Get best of the week

Incident Response Platform-Klassensysteme: Anwendungs- und Hauptfunktionen

Freunde, in einer früheren Veröffentlichung haben wir internationale Dokumente zum Risikomanagement für Informationssicherheit analysiert und in früheren Artikeln die Grundlagen der Informationssicherheit untersucht und Gesetze im Bereich des Schutzes personenbezogener Daten und der kritischen Informationsinfrastruktur erörtert . In diesem Artikel gehen wir zur praktischen Ebene über und sprechen über IRP-Systeme, die die Verfahren zur Reaktion auf Informationssicherheitsvorfälle vereinfachen und automatisieren sollen. Lass uns anfangen!

Bild

Einführung


Wie wir wissen, ist die Anzahl der IS-Vorfälle, insbesondere in großen Unternehmen, derzeit recht hoch, und wenn sie darauf reagieren, beträgt die Punktzahl buchstäblich Minuten. Darüber hinaus kann es sich nicht jeder leisten, eine große Anzahl hochqualifizierter Spezialisten einzustellen.

Es stellt sich die Frage, wie IS-Analysten (hauptsächlich L1 und L2) bei der Reaktion auf Vorfälle unterstützt und die routinemäßige Belastung durch die Durchführung ähnlicher Vorgänge beseitigt werden können.

Stellen Sie sich eine Situation vor, in der das SIEM-System einen möglichen Angriff auf das Finanzsystem von Remote-Banking-Diensten anzeigt. Angreifer können jede Minute Geld von Firmenkonten stehlen, und danach ist es schwierig, das Geld zurückzugeben. Nachdem der SOC-Analyst einen solchen Vorfall gesehen hat, muss er eine große Menge unterstützender Informationen wie den Namen des angegriffenen Servers und den Namen des Finanzsystems sammeln, den Namen und die Kontaktdaten der verantwortlichen Person klären und zusätzliche Informationen von ihm einholen. Wenn es keinen Zweifel gibt, dass es sich bei diesem Vorfall um einen "Kampf" handelt und nicht um einen falsch positiven, muss der Analyst den angegriffenen Server so schnell wie möglich vom Netzwerk des Unternehmens isolieren und das gefährdete Konto blockieren.Melden Sie den Vorfall dem Manager und anderen gemäß der Kommunikationsmatrix.

Wie Sie sehen, gibt es viele Aufgaben, und alle sollten innerhalb der streng festgelegten Zeit- und KPI-Standards erledigt werden, beispielsweise in 10 Minuten. Und genau dann kann die Incident Response Platform (IRP), ein System zur Automatisierung der Reaktion auf Informationssicherheitsvorfälle, unserem Analysten helfen. Das IRP-System hilft bei der Durchführung einer Reihe von Routineoperationen, um zusätzliche Informationen zu sammeln, dringende Maßnahmen zu ergreifen, um Bedrohungen einzudämmen (Englisch zu enthalten) und zu beseitigen (Englisch auszurotten), das angegriffene System wiederherzustellen (Englisch wiederherzustellen), interessierte Parteien zu benachrichtigen sowie Daten zu sammeln und zu strukturieren Untersuchte Vorfälle im Bereich der Informationssicherheit. Darüber hinaus können Sie mit IRP die gleichen Aktionen des IS-Bedienerspezialisten, die er als Reaktion auf Informationssicherheitsvorfälle ausführt, robotisieren und automatisieren.Dies trägt dazu bei, die Arbeitsbelastung des Mitarbeiters bei der Durchführung von Routineoperationen zu verringern. Lassen Sie uns näher auf die Aufgaben der Reaktion auf Informationssicherheitsvorfälle eingehen, die von IRP-Systemen ausgeführt werden.

IS Incident Response-Prozesse


Um zu verstehen, wie und wo IRP-Systeme korrekt angewendet und implementiert werden können, sollten wir den Prozess der Reaktion auf Informationssicherheitsvorfälle im Allgemeinen sehen und darüber nachdenken, wie diese automatisiert werden können. Zu diesem Zweck wenden wir uns an NIST SP 800-61 , Handbuch zur Behandlung von Vorfällen mit Computersicherheit . Dementsprechend besteht die Reaktion auf IS-Vorfälle aus mehreren miteinander verbundenen Prozessen:

  1. Ausbildung
  2. Erkennung
  3. Analyse
  4. Eindämmung / Lokalisierung
  5. Beseitigung
  6. Wiederherstellung
  7. Aktionen nach einem Vorfall

Betrachten Sie diese Prozesse im Zusammenhang mit der Verwendung von IRP-Systemen für ihre Automatisierung genauer.

