SANS) är en privat organisation som erbjuder ett ramverk för svar i sex steg, som beskrivs nedan. Många organisationer använder också återhämtningsramverket från National Institute of Standards and Technology (NIST).

  • Förberedelser – Innan en incident inträffar är det viktigt att minska sårbarheter och definiera policyer och procedurer för säkerhet. I förberedelsefasen gör organisationer en riskbedömning för att fastställa var de har svagheter och prioritera tillgångar. I den här fasen skriver och finjusterar man säkerhetsprocedurer, definierar roller och ansvar och uppdaterar system för att minska risken. De flesta organisationer går regelbundet tillbaka till detta steg och gör förbättringar av policyer, procedurer och system efter nya lärdomar eller när teknik förändras.
  • Hotidentifiering – Under en enda dag kan ett säkerhetsteam få tusentals varningar om misstänkt aktivitet. Vissa av dem är falska positiva identifieringar eller kanske inte uppnår nivån för en incident. När en incident har identifierats, undersöker teamet överträdelsen och dokumenterar fynden, inklusive källan till överträdelsen, typen av attack och angriparens mål. I det här skedet behöver teamet också informera intressenter och meddela nästa steg.
  • Inneslutning av hot – Nästa prioritet är att innesluta ett hot så snabbt som möjligt. Ju längre angriparna har tillgång, desto större skada kan de göra. Säkerhetsteamet ser till att snabbt isolera program eller system som är under attack från resten av nätverken. Detta hjälper till att förhindra angriparna från att komma åt andra delar av verksamheten.
  • Hoteliminering – När inneslutningen är klar tar teamet bort angriparen och eventuell skadlig kod från berörda system och resurser. Detta kan innebära att system måste tas offline. Teamet fortsätter också att hålla intressenter informerade om framstegen.
  • Återställning och återhämtning – Återställning från en incident kan ta flera timmar. När hotet är borta återställer teamet system, återställer data från säkerhetskopior och övervakar drabbade områden för att säkerställa att angriparen inte kommer tillbaka.
  • Feedback och finjustering – När incidenten är löst granskar teamet vad som hände och identifierar möjliga förbättringar av processen. Lärdomar i denna fas hjälper teamet att förbättra organisationens försvar.

Vad är ett utryckningsteam incidenter?

Ett utryckningsteam för incidenter, som även kallas CSIRT (Computer Security Incident Response Team), CIRT (Cyber Incident Response Team) eller CERT (Computer Emergency Response Team), är en tvärfunktionell grupp personer i organisationen som ansvarar för genomförandet av planen för svar på händelse. Här ingår inte bara de personer som avlägsnar hotet utan även de som fattar affärsmässiga eller juridiska beslut kopplade till en incident. I ett typiskt team ingår följande medlemmar:

  • En chef för svar på händelse, ofta IT-chefen, övervakar alla faser av svaret och håller interna intressenter informerade. 

  • Säkerhetsanalytiker undersöker incidenten för att försöka förstå vad som händer. De dokumenterar också sina fynd och samlar in forensiska bevis.

  • Hotforskare samlar in information utanför organisationen som ger ytterligare sammanhang. 

  • Någon från ledningen, till exempel en informationssäkerhetsdirektör (CISO) eller en IT-direktör (CIO), ger vägledning och fungerar som en länk till andra chefer.

  • HR-specialister hjälper till att hantera interna hot.

  • Juridiska rådgivare hjälper teamet att navigera i ansvarsfrågor och ser till att forensiska bevis samlas in.

  • PR-specialister samordnar korrekt extern kommunikation till media, kunder och andra intressenter.

Ett utryckningsteam för incidenter kan vara en del av ett säkerhetscenter (SOC), som hanterar säkerhetsåtgärder utöver svar på händelse.

Automatisering av svar på händelse

I de flesta organisationer genererar nätverk och säkerhetslösningar mycket fler säkerhetsvarningar än vad utryckningsteamet för incidenter realistiskt kan hantera. Många företag använder automatisering av svar på händelse så att det blir enklare att fokusera på verkliga hot. Automatisering använder AI och maskininlärning för att prioritera varningar, identifiera incidenter och hitta hot genom att köra en spelbok för svar som baseras på programmerade skript.

Säkerhetsorkestrering, automatisering och svar (SOAR) är en kategori av säkerhetsverktyg som företag använder för att automatisera svar på händelse. De här lösningarna omfattar följande funktioner:

  • Korrelera data mellan flera slutpunkter och säkerhetslösningar för att identifiera incidenter som människor kan följa upp.

  • Kör en fördefinierad spelbok för att isolera och åtgärda kända incidenttyper.

  • Skapa en undersökande tidslinje som innehåller åtgärder, beslut och forensiska bevis som kan användas för analys.

  • Ta in relevant extern information för mänsklig analys.

Så här implementeras en plan för svar på händelse

Att ta fram en plan för svar på händelse kan verka överväldigande, men det kan avsevärt minska risken att ditt företag inte är förberett på en större incident. Så här kommer du igång:

  • Identifiera och prioritera tillgångar

    Det första steget i en plan för svar på händelse är att veta vad du skyddar. Dokumentera din organisations kritiska data, inklusive var de finns och deras betydelse för verksamheten.

  • Identifiera möjliga risker

    Varje organisation har olika risker. Bli bekant med din organisations största sårbarheter och utvärdera hur en angripare kan utnyttja dem. 

