Get best of the week

Sistem kelas Platform Respons Insiden: aplikasi dan fungsi utama

Teman-teman, dalam publikasi sebelumnya kami menganalisis dokumen internasional tentang manajemen risiko keamanan informasi, dan dalam artikel sebelumnya kami memeriksa dasar - dasar keamanan informasi, membahas undang-undang di bidang perlindungan data pribadi dan infrastruktur informasi penting . Pada artikel ini, kita beralih ke pesawat praktis dan berbicara tentang sistem IRP yang dirancang untuk menyederhanakan dan mengotomatisasi prosedur untuk menanggapi insiden keamanan informasi. Ayo mulai!

gambar

pengantar


Seperti yang kita ketahui, saat ini, jumlah insiden IS, terutama di perusahaan besar, cukup besar, dan ketika mereka meresponsnya, nilainya secara harfiah adalah menit. Selain itu, tidak semua orang mampu menyewa sejumlah besar spesialis yang berkualifikasi tinggi.

Timbul pertanyaan: bagaimana membantu analis IS (terutama pada L1 dan L2) dalam menanggapi insiden dan menghilangkan beban rutin dalam melakukan operasi serupa?

Bayangkan situasi di mana sistem SIEM menunjukkan bahwa ada kemungkinan serangan terhadap sistem keuangan layanan perbankan jarak jauh. Penyerang dapat mencuri uang dari akun perusahaan kapan saja, dan setelah itu akan sulit untuk mengembalikan uang. Setelah melihat kejadian seperti itu, analis SOC harus mengumpulkan sejumlah besar informasi pendukung, seperti nama server yang diserang, nama sistem keuangan, mengklarifikasi nama dan rincian kontak dari orang yang bertanggung jawab, dan mendapatkan informasi tambahan darinya. Jika tidak ada keraguan bahwa insiden ini adalah "pertempuran" dan bukan false positive, maka analis perlu mengisolasi server yang diserang dari jaringan perusahaan sesegera mungkin, memblokir akun yang disusupi,Laporkan kejadian tersebut kepada manajer dan orang lain sesuai dengan matriks komunikasi.

Seperti yang Anda lihat, ada banyak tugas, dan semuanya harus diselesaikan dalam waktu yang ditentukan oleh standar dan KPI, misalnya, dalam 10 menit. Dan saat itu juga, Incident Response Platform (IRP), sebuah sistem untuk mengotomatisasi respons terhadap insiden keamanan informasi, dapat membantu analis kami. Sistem IRP membantu untuk melakukan sejumlah operasi rutin untuk mengumpulkan informasi tambahan, mengambil tindakan mendesak untuk menahan (mengandung Inggris) dan menghilangkan ancaman (memberantas Inggris), memulihkan (memulihkan Inggris) sistem yang diserang, memberi tahu pihak yang berkepentingan, dan juga mengumpulkan dan menyusun data Insiden keamanan informasi diselidiki. Selain itu, IRP memungkinkan Anda melakukan robotisasi dan mengotomatiskan tindakan yang sama dari spesialis-operator IS, yang ia lakukan sebagai respons terhadap insiden keamanan informasi,yang membantu mengurangi beban kerja karyawan dalam hal melakukan operasi rutin. Mari kita membahas secara lebih rinci tugas-tugas menanggapi insiden keamanan informasi yang dilakukan oleh sistem IRP.

Proses Respons Insiden IS


Untuk memahami bagaimana dan di mana menerapkan dan menerapkan sistem IRP dengan benar, kita harus melihat proses menanggapi insiden keamanan informasi secara umum dan memikirkan cara mengotomasinya. Untuk melakukan ini, kita beralih ke NIST SP 800-61 , Panduan Penanganan Insiden Keamanan Komputer . Sesuai dengan itu, respons terhadap insiden IS terdiri dari beberapa proses yang saling terkait:

  1. Latihan
  2. Deteksi
  3. Analisis
  4. Penahanan / Pelokalan
  5. Eliminasi
  6. Pemulihan
  7. Tindakan Pasca Insiden

Pertimbangkan proses ini secara lebih rinci dalam konteks penggunaan sistem IRP untuk otomasi mereka.

1. Persiapan


Tahap persiapan adalah awal dan salah satu kuncinya. Pada tahap ini, semua pekerjaan organisasi harus dilakukan sehingga tindakan tim respon insiden SI didokumentasikan dan disepakati. Kebijakan, prosedur, dan instruksi tanggapan harus sejelas, sedetail, dan senyaman mungkin sehingga dalam kasus insiden prioritas tinggi, analis tim respons memiliki pemahaman yang akurat tentang apa yang harus dilakukan dalam situasi tertentu. Anda harus secara teratur melakukan pelatihan untuk mengerjakan langkah-langkah yang ditentukan dalam dokumen tertulis, serta melatih personil perusahaan dan tim respons dalam tindakan teknis dan organisasi yang benar selama insiden.

