EDUCATION · INCIDENT · RESPONSE

🚨 Incident response - cyber incident management (IR)

Six topics on cyber incident response - from event to study - by international practice (NIST SP 800-61, SANS PICERL, ISO/IEC 27035, ENISA). Time limits and examples are illustrative, intended for training.

Basic concept and roles

Event → warning → incident → violation

Incidenta eskalācija un reaģēšanas komanda Eskalācija no notikuma uz brīdinājumu, incidentu un pārkāpumu; triāža atsijā nesvarīgo; zem tās incidentu reaģēšanas komandas lomas. Incidenta eskalācija Ne katrs notikums ir incidents - triāža izšķir, kas prasa reaģēšanu Notikums jebkurš novērojums log ieraksts · pieteikšanās Brīdinājums automātisks trigeris SIEM · EDR · IDS Incidents apstiprināts kaitējums vai reāls drauds CIA Pārkāpums datu/sistēmas kompromitācija ▲ Triāža: vai tas ir incidents? klasificē un prioritizē Incidentu reaģēšanas komanda (CSIRT / CERT / SOC) Vadītājs koordinē reaģēšanu lēmumi · eskalācija Analītiķis (SOC) atklāj · izmeklē SIEM · EDR triāža Forensika (DFIR) pierādījumi cēloņa analīze Komunikācija iekšējā · publiskā regulatori · klienti Juridiskais vadība · juristi atbilstība · HR NIST SP 800-61r2 (jēdzieni) · ISO/IEC 27035-1:2023 · ENISA CSIRT vadlīnijas

Application

Common language: when an event becomes an incident and who does what. Clear roles and escalation reduce chaos response in the first minutes.

Reference

NIST SP 800-61 Rev. 2 · ISO/IEC 27035-1:2023 · ENISA "Good Practice Guide for Incident Management.".

Safety Note

Command and contacts shall be coordinated BEFORE incident. The plan, which is first read during an incident, is too late - preparedness is the first step of the cycle.

Response Life Cycle

NIST SP 800-61, SANS PICERL and ISO/IEC 27035

Incidentu reaģēšanas dzīves cikls NIST četras fāzes ar atgriezenisko cilpu un to sasaiste ar SANS PICERL sešiem soļiem un ISO/IEC 27035 piecām fāzēm. Reaģēšanas dzīves cikls (NIST SP 800-61) Iteratīvs - mācības baro atpakaļ sagatavotībā 1 · Sagatavošana plāns · komanda rīki · apmācība playbooks · žurnalēšana 2 · Atklāšana un analīze triāža · apjoms klasifikācija · prioritāte 3 · Ierobežošana izskaušana atjaunošana izolē · tīri · atjauno 4 · Pēc incidenta mācības atskaite · uzlabojumi cēloņa analīze (RCA) ⇢ mācības → labāka sagatavotība Trīs ietvari, viena ideja - tikai soļu detalizācija atšķiras NIST 800-61 Sagatavošana → Atklāšana/analīze → Ierobežošana/izskaušana/atjaun. → Pēc incidenta SANS PICERL Prepare → Identify → Contain → Eradicate → Recover → Lessons learned ISO 27035 Plāno/sagatavo → Atklāj/ziņo → Novērtē/lemj → Reaģē → Mācies NIST SP 800-61 Rev. 2 (4 fāzes) · SANS PICERL · ISO/IEC 27035-1:2023 · CSF 2.0: Respond + Recover

Choose one frame and stick to it - mixing terms during various incidents creates confusion. Main: the cycle is continuous, not unique.

Application

Structures the response stages to keep steps under pressure. One cycle fits both a technical team and management reports.

Reference

NIST SP 800-61 Rev. 2 · SANS Incident Handler's Handbook (PICERL) · ISO/IEC 27035-1:2023 · NIST CSF 2.0 (Respond, Recover).

Safety Note

The most common error - skip the post incident phase. Without training and prevention of the cause, the same incident recurs; the cycle remains unfinished.

Discovery, triage and classification

Signal to Priority - Levels of gravity

Atklāšanas avoti un incidentu smaguma klasifikācija Atklāšanas avoti kreisajā pusē plūst uz triāžu; labajā pusē smaguma līmeņu tabula no SEV-1 līdz SEV-4 ar reaģēšanas laiku. Atklāšana, triāža un klasifikācija Smaguma līmenis nosaka reaģēšanas ātrumu un eskalāciju Atklāšanas avoti SIEM · korelētie žurnāli EDR / XDR · galiekārtas IDS/IPS · tīkla plūsma Lietotāju ziņojumi Draudu izlūkdati · IOC Triāža apjoms · klase Smaguma līmeņi (piemērs) SEV-1 Kritisks nepārtraukti · pamatpakalpojums stāv SEV-2 Augsts stundu laikā · daļēja ietekme SEV-3 Vidējs darba dienā · ierobežota ietekme SEV-4 Zems plānoti · minimāla ietekme Triāžas jautājumi · Kas skarts? (CIA, pakalpojums, dati) · Cik plaši? vai turpinās? vai PII? · Vai jāziņo regulatoram? (sk. cilni "Ziņošana") ENISA taksonomija vienota klasifikācija ziņošanai (ļaunatūra · ielaušanās · DoS · krāpniecība · datu kvalitāte…) NIST SP 800-61r2 (atklāšana/analīze) · ENISA Reference Incident Classification Taxonomy · MITRE ATT&CK

Number of levels (SEV-1...4 or P1...P4) and thresholds must be aligned with the organisation. The main thing is a single, predefined scale, which everyone understands in the same way.