  • Utveckla svarsprocedurer

    Under en stressig incident är tydliga procedurer till stor hjälp för att säkerställa att incidenten åtgärdas snabbt och effektivt. Börja med att definiera vad som kvalificeras som en incident och bestäm sedan vilka steg ditt team ska vidta för att upptäcka, isolera och återställa från incidenten, inklusive procedurer för att dokumentera beslut och samla in bevis.

  • Skapa ett utryckningsteam för incidenter

    Bilda ett tvärfunktionellt team som ansvarar för att förstå svarsprocedurerna och mobilisera om det inträffar en incident. Se till att tydligt definiera roller och ta med icke-tekniska roller som kan hjälpa till att fatta beslut relaterade till kommunikation och ansvar. Inkludera någon i ledningsgruppen som kommer att vara en förespråkare för teamet och dess behov på företagets högsta nivåer. 

  • Definiera kommunikationsplanen

    En kommunikationsplan gör att man slipper gissa sig fram till när och hur man ska informera andra inom och utanför organisationen om det som pågår. Tänk igenom olika scenarier så att du kan avgöra under vilka omständigheter du behöver informera chefer, hela organisationen, kunder och media eller andra externa intressenter.

  • Utbilda medarbetarna

    Angripare riktar in sig på medarbetare på alla nivåer i organisationen. Därför är det viktigt att alla förstår planen och vet vad de ska göra om de misstänker att de har utsatts för en attack. Testa medarbetarna med jämna mellanrum för att bekräfta att de känner igen nätfiske i e-postmeddelanden, och gör det enkelt för dem att meddela utryckningsteamet för incidenter om de av misstag har klickat på en dålig länk eller öppnat en infekterad bilaga. 

Lösningar för svar på händelse

Att vara förberedd på en större incident är en viktig del av att skydda din organisation från hot. Genom att bilda ett internt utryckningsteam för incidenter vet du att du är redo om du blir utsatt för en attack av en angripare.

Dra nytta av SIEM- och SOAR-lösningar som Microsoft Sentinel som använder automatisering för att göra det enklare att identifiera och automatiskt svara på incidenter. Organisationer med färre resurser kan utöka sina team med en tjänstleverantör som kan hantera flera faser av svar på händelse. Se ändå till att du har en plan på plats, oavsett om du hanterar svar på händelse internt eller externt.

Mer information om Microsoft Security

Microsoft Hotskydd

Identifiera och svara på incidenter i din organisation med det senaste inom hotskydd.

Mer information

Microsoft Sentinel

Upptäck avancerade hot och svara beslutsamt med en kraftfull SIEM-lösning som drivs av molnet och AI.

Mer information

Microsoft Defender XDR

Stoppa attacker mot slutpunkter, e-post, identiteter, program och data.

Mer information

Vanliga frågor och svar

  • Svar på händelse är alla åtgärder som en organisation vidtar när man misstänker att det skett en säkerhetsöverträdelse. Målet är att isolera och avlägsna angripare så snabbt som möjligt, följa datasekretessbestämmelser och återhämta sig säkert med så lite skada på organisationen som möjligt.

  • Ett tvärfunktionellt team ansvarar för svar på händelse. IT ansvarar vanligtvis för att identifiera, isolera och återställa från hot, men svar på händelse handlar om mer än att bara hitta och göra sig av med illvilliga aktörer. Beroende på typen av attack kan någon behöva fatta ett affärsbeslut, till exempel hur man ska hantera krav på en lösensumma. Juridiska rådgivare och PR-experter hjälper till att säkerställa att organisationen följer dataskyddslagar, inklusive lämpliga meddelanden till kunder och myndigheter. Om hotet kommer från en medarbetare ger personalavdelningen råd om lämpliga åtgärder.

  • CSIRT är ett annat namn för ett utryckningsteam för incidenter. Det är ett tvärfunktionellt team av personer som är ansvariga för att hantera alla aspekter av svar på händelse, till exempel upptäckt, isolering och eliminering av hotet, återställning, intern och extern kommunikation, dokumentation och forensisk analys.

  • De flesta organisationer använder en SIEM- eller en SOAR-lösning som hjälp för att identifiera och svara på hot. Dessa lösningar samlar vanligtvis data från flera system och använder maskininlärning för att identifiera verkliga hot. De kan också automatisera svar för vissa typer av hot baserat på fördefinierade spelböcker.

  • Livscykeln för svar på händelse består av sex steg:

    1. Förberedelse sker innan en incident har identifierats. Här ingår en definition av vad organisationen anser vara en incident och alla policyer och procedurer som är nödvändiga för att förhindra, upptäcka, eliminera och återhämta sig från en attack.
    2. Hotidentifiering är en process med både mänskliga analytiker och automatisering för att identifiera vilka händelser som är verkliga hot som måste åtgärdas.
    3. Inneslutning av hot är de åtgärder som teamet vidtar för att isolera hotet och förhindra att det infekterar andra delar av verksamheten. 
    4. Hoteliminering omfattar steg för att avlägsna skadlig kod och angripare från en organisation.
    5. Återställning och återhämtning omfattar omstart av system och datorer och återställning av data som gått förlorade. 
    6. Feedback och finjustering är den process som teamet använder för att dra lärdom av incidenten och tillämpa dessa lärdomar i policyer och procedurer. 

Följ Microsoft Security