Pada tahap persiapan, playbook atau runbook juga dibuat dan dikonfigurasi - skrip respons, yang menurutnya tim respons dan sistem IRP akan mengambil tindakan yang telah ditentukan tergantung pada detail insiden. Misalnya, dalam kejadian insiden IS prioritas tinggi pada sistem yang sangat kritis sesuai dengan buku pedoman, anggota tim respons harus menghubungi pemimpin dan orang yang bertanggung jawab atas sistem, dan platform IRP harus memerintahkan untuk mengisolasi sistem ini dari jaringan perusahaan untuk proses lebih lanjut.

Selain itu, pada tahap persiapan, Anda harus memberikan semua perangkat lunak dan perangkat keras yang diperlukan kepada tim respons kejadian (mis., Mengeluarkan laptop, smartphone, menginstal utilitas yang diperlukan pada mereka), dan juga mengambil tindakan pencegahan untuk mencegah insiden (melindungi jaringan dan perangkat perusahaan, untuk membangun alat keamanan informasi, untuk melatih karyawan dalam dasar-dasar keamanan informasi). Pada saat ini, platform IRP disetel untuk penggunaan yang efektif: Sistem TI dan alat keamanan terhubung dengannya, yang akan berinteraksi dengan mereka dalam merespons insiden. Sebagai aturan, mereka menyediakan koneksi sistem-sistem yang dapat memberikan spesialis dengan informasi tambahan dalam konteks insiden, misalnya, informasi tentang pengguna yang terkena dampak insiden (detail kontak, posisi, unit struktural,otoritas) dan perangkat (jenis sistem operasi, perangkat lunak yang diinstal, fungsi dilakukan). Selain itu, alat perlindungan terhubung yang, sebagai bagian dari respons insiden, akan melakukan tugas untuk menahan dan menghilangkan ancaman, misalnya, alat perlindungan titik akhir, firewall dan sistem manajemen jaringan.

Dengan demikian, pada saat insiden keamanan informasi terjadi, perusahaan harus dipersenjatai sepenuhnya: spesialis respons dan sistem IRP harus dalam kesiapan tempur penuh. Ini adalah jaminan bahwa bahkan jika suatu insiden terjadi, ia dapat dengan cepat dilokalisasi dan konsekuensinya tidak akan terlalu merusak.

2. Deteksi


Pada tahap deteksi, seseorang harus menentukan daftar kemungkinan jenis insiden IS dan merumuskan daftar tanda-tanda kemungkinan insiden. Tanda-tanda dapat dibagi menjadi prekursor dan indikator insiden keamanan informasi:

  • prekursor adalah tanda bahwa insiden keamanan informasi dapat terjadi di masa depan;
  • indikator adalah tanda bahwa suatu insiden telah terjadi atau sedang terjadi saat ini.

Contoh prekursor insiden keamanan informasi dapat berupa pemindaian Internet tetap atas port server web terbuka perusahaan atau deteksi kerentanan di beberapa sistem TI. Contoh indikator insiden keamanan informasi dapat mencakup tampilan pesan dari alat perlindungan (antivirus, firewall, dll.) Tentang kemungkinan serangan, penghapusan tidak sah atau modifikasi data, munculnya kesalahan dan malfungsi dalam pengoperasian sistem TI. Perhatian harus diberikan pada anomali dalam lalu lintas jaringan: ledakan tak terduga dari jenis lalu lintas tertentu (misalnya, DNS) dapat mengindikasikan aktivitas jahat. Perilaku pengguna yang tidak lazim juga harus dianalisis: koneksi jarak jauh setelah jam kerja dari lokasi yang tidak biasa dapat menjadi tanda akun dikompromikan. Untuk,untuk memaksimalkan penggunaan sistem IRP pada tahap deteksi, Anda harus mengintegrasikan platform IRP dengan sistem SIEM: bundel ini akan memberikan transfer “prekursor” prekursor dan indikator insiden dari sistem TI dan peralatan keamanan perusahaan melalui SIEM langsung ke sistem IRP, yang akan memungkinkannya cepat mendeteksi insiden dan mengambil tindakan yang memadai untuk meresponsnya di masa mendatang.

3. Analisis


Selama fase analisis insiden, beban utama ada pada pengalaman dan keahlian analis - ia harus memutuskan apakah insiden yang dicatat adalah "pertempuran" atau apakah itu positif palsu. Identifikasi dan pemrosesan awal harus dilakukan (triase): untuk menentukan jenis insiden dan mengategorikannya. Selanjutnya, indikator kompromi (IoC) ditentukan, skala kemungkinan insiden dan komponen infrastruktur yang terpengaruh dianalisis, pemeriksaan forensik terbatas dilakukan untuk mengklarifikasi jenis insiden dan kemungkinan langkah-langkah tanggapan selanjutnya.

