Clever Geek Handbook

Respons insiden cyber: 5 aturan untuk mengembangkan pedoman

Masalah mengembangkan dan menyiapkan pedoman untuk menanggapi insiden sekarang sangat aktif dibahas dan menimbulkan sejumlah pendekatan yang berbeda, menemukan keseimbangan yang sangat penting. Haruskah pedoman itu sangat sederhana ("cabut kabelnya, peras gelasnya") atau haruskah operator berpikir dan membuat keputusan berdasarkan keahliannya sendiri (meskipun, seperti yang mereka katakan dalam satu permainan masa kecil saya, "apa yang menurut saya perlu ditarik"). Sulit untuk menemukan peluru garam dan perak di balik masuknya akronim trendi dan pedoman sistemik. Selama 8 tahun pusat operasi kami untuk memantau dan menanggapi serangan dunia maya, kami berhasil memecahkan banyak kayu bakar mendapatkan pengalaman dalam hal ini, jadi kami akan mencoba berbagi dengan Anda masalah dan kendala yang kami temui selama ini, dalam 5 kiat praktis tentang masalah ini.







Keterampilan Renang Tersinkronisasi, atau Menyelaraskan Pemantauan dan Tugas Respons



Seperti yang Anda ketahui, hewan tercepat di dunia seharusnya kelabang: memiliki kaki paling banyak. Tetapi hewan malang itu benar-benar terhambat oleh kebutuhan untuk menyelaraskan langkah dan aktivitasnya. Kisah serupa kerap menghantui kehidupan SOC (Security Operation Center). Analis mengembangkan skenario, mengerutkan alis mereka, menemukan cara baru untuk mendeteksi serangan, dan tim respons sering tidak memahami apa yang harus dilakukan dengan insiden ini (dan jarak bertambah jika SOC komersial eksternal berada di baris pertama barikade). Keadaan ini biasanya mengarah pada dua situasi ekstrim:



  • SLA « , », , SOC, . , , - .
  • – «» . , , . , , . - - , SOC , . , , .


Ingat Yin Fu Wo yang bijaksana, yang bertanya kepada muridnya yang membeli pemindai keamanan, apa yang akan dia lakukan dengan kerentanan yang ditemukan? Mengikuti teladannya, saya benar-benar ingin mengajukan pertanyaan kepada tim tanggapan: apa sebenarnya dan, yang terpenting, seberapa cepat Anda akan melakukan dengan insiden yang ditemukan?



Kemampuan proses respons memungkinkan Anda untuk "menyusun" daftar insiden berdasarkan kekritisan internal mereka. Misalnya, komunikasi tentang perubahan kritis dalam proses atau serangan di web dapat secara logis dialihkan ke mode panggilan telepon dengan pengumpulan langsung dari tim investigasi. Untuk menangani peluncuran TeamViewer pada mesin kantor cabang non-kritis, penguraian selama beberapa jam merupakan opsi yang memadai. Dan cukup dapat diterima untuk mengirimkan laporan tentang statistik infeksi virus sekali sehari - untuk kopi pagi dan penutupan "karpet" masalah, ketika hanya penyembuhan besar-besaran virus, penghapusan perangkat lunak terlarang, memperbarui OS, menutup kerentanan, dll. Sedang berlangsung. Ini akan membantu untuk secara substansial menyamakan kecepatan kerja pemantauan dan respons dan menciptakan aturan permainan yang mulus dan nyaman di seluruh proses manajemen insiden.

Tip 1. Tetapkan prioritas Anda. Karena Anda pasti tidak akan dapat menangani semuanya sekaligus, tentukan jenis insiden apa yang benar-benar penting untuk bisnis perusahaan Anda, dan perbaiki kerangka waktu yang diperlukan untuk penyelesaiannya.


Analytics, analytics, bahkan lebih banyak lagi analisis insiden



Banyak SOC komersial, serta tim skrip, sangat sering dan serius membicarakan persentase yang luar biasa dari pemfilteran positif palsu, yang karenanya pelanggan seharusnya diberitahu bukan tentang kecurigaan insiden, tetapi hanya serangan (seperti yang mereka katakan, "Dalam segala hal yang ingin saya sampaikan intinya ").



Dari waktu ke waktu, hal ini menimbulkan proses yang luar biasa untuk menganalisis dan menyelidiki insiden, misalnya, sebagai berikut:



  • Berdasarkan analisis lalu lintas jaringan, SOC mencatat peluncuran Alat Admin Jarak Jauh (RAT) pada host.
  • , . – , RAT ( ) , .
  • « ». SIEM .


