This is the Trace Id: 13225bb59007d36ea83b42874f6d8511
Pređi na glavni sadržaj Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Pogledajte sve proizvode Kibernetička bezbednost koja koristi veštačku inteligenciju Bezbednost u oblaku Bezbednost i upravljanje Pristup identitetu i mreži Upravljanje privatnošću i rizicima Bezbednost za veštačku inteligenciju Mala i srednja preduzeća Objedinjeni timovi za bezbednosne operacije Nulta pouzdanost Cene Usluge Partneri Zašto koristiti Microsoft bezbednost? Svest o kibernetičkoj bezbednosti Priče klijenata Security 101 Probne verzije proizvoda Priznanje u okviru delatnosti Microsoft Security Insider Microsoft izveštaj o digitalnoj odbrani Security Response Center Blog o Microsoft bezbednosti Microsoft događaji vezani za bezbednost Microsoft Tech Community Dokumentacija Biblioteka tehničkog sadržaja Obuka i certifikacije Program za usaglašenost za Microsoft oblak Microsoft centar za pouzdanost Portal za pouzdanost usluga Microsoft Inicijativa za bezbednu budućnost Čvorište za poslovna rešenja Obratite se prodaji Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mešovita realnost Microsoft HoloLens Microsoft Viva Kvantno računarstvo Education Automobili Finansijske usluge Vlada Zdravstvo Proizvodnja Maloprodaja Pronađite partnera Postanite partner Partnerske mreže Microsoft Marketplace Softverska preduzeća Blog Microsoft Advertising Razvojni centar Documentation Events Licensing Microsoft Learn Microsoft Research Prikaži mapu lokacije
osoba u interakciji sa velikim dodirnim ekranom

Šta je reagovanje na incident?

Istražite kako efikasno reagovanje na incident omogućava organizacijama otkrivanje, rešavanje i zaustavljanje kibernetičkih napada.

Definicija reagovanja na incident

Pre nego što definišemo šta je reagovanje na incident, važno je da znamo šta je incident. U IT sektoru postoje tri termina koja se ponekad koriste zamenski, ali im je značenje različito:
 

  1. Događaj je bezazlena radnja koja se često dešava, kao što je kreiranje datoteke, brisanje fascikle ili otvaranje e-poruke. Događaj sam po sebi obično nije pokazatelj bezbednosnog proboja, ali kada se upari sa drugim događajima, može ukazivati na pretnju. 
  2. Upozorenje je obaveštenje koje aktivira događaj i može ali ne mora biti pretnja.
  3. Incidentje više povezanih upozorenja koje ljudi ili automatizovane alatke verovatno tumače kao stvarnu pretnju. Svako upozorenje pojedinačno možda ne deluje kao velika pretnja, ali kada su udružena, ukazuju na moguć bezbednosni proboj.

Reagovanje na incident je radnja koju organizacija preduzima kada smatra da su IT sistemi ili podaci možda probijeni. Na primer, stručnjaci za bezbednost će reagovati ako uoče dokaz o neovlašćenom korisniku, malveru ili neuspešnom sprovođenju bezbednosnih mera.

Ciljevi reagovanja su zaustavljanje kibernetičkog napada u najkraćem mogućem roku, oporavak, slanje obaveštenja klijentima ili agencijama državnih institucija na način predviđen regionalnim zakonima, kao i pronalaženje načina za smanjenje rizika od sličnog bezbednosnog proboja u budućnosti.

Kako funkcioniše reagovanje na incident?

Reagovanje na incident obično počinje kada bezbednosni tim dobije verodostojno upozorenje od sistema za upravljanje bezbednosnim informacijama i događajima (SIEM).

Članovi tima moraju da provere da li se događaj kvalifikuje kao incident, a zatim da izoluju zaražene sisteme i uklone pretnju. Ako je incident ozbiljan ili rešavanje traje dugo, organizacije će možda morati da obnove podatke iz rezervnih kopija, suoče se sa zahtevom za otkupninu ili obaveste klijente da su njihovi podaci ugroženi.

Iz tog razloga, u reagovanje su obično uključeni i ljudi izvan tima za kibernetičku bezbednost. Stručnjaci za privatnost, advokati i donosioci poslovnih odluka pomoći će u određivanju pristupa organizacije incidentu i njegovim posledicima.