Application

Triage screening noise and giving priority. The severity level determines how quickly to react, what to escalate and whether to start a reporting watch.

Reference

NIST SP 800-61 Rev. 2 · ENISA Reference Incident Classification Toxonomy · MITRE ATT&CK (technical mapping).

Safety Note

Do not underestimate the severity to avoid reporting - some deadlines start from the moment the incident is detected. Reclassification if volume increases.

Active response

Restriction → Eliminating → Restoring

Ierobežošana, izskaušana un atjaunošana Trīs secīgi posmi ar darbībām, paralēli saglabājot pierādījumus visā gaitā. Ierobežošana · izskaušana · atjaunošana Vispirms aptur izplatību, tad novērš cēloni, tad droši atjauno 1 · Ierobežošana · Īstermiņa: izolē skarto (atvieno tīklu, segmentē) · Ilgtermiņa: pagaidu labojums · Bloķē C2 · atsauc piekļuvi Mērķis: apturēt izplatīšanos nesabojājot pierādījumus 2 · Izskaušana · Novērš sākotnējo cēloni · Dzēš ļaunatūru · slēdz kontus · Ielāpo ievainojamību · Maina kompromitētos noslēp. Mērķis: izņemt uzbrucēju no visas vides, ne tikai vienas 3 · Atjaunošana · Atjauno no tīrām dublēm · Pārbauda integritāti · Pastiprināta uzraudzība · Pakāpeniska atgriešana darbā Mērķis: droša normāla darbība RTO / RPO mērķu robežās ⛓ Pierādījumu saglabāšana un uzskaites ķēde (chain of custody) - visā reaģēšanā paralēli Lēmums izolēt pret novērot: ātra izolācija aptur kaitējumu, bet var brīdināt uzbrucēju un iznīcināt pēdas. Atjauno tikai pēc cēloņa novēršanas - citādi uzbrucējs atgriežas pa to pašu ceļu (atkārtots incidents). Dublējumus pārbauda pirms atjaunošanas - tie var saturēt to pašu ļaunatūru vai aizmugures durvis. NIST SP 800-61r2 (3.3. ierobežošana/izskaušana/atjaunošana) · RFC 3227 (pierādījumi) · ISO/IEC 27035-3

Application

A clear sequence of actions in crisis: first stop, then clear, then restore. For each step - pre-prepared playbook for a particular incident type.

Reference

NIST SP 800-61 Rev. 2 · ISO/IEC 27035-3:2020 (operations) · RFC 3227 (evidence collection) · SANS PICERL (Contain/Eradicate/Recover).

Safety Note

The quick "cleaning" leaves the attacker elsewhere in the system before the volume is cleared. First understand the full presence, then eliminate everything at once.

Legal reporting

Reporting deadlines - NIS2, GDPR and CERT.LV

Incidentu ziņošanas termiņi Laika ass no incidenta atklāšanas: NIS2 agrīnais brīdinājums 24 stundās, paziņojums un GDPR datu pārkāpuma ziņojums 72 stundās, NIS2 galaziņojums viena mēneša laikā. Ziņošanas termiņi (NIS2 / GDPR) Pulkstenis sākas no incidenta apzināšanās - dokumentē šo brīdi 0 h Atklāšana incidents apzināts sāc reģistrēt laiku 24 h Agrīns brīdinājums NIS2 → CSIRT/CERT.LV sākotnējā informācija 72 h Paziņojums NIS2 incidenta paziņojums + GDPR 33. p. (ja skarti PII) 1 mēnesis Galaziņojums NIS2 → cēlonis ietekme · pasākumi GDPR 33./34. pants (personas dati) · 72 h uzraudzības iestādei (LV: DVI) · Augsta riska gadījumā - arī datu subjektiem · Atsevišķi no NIS2 (var sakrist laikā) NIS2 23. pants (LV: MK noteikumi Nr. 397) · 24 h brīdinājums → 72 h paziņojums → 1 mēn. · Adresāts: CSIRT / CERT.LV · Būtiski/svarīgi subjekti · starpziņojumi pēc pieprasījuma NIS2 (Dir. 2022/2555) 23. p. · GDPR (Reg. 2016/679) 33./34. p. · MK noteikumi Nr. 397 · CERT.LV

The specific time limits and addressees depend on the type of entity and jurisdiction - this is a general scheme. Verification of the exact requirements in regulatory enactments and by CERT.LV.