Pada tahap ini, platform IRP akan memberikan bantuan yang sangat berharga karena dapat memberikan informasi kontekstual penting terkait dengan insiden tersebut. Berikut ini sebuah contoh: sistem SIEM melaporkan bahwa server web perusahaan diserang, dan kerentanan yang digunakan hanya berlaku untuk Windows. Analis, melihat konsol IRP, akan segera melihat bahwa server web yang diserang sedang berjalan di Linux, oleh karena itu, serangan itu tidak akan berhasil. Contoh lain: sistem anti-virus pada salah satu laptop melaporkan infeksi virus dan akses selanjutnya ke alamat IP tertentu. Analis, menggunakan data sistem IRP, akan melihat bahwa aktivitas jaringan yang serupa juga diamati pada beberapa perangkat lain di jaringan perusahaan, yang tidak berarti virus tunggal, tetapi infeksi besar-besaran.Insiden akan diberi status prioritas yang lebih tinggi, akan ditingkatkan sesuai dengan matriks eskalasi, dan sumber daya tambahan akan diarahkan ke eliminasi. Platform IRP akan membantu mencatat semua tindakan yang dilakukan sebagai bagian dari respons, serta mengotomatiskan komunikasi dan eskalasi insiden tersebut.

4. Penahanan / pelokalan


Pada tahap penahanan (atau pelokalan) dari suatu insiden, tugas utama adalah untuk dengan cepat meminimalkan potensi kerusakan dari insiden IS dan menyediakan waktu untuk membuat keputusan tentang menghilangkan ancaman. Ini dapat dicapai, misalnya, dengan cepat mengaktifkan aturan penghalang yang lebih ketat pada firewall untuk perangkat yang terinfeksi, mengisolasi host yang terinfeksi dari jaringan lokal perusahaan, memutus beberapa layanan dan fungsi, atau, akhirnya, sepenuhnya mematikan perangkat yang terinfeksi.

Pada tahap ini, informasi tentang insiden yang diperoleh pada tahap analisis digunakan, serta informasi tentang fungsi apa yang dilakukan aset TI oleh insiden tersebut, karena, misalnya, mematikan server kritis dapat menyebabkan konsekuensi negatif yang lebih signifikan bagi perusahaan daripada sekadar memulai kembali non-kritis layanan di atasnya. Dalam situasi ini, platform IRP sekali lagi akan memberi tahu Anda apa fungsi server melakukan, bagaimana dan kapan itu bisa dimatikan atau terisolasi (asalkan informasi ini dimasukkan dalam IRP pada tahap persiapan). Selain itu, dalam buku pedoman sistem IRP, skenario penahanan yang berlaku untuk masing-masing jenis insiden juga harus dimasukkan dalam tahap persiapan. Misalnya, dalam kasus serangan DDoS, mungkin tidak masuk akal untuk mematikan server yang diserang,dan dalam kasus infeksi virus dalam satu segmen jaringan, Anda tidak dapat mengisolasi perangkat di segmen lain. Pada tahap penahanan, analisis detail serangan juga dilakukan: sistem mana yang pertama kali diserang, taktik, teknik, dan prosedur apa yang digunakan penyerang, server tim mana yang digunakan dalam serangan ini, dll. Informasi yang diindikasikan akan dikumpulkan oleh sistem IRP: integrasi dengan sumber-sumber intelijen dunia maya (Eng. Threat Intelligence feeds) dan mesin pencari khusus (misalnya,integrasi dengan sumber-sumber intelijen dunia maya (umpan Intelijen Ancaman Eng) dan mesin pencari khusus (mis.integrasi dengan sumber-sumber intelijen dunia maya (umpan Intelijen Ancaman Eng) dan mesin pencari khusus (mis.VirusTotal , Shodan , Censys , dll.) Akan memberikan gambaran yang lebih jelas dan lebih diperkaya dari insiden tersebut, yang akan membantu mengatasinya dengan lebih efektif. Dalam beberapa kasus, mungkin juga diperlukan untuk mendapatkan data forensik untuk forensik komputer berikutnya, dan platform IRP akan membantu untuk mengumpulkan informasi tersebut dari perangkat yang diserang.

5. Obat


Pada tahap menghilangkan insiden tersebut, langkah-langkah aktif telah diambil untuk menghapus ancaman dari jaringan dan mencegah serangan kembali: malware dihapus, akun yang diretas diubah (mereka dapat diblokir sementara, kata sandi dapat diubah atau, misalnya, diganti nama), pembaruan dan tambalan untuk kerentanan yang dieksploitasi dipasang, diubah Pengaturan keamanan (misalnya, untuk memblokir alamat IP dari cracker). Tindakan yang ditunjukkan dilakukan untuk semua entitas yang terkena dampak - baik untuk perangkat, dan untuk akun, dan untuk program.