Tipovi bezbednosnih incidenata

Postoji nekoliko načina na koje napadači pokušavaju da pristupe podacima preduzeća ili na drugi način ugrožavaju sisteme i poslovne operacije. Ovde možete videti nekoliko najčešćih:

Phishing

Phishing je vrsta društvenog inženjeringa pri kojem napadač koristi e-poštu, tekstualnu poruku ili telefonski poziv sa ciljem imitiranja renomiranog brenda ili osobe. Uobičajen phishing napad pokušava da uveri primaoce da preuzmu malver ili otkriju lozinku. Ovi napadi iskorišćavaju poverenje ljudi i primenuju psihičke tehnike kao što je strah da bi ljudi reagovali. Mnogi od ovih napada nisu ciljani, idu na hiljade ljudi u nadi da će samo jedan odgovoriti. Međutim, složenija verzija pod nazivom ciljani phishing koristi detaljno istraživanje za sastavljanje poruke koja ima za cilj da uveri jednu osobu.

Malver

Malver predstavlja svaki softver dizajniran sa ciljem da ošteti računarski sistem ili izvuče podatke. Javlja se u mnogo različitih oblika, uključujući viruse, ransomver, špijunski softver i trojanac. Zlonamerni akteri instaliraju malver koristeći prednosti koje im pružaju hardverske ili softverske ranjivosti ili tehnikom društvenog inženjeringa pokušavaju da uvere nekog od zaposlenih da to učini.

Ransomver

U ransomver napadu, zlonamerni akteri koriste malver za šifrovanje kritičnih podataka i sistema, a zatim prete žrtvi objavljivanjem ili uništavanjem podataka ako im ne isplati otkupninu.

Onemogućavanje usluge

U napadu radi onemogućavanja usluga (DDoS napad), zlonamerni akter preopterećuje saobraćajem mrežu ili sistem sve dok ne dovede do usporavanja ili potpunog onemogućavanja. Napadači obično napadaju visokoprofilisana preduzeća kao što su banke ili državne institucije sa ciljem naplate u vremenu ili novcu, ali žrtva ove vrste napada mogu biti organizacije svih veličina.

Posrednik

Još jedan metod koji kibernetički kriminalci koriste za krađu ličnih podataka jeste da se umešaju u razgovor na mreži između osoba koje veruju da međusobno komuniciraju privatno. Ako presretnu poruke i kopiraju ih ili izmene pre slanja predviđenom primaocu, pokušavaju da prevare nekog od učesnika kako bi im dostavio dragocene podatke.

Insajderska pretnja

Iako većinu napada obavljaju ljudi izvan organizacije, bezbednosni timovi moraju da imaju u vidu i insajderske pretnje. Zaposleni i druge osobe koje opravdano imaju pristup zaštićenim resursima mogu nehotice, a ponekad i namerno da izazovu curenje osetljivih podataka.

Neovlašćen pristup

Veliki broj bezbednosnih proboja počinje krađom akreditiva za nalog. Zlonamerni akteri mogu doći do lozinki putem phishing kampanje ili pogađanjem često korišćenih lozinki. Kada jednom steknu pristup sistemu, mogu da instaliraju zlonamerni softver, prikupljaju informacije o mreži ili povećaju svoje privilegije kako bi pristupili osetljivijim sistemima i podacima.

Šta je plan za reagovanje na incident?

Reagovanje na incident zahteva da tim deluje usklađeno i delotvorno kako bi otklonio pretnju i ispunio regulatorne zahteve. U ovim veoma stresnim situacijama lako je postati uznemiren i pogrešiti, zbog čega mnoge kompanije razvijaju plan reagovanja na incidente. Plan definiše uloge i odgovornosti i sadrži neophodne korake za ispravno rešavanje, dokumentovanje i komunikaciju o incidentu.

Važnost plana za reagovanje na incident

Ozbiljan napad ne nanosi samo štetu operacijama organizacije, već ugrožava i reputaciju preduzeća među klijentima i u zajednici, a može imati i pravne posledice. Sve, uključujući brzinu reagovanja bezbednosnog tima na napad i način na koji rukovodioci komuniciraju o incidentu, utiče na njegov ukupni trošak.

