Respon insiden: apa yang menjadi kewajiban SOC Anda



Anda mungkin tahu sedikit tentang SOC, tetapi secara intuitif masih jelas bahwa hanya ada dua hal yang paling penting dalam pekerjaannya: mengidentifikasi insiden dan meresponsnya. Pada saat yang sama, jika Anda tidak mengambil situasi ketika kita berhadapan dengan penipuan internal yang kompleks atau tanda-tanda aktivitas kelompok profesional, biasanya, responsnya terdiri dari sejumlah langkah teknis yang sangat sederhana (penghapusan badan atau perangkat lunak virus, memblokir akses atau akun) dan tindakan organisasi. (klarifikasi informasi dari pengguna atau verifikasi dan pengayaan hasil analisis dalam sumber-sumber yang tidak dapat diakses oleh pemantauan). Namun, karena beberapa alasan, proses respons pelanggan telah mulai berubah secara signifikan dalam beberapa tahun terakhir, dan ini membutuhkan perubahan pada bagian SOC. Selain itu, karena kita berbicara tentang respons, di mana "tidak hanya segalanya" yang penting - dan akurasi,baik kelengkapan dan kecepatan tindakan - sangat mungkin bahwa jika SOC internal atau eksternal Anda tidak memperhitungkan persyaratan baru untuk proses ini, Anda tidak akan dapat menangani insiden secara normal.



Sekarang ada banyak pelanggan kami yang lebih nyaman menerima respons sebagai layanan "siklus penuh" - dalam hal ini, kami memblokir serangan terhadap pertahanan perusahaan dan menyertai proses respons di bidang tanggung jawab layanan TI. Misalnya, kami membantu dengan pembenaran pemblokiran, yang secara teoritis dapat menyebabkan masalah dalam proses bisnis, atau kami menyarankan pekerjaan yang sebagian perlu dilakukan di sisi mereka - pemblokiran akun, isolasi host, dll.



Tetapi mayoritas masih lebih suka untuk terlibat dalam respon teknis sendiri, dan mereka memerlukan dari kami deteksi tepat waktu dari suatu insiden, analisis dan penyaringan positif palsu, serta penyediaan informasi analitis dengan rekomendasi tentang tindakan prioritas dalam menanggapi suatu insiden.



Siapa yang sebelumnya terlibat dalam proses ini dan bertanggung jawab atas hasil dari pihak pelanggan? Sebagai aturan, satu atau dua spesialis keamanan informasi yang menggabungkan respons bekerja dengan tugas-tugas lain dari departemen dan tidak selalu memiliki keahlian khusus dalam analisis serangan (seperti yang Anda lihat dari paragraf sebelumnya, ini tidak diperlukan). Namun demikian, selalu tentang spesialis keamanan informasi yang memahami risiko, ancaman, dan konteks apa yang terjadi.



Baru-baru ini, tanggung jawab untuk kelengkapan dan ketepatan waktu tanggapan di sisi pelanggan semakin didistribusikan antara keamanan informasi dan layanan TI, dan inilah sebabnya.



Pertama, jumlah insiden dan kecurigaan insiden telah meningkat secara signifikan. Jika sebelumnya jumlah rata-rata pemberitahuan diukur oleh satu atau dua ratus per bulan, sekarang telah meningkat beberapa kali. Bagian dari masalah adalah pertumbuhan entropi dalam infrastruktur perusahaan karena perubahan yang konstan (dan tidak selalu tetap), yang disebabkan oleh apa yang sekarang disebut istilah modis "digitalisasi" atau "transformasi digital". Efek sampingnya adalah tindakan pengguna menjadi lebih bervariasi, dan solusi teknis lebih mungkin untuk mengklasifikasikannya sebagai kelainan perilaku, yang, pada gilirannya, dapat disalahartikan sebagai penyerang oleh petugas keamanan. Ini adalah positif palsu, katakanlah, dari tipe pertama.



Kedua, aktivitas penjahat dunia maya, tentu saja, juga terus meningkat (dengan kata lain, jumlah serangan meningkat), ini dicatat oleh kami, pemain industri lain, dan pelanggan itu sendiri. Akibatnya, SOC harus terus-menerus menciptakan skenario deteksi serangan yang lebih pintar dan memastikan untuk menghubungkannya dengan pelanggan. Ini, tentu saja, juga mengarah pada peningkatan jumlah operasi, peningkatan non-determinisme dari tindakan pelanggan dan kebutuhan akan informasi tentang insiden tersebut untuk mengandung konteks eksternal (yang workstation-nya, apakah sudah biasa di perusahaan untuk menggunakan alat akses jarak jauh, dan jika demikian, yang mana, yang mereka dapat digunakan untuk apa, dan sejenisnya).



Sebenarnya, ini mengarah pada fakta bahwa untuk mempercepat proses respon, semakin banyak perusahaan yang mencoba mentransfer SOC eksternal untuk mengarahkan interaksi bukan dengan keamanan informasi, tetapi dengan departemen TI. Dan ini cukup logis: insiden yang memerlukan penghapusan perangkat lunak atau penguncian akun secara langsung dikirim ke TI, membutuhkan isolasi jaringan host - ke departemen jaringan + helpdesk dan sebagainya. Jika perusahaan memiliki pusat pemantauan sendiri, maka sering kali diwajibkan untuk mentransfer pemicu dari sistem SIEM ke TI.



