video

Ovaj rad pruža detaljan pregled procesa odgovora na sigurnosne incidente, s posebnim naglaskom na važnost pravovremenog i učinkovitog odgovora. Proces započinje kada sigurnosni tim primi vjerodostojno upozorenje od sustava za upravljanje sigurnosnim informacijama i događajima (SIEM), nakon čega tim mora provesti analizu i odlučiti je li događaj zaista incident. Udaljavanjem zaraženih sustava i eliminiranjem prijetnje, tim se priprema za daljnje faze odgovora. Rad također istražuje osnovne pojmove vezane uz sigurnosne incidente, vrste napada te detaljno razrađuje faze incident response procesa. Uz to, razmatra se i korištenje naprednih alata i tehnologija kao što su Microsoft Defender XDR i Microsoft Sentinel, koji podržavaju odgovor na incidente. Na kraju, rad daje preporuke i prakse za poboljšanje sigurnosnih operacija, osiguravajući učinkovitiji odgovor na potencijalne prijetnje.

Za početak, u sljedeća dva potpoglavlja detaljno ćemo objasniti definiciju i važnost odgovora na incident.

Incident response ili odgovor na incident je proces otkrivanja, analize i reagiranja na sigurnosne incidente kako bi se uklonila nastala šteta i osigurao oporavak sustava. No, što je to incident? Danas koristimo razne izraze koje smatramo sinonimima, a zapravo imaju različito značenje. Neki od njih su:

• Događaj = neopasna radnja koja se često pojavljuje, npr. stvaranje datoteke, brisanje mape ili otvaranje poruke e-pošte. Događaj obično nije znak da je ugrožena sigurnost, ali kada se upari s drugim događajima, može biti riječ o prijetnji.
• Upozorenje = obavijest koju aktivira događaj, što može i ne mora biti prijetnja.
• Incident = grupa povezanih upozorenja koje ljudi ili alati za automatizaciju smatraju upozorenjem na ozbiljnu prijetnju. Ne mora svako upozorenje izgledati kao velika prijetnja, ali više njih u kombinaciji označavaju mogući prekršaj sigurnosnih pravila.

Cilj odgovora na incident je spriječiti kibernetičke napade prije nego što se dogode ili što je prije moguće nakon što se pojave, minimizirati troškove i poslovne smetnje, obavijestiti sve relevantne klijente i službe te informirati se o načinima smanjenja rizika od sličnih kršenja u budućnosti. Proces odgovora na incident pomaže odgovoriti na ključna pitanja o napadu, poput metoda ulaska napadača, poduzetih radnji i ugroženosti povjerljivih informacija.

U ovom poglavlju obradit ćemo osnovne pojmove koji su bitni za razumijevanje teme.

Sigurnosni incident je svako digitalno ili fizičko kršenje koje ugrožava povjerljivost, integritet ili dostupnost informacijskih sustava organizacije ili osjetljivih podataka. Sigurnosni incidenti mogu biti u rasponu od namjernih cyber napada hakera ili neovlaštenih korisnika, do nenamjernih kršenja sigurnosne politike legitimno ovlaštenih korisnika.

Podsjetimo se incident zahtijeva odgovor, dok događaj može biti bezopasan.

Nekoliko je načina (vidljivo na slici 1) na koje napadači pokušaju pristupiti podacima tvrtki ili na neki drugi način ugroziti njihove sustave i poslovne operacije. Evo nekoliko najčešćih:

• Phishing / krađa identiteta
• Ransomware / ucjenjivački softver
• Man-in-the-midle (MITM) / posrednički napad
• Malware / zlonamjerni softver
• Distributed denial-of-service (DDoS) / uskraćivanje usluga

Slika 1. Vrste sigurnosnih incidenata

Krađa identiteta vrsta je društvenog inženjeringa (klasa napada koja hakira ljudsku prirodu, a ne digitalnu sigurnosnu ranjivost) u kojem se napadač putem e-pošte, SMS poruka ili telefonskog poziva lažno predstavlja kao neka ugledna tvrtka ili osoba. U tipičnom napadu s krađom identiteta primatelje se pokušava uvjeriti da preuzmu zlonamjerni softver ili otkriju lozinku. Ti se napadi temelje na povjerenju osoba. Mnogi od tih napada nisu ciljano usmjereni, već se upućuju tisućama ljudi u nadi da će jedan od njih odgovoriti. No, sofisticiranija verzija pod nazivom individualizirana krađa identiteta koristi dubinsko istraživanje da bi sastavila poruku e-pošte namijenjenu samo jednoj osobi.