Preduzeća koja sakriju štetu od klijenata i vlada ili koja ne shvate pretnju dovoljno ozbiljno mogu da prekrše propise. Ovi tipovi grešaka su česti kada učesnici nemaju plan. U žaru trenutka, postoji rizik da će ljudi donositi nepromišljene odluke vođeni strahom koji će naškoditi organizaciji.

Dobro promišljeni plan ljudima omogućava da znaju šta treba da rade u svakoj fazi napada, tako da ne moraju da ga izmišljaju u pokretu. Nakon oporavka, ukoliko se pojave pitanja javnosti, organizacija će moći tačno da pokaže kako je reagovala i da uveri korisnike da je incident shvatila ozbiljno i preduzela neophodne korake kako bi sprečila ozbiljnije posledice.

Koraci za reagovanje na incident

Postoji više načina za pristup reagovanju na incidente, a mnoge organizacije se oslanjaju na organizacije koje postavljaju bezbednosne standarde kako bi ih usmerile u tom procesu. SysAdmin Audit Network Security (SANS) je privatna organizacija koja nudi okvir za reagovanje u šest koraka, koji je naveden ispod. Veliki broj organizacija usvaja i okvir za oporavak od incidenta Nacionalnog instituta za standarde i tehnologiju (NIST).
 
  • Priprema – Pre nego što dođe do incidenta, važno je smanjiti ranjivosti i ustanoviti bezbednosne smernice i procedure. U fazi pripreme organizacije sprovode procenu rizika kako bi utvrdile gde imaju slabosti i odredile prioritet resursa. Ova faza obuhvata pisanje i sužavanje bezbednosnih procedura, definisanje uloga i odgovornosti i ažuriranje sistema radi smanjenja rizika. Većina organizacija redovno preispituje ovu fazu i unapređuje smernice, procedure i sisteme, uporedo sa proučavanjem lekcija i promenom tehnologija.
  • Identifikacija pretnje – Bezbednosni tim tokom jednog dana može da primi hiljade upozorenja koja ukazuju na sumnjivu aktivnost. Neke su lažno pozitivne ili možda neće dostići nivo incidenta. Kada se identifikuje incident, tim će uočiti prirodu proboja i dokumenata, uključujući izvor proboja, vrstu napada i ciljeve napadača. U ovoj fazi tim mora i da informiše zainteresovane strane i obavesti ih o narednim koracima.
  • Obuzdavanje pretnje – Obuzdavanje pretnje u što kraćem roku predstavlja sledeći prioritet. Što duže imaju pristup, zlonamerni akteri mogu načiniti veću štetu. Bezbednosni tim radi na brzoj izolaciji aplikacija ili sistema koji su pod napadom od ostalih mreža. Ovo doprinosi sprečavanju napadača da pristupe drugim delovima preduzeća.
  • Uklanjanje pretnje – Kada obavi obuzdavanje, tim uklanja napadača i svaki malver iz ugroženih sistema i resursa. To može da podrazumeva isključivanje sistema sa mreže. Tim nastavlja sa informisanjem zainteresovanih strana o napretku.
  • Oporavak i vraćanje u funkciju – Oporavak od incidenta može potrajati nekoliko sati. Kada se pretnja ukloni, tim obnavlja sisteme, vraća podatke iz rezervnih kopija i nadgleda ugrožene delove sistema kako bi se osiguralo da se napadač ne vrati.
  • Povratne informacije i unapređenje – Po rešavanju incidenta, tim analizira šta se dogodilo i identifikuje mogućnosti za unapređenje procesa. Učenje iz ove faze pomaže timu da poboljša odbranu organizacije.

Šta je tim za reagovanje na incident?

Tim za reagovanje na incident, koji se naziva i tim za reagovanje na bezbednosne incidente u računarskim sistemima (CSIRT), tim za reagovanje na kibernetički (CIRT) ili tim za reagovanje u slučaju računarskih vanrednih situacija (CERT), čini međufunkcionalna grupa ljudi u organizaciji koja je odgovorna za sprovođenje plana za reagovanje na incident. Ovo obuhvata ne samo osobe koje uklanjaju pretnju, već i one koji donose poslovne ili pravne odluke u vezi sa incidentom. Tipičan tim uključuje sledeće članove:
 
  • Menadžer odgovora na incident, često direktor IT sektora, nadgleda sve faze odgovora i obaveštava unutrašnje zainteresovane strane. 
     
