Trace Id is missing
Przejdź do głównej zawartości
Rozwiązania zabezpieczające firmy Microsoft

Czym jest reagowanie na incydenty?

Dowiedz się, jak skuteczne reagowanie na incydenty pomaga organizacjom wykrywać, eliminować i powstrzymywać cyberataki.

Dowiedz się więcej o usłudze Microsoft Sentinel

Definicja reagowania na incydenty

Przed przystąpieniem do definiowania reagowania na incydenty należy sprecyzować, czym jest incydent. W branży IT istnieją trzy terminy, które czasami są używane zamiennie, ale oznaczają różne rzeczy:

  1. Zdarzenie to nieszkodliwa czynność, która często się zdarza, taka jak tworzenie pliku, usuwanie folderu lub otwieranie wiadomości e-mail. Samo zdarzenie zazwyczaj nie wskazuje na naruszenie zabezpieczeń, ale w połączeniu z innymi zdarzeniami może sygnalizować zagrożenie. 
  2. Alert to powiadomienie wywołane przez zdarzenie, które może, ale nie musi być zagrożeniem.
  3. Incydent to grupa skorelowanych ze sobą alertów, które zdaniem ludzi lub narzędzi do automatyzacji mogą stanowić rzeczywiste zagrożenie. Pojedynczo, każdy alert może nie wydawać się dużym zagrożeniem, ale w połączeniu wskazują na możliwe naruszenie zabezpieczeń.

Reagowanie na incydenty to działania, które podejmuje organizacja, gdy uważa, że mogło dojść do naruszenia zabezpieczeń systemów informatycznych lub danych. Na przykład, specjaliści ds. bezpieczeństwa podejmą działania, jeśli dostrzegą dowody na obecność nieautoryzowanego użytkownika, złośliwego oprogramowania lub awarię zabezpieczeń.

Celami reagowania są: jak najszybsze wyeliminowanie cyberataku, odzyskanie sprawności, powiadomienie wszelkich klientów lub agencji rządowych zgodnie z wymogami lokalnych przepisów oraz zdobycie wiedzy, jak zmniejszyć ryzyko podobnego naruszenia zabezpieczeń w przyszłości.

Jak działa reagowanie na incydenty?

Reagowanie na incydenty rozpoczyna się zazwyczaj w momencie, gdy zespół ds. zabezpieczeń otrzymuje wiarygodny alert z systemu zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM).

Członkowie zespołu muszą sprawdzić, czy zdarzenie spełnia kryteria incydentu, a następnie odizolować zainfekowane systemy i usunąć zagrożenie. Jeśli incydent jest poważny lub jego rozwiązanie zajmuje dużo czasu, organizacje mogą być zmuszone do przywrócenia kopii zapasowych danych, zapłacenia okupu lub powiadomienia klientów, że doszło do naruszenia zabezpieczeń ich danych.

Z tego powodu do reagowania angażowane są zazwyczaj osoby inne niż zespół ds. cyberbezpieczeństwa. Eksperci ds. prywatności, prawnicy i decydenci biznesowi pomogą określić sposób podejścia organizacji do incydentu i jego następstw.

Typy incydentów związanych z zabezpieczeniami

Istnieje szereg sposobów, w jakie atakujący próbują uzyskać dostęp do danych firmy lub w inny sposób naruszyć jej systemy i operacje biznesowe. Oto kilka najczęstszych:

  • Wyłudzanie informacji

    Wyłudzanie informacji (phishing) to rodzaj inżynierii społecznej, która polega na tym, że osoba atakująca używa wiadomości e-mail, tekstu lub telefonu, aby podszyć się pod szanowaną markę lub osobę. Typowy atak phishingowy próbuje nakłonić odbiorców do pobrania złośliwego oprogramowania lub podania hasła. Ataki te wykorzystują ludzkie zaufanie i stosują techniki psychologiczne, takie jak strach, aby skłonić ludzi do podjęcia określonych działań. Wiele z tych ataków jest nieukierunkowanych, skierowanych do tysięcy osób w nadziei, że chociaż jedna zareaguje. Jednak bardziej wyrafinowana wersja, zwana spersonalizowanym wyłudzaniem informacji (spear phishing), wykorzystuje szczegółowe rozpoznanie, aby spreparować wiadomość, która ma być przekonująca dla konkretnej osoby.

  • Złośliwe oprogramowanie

    Złośliwe oprogramowanie to każde oprogramowanie, które zostało zaprojektowane w celu uszkodzenia systemu komputerowego lub przechwycenia danych. Występuje w wielu różnych formach, jak np. wirusy, oprogramowanie ransomware, oprogramowanie szpiegujące i konie trojańskie. Osoby działające w złych intencjach instalują złośliwe oprogramowanie, wykorzystując luki w zabezpieczeniach sprzętu i oprogramowania lub nakłaniając do tego pracownika przy użyciu technik inżynierii społecznej.