U napadu ucjenjivačkim softverom napadači instaliraju zlonamjerni softver za šifriranje ključnih podataka i sustava, a zatim prijete da će te podatke objaviti ili ih uništiti ako žrtva ne plati otkupninu.

Drugi način koji internetski lopovi koriste za krađu osobnih podataka jest da upadnu u mrežni razgovor između ljudi koji misle da komuniciraju privatno. Presretanjem poruka i njihovim kopiranjem ili promjenom prije slanja primatelju kojem su namijenjeni pokušavaju manipulirati jednim od sudionika tako da im on da vrijedne podatke.

Pojam zlonamjerni softver odnosi se na zlonamjerne aplikacije ili kod koji oštećuju ili ometaju normalno korištenje uređaja krajnjih točaka (fizički uređaji koji se povezuju s računalnom mrežom i s njome razmjenjuju podatke). Ima mnogo oblika, uključujući viruse, ucjenjivački softver, špijunski softver i trojanske konje.

Napad distribuiranim onemogućivanjem pružanja usluge cilja web-mjesta i poslužitelje ometanjem mrežnih usluga u pokušaju iscrpljivanja resursa aplikacije. Napadači nasumičnim prometom preopterećuju mrežu, što rezultira sporom i lošom funkcionalnošću ili potpunim izbacivanjem s mreže.

Više je načina za pristup odgovoru na incidente, a mnoge se tvrtke i ustanove u svojem pristupu oslanjaju na organizaciju za sigurnosne standarde. SysAdmin Audit Network Security (SANS) privatna je organizacija koja nudi platformu za odgovor u šest koraka. Mnoge tvrtke ili ustanove također usvajaju platformu za oporavak od incidenata Nacionalnog instituta za standarde i tehnologiju (NIST) navedenog u nastavku.

Prije nego što se sam incident dogodi, važno je identificirati poslovno okruženje koje treba zaštititi, tj. otkriti broj i mjesta „slabih“ točaka te definirati sigurnosne pravilnike i postupke. U fazi pripreme, tvrtke ili ustanove provode procjenu rizika kako bi spoznale potencijalne ranjivosti mreže i odredile prioritet resursa. Ta faza obuhvaća pisanje i sužavanje sigurnosnih postupaka, definiranje uloga i odgovornosti te ažuriranje sustava radi smanjenja rizika. Većina tvrtki ili ustanova tu fazu redovito ponavlja i poboljšava pravilnike, postupke i sustave dok usvajaju nove značajke i promjene tehnologije.

Tijekom ove faze članovi sigurnosnog tima prate mrežu sumnjivih aktivnosti i potencijalnih prijetnji. Analiziraju podatke, obavijesti i upozorenja prikupljene iz zapisnika uređaja i različitih sigurnosnih alata (antivirusni softver, vatrozid) za prepoznavanje incidenata u tijeku. Tim radi na filtriranju lažno-pozitivnih rezultata iz stvarnih incidenata, kao i na pronalaženju onih koje nisu detektirane jer su označene kao manje ozbiljne. Kad tim utvrdi s kakvom prijetnjom ili kršenjem se bavi, obavijestit će odgovarajuće osoblje i prijeći na sljedeću fazu postupka reakcije na incident.

