| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:seminari2024:incident_response_u_microsoft365_okruzenju [2025/01/26 22:20]
Rivić Carević Sara [Microsoft Sentinel] |
racfor_wiki:seminari2024:incident_response_u_microsoft365_okruzenju [2025/01/26 23:53] (trenutno)
Rivić Carević Sara [Vrste napada] |
| |
| ===== Uvod ===== | ===== Uvod ===== |
| | Za početak, u sljedeća dva potpoglavlja detaljno ćemo objasniti definiciju i važnost odgovora na incident. |
| ==== Definicija incident response ==== | ==== Definicija incident response ==== |
| Incident response ili odgovor na incident je proces otkrivanja, analize i reagiranja na sigurnosne incidente kako bi se uklonila nastala šteta i osigurao oporavak sustava. No, što je to incident? Danas koristimo razne izraze koje smatramo sinonimima, a zapravo imaju različito značenje. Neki od njih su: | Incident response ili odgovor na incident je proces otkrivanja, analize i reagiranja na sigurnosne incidente kako bi se uklonila nastala šteta i osigurao oporavak sustava. No, što je to incident? Danas koristimo razne izraze koje smatramo sinonimima, a zapravo imaju različito značenje. Neki od njih su: |
| |
| ===== Osnovni pojmovi ===== | ===== Osnovni pojmovi ===== |
| | U ovom poglavlju obradit ćemo osnovne pojmove koji su bitni za razumijevanje teme. |
| ==== Sigurnosni incident ==== | ==== Sigurnosni incident ==== |
| Sigurnosni incident je svako digitalno ili fizičko kršenje koje ugrožava povjerljivost, integritet ili dostupnost informacijskih sustava organizacije ili osjetljivih podataka. Sigurnosni incidenti mogu biti u rasponu od namjernih cyber napada hakera ili neovlaštenih korisnika, do nenamjernih kršenja sigurnosne politike legitimno ovlaštenih korisnika. | Sigurnosni incident je svako digitalno ili fizičko kršenje koje ugrožava povjerljivost, integritet ili dostupnost informacijskih sustava organizacije ili osjetljivih podataka. Sigurnosni incidenti mogu biti u rasponu od namjernih cyber napada hakera ili neovlaštenih korisnika, do nenamjernih kršenja sigurnosne politike legitimno ovlaštenih korisnika. |
| |
| ===== Primjer incidenta iz stvarnog života ===== | ===== Primjer incidenta iz stvarnog života ===== |
| Samo jedan od mnogih primjera incidenata bio je ciljani napad na Albaniju 2022. godine. Ovaj napad nije bio uobičajeni kibernetički napad, već državno sponzorirani napad, dobro financiran od strane Irana. Državno sponzorirani napadi nisu često motivirani isključivo financijskim razlozima, već uključuju veći broj aktera i sofisticiranije alate. Napad na Albaniju koristio je dvije metodologije: ransomware kao mamac i wiper za potpuno uništenje digitalnog okruženja. Napad je započeo 15. srpnja, ciljajući datoteke s namjerom da sruši cijelu infrastrukturu, što je rezultiralo padom e-Albania portala, koji pruža usluge građanima poput škola, bolnica, zdravstvenih kartona, recepata, imovine i drugih važnih dokumenata. Građani Albanije nisu imali pristup zdravstvenoj skrbi, što je ugrozilo živote 3,8 milijuna ljudi. Sigurnosni tim brzo je reagirao, izolirajući infrastrukturu i isključivši kritične sustave kako bi spriječili daljnju štetu. U suradnji s Microsoftovim stručnjacima iz DART tima (Detection and Response Team) i FBI-jem, provedena je detaljna forenzička istraga (vidljivo na slici 5), uklonjeni su napadači iz sustava te su implementirane napredne sigurnosne mjere, uključujući migraciju na Office 365 i uspostavu sigurnosnog operativnog centra s alatima poput Microsoft Defendera i Microsoft Sentinela. Ovi alati omogućili su automatska upozorenja, odgovore i kontrole, koristeći umjetnu inteligenciju i strojno učenje za bolje praćenje i rješavanje prijetnji. | Samo jedan od mnogih primjera incidenata bio je ciljani napad na Albaniju 2022. godine. Ovaj napad nije bio uobičajeni kibernetički napad, već državno sponzorirani napad, dobro financiran od strane Irana. Državno sponzorirani napadi nisu često motivirani isključivo financijskim razlozima, već uključuju veći broj aktera i sofisticiranije alate. Napad na Albaniju koristio je dvije metodologije: ransomware kao mamac i wiper za potpuno uništenje digitalnog okruženja. Napad je