Application

A clear maturity scheme helps not to miss legal windows. Reporting decisions and contacts include playbook - during the crisis there is no time to search.

Reference

NIS2 Directive (EU) 2022/2555 Article 23 · Article 33/34 of GDPR · MK Regulation No 397 · CERT.LV reporting procedures.

Safety Note

NIS2 and GDPR have separate responsibilities - one incident may require both reports to different authorities. The time limit shall begin to run from awareness, or from the end of the full investigation.

Standard map and metrics

Frames, taxonomies and response metrics

Incidentu reaģēšanas standartu ainava un metrikas Astoņas standartu un ietvaru grupas divās rindās, zem tām četras galvenās reaģēšanas metrikas. Standartu ainava un metrikas Procesa ietvars + taksonomija + atbilstība - kopā pilna IR programma NIST SP 800-61 Rev. 2 incidentu apstrāde SP 800-86 forensika reaģēšanā CSF 2.0 Respond · Recover SANS PICERL 6 soļu modelis Handler's Handbook praktiska rokasgrāmata playbooks scenāriju soļi ISO / IEC 27035-1/2/3 incidentu pārvaldība 27001 A.5.24-27 kontroles ISMS 27037 digitālie pierādījumi Taksonomijas ENISA RICT incidentu klases MITRE ATT&CK uzbrukuma tehnikas VERIS pārkāpumu apraksts Koordinācija (LV) CERT.LV nacionālā CSIRT nozaru CSIRT sektoru komandas FIRST globālais CSIRT tīkls ES / LV atbilstība NIS2 23. p. ziņošanas pienākums MK noteikumi Nr. 397 LV īstenošana GDPR 33./34. p. datu pārkāpumi Nozaru DORA finanšu IKT incidenti PCI DSS 12.10 maksājumu kartes HIPAA veselības dati (ASV) Apmaiņa TLP 2.0 dalīšanās marķējums STIX / TAXII IOC apmaiņa MISP draudu platforma Galvenās reaģēšanas metrikas MTTD vid. atklāšanas laiks MTTA vid. reakcijas laiks MTTR vid. atrisināšanas laiks Dwell time uzbrucēja klātbūtne

Application

Helps to assemble a full IR programme: process (NIST/SANS/ISO), taxonomy (ENISA/ATT&CK), compliance (NIS2/GDPR) and measurement (MTTD/MTTR).

Reference

NIST SP 800-61/86 · ISO/IEC 27035 · ENISA RICT · MITRE ATT&CK · VERIS · FIRST · NIS2 · MK Regulation No 397 · GDPR · TLP 2.0.

Safety Note

Metrics lead upgrades, but may mislead: "fast closing time" with incomplete eradication is a bad sign. View metrics along with the quality of training.

Abbreviations

All abbreviations used in the guide (original and meaning).

IR
Incident Response.
CSIRT
Computer Security Incident Response Team.
CERT
Computer Emergency Response Team.
CERT.LV
Latvian national cyber security incident prevention team.
SOC
Security Operations Center, Security Operations Center.
SIEM
Security Information and Event Management management management.
EDR / XDR
Endpoint/Extended Detection and Response.
IDS / IPS
Intrusion Detection / Prevention System √ Detection/Prevention.
IOC
Indicator of Compromise √ Compromise indicator.
DFIR
Digital Forensics and Incident Response.
RCA
Root Cause Analysis.
CIA
Confidentiality, integrity, accessibility.
C2
Command and Control, an attacker's control channel.
SEV / P
Severity/Priority level (SEV-1...4).
NIST SP
NIST Special Publication, published by the US Standards Institute.
PICERL
Prepare, Identify, Container, Eradicate, Recover, Lessons Leaded (SANS).
CSF
Cybersecurity Framework √ NIST cybersecurity framework (2.0).
MTTD
Mean Time To Detect the average opening time.
MTTA
Mean Time To Acknowledgment.
MTTR
Mean Time To Reply/Recover .
RTO
Recovery Time Objective.
RPO
Recovery Point Objective The permissible amount of data loss.
BCP / DRP
Business Continuity / Disaster Recovery Plan.
NIS2
Network and Information Security Directive 2.
GDPR
General Data Protection Regulation (GDPR).
DVI
Data State Inspectorate (LV Data Protection Supervisor).
MK 397
Cabinet Regulations No. 397 (Implementation of CIS2 in Latvia).
ENISA
European Union Agency for Cyber Security.
RICT
ENISA Reference Incident Classification Toxonomy.
VERIS
Vocabulary for Event Recording and Incident Sharing (Verizon).
ATT&CK
MITRE opponent tactics and technical knowledge base.
FIRST
Forum of Incident Response and Security Teams.
DORA
The Digital Operational Resilience Act.
PCI DSS
Payment Card Industry Data Security Standard.
TLP
Traffic Light Protocol Information sharing label (2.0).
STIX / TAXII
standards for description and exchange of threat intelligence.
MISP
Malware Information Sharing Platform - threat exchange platform.