Otkrivena prijetnja mora biti izolirana u najkraćem mogućem roku. Što napadačima dulje ostane omogućen pristup, to je veća potencijalna šteta koju mogu uzrokovati. Sigurnosni tim poduzima hitne mjere kako bi kompromitirane aplikacije i sustave što prije izolirao od ostatka mreže, čime se napadačima onemogućuje daljnji pristup ostalim dijelovima organizacije. Nakon što prijetnja bude uspješno izolirana, tim započinje proces sanacije s ciljem potpunog uklanjanja napadača i svih oblika zlonamjernog softvera iz zahvaćenih sustava i resursa. Tijekom ovog postupka sustavi mogu privremeno biti izvan funkcije. Osim toga, provodi se temeljita provjera svih pogođenih, ali i netaknutih sustava kako bi se osiguralo da nisu ostali nikakvi tragovi sigurnosnog incidenta.

Oporavak od incidenta može potrajati nekoliko sati. Kada se prijetnja otkloni, tim vraća sustave, vraća podatke iz sigurnosne kopije i nadzire zahvaćena područja kako se napadač ne bi vratio.

U završnoj fazi, tim pregledava što se dogodilo, što je dobro prošlo i prikuplja „naučene lekcije“. Nastoji utvrditi osnovni uzrok napada, identificirati kako je napadač uspješno probio mrežu, te traži mogućnosti za poboljšanje sustava, alata i procesa kako bi se spriječilo ponavljanje sličnih incidenata u budućnosti.

Neke od najčešće korištenih tehnologija odgovora na incidente uključuju:

• Attack Surface Management (ASM) / upravljanje površinom napada
• Endpoint Detection and Response (EDR) / otkrivanje krajnjih točaka i odgovor
• Security Information and Event Management (SIEM) / sigurnosne informacije i upravljanje događajima
• Security Orchestration, Automation, and Response (SOAR) / sigurnosna orkestracija, automatizacija i odgovor
• User and Entity Behavior Analytics (UEBA) / analitika ponašanja korisnika i entiteta
• Extended Detection and Response (XDR) / prošireno otkrivanje i reagiranje
• Automated Investigation and Response (AIR) / automatizirana istraga i odgovor

Microsoft Defender XDR, poznatiji kao nekadašnji Microsoft 365 Defender, vodeća je XDR platforma. XDR je objedinjena platforma za sigurnosne incidente koja koristi umjetnu inteligenciju i automatizaciju AIR. Tvrtkama ili ustanovama pruža holistički i učinkovit način zaštite i reagiranja na napredne računalne napade. Kako velike tvrtke sve češće rade u okruženjima s više oblaka i hibridnim okruženjima u kojima se susreću s rastućim računalnim prijetnjama i složenim sigurnosnim izazovima, za razliku od ciljanih sustava kao što su prepoznavanje krajnjih točaka i odgovor, XDR platforme proširuju pokrivenost da bi se zaštitile od sofisticiranijih vrsta računalnih napada. Integriraju mogućnosti otkrivanja, istraživanja i odgovora na više domena, uključujući krajnje točke tvrtke ili ustanove, hibridne identitete, aplikacije u oblaku i radna opterećenja, e-poštu i spremišta podataka. Oni također pokreću učinkovitost u svim sigurnosnim operacijama (SecOps) uz naprednu vidljivost lanca računalnog napada, automatizaciju AIR i analitiku temeljenu na umjetnoj inteligenciji i široko obavještavanje o prijetnjama.

Sa slike 2 vidi se da Microsoft Defender XDR nudi objedinjeno XDR sučelje za sljedeće proizvode: Microsoft Defender za krajnju točku, Microsoft Defender za identitet, Microsoft Defender za Office 365, Microsoft Defender za Cloud Apps i Upravljanje ranjivošću za Microsoft Defender.

Slika 2. Integracija alata u Microsoft Defender XDR platformi

Ključne mogućnosti XDR-a:

• Automatsko ometanje naprednih računalnih napada brzinom računala
• Omogućivanje brzog reagiranja na incidente kojima XDR dodjeljuje prioritet
• Automatski oporavak zahvaćenih resursa
• Proaktivno locirajte računalne prijetnje
• Učinkovitije upravljanje okruženjima s više klijenata

Slika 3 prikazuje početnu stranicu nadzorne ploče za Microsoft Defender. Slika 3. Početna stranica nadzorne ploče za Microsoft Defender

Azure Sentinel preimenovan je u Microsoft Sentinel te on za razliku od Microsoft Defender XDR-a obuhvaća mogućnosti SIEM i SOAR sustava u jednom rješenju. Microsoft Sentinel druga je poznatija SecOps platforma u oblaku koja nudi proaktivnu zaštititu digitalne imovine.