Sangat penting untuk dengan hati-hati menghilangkan kerentanan yang digunakan oleh penjahat cyber, karena paling sering, setelah berhasil membobol sebuah perusahaan, peretas kembali dengan harapan mengeksploitasi kelemahan perlindungan yang sama. Selama proses ini, platform IRP akan memberikan perintah yang diperlukan untuk sarana perlindungan dan mengumpulkan data yang hilang tentang semua perangkat yang terpengaruh oleh insiden tersebut. Dengan demikian, kecepatan respon terhadap insiden keamanan informasi dalam hal menghilangkan ancaman itu sendiri meningkat secara signifikan ketika menggunakan sistem IRP, yang akan menjadi alat yang sangat baik untuk analis keamanan informasi.

6. Pemulihan


Pada tahap pemulihan, Anda harus memeriksa keandalan tindakan perlindungan yang diambil, mengembalikan sistem ke operasi normal (bisnis seperti biasa), mungkin memulihkan beberapa sistem dari cadangan atau menginstal dan mengkonfigurasi ulang mereka. Pada tahap ini, sistem IRP akan membantu mengingat semua perangkat yang terlibat dalam insiden dan kronologi peristiwa, karena data ini disimpan dan diakumulasikan dalam IRP selama seluruh siklus investigasi insiden.

7. Kegiatan pasca-insiden


Pada tahap kegiatan pasca insiden (root post analysis), penyebab insiden harus dianalisis (root cause analysis) untuk meminimalkan kemungkinan insiden serupa lainnya di masa depan, serta untuk mengevaluasi kebenaran dan ketepatan waktu dari tindakan personel dan peralatan pelindung , dan, mungkin, untuk mengoptimalkan beberapa prosedur tanggapan dan kebijakan SI. Dalam hal terjadi insiden serius, pemindaian infrastruktur yang luar biasa harus dilakukan untuk mengetahui kerentanan, uji pena dan / atau audit keamanan informasi yang tidak dijadwalkan.

Adalah logis untuk menggunakan basis pengetahuan teragregasi untuk mempertahankan pengalaman respons terakumulasi, yang juga dapat dilakukan dalam platform IRP, yang sudah menyimpan informasi terperinci tentang insiden keamanan informasi dan tentang langkah-langkah respons yang diambil. Dalam beberapa kasus, laporan insiden resmi diperlukan, terutama jika itu adalah data penting yang serius atau terpengaruh: misalnya, informasi tentang insiden komputer dalam infrastruktur informasi kritis harus dikirim ke sistem SSSOPKA negara. Untuk tujuan tersebut, beberapa sistem IRP domestik memiliki API untuk bekerja dengan SOPKA Negara dan kemampuan untuk secara otomatis menghasilkan laporan insiden berdasarkan templat yang telah dibuat sebelumnya. Seperti yang Anda lihatIRP juga merupakan gudang informasi universal tentang insiden keamanan informasi dengan kemampuan untuk melakukan robotisasi rutinitas seorang spesialis keamanan informasi.


Meringkaskan. Sistem IRP adalah alat respons insiden keamanan informasi otomatis yang menerapkan tindakan balasan untuk menghadapi ancaman keamanan informasi sesuai dengan skenario respons yang telah ditentukan. Skenario respons disebut buku pedoman atau runbook dan merupakan serangkaian tugas otomatis untuk mendeteksi ancaman dan keganjilan dalam infrastruktur yang dilindungi, respons waktu nyata, dan penahanan ancaman. Skenario respons bertindak berdasarkan aturan dan jenis insiden yang dapat disesuaikan, melakukan tindakan tertentu tergantung pada data yang masuk dari peralatan keamanan atau sistem informasi. Platform IRP membantu Anda melakukan respons terstruktur dan jurnal terhadap insiden keamanan informasi berdasarkan aturan dan kebijakan.Setelah menyelesaikan respons insiden, platform IRP akan membantu membuat laporan tentang insiden tersebut dan tindakan yang diambil untuk menghilangkannya.

Merangkum hal-hal di atas, kita dapat menyimpulkan bahwa sistem IRP adalah platform respon insiden keamanan siber yang dirancang untuk melindungi informasi dengan mensistematisasikan data tentang insiden keamanan informasi dan membobolkan tindakan analis keamanan informasi. Berkat platform IRP, tim respons insiden keamanan informasi dapat secara signifikan menghemat waktu dan upaya dalam menyelidiki insiden keamanan informasi, yang secara langsung meningkatkan efisiensi operasional departemen keamanan informasi dan pusat SOC.

More articles:


All Articles