1. Vorbereitung


Die Vorbereitungsphase ist vorläufig und einer der Schlüssel. In dieser Phase sollten alle organisatorischen Arbeiten durchgeführt werden, damit die Maßnahmen des IS-Teams für die Reaktion auf Vorfälle dokumentiert und vereinbart werden. Reaktionsrichtlinien, -verfahren und -anweisungen sollten so klar, detailliert und bequem wie möglich sein, damit die Analysten des Reaktionsteams im Falle eines Vorfalls mit hoher Priorität genau wissen, was in einer bestimmten Situation zu tun ist. Sie sollten regelmäßig Schulungen durchführen, um die in den schriftlichen Dokumenten definierten Schritte zu erarbeiten und die Mitarbeiter des Unternehmens und das Reaktionsteam in den richtigen technischen und organisatorischen Maßnahmen während des Vorfalls zu schulen.

In der Vorbereitungsphase werden auch Playbooks oder Runbooks erstellt und konfiguriert - Antwortskripte, nach denen das Antwortteam und das IRP-System abhängig von den Details des Vorfalls vordefinierte Aktionen ausführen. Beispielsweise muss sich ein Mitglied des Reaktionsteams im Falle eines IS-Vorfalls mit hoher Priorität auf einem besonders kritischen System gemäß dem Spielbuch an den Leiter und die für das System verantwortliche Person wenden, und die IRP-Plattform muss befehlen, dieses System für weitere Verfahren vom Netzwerk des Unternehmens zu isolieren.

Darüber hinaus sollten Sie in der Vorbereitungsphase dem Incident-Response-Team die erforderliche Software und Hardware zur Verfügung stellen (d. H. Laptops und Smartphones ausstellen, die erforderlichen Dienstprogramme darauf installieren) und vorbeugende Maßnahmen ergreifen, um Incidents zu verhindern (Netzwerk und Geräte des Unternehmens schützen). Tools für die Informationssicherheit einzurichten, Mitarbeiter in den Grundlagen der Informationssicherheit zu schulen). Derzeit ist die IRP-Plattform auf eine effektive Nutzung abgestimmt: IT-Systeme und Sicherheitstools sind mit ihr verbunden, mit denen sie bei der Reaktion auf Vorfälle interagieren. In der Regel stellen sie die Verbindung der Systeme her, die dem Spezialisten im Zusammenhang mit dem Vorfall zusätzliche Informationen liefern können, z. B. Informationen zu den vom Vorfall betroffenen Benutzern (Kontaktdaten, Position, Struktureinheit,Autorität) und Geräte (Art des Betriebssystems, installierte Software, ausgeführte Funktion). Darüber hinaus sind Sicherheitstools verbunden, die im Rahmen der Reaktion auf Vorfälle Aufgaben ausführen, um Bedrohungen einzudämmen und zu beseitigen, z. B. Endpunktschutz-Tools, Firewalls und Netzwerkverwaltungssysteme.

Zum Zeitpunkt eines Vorfalls mit Informationssicherheit sollte das Unternehmen daher vollständig ausgerüstet sein: Reaktionsspezialisten und das IRP-System sollten in voller Kampfbereitschaft sein. Dies ist eine Garantie dafür, dass ein Vorfall, selbst wenn er auftritt, schnell lokalisiert werden kann und seine Folgen nicht übermäßig zerstörerisch sind.

2. Erkennung


In der Erkennungsphase sollte die Liste möglicher Arten von IS-Vorfällen ermittelt und eine Liste mit Anzeichen möglicher Vorfälle formuliert werden. Zeichen können in Vorläufer und Indikatoren für Informationssicherheitsvorfälle unterteilt werden:

  • Ein Vorläufer ist ein Zeichen dafür, dass in Zukunft ein Vorfall im Bereich der Informationssicherheit auftreten kann.
  • Ein Indikator ist ein Zeichen dafür, dass ein Vorfall bereits aufgetreten ist oder gerade auftritt.