SIEM sustavi zbrajaju velike količine podataka i prepoznaju sigurnosne prijetnje i neuobičajeno ponašanje. Budući da mogu unositi podatke iz gotovo bilo kojeg izvora, oni pružaju visoku vidljivost. Oni također pojednostavljuju upravljanje zapisnicima, upravljanje događajima i incidentima te izvješćivanje o usklađenosti. SIEM-ovi mogu raditi sa SOAR sustavima kako bi odgovorili na računalne prijetnje, ali zahtijevaju opsežnu prilagodbu i ne nude mogućnosti automatskog prekida napada.

Glavne mogućnosti Microsoft Sentinel-a:

• Prikupljanje podataka na razini oblaka
• Prevencija računalnih prijetnji
• Olakšana istraga uz uvide u incidente
• Brzi odgovor i ušteda vremena automatizacijom uobičajenih zadataka

Slika 4 prikazuje početnu stranicu nadzorne ploče za Microsoft Sentinel. Slika 4. Početna stranica nadzorne ploče za Microsoft Sentinel

Samo jedan od mnogih primjera incidenata bio je ciljani napad na Albaniju 2022. godine. Ovaj napad nije bio uobičajeni kibernetički napad, već državno sponzorirani napad, dobro financiran od strane Irana. Državno sponzorirani napadi nisu često motivirani isključivo financijskim razlozima, već uključuju veći broj aktera i sofisticiranije alate. Napad na Albaniju koristio je dvije metodologije: ransomware kao mamac i wiper za potpuno uništenje digitalnog okruženja. Napad je započeo 15. srpnja, ciljajući datoteke s namjerom da sruši cijelu infrastrukturu, što je rezultiralo padom e-Albania portala, koji pruža usluge građanima poput škola, bolnica, zdravstvenih kartona, recepata, imovine i drugih važnih dokumenata. Građani Albanije nisu imali pristup zdravstvenoj skrbi, što je ugrozilo živote 3,8 milijuna ljudi. Sigurnosni tim brzo je reagirao, izolirajući infrastrukturu i isključivši kritične sustave kako bi spriječili daljnju štetu. U suradnji s Microsoftovim stručnjacima iz DART tima (Detection and Response Team) i FBI-jem, provedena je detaljna forenzička istraga (vidljivo na slici 5), uklonjeni su napadači iz sustava te su implementirane napredne sigurnosne mjere, uključujući migraciju na Office 365 i uspostavu sigurnosnog operativnog centra s alatima poput Microsoft Defendera i Microsoft Sentinela. Ovi alati omogućili su automatska upozorenja, odgovore i kontrole, koristeći umjetnu inteligenciju i strojno učenje za bolje praćenje i rješavanje prijetnji. Slika 5. Korisnikov put nakon pokretanja odgovora na incident uz pomoć Microsofta

Da bi odgovorio na neki incident, tim mora učinkovito i djelotvorno surađivati kako bi uklonio prijetnju i zadovoljio regulatorne propise. U takvim situacijama povećanog stresa jednostavno se smesti i pogriješiti te upravo zbog toga mnoge tvrtke osmišljavaju plan odgovora na incidente. Tim se planom definiraju uloge i odgovornosti te on obuhvaća korake za pravilno rješavanje, dokument i komunikaciju o incidentu. Dobro promišljeni plan korisnicima omogućuje da znaju što bi trebali raditi u svakoj fazi napada, pa ne moraju odlučivati u hodu.

