Kas ir incidentu reaģēšana (Incident Response)?

Incidentu reaģēšanas fāzes

Incidentu reaģēšanas process tradicionāli tiek dalīts sešās secīgās fāzēs, kas veido nepārtrauktu ciklu. Šis ietvars ir balstīts uz NIST SP 800-61 un SANS incidentu reaģēšanas metodoloģijām.

Sagatavošanās (Preparation) ir pirmā un fundamentālākā fāze. Tā ietver IR plāna izstrādi, komandas formēšanu un apmācību, nepieciešamo rīku sagatavošanu un procedūru testēšanu. Organizācija, kas nav sagatavojusies, haotiskā situācijā pieņems sliktākus lēmumus un zaudēs vairāk.

Identifikācija (Identification) ir fāze, kurā tiek konstatēts, ka noticis drošības incidents. Tas var notikt caur SIEM brīdinājumiem, darbinieku ziņojumiem, ārēju paziņojumu vai anomāliju novērošanu. Šajā fāzē ir kritisks noteikt, vai notikums patiešām ir drošības incidents un kāda ir tā nopietnība.

Ierobežošana (Containment) mērķis ir apturēt incidenta tālāku izplatīšanos. Īstermiņa ierobežošana var ietvert inficētas ierīces atvienošanu no tīkla vai kompromitēta konta bloķēšanu. Ilgtermiņa ierobežošana ietver pagaidu risinājumu ieviešanu, kas ļauj turpināt darbību, kamēr notiek pilna novēršana.

Likvidēšana (Eradication) ir fāze, kurā tiek pilnībā izņemts drauds no infrastruktūras — noņemta ļaunprātīgā programmatūra, aizvērti aizmugures durvis (backdoors), novērstas izmantotās ievainojamības.

Atkopšana (Recovery) ietver sistēmu atjaunošanu normālā darbībā — no rezerves kopijām, ar drošām konfigurācijām un pastiprinātu uzraudzību, lai pārliecinātos, ka drauds ir pilnībā novērsts.

Mācības (Lessons Learned) ir bieži ignorēta, bet kritiska fāze, kurā tiek analizēts incidenta norise, identificētas nepilnības reaģēšanā un ieviesti uzlabojumi.

Incidentu reaģēšanas plāna izstrāde

Incidentu reaģēšanas plāns (IRP — Incident Response Plan) ir dokumentēta procedūru kopa, kas nosaka organizācijas rīcību kiberincidenta gadījumā. Labs IR plāns ir konkrēts, praktisks un regulāri testēts.

IR plānam jāsatur vairāki obligāti elementi. Incidentu klasifikācijas shēma definē drošības notikumu kategorijas un nopietnības līmeņus — no zemas prioritātes brīdinājumiem līdz kritiskiem incidentiem, kas prasa tūlītēju eskalāciju.

Lomu un atbildību definīcija skaidri nosaka, kas vada reaģēšanu, kas veic tehniskās darbības, kas komunicē ar ārējām pusēm un kas pieņem lēmumus par sistēmu atslēgšanu vai atkopšanu. IR komandā parasti ir iekļauts komandas vadītājs, tehniskie analītiķi, komunikācijas speciālists un juridiskais padomnieks.

Komunikācijas plāns nosaka, kā un kad informēt iekšējās puses (vadību, darbiniekus), ārējās puses (klientus, partnerus, regulatorus, medijus) un likumsardzības iestādes. NIS2 un NKDL kontekstā komunikācija ar CERT.LV ir obligāta noteiktos termiņos.

Tehniskās procedūras apraksta konkrētas darbības dažādiem incidentu scenārijiem — ransomware uzbrukumam, datu noplūdei, DDoS uzbrukumam, iekšējā draudu aktora gadījumam. Procedūras jābūt pietiekami detalizētām, lai tās var izpildīt stresa situācijā.

Eskalācijas matricā ir noteikts, kuri incidenti tiek risināti IT komandas līmenī, kuri prasa vadības iesaisti un kuri prasa ārēju ekspertu palīdzību.

CERT.LV ziņošanas prasības un procedūras

Latvijā organizācijām, kas pakļautas NKDL, ir pienākums ziņot par kiberdrošības incidentiem CERT.LV. Ziņošanas prasības ir strukturētas trīs posmos ar stingriem termiņiem.

Agrīnais brīdinājums jānosūta 24 stundu laikā pēc tam, kad organizācija ir konstatējusi būtisku incidentu. Šajā posmā nav nepieciešama detalizēta analīze — pietiek ar informāciju par to, ka incidents ir noticis, tā veidu un sākotnējo ietekmes novērtējumu. Mērķis ir nodrošināt, ka CERT.LV ir informēts un var koordinēt reaģēšanu, ja incidents skar vairākas organizācijas.

