Zde naleznete klíčové tipy od expertů na reakci na hrozby, díky kterým váš tým získá výhody při ochraně společnosti v případě kritické situace.
Tyto tipy vycházejí z reálných zkušeností týmů Sophos Managed Detection and Response a Sophos Rapid Response. Tyto týmy se setkaly již s tisíci různými kybernetickými bezpečnostními incidenty.
(Zdroj: https://www.sophos.com/en-us/whitepaper/four-key-tips-from-incident-response-experts)
1. Reagujte co nejrychleji
Když je organizace napadena, každá vteřina je klíčová.
Existuje několik důvodů, proč týmům může trvat příliš dlouho, než zareagují. Nejčastějším z nich je, že nechápou závažnost situace.
Útoky často udeří v nejvíce nevhodnou dobu, například o svátcích, o víkendech nebo uprostřed noci. Vzhledem k tomu, že většina společností má pro reakci na hrozby málo zaměstnanců, často to vede k přístupu „zítra se k tomu dostaneme“. Ale bohužel zítra už může být pozdě na to, abyste minimalizovali dopady útoku.
Nastávají situace, kdy IT tým zaznamená kyberútok a ví, že je třeba okamžitě zareagovat, ale nemá dostatek zkušeností a neví, jak na to. To má za následek příliš pomalou reakci. Nejlepším způsobem, jak proti tomu bojovat, je plánovat dopředu.
Deset hlavních kroků, které by měl váš plán kybernetické bezpečnosti obsahovat naleznete zde.
2. Neprohlašujte vítězství předčasně
Pokud jde o reakci na hrozbu, nestačí pouze řešit příznaky. Důležitá je také příčina.
Když přijdete na hrozbu, proveďte vyčištění spuštěného souboru ransomware nebo bankovního trojského koně, či zablokování exfiltrace dat. Často se však stává, že týmy zastaví prvotní útok, ale neuvědomí si, že ve skutečnosti nevyřešily hlavní příčinu.
Úspěšné odstranění malware a s tím spojené výstrahy ještě neznamená, že útočník byl z prostředí vyhoštěn. Je také možné, že to, co bylo zjištěno, byl pouze test útočníka, aby zjistil, proti jakému typu ochrany se má postavit. Pokud má útočník stále přístup, pravděpodobně zaútočí znovu.
Je útočník stále v síti? Plánuje spustit druhou vlnu útoku? To jsou hlavní otázky pro tým. Experti na reakce na hrozby, kteří zdárně vyřešili tisíce útoků vědí, kdy a kde je třeba pátrat intenzivněji. Pátrají po všem, co útočníci v síti dělají, dělali nebo možná plánují dělat, a neutralizují i to.
Například v jednom případě se specialistům společnosti Sophos na reakci na hrozby podařilo zmařit útok, který trval devět dní. Při němž se kyberútočníci třikrát pokusili napadnout organizaci ransomware.
V první vlně útoku (který byl nakonec zablokován řešením ochrany endpoint protection) útočníci napadli 700 počítačů ransomwarem a požadovali výkupné ve výši 15 milionů USD (cca 383 550 000 Kč). Když IT tým zaznamenal, že je společnost napadena, zapojil pokročilé schopnosti týmu Sophos Managed Detection and Response (MDR) v oblasti reakce na hrozby.
Experti na reakci na hrozby společnosti Sophos rychle identifikovali napadený administrátorský účet, identifikovali a odstranili několik škodlivých souborů a zablokovali příkazy útočníka a komunikaci C2 (command and control). Tým Sophos MDR se pak dokázal ubránit dalším dvěma vlnám útoků ze strany kyberútočníka. Pokud by útočníci uspěli a oběť zaplatila, mohlo jít o jednu z nejdražších plateb výkupného v historii.
V jiném příkladu tým Sophos MDR reagoval na potenciální hrozbu ransomware, ale zjistil, že neexistuje nic, co by dokazovalo přítomnost ransomware. V tomto okamžiku by některé týmy přešly k jiné práci. Tým Sophos MDR však pokračoval v šetření a odhalil historický bankovní trojan. Toto slouží jako dobrý příklad toho, proč je důležité hledat i jiné než počáteční příznaky, aby bylo možné určit celou příčinu, protože se může jednat o ukazatel rozsáhlejšího útoku.
3. Úplná viditelnost je zásadní
Je velmi důležité, abyste měli přístup ke správným a kvalitním datům, která umožňují přesně identifikovat potenciální indikátory útoku a určit jeho hlavní příčinu.