  • Oprogramowanie wymuszające okup (ransomware)

    W ataku z użyciem oprogramowania ransomware osoby działające w złych intencjach wykorzystują złośliwe oprogramowanie do zaszyfrowania krytycznych danych i systemów, a następnie grożą upublicznieniem lub zniszczeniem danych, jeśli ofiara nie zapłaci okupu.

  • Odmowa usługi

    W ataku typu „odmowa usługi” (atak DDoS) podmiot stanowiący zagrożenie przeciąża sieć lub system ruchem do punktu, w którym następuje spowolnienie lub awaria. Zazwyczaj atakujący obierają za cel firmy o dobrej reputacji, takie jak banki czy rządy, chcąc w ten sposób narazić je na straty czasu i pieniędzy, ale ofiarami tego typu ataków mogą stać się organizacje każdej wielkości.

  • Atak typu „człowiek pośrodku” (man in the middle)

    Inną metodą, którą cyberprzestępcy wykorzystują do kradzieży danych osobowych, jest wejście pomiędzy osoby, które sądzą, że komunikują się prywatnie. Przechwytując wiadomości i kopiując je lub zmieniając przed wysłaniem do zamierzonego odbiorcy, starają się zmanipulować jednego z uczestników do udostępnienia im cennych danych.

  • Zagrożenie wewnętrzne

    Chociaż większość ataków jest przeprowadzana przez osoby spoza organizacji, zespoły ds. zabezpieczeń muszą również mieć na uwadze zagrożenia wewnętrzne. Pracownicy i inne osoby, które posiadają legalny dostęp do zastrzeżonych zasobów, mogą nieumyślnie lub w niektórych przypadkach celowo ujawnić dane poufne.

Czym jest plan reagowania na incydenty?

Reagowanie na incydent wymaga od zespołu sprawnej i skutecznej współpracy w celu wyeliminowania zagrożenia i spełnienia wymagań regulacyjnych. W takich stresujących sytuacjach łatwo o zdenerwowanie i błędy, dlatego wiele firm opracowuje plan reagowania na incydenty. Plan określa role i obowiązki oraz opisuje kroki niezbędne do właściwego rozwiązania, udokumentowania incydentu i poinformowania o nim.

Znaczenie planu reagowania na incydenty

Znaczący atak nie tylko zakłóca działanie organizacji, ale również wpływa na reputację firmy pośród klientów i społeczności, a ponadto może mieć również konsekwencje prawne. Wszystko, łącznie z tym, jak szybko zespół ds. zabezpieczeń reaguje na atak i jak kierownictwo komunikuje o incydencie, ma wpływ na jego całościowy koszt.

Firmy, które ukrywają szkody przed klientami i administracją państwową lub nie traktują zagrożenia wystarczająco poważnie, mogą narazić się na naruszenie przepisów. Tego typu błędy zdarzają się częściej, gdy uczestnicy nie mają przygotowanego planu. W ferworze wydarzeń istnieje ryzyko, że ludzie będą podejmować pochopne decyzje podyktowane strachem, które ostatecznie przyniosą szkodę organizacji.

Dobrze przemyślany plan pozwala pracownikom wiedzieć, co mają robić w każdej fazie ataku, więc nie muszą wymyślać tego na bieżąco. A po odzyskaniu sprawności, jeśli pojawią się pytania ze strony opinii publicznej, organizacja będzie mogła przedstawić dokładnie, jak zareagowała i zapewnić klientom poczucie spokoju, że potraktowała incydent poważnie i wdrożyła kroki niezbędne do zapobieżenia gorszym skutkom.

Kroki reagowania na incydenty

Jest wiele sposobów podejścia do reagowania na incydenty, a wiele organizacji polega na organizacji zajmującej się standardami bezpieczeństwa, aby określić swoje podejście. SysAdmin Audit Network Security (SANS) jest prywatną organizacją, która oferuje sześciostopniową strukturę reagowania, która została przedstawiona poniżej. Wiele organizacji stosuje również strukturę reagowania na incydenty National Institute of Standards and Technology (NIST).