započeo 15. srpnja, ciljajući datoteke s namjerom da sruši cijelu infrastrukturu, što je rezultiralo padom e-Albania portala, koji pruža usluge građanima poput škola, bolnica, zdravstvenih kartona, recepata, imovine i drugih važnih dokumenata. Građani Albanije nisu imali pristup zdravstvenoj skrbi, što je ugrozilo živote 3,8 milijuna ljudi. Sigurnosni tim brzo je reagirao, izolirajući infrastrukturu i isključivši kritične sustave kako bi spriječili daljnju štetu. U suradnji s Microsoftovim stručnjacima iz DART tima (Detection and Response Team) i FBI-jem, provedena je detaljna forenzička istraga **(vidljivo na slici 5)**, uklonjeni su napadači iz sustava te su implementirane napredne sigurnosne mjere, uključujući migraciju na Office 365 i uspostavu sigurnosnog operativnog centra s alatima poput Microsoft Defendera i Microsoft Sentinela. Ovi alati omogućili su automatska upozorenja, odgovore i kontrole, koristeći umjetnu inteligenciju i strojno učenje za bolje praćenje i rješavanje prijetnji. |
| {{ :racfor_wiki:seminari2024:slika5.png?nolink |Korisnikov put nakon pokretanja odgovora na incident uz pomoć Microsofta}} | {{ :racfor_wiki:seminari2024:slika5.png?nolink |Korisnikov put nakon pokretanja odgovora na incident uz pomoć Microsofta}} |
| Slika 5. Korisnikov put nakon pokretanja odgovora na incident uz pomoć Microsofta | Slika 5. Korisnikov put nakon pokretanja odgovora na incident uz pomoć Microsofta |
| * tim za odgovor na incidente, koji može biti podskup centra za sigurnosne operacije (SOC-a) i koji upravlja sigurnosnim operacijama i izvan područja odgovora na incidente. | * tim za odgovor na incidente, koji može biti podskup centra za sigurnosne operacije (SOC-a) i koji upravlja sigurnosnim operacijama i izvan područja odgovora na incidente. |
| |
| Koraci formiranja tima prikazani su na slici broj 6. | Koraci formiranja tima prikazani su na **slici broj 6**. |
| {{ :racfor_wiki:seminari2024:slika6.png?nolink |Postupak formiranja tima za odgovor na incidente | {{ :racfor_wiki:seminari2024:slika6.png?nolink |Postupak formiranja tima za odgovor na incidente |
| }} | }} |
| Slika 6. Postupak formiranja tima za odgovor na incidente | Slika 6. Postupak formiranja tima za odgovor na incidente |
| | |
| |
| Mojih top 10 smjernica za postupanje tijekom i nakon incidenata: | Mojih top 10 smjernica za postupanje tijekom i nakon incidenata: |
| * Ostanite smireni | * Ostanite smireni: Incidenti mogu biti emocionalno intenzivni. Fokusirajte se na najvažnije radnje i izbjegavajte paniku. |
| Incidenti mogu biti emocionalno intenzivni. Fokusirajte se na najvažnije radnje i izbjegavajte paniku. | * Pažljivo dijelite informacije javno: Sve javne izjave i informacije prvo provjerite s pravnim odjelom kako biste izbjegli pravne i reputacijske posljedice. |
| * Pažljivo dijelite informacije javno: | * Potražite pomoć kad je potrebno: Angažirajte unutarnje stručnjake ili vanjske profesionalce ako vam nedostaje resursa ili stručnosti za rješavanje incidenta. |
| Sve javne izjave i informacije prvo provjerite s pravnim odjelom kako biste izbjegli pravne i reputacijske posljedice. | * Brzina i koordiniranost: Djelujte brzo, ali promišljeno, i osigurajte jasnu komunikaciju između tehničkih, pravnih i operativnih timova kako bi sve strane bile usklađene. |
| * Potražite pomoć kad je potrebno: | * Ne nanosite dodatnu štetu: Izbjegavajte radnje koje mogu uzrokovati gubitak podataka, poslovnih funkcionalnosti ili dokaza. |
| Angažirajte unutarnje stručnjake ili vanjske profesionalce ako vam nedostaje resursa ili stručnosti za rješavanje incidenta. | * Nemojte učitavati datoteke na mrežne skenere: Napadači mogu pratiti skenirane datoteke. |
| * Brzina i koordiniranost: | * Nemojte beskonačno istraživati: Fokusirajte se samo na ključne sustave koji su napadnuti ili kompromitirani. |
| Djelujte brzo, ali promišljeno, i osigurajte jasnu komunikaciju između tehničkih, pravnih i operativnih timova kako bi sve strane bile usklađene. | * Dokumentirajte: Bilježite sve radnje tijekom incidenta za potrebe forenzičke analize i kasnijih poboljšanja sigurnosnih procedura. |