Beispiele für Vorläufer von Informationssicherheitsvorfällen können ein fester Internet-Scan der offenen Webserver-Ports des Unternehmens oder die Erkennung von Sicherheitslücken in einigen IT-Systemen sein. Beispiele für Indikatoren für Informationssicherheitsvorfälle können das Auftreten von Nachrichten von Schutztools (Antivirus, Firewall usw.) über einen möglichen Angriff, das unbefugte Löschen oder Ändern von Daten, das Auftreten von Fehlern und Fehlfunktionen beim Betrieb von IT-Systemen sein. Anomalien im Netzwerkverkehr sollten beachtet werden: Unerwartete Ausbrüche eines bestimmten Verkehrstyps (z. B. DNS) können auf böswillige Aktivitäten hinweisen. Das atypische Benutzerverhalten sollte ebenfalls analysiert werden: Eine Remoteverbindung nach Stunden von einem ungewöhnlichen Ort aus kann ein Zeichen dafür sein, dass ein Konto gefährdet ist. Zum,Um die Nutzung des IRP-Systems in der Erkennungsphase zu maximieren, sollten Sie die IRP-Plattform in das SIEM-System integrieren: Ein solches Paket ermöglicht eine „nahtlose“ Übertragung von Vorläufern und Ereignisindikatoren von IT-Systemen und Unternehmenssicherheitsausrüstung über SIEM direkt auf das IRP-System, wodurch dies ermöglicht wird Erkennen Sie Vorfälle schnell und ergreifen Sie geeignete Maßnahmen, um in Zukunft darauf zu reagieren.

3. Analyse


Während der Phase der Vorfallanalyse liegt die Hauptlast in der Erfahrung und dem Fachwissen des Analysten. Er muss entscheiden, ob der aufgezeichnete Vorfall ein „Kampf“ war oder ob er falsch positiv war. Die Identifizierung und Erstverarbeitung sollte durchgeführt werden (Triage): um die Art des Vorfalls zu bestimmen und ihn zu kategorisieren. Als nächstes werden Kompromissindikatoren (IoCs) ermittelt, das mögliche Ausmaß des Vorfalls und die Komponenten der betroffenen Infrastruktur analysiert, eine begrenzte forensische Untersuchung durchgeführt, um die Art des Vorfalls und mögliche weitere Reaktionsschritte zu klären.

Zu diesem Zeitpunkt bietet die IRP-Plattform wertvolle Unterstützung, da sie wichtige Kontextinformationen zum Vorfall liefern kann. Hier ein Beispiel: Das SIEM-System meldet, dass der Webserver des Unternehmens angegriffen wurde, und die verwendete Sicherheitsanfälligkeit gilt nur für Windows. Der Analyst, der sich die IRP-Konsole ansieht, wird sofort feststellen, dass der angegriffene Webserver unter Linux ausgeführt wird. Daher konnte der Angriff nicht erfolgreich sein. Ein weiteres Beispiel: Ein Antivirensystem auf einem der Laptops meldete eine Virusinfektion und den anschließenden Zugriff auf bestimmte IP-Adressen. Der Analyst, der die Daten des IRP-Systems verwendet, wird feststellen, dass eine ähnliche Netzwerkaktivität auch auf mehreren anderen Geräten im Unternehmensnetzwerk beobachtet wird, was nicht einen einzelnen Virus, sondern eine massive Infektion bedeutet.Der Vorfall erhält einen Status mit höherer Priorität, er wird gemäß der Eskalationsmatrix eskaliert und zusätzliche Ressourcen werden für seine Beseitigung bereitgestellt. Die IRP-Plattform hilft dabei, alle im Rahmen der Reaktion ausgeführten Aktionen aufzuzeichnen und die Kommunikation und Eskalation des Vorfalls zu automatisieren.

4. Eindämmung / Lokalisierung


In der Phase der Eindämmung (oder Lokalisierung) eines Vorfalls besteht die Hauptaufgabe darin, den potenziellen Schaden durch einen IS-Vorfall schnell zu minimieren und ein Zeitfenster für die Entscheidung über die Beseitigung der Bedrohung bereitzustellen. Dies kann beispielsweise erreicht werden, indem für ein infiziertes Gerät schnell strengere Verbotsregeln für die Firewall aktiviert, der infizierte Host vom lokalen Netzwerk des Unternehmens isoliert, einige Dienste und Funktionen getrennt oder das infizierte Gerät endgültig heruntergefahren werden.