  • Przygotowanie — zanim dojdzie do incydentu, ważne jest ograniczenie luk w zabezpieczeniach oraz zdefiniowanie zasad i procedur bezpieczeństwa. W fazie przygotowania organizacje przeprowadzają ocenę ryzyka, aby określić, gdzie znajdują się słabe punkty i ustalić hierarchię ważności aktywów. Faza ta obejmuje opracowanie i dopracowanie procedur bezpieczeństwa, określenie ról i obowiązków oraz aktualizację systemów w celu zmniejszenia ryzyka. Większość organizacji regularnie powraca do tego etapu i wprowadza poprawki do zasad, procedur i systemów stosownie do wyciągniętych wniosków lub zmian technologicznych.
  • Identyfikacja zagrożeń — każdego dnia zespół ds. zabezpieczeń może otrzymywać tysiące alertów wskazujących na podejrzaną aktywność. Niektóre z nich są wynikami fałszywie dodatnimi lub mogą nie spełniać kryteriów incydentu. Po zidentyfikowaniu incydentu, zespół bada naturę naruszenia zabezpieczeń i dokumentuje ustalenia, w tym źródło naruszenia, rodzaj ataku i cele atakującego. Na tym etapie zespół musi również poinformować interesariuszy i zakomunikować kolejne kroki.
  • Powstrzymanie zagrożenia — jak najszybsze opanowanie zagrożenia stanowi kolejny priorytet. Im dłużej pozwala się osobom działającym w złych intencjach na dostęp, tym większe szkody mogą oni wyrządzić. Zespół ds. zabezpieczeń pracuje nad szybkim odizolowaniem atakowanych aplikacji lub systemów od reszty sieci. Pomaga to uniemożliwić atakującym dostęp do innych części przedsiębiorstwa.
  • Wyeliminowanie zagrożenia — po zakończeniu etapu powstrzymywania, zespół usuwa atakującego i wszelkie złośliwe oprogramowanie z zaatakowanych systemów i zasobów. Może to wymagać wyłączenia systemów. Zespół kontynuuje również informowanie interesariuszy o postępach.
  • Odzyskiwanie i przywracanie sprawności — odzyskiwanie sprawności po incydencie może trwać kilka godzin. Po wyeliminowaniu zagrożenia zespół przywraca systemy, odzyskuje dane z kopii zapasowych i monitoruje zagrożone obszary, aby upewnić się, że atakujący nie powróci.
  • Informacje zwrotne i udoskonalenia — po rozwiązaniu incydentu zespół dokonuje przeglądu tego, co się wydarzyło i identyfikuje usprawnienia, które można wprowadzić do danego procesu. Wnioski z tej fazy pomagają zespołowi poprawić mechanizmy obronne organizacji.

Czym jest zespół reagowania na incydenty?

Zespół reagowania na incydenty, który nazywany jest również zespołem reagowania na incydenty związane z bezpieczeństwem komputerowym (CSIRT), zespołem reagowania na incydenty cybernetyczne (CIRT) lub zespołem reagowania na incydenty komputerowe (CERT), obejmuje grupę osób pełniących różne funkcje w organizacji, które są odpowiedzialne za realizację planu reagowania na incydenty. Obejmuje to nie tylko osoby, które usuwają zagrożenie, ale również te, które podejmują decyzje biznesowe lub prawne związane z incydentem. W skład typowego zespołu wchodzą następujący członkowie:

  • Menedżer ds. reagowania na incydenty, często dyrektor działu IT, nadzoruje wszystkie fazy reagowania i informuje wewnętrznych interesariuszy. 

  • Analitycy ds. bezpieczeństwa badają incydent, próbując zrozumieć, co się dzieje. Dokumentują również swoje ustalenia i zbierają dowody rzeczowe.

  • Specjaliści ds. badania zagrożeń poszukują informacji poza organizacją, aby zgromadzić dane pozwalające na uzyskanie dodatkowego kontekstu. 

  • Ktoś z kierownictwa, np. główny specjalista ds. bezpieczeństwa informacji lub główny specjalista ds. informacji, zapewnia wskazówki i służy jako osoba kontaktowa z innymi członkami kierownictwa.

  • Specjaliści działu zasobów ludzkich pomagają zarządzać zagrożeniami wewnętrznymi.

  • Radca prawny pomaga zespołowi poruszać się w kwestiach związanych z odpowiedzialnością prawną i zapewnia gromadzenie dowodów rzeczowych.

  • Specjaliści ds. public relations koordynują precyzyjną komunikację zewnętrzną z mediami, klientami i innymi interesariuszami.

Zespół reagowania na incydenty może stanowić podgrupę centrum działań związanych z zabezpieczeniami (SOC), które zajmuje się operacjami związanymi z zabezpieczeniami wykraczającymi poza reagowanie na incydenty.