| * Ne nanosite dodatnu štetu: | * Očekujte smanjenu učinkovitost tima: Planirajte za 50% kapaciteta osoblja zbog stresa i zahtjevnosti situacije. |
| Izbjegavajte radnje koje mogu uzrokovati gubitak podataka, poslovnih funkcionalnosti ili dokaza. | * Nemojte resetirati sve lozinke odjednom: Prioritetno resetirajte samo kompromitirane administratorske i servisne račune, a korisničke lozinke resetirajte postupno i kontrolirano. |
| * Nemojte učitavati datoteke na mrežne skenere: | |
| Napadači mogu pratiti skenirane datoteke. | |
| * Nemojte beskonačno istraživati: | |
| Fokusirajte se samo na ključne sustave koji su napadnuti ili kompromitirani. | |
| * Dokumentirajte: | |
| Bilježite sve radnje tijekom incidenta za potrebe forenzičke analize i kasnijih poboljšanja sigurnosnih procedura. | |
| * Očekujte smanjenu učinkovitost tima: | |
| Planirajte za 50% kapaciteta osoblja zbog stresa i zahtjevnosti situacije. | |
| * Nemojte resetirati sve lozinke odjednom: | |
| Prioritetno resetirajte samo kompromitirane administratorske i servisne račune, a korisničke lozinke resetirajte postupno i kontrolirano. | |
| |
| |
| ===== Literatura ===== | ===== Literatura ===== |
| |
| [1] [[https://hr.wikipedia.org/wiki/]] | [1] Microsoft. "What is Incident Response?" //Microsoft Security//. Dostupno na: |
| | [[https://www.microsoft.com/en-us/security/business/security-101/what-is-incident-response#How-incident-response-works]] |
| | |
| | [2] IBM. "What is Incident Response?" //IBM Think Blog//. Dostupno na: |
| | [[https://www.ibm.com/think/topics/incident-response#What+is+incident+response%3F]] |
| | |
| | [3] Palo Alto Networks. "What is Incident Response?" //Cyberpedia//. Dostupno na:[[https://www.paloaltonetworks.com/cyberpedia/what-is-incident-response#why]] |
| | |
| | [4] Microsoft. "Incident Response Overview." //Microsoft Learn//. Dostupno na:[[https://learn.microsoft.com/en-us/security/operations/incident-response-overview]] |
| | |
| | [5] Microsoft. "Incidents Overview in Microsoft Defender XDR." //Microsoft Learn//. Dostupno na:[[https://learn.microsoft.com/en-us/defender-xdr/incidents-overview]] |
| | |
| | [6] Microsoft. "Investigate Cases in Microsoft Sentinel." //Microsoft Learn//. Dostupno na: [[https://learn.microsoft.com/en-us/azure/sentinel/investigate-cases]] |
| | |
| | [7] Wikipedia. "Incident Management." //Wikipedia//. Dostupno na:[[https://en.wikipedia.org/wiki/Incident_management]] |
| | |
| | [8] Microsoft. "Microsoft Incident Response." //Microsoft Security//. Dostupno na: [[https://www.microsoft.com/en-us/security/business/microsoft-incident-response]] |
| | |
| | [9] Microsoft. "How the Microsoft Incident Response Team Helps Customers Remediate Threats." //Microsoft Security Blog//. Dostupno na: [[https://www.microsoft.com/en-us/security/blog/2023/08/15/how-the-microsoft-incident-response-team-helps-customers-remediate-threats/?culture=hr-hr&country=hr]] |
| | |
| | [10] Microsoft. "Microsoft Defender XDR Overview." //Microsoft Security//. Dostupno na:[[https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-xdr#tabx37134098f73249128ed30143c025befe]] |
| | |
| | [11] Microsoft. "Microsoft Sentinel Overview." //Microsoft Security//. Dostupno na: [[https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-sentinel#x7b1217f75434457baf6d56f71077615b]] |
| | |
| | [12] Microsoft. "What is SIEM?" //Microsoft Security//. Dostupno na: [[https://www.microsoft.com/en-us/security/business/security-101/what-is-siem]] |
| | |
| | [13] Microsoft. "What is SOAR?" //Microsoft Security//. Dostupno na:[[https://www.microsoft.com/en-us/security/business/security-101/what-is-soar]] |
| | |
| | [14] Microsoft. "What is XDR?" //Microsoft Security//. Dostupno na: [[https://www.microsoft.com/en-us/security/business/security-101/what-is-xdr]] |
| | |
| | [15] SANS Institute. "Incident Response White Paper." //SANS White Papers//. Dostupno na:[[https://www.sans.org/white-papers/33901/]] |
| |
| | [16] National Institute of Standards and Technology (NIST). "Computer Security Incident Handling Guide." //Special Publication 800-61 Revision 2//. Dostupno na:[[https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf]] |
| |
| |
| |