In dieser Phase werden Informationen über den in der Analysephase erhaltenen Vorfall sowie Informationen darüber verwendet, welche Funktion das von dem Vorfall betroffene IT-Asset ausführt, da beispielsweise das Herunterfahren eines kritischen Servers schwerwiegendere negative Folgen für das Unternehmen haben kann als der einfache Neustart eines nicht kritischen Vorfalls Service darauf. In diesem Fall teilt Ihnen die IRP-Plattform erneut mit, welche Funktionen der Server ausführt, wie und wann er ausgeschaltet oder isoliert werden kann (vorausgesetzt, diese Informationen wurden in der Vorbereitungsphase in das IRP eingegeben). Darüber hinaus sollten in den Playbooks des IRP-Systems die für jeden bestimmten Vorfalltyp geltenden Eindämmungsszenarien in die Vorbereitungsphase einbezogen werden. Im Fall eines DDoS-Angriffs ist es möglicherweise nicht sinnvoll, die angegriffenen Server auszuschalten.Im Falle einer Virusinfektion innerhalb eines Netzwerksegments können Sie keine Geräte in einem anderen Segment isolieren. In der Eindämmungsphase wird auch eine Analyse der Angriffsdetails durchgeführt: Welches System wurde zuerst angegriffen, welche Taktiken, Techniken und Verfahren haben die Angreifer verwendet, welche Teamserver werden bei diesem Angriff verwendet usw. Die angegebenen Informationen werden vom IRP-System gesammelt: Integration in Cyber-Intelligence-Quellen (Eng. Threat Intelligence-Feeds) und spezialisierte Suchmaschinen (z. B.Integration mit Cyber-Intelligence-Quellen (Eng. Threat Intelligence-Feeds) und spezialisierten Suchmaschinen (z.Integration mit Cyber-Intelligence-Quellen (Eng. Threat Intelligence-Feeds) und spezialisierten Suchmaschinen (z.VirusTotal , Shodan , Censys usw.) liefern ein klareres und angereicherteres Bild des Vorfalls, das dazu beiträgt , den Vorfall effektiver zu bewältigen. In einigen Fällen kann es auch erforderlich sein, forensische Daten für die nachfolgende Computerforensik abzurufen, und die IRP-Plattform hilft dabei, solche Informationen von den angegriffenen Geräten zu sammeln.

5. Abhilfe


In der Phase der Beseitigung des Vorfalls werden bereits aktive Schritte unternommen, um die Bedrohung aus dem Netzwerk zu entfernen und einen erneuten Angriff zu verhindern: Malware wird entfernt, gehackte Konten werden geändert (sie können vorübergehend blockiert, das Kennwort kann geändert oder beispielsweise umbenannt werden), Updates und Patches für ausgenutzte Schwachstellen werden installiert, geändert Sicherheitseinstellungen (zum Beispiel zum Blockieren der IP-Adresse von Crackern). Die angegebenen Aktionen werden für alle vom Vorfall betroffenen Entitäten ausgeführt - sowohl für Geräte als auch für Konten und für Programme.

Es ist äußerst wichtig, die Schwachstellen, die von Cyberkriminellen ausgenutzt wurden, sorgfältig zu beseitigen, da Hacker nach einem erfolgreichen Einbruch in ein Unternehmen meistens in der Hoffnung zurückkehren, die gleichen Mängel seines Schutzes auszunutzen. Während dieses Vorgangs gibt die IRP-Plattform die erforderlichen Befehle an die Schutzmittel und sammelt die fehlenden Daten zu allen vom Vorfall betroffenen Geräten. Daher erhöht sich die Reaktionsgeschwindigkeit auf einen Informationssicherheitsvorfall im Hinblick auf die Beseitigung der Bedrohung selbst erheblich, wenn ein IRP-System verwendet wird, das ein hervorragendes Werkzeug für Analysten der Informationssicherheit darstellt.