Tim za odgovor na incidente, koji se naziva i tim za odgovor na računalne sigurnosne incidente (CSIRT), tim za odgovor na računalne incidente (CIRT) ili tim za odgovor na računalne incidente u hitnim slučajevima (CERT), obuhvaća višefunkcionalnu grupu ljudi u nekoj tvrtki ili ustanovi odgovornih za izvršavanje plana odgovora na incidente. To obuhvaća ne samo osobe koje otklanjaju prijetnje, već i one koje donose poslovne ili pravne odluke povezane s incidentom. Tipični tim ima sljedeće članove:

• upravitelja odgovora na incidente, često direktor IT-a, nadzire sve faze odgovora i informira interne zainteresirane strane
• sigurnosne analitičare koji istražuju incident da bi razumjeli što se događa; oni i dokumentiraju sve što otkriju te prikupljaju forenzičke dokaze
• istražitelje prijetnji koji izvan tvrtke ili ustanove prikupljaju informacije koje pružaju dodatni kontekst
• nekog iz uprave, kao što je voditelj odjela za sigurnost informacija ili voditelj informacijskog odjela, koji daje upute i služi kao veza prema drugim direktorima
• stručnjake za ljudske resurse koji pomažu u upravljanju internim prijetnjama
• glavnog savjetnika, koji tim usmjerava na probleme s odgovornošću i omogućuje prikupljanje forenzičkih dokaza
• stručnjake za odnose s javnošću koji koordiniraju točnu vanjsku komunikaciju s medijima, klijentima i drugim zainteresiranim stranama
• tim za odgovor na incidente, koji može biti podskup centra za sigurnosne operacije (SOC-a) i koji upravlja sigurnosnim operacijama i izvan područja odgovora na incidente.

Koraci formiranja tima prikazani su na slici broj 6. Slika 6. Postupak formiranja tima za odgovor na incidente

Mojih top 10 smjernica za postupanje tijekom i nakon incidenata:

• Ostanite smireni: Incidenti mogu biti emocionalno intenzivni. Fokusirajte se na najvažnije radnje i izbjegavajte paniku.
• Pažljivo dijelite informacije javno: Sve javne izjave i informacije prvo provjerite s pravnim odjelom kako biste izbjegli pravne i reputacijske posljedice.
• Potražite pomoć kad je potrebno: Angažirajte unutarnje stručnjake ili vanjske profesionalce ako vam nedostaje resursa ili stručnosti za rješavanje incidenta.
• Brzina i koordiniranost: Djelujte brzo, ali promišljeno, i osigurajte jasnu komunikaciju između tehničkih, pravnih i operativnih timova kako bi sve strane bile usklađene.
• Ne nanosite dodatnu štetu: Izbjegavajte radnje koje mogu uzrokovati gubitak podataka, poslovnih funkcionalnosti ili dokaza.
• Nemojte učitavati datoteke na mrežne skenere: Napadači mogu pratiti skenirane datoteke.
• Nemojte beskonačno istraživati: Fokusirajte se samo na ključne sustave koji su napadnuti ili kompromitirani.
• Dokumentirajte: Bilježite sve radnje tijekom incidenta za potrebe forenzičke analize i kasnijih poboljšanja sigurnosnih procedura.
• Očekujte smanjenu učinkovitost tima: Planirajte za 50% kapaciteta osoblja zbog stresa i zahtjevnosti situacije.
• Nemojte resetirati sve lozinke odjednom: Prioritetno resetirajte samo kompromitirane administratorske i servisne račune, a korisničke lozinke resetirajte postupno i kontrolirano.

Microsoft Defender XDR predstavlja napredno rješenje za XDR koje omogućuje sigurnost na razini krajnjih točaka na više platformi, hibridnih identiteta, e-pošte, alata za suradnju i aplikacija u oblaku. On koristi vidljivost na razini incidenta u cijelom lancu računalnih napada, automatsko sprječavanje računalnih napada te objedinjeno upravljanje sigurnošću i pristupom kako bi se ubrzao odgovor na sofisticirane računalne napade.