Automatyzacja reagowania na incydenty

W większości organizacji, sieci i rozwiązania z zakresu zabezpieczeń generują znacznie więcej alertów niż zespół reagowania na incydenty może realnie obsłużyć. Aby pomóc zespołowi skoncentrować się na uzasadnionych zagrożeniach, wiele firm wdraża systemy automatycznego reagowania na incydenty. Automatyzacja wykorzystuje sztuczną inteligencję i uczenie maszynowe do selekcji alertów, identyfikacji incydentów i eliminacji zagrożeń poprzez realizację podręcznika reagowania opartego na skryptach programistycznych.

Orkiestracja zabezpieczeń, automatyzacja i reagowanie (SOAR) to kategoria narzędzi bezpieczeństwa, które przedsiębiorstwa wykorzystują do automatyzacji reagowania na incydenty. Rozwiązania te oferują następujące możliwości:

  • Korelacja danych pochodzących z wielu punktów końcowych i rozwiązań zabezpieczeń w celu identyfikacji incydentów, którymi powinni zająć się ludzie.

  • Uruchamianie gotowego scenariusza postępowania w celu wyizolowania znanych typów incydentów i zajęcia się nimi.

  • Generowanie osi czasu dochodzenia, która obejmuje działania, decyzje i dowody rzeczowe, które mogą być wykorzystane do analizy.

  • Dostarczanie istotnych informacji z zewnątrz do analizy przez człowieka.

Jak wdrożyć plan reagowania na incydenty

Opracowanie planu reagowania na incydenty może wydawać się karkołomne, ale może znacząco zmniejszyć ryzyko, że firma będzie nieprzygotowana w czasie poważnego incydentu. Oto jak rozpocząć:

  • Identyfikacja i ustalenie hierarchii ważności aktywów

    Pierwszym krokiem w planie reagowania na incydenty jest świadomość tego, co chcemy chronić. Udokumentuj kluczowe z punktu widzenia organizacji dane, w tym miejsce ich przechowywania i poziom ich znaczenia dla prowadzonej działalności.

  • Określenie potencjalnych zagrożeń

    W każdej organizacji występują inne ryzyka. Zapoznaj się z największymi lukami w zabezpieczeniach swojej organizacji i oceń, w jaki sposób atakujący może je wykorzystać. 

  • Opracowanie procedur reagowania

    Podczas stresującego incydentu, czytelne procedury pomogą szybko i skutecznie zareagować na zaistniałą sytuację. Zacznij od zdefiniowania co kwalifikuje się jako incydent, a następnie określ kroki, które zespół powinien podjąć, aby wykryć, odizolować i odzyskać sprawność po incydencie, w tym procedury dotyczące dokumentowania decyzji i zbierania dowodów.

  • Utworzenie zespołu reagowania na incydenty

    Zbuduj zespół składający się z osób pełniących różne funkcje, który jest odpowiedzialny za znajomość procedur reagowania i mobilizację w przypadku wystąpienia incydentu. Pamiętaj, aby jasno określić role i wziąć pod uwagę role nietechniczne, które mogą pomóc przy podejmowaniu decyzji dotyczących komunikacji i odpowiedzialności. Włącz w skład zespołu osobę z kierownictwa, która będzie reprezentować zespół i jego potrzeby na najwyższych szczeblach firmy. 

  • Opracowanie planu komunikacji

    Plan komunikacji wyeliminuje wątpliwości co do tego, kiedy i jak informować innych wewnątrz i na zewnątrz organizacji o tym, co się dzieje. Rozważ różne scenariusze, które pomogą ustalić, w jakich okolicznościach należy poinformować kierownictwo, całą organizację, klientów oraz media lub innych interesariuszy zewnętrznych.

  • Szkolenie pracowników

    Osoby działające w złych intencjach obierają za cel pracowników na wszystkich szczeblach organizacji, dlatego tak ważne jest, aby wszyscy poznali plan reagowania i wiedzieli, co zrobić, jeśli podejrzewają, że padli ofiarą ataku. Regularnie przeprowadzaj testy wśród pracowników, aby potwierdzić, że potrafią oni rozpoznać wiadomości phishingowe i ułatwić im powiadamianie zespołu reagowania na incydenty, jeśli przypadkowo klikną zły link lub otworzą zainfekowany załącznik. 

Rozwiązania w zakresie reagowania na incydenty

Gotowość na poważny incydent stanowi ważny element zapewnienia bezpieczeństwa organizacji przed zagrożeniami. Utworzenie wewnętrznego zespołu reagowania na incydenty pozwoli przygotować się na wypadek, gdyby ktoś padł ofiarą osób działających w złych intencjach.