Efektivní týmy shromažďují správná data, aby viděly signály, které z nich jsou nejdůležitější a kterým je třeba dát přednost.
Shromažďování signálů
Omezený přehled o prostředí je spolehlivým způsobem, jak přehlédnete možné útoky. V průběhu let bylo na trh uvedeno mnoho nástrojů pro práci s velkými objemy dat, které se snaží tento specifický problém vyřešit. Některé se spoléhají na data zaměřená na události, jako jsou události protokolů, jiné využívají data zaměřená na hrozby a další se spoléhají na hybridní přístup. Ať tak či onak, cíl je stejný: shromáždit dostatek dat, aby bylo možné získat smysluplné poznatky pro vyšetřování a reakci na útoky, které by jinak byly přehlédnuty.
Shromažďování správných vysoce kvalitních dat z nejrůznějších zdrojů zajišťuje úplný přehled o nástrojích, taktikách a postupech (TTP) útočníka. V opačném případě je pravděpodobné, že bude vidět pouze část útoku.
Eliminace falešného šumu
Některé organizace (a bezpečnostní nástroje, na které se spoléhají) v obavě, že nebudou mít k dispozici data potřebná k získání úplného obrazu o útoku, shromažďují radši vše. Tím si však hledání jehly v kupce sena neusnadňují, ale ztěžují tím, že na sebe nabalují více, než je nutné. To nejen zvyšuje náklady na shromažďování a ukládání dat, ale také vytváří spoustu falešného šumu, což vede k odvedení úplné pozornosti od přicházejících upozornění a ztrátě času při honbě za falešně pozitivními výsledky.
Použití kontextu
Použití smysluplných metadat přiřazených k signálům umožňuje analytikům určit, zda jsou tyto signály škodlivé, či nikoliv.
Jednou z nejdůležitějších složek účinné detekce hrozeb a reakce na ně je stanovení nejdůležitějších priorit signálů. Nejlepším způsobem je kombinace kontextu poskytovaného bezpečnostními nástroji (tj. řešeními endpoint detection and response), umělou inteligencí, inteligencí hrozeb a znalostí týmu.
Kontext pomáhá přesně určit místo původu signálu, aktuální fázi útoku, související události a potenciální dopad na vaší společnost.
4. Požádejte o pomoc
Žádná společnost nechce řešit pokusy o kyberútok. Pokud však jde o reakci na hrozby, zkušenosti nic nenahradí. IT týmy se dostávají do situací, na jejichž efektivní řešení nemají schopnosti. Tyto situace mají častokrát dopad na celou společnost.
Nedostatek kvalifikovaných zdrojů pro vyšetřování hrozeb a reakci na ně je jedním z největších problémů, kterým dnes odvětví kybernetické bezpečnosti čelí. Tento problém je natolik rozšířený, že podle společnosti ESG Research2 „34 % respondentů uvádí, že jejich největším problémem je nedostatek kvalifikovaných zdrojů pro vyšetřování kybernetického bezpečnostního incidentu koncových bodů, aby určili hlavní příčinu a řetězec útoku.„
Tento problém má ale řešení, kterým jsou řízené bezpečnostní služby. Konkrétně jde o služby řízené detekce a reakce (MDR). Služby MDR jsou outsourcované bezpečnostní operace zajišťované týmem specialistů a fungují jako rozšíření vašeho bezpečnostního týmu. Tyto služby kombinují šetření vedené lidmi, vyhledávání hrozeb, monitorování v reálném čase a reakci na incidenty se souborem technologií pro shromažďování a analýzu zpravodajských informací. Podle společnosti Gartner „do roku 2025 bude 50 % organizací využívat služby MDR„, což signalizuje to, že organizace si uvědomují důležitost pomoci při provozování kompletního programu bezpečnostních operací a reakce na hrozby.
Pro organizace, které nevyužívají služby MDR a reagují na aktivní útok, jsou vynikající volbou služby specialistů na reakci na hrozby. Specialisté pro reakci na hrozby se zapojují v případě, že je bezpečnostní tým přetížen a potřebuje externí odborníky, kteří by útok třídili a zajistili neutralizaci útočníka.
I organizace, které mají tým kvalifikovaných bezpečnostních analytiků, mohou využít spolupráce se službou reakce na hrozby k doplnění chybějícího pokrytí (tj. v noci, o víkendech, o svátcích).