6. Wiederherstellung


In der Wiederherstellungsphase sollten Sie die Zuverlässigkeit der ergriffenen Schutzmaßnahmen überprüfen, die Systeme wieder in den normalen Betrieb versetzen (Business as usual), möglicherweise einige Systeme aus Sicherungen wiederherstellen oder sie erneut installieren und konfigurieren. In dieser Phase helfen IRP-Systeme dabei, sich an alle an dem Vorfall beteiligten Geräte und die Chronologie der Ereignisse zu erinnern, da diese Daten während des gesamten Untersuchungszyklus des Vorfalls im IRP gespeichert und akkumuliert werden.

7. Aktivitäten nach einem Vorfall


In der Phase der Aktivitäten nach dem Vorfall (Root-Post-Analyse) sollte die Ursachenanalyse analysiert werden, um die Wahrscheinlichkeit eines ähnlichen Vorfalls in Zukunft erneut zu minimieren und die Richtigkeit und Aktualität der Maßnahmen von Personal und Schutzausrüstung zu bewerten und möglicherweise, um einige Antwortverfahren und IS-Richtlinien zu optimieren. Im Falle eines schwerwiegenden Vorfalls sollte ein außergewöhnlicher Scan der Infrastruktur auf Schwachstellen, ein Pen-Test und / oder eine außerplanmäßige Prüfung der Informationssicherheit durchgeführt werden.

Es ist logisch, die aggregierte Wissensbasis zur Aufrechterhaltung der gesammelten Antworterfahrung zu verwenden. Dies kann auch auf der IRP-Plattform erfolgen, auf der bereits detaillierte Informationen zu den Vorfällen der Informationssicherheit und zu den ergriffenen Antwortmaßnahmen gespeichert sind. In einigen Fällen ist ein offizieller Vorfallbericht erforderlich, insbesondere wenn es sich um schwerwiegende oder betroffene wichtige Daten handelt: Beispielsweise sollten Informationen zu Computervorfällen in der kritischen Informationsinfrastruktur an das staatliche System von SSSOPKA gesendet werden. Für solche Zwecke verfügen einige inländische IRP-Systeme sowohl über eine API für die Arbeit mit dem staatlichen SOPKA als auch über die Fähigkeit, automatisch Ereignisberichte basierend auf vorgefertigten Vorlagen zu generieren. Wie du siehstIRP ist auch ein universelles Repository für Informationen über Vorfälle der Informationssicherheit mit der Fähigkeit, die Routine eines Spezialisten für Informationssicherheit zu robotisieren.


Zusammenfassen. IRP-Systeme sind automatisierte Tools zur Reaktion auf Informationssicherheitsvorfälle, die Gegenmaßnahmen implementieren, um Bedrohungen der Informationssicherheit gemäß vordefinierten Antwortszenarien entgegenzuwirken. Antwortszenarien werden als Playbooks oder Runbooks bezeichnet und stellen eine Reihe automatisierter Aufgaben dar, mit denen Bedrohungen und Anomalien in der geschützten Infrastruktur erkannt und Bedrohungen in Echtzeit reagiert und eingedämmt werden können. Reaktionsszenarien basieren auf anpassbaren Regeln und Arten von Vorfällen und führen bestimmte Aktionen in Abhängigkeit von den eingehenden Daten von Sicherheitsausrüstung oder Informationssystemen aus. Mithilfe von IRP-Plattformen können Sie strukturierte und protokollierte Reaktionen auf Informationssicherheitsvorfälle basierend auf Regeln und Richtlinien durchführen.Nach Abschluss der Reaktion auf Vorfälle hilft die IRP-Plattform bei der Erstellung eines Berichts über den Vorfall und die Maßnahmen zur Beseitigung des Vorfalls.

Zusammenfassend können wir den Schluss ziehen, dass das IRP-System eine Plattform für die Reaktion auf Cybersicherheitsvorfälle ist, die zum Schutz von Informationen entwickelt wurde, indem Daten zu Vorfällen im Bereich der Informationssicherheit systematisiert und die Aktionen des Analysten für Informationssicherheit robotisiert werden. Dank der IRP-Plattformen können Reaktionsteams für Informationssicherheitsvorfälle erheblich Zeit und Mühe bei der Untersuchung von Informationssicherheitsvorfällen sparen, was die betriebliche Effizienz der Informationssicherheitsabteilungen und SOC-Zentren direkt erhöht.

More articles:


All Articles