  • Analitičari bezbednosti istražuju incident da bi pokušali da razumeju šta se dešava. Takođe dokumentuju svoje rezultate i prikupljaju forenzičke dokaze.
     
  • Istraživači pretnji pregledaju situaciju izvan organizacije da bi prikupili informacije koje pružaju dodatni kontekst. 
     
  • Neko iz menadžmenta, kao što je glavni službenik za bezbednost informacija ili glavni informativni službenik, pruža uputstva i služi kao veza sa drugim rukovodiocima.
     
  • Stručnjaci za ljudske resurse pomažu u upravljanju insajderskim pretnjama.
     
  • Opšti savetnik pomaže timu da rešava probleme sa odgovornošću i obezbeđuje prikupljanje forenzičkih dokaza.
     
  • Stručnjaci za odnose sa javnošću usklađuju tačnu komunikaciju prema medijima, korisnicima i drugim zainteresovanim stranama.
Tim za reagovanje na incident može biti podskup centra za bezbednosne operacije (SOC), koji upravlja bezbednosnim operacijama koje ne spadaju u reagovanje na incident.



Automatizacija reagovanja na incident

U većini organizacija, mreže i bezbednosna rešenja generišu daleko više bezbednosnih upozorenja nego što tim za reagovanje na incident može realno da obradi. Da bi se oni fokusirali na legitimne pretnje, mnoga preduzeća primenjuju automatizaciju reagovanja na incident. Automatizacija koristi veštačku inteligenciju i mašinsko učenje za trijažu upozorenja, identifikovanje incidenata i potpuno uklanjanje pretnji prema uputstvima iz pravilnika za reagovanje na osnovu programskih skripti.

Automatizovani odgovor bezbednosne orkestracije (SOAR) predstavlja kategoriju bezbednosnih alatki koje preduzeća koriste za automatizaciju reagovanja na incident. Ova rešenja nude sledeće mogućnosti:
 
  • Povežite podatke u više krajnjih tačaka i bezbednosnih rešenja da biste identifikovali incidente koje ljudi mogu da prate.
     
  • Pokrenite unapred skriptovani pravilnik da biste izolovali i rešili poznate tipove incidenata.
     
  • Generišite istraživačku vremensku osu koja uključuje radnje, odluke i forenzičke dokaze koji se mogu koristiti za analizu.
     
  • Uključite relevantne spoljne obaveštajne podatke radi stručne analize.



Kako sprovoditi plan za reagovanje na incident

Izrada plana za reagovanje na incident može delovati kao zahtevan zadatak, ali značajno smanjuje rizik da organizacija bude nespremna u slučaju ozbiljnog incidenta. Ovde možete videti kako da počnete sa izradom plana:

Identifikovanje i određivanje prioriteta resursa

Prvi korak plana za reagovanje na incident je spoznaja onoga što štitite. Dokumentujte kritične podatke organizacije, uključujući lokaciju i stepen važnosti za preduzeće.

Odredite potencijalne rizike

Svaka organizacija ima različite rizike. Upoznajte se sa najvećim ranjivostima organizacije i procenite načine na koje napadač može da ih iskoristi. 

Razvijajte procedure za reagovanje

Tokom incidenta, jasno definisane procedure u velikoj meri doprinose njegovom brzom i efikasnom rešavanju. Počnite od određivanja kvalifikacije incidenta, a zatim ustanovite korake koje tim treba da preduzme radi otkrivanja, izolacije i oporavka od incidenta, uključujući procedure za dokumentovanje odluka i prikupljanje dokaza.

Sastavljanje tima za reagovanje na incident

Sastavite međufunkcionalan tim, odgovoran za poznavanje procedura u vezi sa reagovanjem i mobilizaciju ukoliko dođe do incidenta. Obavezno jasno definišite uloge i nalog za netehničke uloge koje mogu pomoći u donošenju odluka vezanih za komunikaciju i odgovornost. Potrudite se da među članovima izvršnog rukovodstva postoji osoba koja će se zalagati za tim i njegove potrebe na najvišim nivoima organizacije. 

Definišite plan komunikacije

Plan komunikacije jasno definiše kada i na koji način treba obavestiti osobe unutar i van organizacije o tome šta se događa. Razmislite o različitim scenarijima kako biste mogli da utvrdite pod kojim okolnostima treba da informišete rukovodioce, celu organizaciju, klijente i medije ili druge spoljne zainteresovane strane.