Namun, setiap perubahan dalam proses adalah risiko memperlambatnya, risiko informasi yang tidak lengkap kepada para pihak dan, pada akhirnya, penurunan efisiensi. Untungnya, sebagian besar perusahaan memahami ini, oleh karena itu (dan kadang-kadang karena persyaratan legislatif - khususnya, pada penciptaan pusat GosSOPKA) sekarang ada permintaan untuk memeriksa tingkat respons aktual - kelengkapan, kualitas dan waktu rekomendasi dari departemen TI dan keamanan informasi perusahaan.



Namun, sebelum melakukan audit, orang perlu memberikan alat untuk mencapai hasil, dengan kata lain, SOC harus menyesuaikan hasil analisis setiap insiden untuk perutean yang jelas di TI. Melalui trial and error, kami telah menyusun daftar persyaratan untuk informasi insiden yang dikirim ke pelanggan.



Dalam hasil analisis insiden ini, karyawan yang bertanggung jawab atas respons teknis harus diidentifikasi dengan jelas. Apa



jebakannya: untuk mengidentifikasi orang yang bertanggung jawab dengan benar, perlu untuk mengidentifikasi secara akurat lokasi insiden - departemen tertentu, kekritisan tuan rumah, afiliasi bisnisnya, jenis insiden. Ini membutuhkan perendaman yang sangat dalam pada infrastruktur pelanggan pada tahap inventaris (dan, yang paling penting, pembaruan konstan data ini).



Informasi yang sama diperlukan untuk menentukan kekritisan suatu kejadian. Misalnya, bank siap bereaksi terhadap infeksi virus mobil di cabang di Magadan jauh lebih lambat dan dengan bantuan spesialis keamanan informasi setempat. Jika kita berbicara tentang AWP lokal KBR, insiden tersebut memerlukan respons dan keterlibatan segera, termasuk CISO pelanggan untuk mengoordinasikan risiko, serta spesialis pusat komunikasi di situs untuk segera mengisolasi tuan rumah.



Menanggapi serangan terhadap aplikasi web di segmen e-commerce, sebagai aturan, membutuhkan keterlibatan tidak hanya personel keamanan, tetapi juga spesialis aplikasi yang dapat lebih akurat menentukan risiko yang terkait dengan penerapannya, dan membongkar informasi tentang pesanan dari database pada host yang sama, sebaliknya, tidak boleh melibatkan pelamar (mereka adalah salah satu penyerang potensial), atau bahkan spesialis IT, tetapi di samping keamanan informasi, sering membutuhkan partisipasi dari layanan keamanan ekonomi.



Semua skenario ini - yang kami libatkan ketika, pada tahap apa dan untuk tujuan apa - harus diselesaikan sebelumnya dan disepakati dengan pelanggan. SOC lebih tahu tentang keamanan informasi, tetapi pelanggan tahu bisnisnya lebih baik dan risiko apa yang paling penting baginya, sehingga skrip dikembangkan bersama.







Ini juga berlaku untuk deskripsi ancaman dan risikonya, dan tingkat detail dalam deskripsi rekomendasi tanggapan. Selain itu, idealnya, urutan tindakan yang diperlukan harus dibagi menjadi pohon acara wajib dan tambahan. Misalnya, jika SOC mencatat peluncuran Remote Admin Tool pada host akhir, tetapi tingkat audit tidak cukup untuk membedakan aktivitas pengguna dari potensi peluncuran pintu belakang oleh penyerang, maka titik pertama dan wajib akan menjadi komunikasi spesialis dengan pengguna untuk mengetahui apakah ia memulai kegiatan ini. Jika jawabannya adalah ya, ini adalah aktivitas rutin atau, maksimum, pelanggaran kebijakan keamanan informasi. Jika negatif, itu bisa menjadi bagian dari serangan hacker dan memerlukan kerja respons yang sama sekali berbeda.



Memeriksa hasil respons harus mengandung kemungkinan kontrol teknis baik dari fakta pelaksanaan rekomendasi (menggunakan log di SIEM atau alat lain), dan fakta bahwa insiden tersebut tidak akan terulang di masa depan.



Mari kita lanjutkan contoh dengan menjalankan RAT pada host. Misalnya, kami pergi ke aktivitas pengguna cabang pertama yang melanggar kebijakan keamanan informasi. Dalam hal ini, layanan TI akan disarankan untuk menghapus RAT pada host. Selain peluncuran skrip penghapusan yang dikendalikan atau memeriksa tidak adanya / adanya utilitas pada host, alat inventaris harus terhubung dengan insiden lama saat dipicu kembali. Ini menandakan tidak hanya pelanggaran berulang, tetapi juga tentang kemungkinan implementasi berkualitas rendah dari rekomendasi oleh respons.



Akhirnya, konteks atau lingkungan delta dari insiden itu penting. Sangat penting apa yang sebenarnya terjadi pada mesin / akun ini selama interval waktu terakhir, apakah ada insiden serupa atau berpotensi terkait yang dapat dikumpulkan dalam rantai pembunuhan. Informasi ini memungkinkan Anda untuk dengan cepat menentukan apakah Anda perlu segera melibatkan keamanan atau Tim Respons Insiden penyedia dalam insiden tersebut.



Setiap SOC mencari jawaban sendiri untuk tantangan-tantangan ini dan dapat melakukan tugas-tugas ini menggunakan alat yang berbeda, yang utama adalah untuk mengontrol bahwa ia melakukannya pada prinsipnya. Karena pada insiden kecil, keterlambatan dan keragu-raguan dalam respon dapat tidak terlihat, dan pada insiden kritis, proses yang tidak diatur tidak akan berhasil. Dan seolah-olah tidak akan ada yang bersalah.



All Articles