Pilns incidenta ziņojums jāiesniedz 72 stundu laikā. Tajā jāietver detalizēta informācija par incidenta veidu, ietekmi, ietekmētajām sistēmām, veiktajiem reaģēšanas pasākumiem un sākotnējiem secinājumiem par uzbrukuma izcelsmi.

Gala ziņojums jāiesniedz viena mēneša laikā pēc incidenta. Tajā jāietver pilna incidenta analīze, galīgais ietekmes novērtējums, veiktie novēršanas pasākumi un iemācītās mācības. Ja incidents turpinās, starpposma ziņojums jāsniedz viena mēneša laikā, bet gala ziņojums — viena mēneša laikā pēc incidenta pilnīgas novēršanas.

CERT.LV pieņem incidentu ziņojumus pa e-pastu, caur tīmekļa formu vai specializētu platformu. Organizācijām ir jānodrošina, ka IR plānā ir iekļautas CERT.LV kontaktpersonas un ziņošanas procedūras, un ka atbildīgā persona ir apmācīta ziņojumu sagatavošanā.

Būtiski, ka ziņošana CERT.LV nav vienīgais pienākums — ja incidents skar personas datus, jāziņo arī DVI (Datu valsts inspekcijai) saskaņā ar GDPR prasībām (72 stundu laikā).

IR komandas izveide un resursi

Efektīva incidentu reaģēšana prasa sagatavotu komandu ar definētām lomām un prasmēm. IR komandas (CSIRT — Computer Security Incident Response Team) struktūra ir atkarīga no organizācijas lieluma un resursiem.

Lielām organizācijām var būt iekšēja IR komanda ar pilnas slodzes speciālistiem — komandas vadītāju, incidentu analītiķiem, forenziskās izmeklēšanas speciālistiem un krīzes komunikācijas ekspertu. Šāda komanda prasa ievērojamus ieguldījumus apmācībās un rīkos.

Vidējiem un maziem uzņēmumiem biežāk piemērots ir hibrīdmodelis — pamata IR spējas nodrošina iekšējā IT komanda, bet sarežģītāku incidentu gadījumā tiek piesaistīts ārējs pakalpojuma sniedzējs (retainer modelis). securIT piedāvā IR retainer pakalpojumu, kas nodrošina ekspertu pieejamību noteikta laika ietvaros.

IR komandai nepieciešami specializēti rīki — forenziskās analīzes programmatūra (piemēram, DFIR rīki kā Velociraptor vai TheHive), SIEM platforma brīdinājumu apstrādei, EDR sistēma ierīču izmeklēšanai un izolēšanai, un droša komunikācijas platforma komandas koordinācijai (jo incidents var kompromitēt parasto e-pastu).

Regulāras mācības un simulācijas (tabletop exercises) ir obligātas — IR plāns, kas nekad nav testēts, visticamāk, nestrādās reāla incidenta laikā. securIT piedāvā IR mācību un simulāciju pakalpojumus, kas ļauj komandai praktizēt reaģēšanu drošā vidē.

Kāpēc svarīgi Latvijas uzņēmumiem

Latvijas uzņēmumiem incidentu reaģēšanas spējas ir kritiskas vairāku iemeslu dēļ. Pirmkārt, NIS2 un NKDL tieši pieprasa incidentu apstrādes spējas un ziņošanu CERT.LV — bez IR plāna organizācija nevar izpildīt regulatīvās prasības.

Otrkārt, kiberincidentu skaits Latvijā turpina pieaugt. CERT.LV dati liecina par arvien sofisticētākiem uzbrukumiem, tostarp ransomware, mērķētu pikšķerēšanu un piegādes ķēdes uzbrukumiem. Jautājums nav, vai jūsu organizācija piedzīvos incidentu, bet kad.

Treškārt, ātra un efektīva reaģēšana tieši ietekmē finansiālos zaudējumus. IBM Cost of a Data Breach ziņojums rāda, ka organizācijas ar IR komandu un testētu IR plānu vidēji ietaupa 2,6 miljonus dolāru salīdzinājumā ar tām, kurām nav. Pirmās stundas pēc incidenta ir izšķirošas.

Ceturtkārt, Latvijas uzņēmumiem bieži trūkst iekšējo IR resursu — kvalificētu speciālistu, forenzisko rīku un pieredzes. Ārējs IR retainer pakalpojums nodrošina piekļuvi ekspertīzei, kas nav finansiāli pamatota kā pilna laika pozīcija.

Piektkārt, piegādes ķēdes prasības — klienti un partneri arvien biežāk pieprasa pierādāmas IR spējas kā sadarbības nosacījumu. Dokumentēts IR plāns un regulāras simulācijas demonstrē organizācijas briedumu.

securIT piedāvā pilnu incidentu reaģēšanas pakalpojumu spektru — no IR plāna izstrādes un simulācijām līdz 24/7 IR retainer pakalpojumam. Sazinieties ar mums — [email protected] vai +371 27555221.