Omogućite zaposlenima obuku

Zlonamerni akteri ciljaju zaposlene na svim nivoima organizacije i zato je važno da svi budu upoznati sa planom za reagovanje, te da tako svako tačno zna šta treba činiti ukoliko posumnja da je možda žrtva napada. Povremeno proveravajte da li zaposleni mogu da prepoznaju phishing poruke i omogućite im da jednostavno obaveste tim za reagovanje na incidente ukoliko slučajno kliknu na zlonamernu vezu ili otvore zaraženi prilog.

Rešenja za reagovanje na incident

Spremnost za veliki incident važan je element zaštite organizacije od pretnji. Podešavanje tima za odgovore na interni incident će vam pružiti pouzdanost da ćete biti spremni ako ste žrtva lošeg glumca.

Iskoristite prednosti SIEM i SOAR rešenja kao što je Microsoft Sentinel, koja koriste automatizaciju kako bi vam pomogla da identifikujete incidente i automatski odgovarate na njih. Organizacije sa manje resursa mogu da podstiče svoje timove kod dobavljača usluga koji može da kontroliše više faza reagovanja na incident. Bez obzira na to da li reagovanje na incident organizujete interno ili eksterno, važno je da imate plan.



Najčešća pitanja

Najčešća pitanja

  • U reagovanje na incident spadaju sve aktivnosti koje organizacija preduzima kada posumnja na bezbednosni proboj. Cilj je brzo izolovati i ukloniti napadače, obezbediti usklađenost sa propisima o zaštiti podataka i ostvariti bezbedan oporavak uz što manju štetu po organizaciju.
  • Međufunkcionalni tim odgovoran je za reagovanje na incident. IT će obično biti zadužen za identifikovanje, izolovanje i oporavak od pretnji, ali postoji više od odgovora na incidente od pronalaženja i uklanjanje loših aktera. U zavisnosti od tipa napada, neko će možda morati da donese poslovnu odluku, kao što je način na koji se rešava otkup. Pravni savetnik i profesionalci za odnose sa javnošću obezbeđuju da organizacija bude u skladu sa zakonima o privatnosti podataka, uključujući odgovarajuća obaveštenja klijenata i vlada. Ako je pretnju izvršio neko od zaposlenih, služba za ljudske resurse predložiće odgovarajuću radnju.
  • CSIRT je drugo ime za tim za reagovanje na incident. Podrazumeva međufunkcionalni tim koji je odgovoran za upravljanje svim aspektima reagovanja na incidente, uključujući otkrivanje, izolaciju i uklanjanje pretnje, oporavak, internu i eksternu komunikaciju, dokumentaciju i forenzičku analizu.
  • Većina organizacija koristi SIEM ili SOAR rešenje za lakše identifikovanje i reagovanje na pretnje. Ova rešenja obično prikupljaju podatke iz više sistema i koriste mašinsko učenje radi lakšeg identifikovanja stvarnih pretnji. Mogu i da automatizuju reagovanje na određene vrste pretnji na osnovu unapred definisanih scenarija reagovanja.
  • Životni ciklus reagovanja na incident uključuje šest faza:
     
    1. Priprema se odvija pre identifikovanja incidenta i uključuje definiciju onoga što organizacija smatra incidentom i svim smernicama i procedurama neophodnim za sprečavanje, otkrivanje, eliminisanje i oporavak od napada.
    2. Identifikacija pretnji je proces koji koristi ljudske analitičare i automatizaciju radi identifikovanja događaja koji su stvarne pretnje koje treba rešiti.
    3. Suzbijanje pretnji je radnja koju tim preduzima da bi izolovao pretnju i sprečio je da zarazi druge oblasti preduzeća. 
    4. Eliminacija pretnji obuhvata korake za uklanjanje malvera i napadača iz organizacije.
    5. Oporavak i vraćanje u prethodno stanje uključuju ponovno pokretanje sistema i računara i vraćanje izgubljenih podataka u prethodno stanje. 
    6. Povratne informacije i unapređenje predstavljaju proces u kojem tim izvlači pouke iz incidenta i primenjuje ih na smernice i procedure. 

Pratite Microsoft bezbednost