Mari kita kesampingkan fakta bahwa dalam kasus serangan peretas, menghubungkan mesin setelah fakta pada tingkat log, secara halus, bukanlah tindakan yang sangat disengaja. Seorang penyerang bisa saja menggosok semua log yang diperlukan, dan menghubungkan ke mesin yang baru disusupi di bawah akun dengan hak istimewa yang cukup dapat menyebabkan konsekuensi yang jauh lebih serius daripada mengkompromikannya sendiri (terutama untuk klien tak kenal takut yang, lelah berurusan dengan kotak centang untuk memberikan yang benar hak, berikan akun untuk hak administrator domain SIEM).



Hal utama adalah bahwa dari sudut pandang hasil, seluruh proses verifikasi yang rumit oleh SOC dan layanan keamanan ini sama saja dengan mengangkat telepon dan memanggil pengguna tertentu dengan pertanyaan apakah dia memulai sesi RAT dan untuk alasan apa. Hasilnya, jawabannya sendiri dapat diterima berkali-kali lebih cepat, dan total waktu yang dihabiskan untuk penyelidikan insiden tersebut akan berkurang secara signifikan. Mengingat bahwa menjalankan RAT pada mesin lokal 98% dari waktunya adalah manual pengguna (yang hanya membuat sisa 2% lebih bermakna), pendekatan respons ini jauh lebih efisien.

2. , . , , « », , , .

, –



Tidak mungkin untuk tidak menyentuh di sini satu topik yang sering tercakup dalam pengembangan proses pemantauan dan respons - masalah inventaris dan akuntansi aset. Paling sering, mereka berbicara tentang aset dalam kunci memperkaya informasi: untuk memahami pentingnya suatu insiden, penting untuk mengetahui jenis node jaringan itu, siapa pemiliknya, perangkat lunak apa yang diinstal di sana. Tetapi dalam hal mengembangkan pedoman, tugas ini memiliki arti tambahan: proses menanggapi suatu insiden akan secara langsung bergantung pada jenis node itu dan di bagian jaringan mana ia berada.



Pertimbangkan insiden yang cukup mendasar - infeksi virus inang. Ini memiliki bobot dan kekritisan yang sangat berbeda tergantung di mana host ini berada:



  • – , ;
  • VIP-, , – ;
  • .


Proses respon di perusahaan industri membutuhkan perhatian lebih. Insiden yang sama dengan peluncuran RAT pada mesin memperoleh aksen dan kekritisan yang sama sekali berbeda jika utilitas semacam itu diluncurkan di mana, menurut logika, tidak mungkin - misalnya, di stasiun kerja operator proses teknologi. Dalam hal ini, ukuran respons default adalah mematikan dan mengisolasi host, diikuti dengan mencari tahu alasan peluncuran utilitas dan kemungkinan analisis rinci host untuk tanda-tanda potensi penyusupan oleh penyerang eksternal.

Tip 3. Lakukan inventarisasi aset. "Menumpangkan" berbagai kelas insiden pada segmen jaringan. Dengan demikian, Anda tidak akan lagi mendapatkan model linier, di mana tingkat kekritisan suatu insiden hanya ditentukan oleh jenisnya, tetapi matriks dasar yang disesuaikan untuk organisasi Anda, yang dapat ditingkatkan dan disempurnakan seiring waktu.

Respon nyata vs respon sempurna



Situasi yang dijelaskan di atas menyoroti pertanyaan kunci: seberapa dalam tim internal siap merespons untuk memastikan penghapusan konsekuensi dan penyebab insiden? Mari kembali ke contoh menginfeksi mesin malware - proses tanggapannya mungkin terlihat seperti ini:



  • Analisis saluran penetrasi malware (mail / web / flash drive)
  • Memperoleh informasi tentang malware itu sendiri - keluarga yang mana, konsekuensi potensial, keberadaan utilitas terkait
  • Mengidentifikasi indikator peretasan tipikal malware tertentu, mencari indikator pada mesin tetangga (ini sangat penting bila tidak ada cakupan penuh dari workstation dan server dengan perlindungan anti-virus dan malware dapat berhasil menembus salah satu host yang tidak ditemukan)
  • Cari semua utilitas terkait di infrastruktur dan remediasi


Tetapi jika pendekatan ini diterapkan untuk setiap badan virus di infrastruktur dan untuk setiap infeksi, akan mengakibatkan biaya tenaga kerja yang sangat tinggi. Oleh karena itu, pendekatan yang seimbang terhadap respons diperlukan di sini, bergantung pada berbagai parameter eksternal:



  • Model aset yang telah disebutkan dan kekritisannya
  • Perilaku keluarga jahat - cacing, terutama yang membawa muatan yang berpotensi merusak, membutuhkan perhatian lebih
  • "Usia tua" dari virus dan kesadarannya terhadap laboratorium anti-virus
  • Ini termasuk dalam toolkit pengelompokan yang relevan dengan perusahaan atau industri


Bergantung pada semua parameter ini, keputusan dapat dibuat - dari penghapusan dasar malware dari mobil biasa atau pemuatan ulang host penting hingga prosedur respons yang lebih kompleks yang melibatkan pakar khusus.

Tip 4. Jangan malas untuk "mengasah kapak". Kondisi tambahan memungkinkan Anda untuk memperjelas prioritas dan algoritme tindakan selama respons insiden. Mereka memungkinkan tidak hanya untuk sepenuhnya melakukan semua pekerjaan yang diperlukan untuk melokalkan insiden dan melawan serangan, tetapi juga untuk menghindari gerakan yang tidak perlu dalam kasus yang lebih sederhana.


Katakan padaku siapa temanmu dan aku akan memberitahumu bagaimana caranya



Nah, kedalaman keahlian di pihak tim tanggap tentu penting dalam pengembangan pedoman. Pada awal pekerjaan kami sebagai SOC komersial, semua komunikasi kami dibangun melalui orang yang berdedikasi dalam layanan keamanan informasi pelanggan. Dalam hal ini, kami berbicara tentang seorang karyawan, bahkan seorang siswa muda, dengan pendidikan khusus, yang menanggapi berbagai insiden dari waktu ke waktu, mengumpulkan keahliannya sendiri dan melakukan pekerjaannya dengan lebih dan lebih efisien.



Kita dapat membagi pedoman menjadi dua jenis - teknis dan bisnis. Yang pertama menjelaskan aliran proses saat menangani suatu insiden, dan dibuat untuk tim respons dari pelanggan yang memiliki reputasi baik. Dan yang kedua adalah deskripsi rantai departemen yang terlibat dalam insiden tersebut, dan konsumennya adalah manajemen lini. Oleh karena itu, sangat penting untuk "mengenal audiens Anda", jika tidak akan ada "kesulitan terjemahan" yang terkait dengan pemahaman dan interpretasi.



Baru-baru ini, pelanggan semakin banyak memasukkan departemen TI, unit bisnis, ahli teknologi, atau bahkan pusat bantuan secara langsung dalam proses tanggapan. Dan ini sering kali berujung pada insiden. Pada awal pandemi, beberapa pelanggan tiba-tiba dipaksa (seperti seluruh negeri) untuk mentransfer pengguna mereka secara besar-besaran ke akses jarak jauh. Karena faktor kedua dari otentikasi tidak dapat diimplementasikan dengan cepat, hal-hal berikut telah disetujui sebagai skema sementara: setiap koneksi dengan hak akses jarak jauh diverifikasi oleh helpdesk melalui panggilan telepon. Jika tidak ada umpan balik, pertanyaan itu diteruskan ke pemilik bisnis sistem, yang dapat memutuskan untuk melanjutkan pekerjaan atau memblokir akun sampai keadaan diklarifikasi - jika dicurigai adanya aktivitas yang tidak konsisten.Dalam pedoman untuk helpdesk, kami telah merinci prosedur untuk menelepon dan mencari kontak pemilik bisnis sedetail mungkin. Tetapi mereka tidak menulis apa yang harus dilakukan karyawan helpdesk ketika dia menerima perintah untuk mengunci akun (dan layanan memiliki hak tersebut). Dan uji coba pertama dari insiden tersebut menunjukkan bahwa, setelah menerima surat dengan pesan "tidak sah, memblokir", spesialis helpdesk langsung menutup aplikasi tanpa melakukan pemblokiran apa pun.

Tip 5. Buat sesederhana mungkin. Sangatlah penting untuk mempertimbangkan secara spesifik kualifikasi dan "kelancaran" sumber daya dalam tim respons dan untuk menguraikan pedoman dari instruksi dasar dengan derajat kebebasan untuk spesialis menjadi "alfabet" langkah demi langkah untuk layanan eksternal.
Mengembangkan proses respons adalah hal yang sangat kreatif bagi setiap perusahaan. Namun, sangat berguna untuk memperhitungkan pengalaman Anda sendiri dan orang lain. Dan semoga NIST bersamamu.


More articles:


All Articles