Skorzystaj z rozwiązań SIEM i SOAR, takich jak Microsoft Sentinel, które wykorzystują automatyzację, aby ułatwić identyfikację incydentów i automatyczne reagowanie na nie. Organizacje z mniejszymi zasobami mogą uzupełnić swoje zespoły o dostawcę usług, który może obsługiwać kilka faz reagowania na incydenty. Niezależnie jednak od tego, czy reagujesz na incydenty wewnętrznie czy zewnętrznie, upewnij się, że masz plan.

Dowiedz się więcej o rozwiązaniach zabezpieczających firmy Microsoft

Ochrona przed zagrożeniami firmy Microsoft

Identyfikuj zdarzenia w całej organizacji i reaguj na nie dzięki najnowszej ochronie przed zagrożeniami.

Dowiedz się więcej

Microsoft Sentinel

Wykrywaj wyrafinowane zagrożenia i zdecydowanie reaguj na nie za pomocą zaawansowanego rozwiązania SIEM obsługiwanego przez chmurę i sztuczną inteligencję.

Dowiedz się więcej

Microsoft Defender XDR

Zapobiegaj atakom na punkty końcowe, pocztę elektroniczną, tożsamości, aplikacje i dane.

Dowiedz się więcej

Często zadawane pytania

  • Reagowanie na incydenty to wszystkie działania, które podejmuje organizacja, gdy podejrzewa naruszenie zabezpieczeń. Celem jest jak najszybsze odizolowanie i wyeliminowanie atakujących, zapewnienie zgodności z przepisami dotyczącymi prywatności danych oraz bezpieczne odzyskanie danych z jak najmniejszymi szkodami dla organizacji.

  • Za reagowanie na incydenty odpowiedzialny jest zespół składający się z osób pełniących różne funkcje. Dział IT jest zazwyczaj odpowiedzialny za identyfikację, izolację i usuwanie skutków zagrożeń, jednak reagowanie na incydenty to coś więcej niż znalezienie i pozbycie się osób działających w złych intencjach. W zależności od typu ataku, ktoś może być zmuszony do podjęcia decyzji biznesowej, takiej jak kwestia odpowiedzi na żądanie okupu. Radcy prawni i specjaliści od public relations dbają o to, by organizacja spełniała wymogi przepisów dotyczących ochrony danych osobowych, w tym o odpowiednie powiadamianie klientów i organów administracji. Jeśli zagrożenie jest spowodowane przez pracownika, dział kadr doradza odpowiednie działania.

  • CSIRT to inna nazwa zespołu reagowania na incydenty. Obejmuje on zespół osób pełniących różne funkcje, które są odpowiedzialne za zarządzanie wszystkimi aspektami reagowania na incydenty, w tym za wykrywanie, izolowanie i eliminowanie zagrożenia, odzyskiwanie sprawności, komunikację wewnętrzną i zewnętrzną, dokumentację oraz analizę śledczą.

  • Większość organizacji korzysta z rozwiązań SIEM lub SOAR, które pomagają im w identyfikacji i reagowaniu na zagrożenia. Rozwiązania te zazwyczaj agregują dane z wielu systemów i wykorzystują uczenie maszynowe, aby pomóc w identyfikacji faktycznych zagrożeń. Mogą również automatyzować reagowanie na określone rodzaje zagrożeń w oparciu o wcześniej przygotowane skrypty podręczników.

  • Cykl życia reagowania na incydenty obejmuje sześć etapów:

    1. Etap przygotowania następuje przed zidentyfikowaniem incydentu i obejmuje zdefiniowanie, co organizacja uważa za incydent oraz wszystkie zasady i procedury niezbędne do zapobiegania, wykrywania, eliminowania i odzyskiwania sprawności po ataku.
    2. Identyfikacja zagrożeń to proces, który wykorzystuje zarówno pracę analityków, jak i automatyzację w celu określenia, które zdarzenia stanowią rzeczywiste zagrożenia, wobec których należy podjąć działania.
    3. Powstrzymanie zagrożenia to działania, które zespół podejmuje w celu odizolowania zagrożenia i niedopuszczenia do zainfekowania innych obszarów działalności. 
    4. Wyeliminowanie zagrożeń obejmuje kroki mające na celu usunięcie złośliwego oprogramowania i atakujących z organizacji.
    5. Odzyskiwanie i przywracanie obejmuje ponowne uruchamianie systemów i maszyn oraz przywracanie wszelkich utraconych danych. 
    6. Opinie i usprawnienia to proces, który zespół przeprowadza, aby wyciągnąć wnioski z incydentu i zastosować je w zasadach i procedurach. 

Obserwuj firmę Microsoft