Za razliku od SIEM-ova, XDR sustavi unose podatke samo iz onih izvora koji imaju unaprijed stvorene poveznike. Međutim, oni automatski prikupljaju, povezuju i analiziraju puno dublji, bogatiji skup sigurnosnih telemetrijskih podataka i podataka o aktivnostima. Oni također pružaju uvide u računalne prijetnje na više domena i kontekstualna upozorenja koja omogućuju sigurnosnim timovima da se usredotoče na događaje najvišeg prioriteta i pokrenu brze i ciljane odgovore.

Alati kao što je Microsoft Sentinel nadopunjuju te mogućnosti SIEM-om i SOAR-om da bi se u njih umetnuli zapisnici iz cjelokupne digitalne imovine tvrtke ili ustanove, čime se dodatno povećavaju mogućnosti automatizacije i reagiranja, kao i praćenja računalnih prijetnji u svim sustavima.

Microsoft Sentinel nudi se zasebno od rješenja Microsoft Defender XDR, ali klijenti koji koriste oba proizvoda dobivaju objedinjeno iskustvo s jedinstvenim prikazom značajki kao što su red čekanja za incidente i napredno lociranje prijetnji. Ta kombinacija klijentima nudi rješenje koje se oslanja na ono najbolje od SIEM-a i XDR-a i pruža najučinkovitije alate za sigurnosne operacije.

[1] Microsoft. “What is Incident Response?” Microsoft Security. Dostupno na: https://www.microsoft.com/en-us/security/business/security-101/what-is-incident-response#How-incident-response-works

[2] IBM. “What is Incident Response?” IBM Think Blog. Dostupno na: https://www.ibm.com/think/topics/incident-response#What+is+incident+response%3F

[3] Palo Alto Networks. “What is Incident Response?” Cyberpedia. Dostupno na:https://www.paloaltonetworks.com/cyberpedia/what-is-incident-response#why

[4] Microsoft. “Incident Response Overview.” Microsoft Learn. Dostupno na:https://learn.microsoft.com/en-us/security/operations/incident-response-overview

[5] Microsoft. “Incidents Overview in Microsoft Defender XDR.” Microsoft Learn. Dostupno na:https://learn.microsoft.com/en-us/defender-xdr/incidents-overview

[6] Microsoft. “Investigate Cases in Microsoft Sentinel.” Microsoft Learn. Dostupno na: https://learn.microsoft.com/en-us/azure/sentinel/investigate-cases

[7] Wikipedia. “Incident Management.” Wikipedia. Dostupno na:https://en.wikipedia.org/wiki/Incident_management

[8] Microsoft. “Microsoft Incident Response.” Microsoft Security. Dostupno na: https://www.microsoft.com/en-us/security/business/microsoft-incident-response

[9] Microsoft. “How the Microsoft Incident Response Team Helps Customers Remediate Threats.” Microsoft Security Blog. Dostupno na: https://www.microsoft.com/en-us/security/blog/2023/08/15/how-the-microsoft-incident-response-team-helps-customers-remediate-threats/?culture=hr-hr&country=hr

[10] Microsoft. “Microsoft Defender XDR Overview.” Microsoft Security. Dostupno na:https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-defender-xdr#tabx37134098f73249128ed30143c025befe

[11] Microsoft. “Microsoft Sentinel Overview.” Microsoft Security. Dostupno na: https://www.microsoft.com/en-us/security/business/siem-and-xdr/microsoft-sentinel#x7b1217f75434457baf6d56f71077615b

[12] Microsoft. “What is SIEM?” Microsoft Security. Dostupno na: https://www.microsoft.com/en-us/security/business/security-101/what-is-siem

[13] Microsoft. “What is SOAR?” Microsoft Security. Dostupno na:https://www.microsoft.com/en-us/security/business/security-101/what-is-soar

[14] Microsoft. “What is XDR?” Microsoft Security. Dostupno na: https://www.microsoft.com/en-us/security/business/security-101/what-is-xdr

[15] SANS Institute. “Incident Response White Paper.” SANS White Papers. Dostupno na:https://www.sans.org/white-papers/33901/

[16] National Institute of Standards and Technology (NIST). “Computer Security Incident Handling Guide.” Special Publication 800-61 Revision 2. Dostupno na:https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf