EDUCATION · INCIDENT · RESPONSE

🚨 Incidentu reaģēšana - kiberincidentu pārvaldība (IR)

Sešas tēmas par kiberincidentu reaģēšanu - no notikuma līdz mācībām - pēc starptautiskās prakses (NIST SP 800-61, SANS PICERL, ISO/IEC 27035, ENISA). Termiņi un piemēri ir ilustratīvi, paredzēti apmācībām.

Pamatjēdziens un lomas

Notikums → brīdinājums → incidents → pārkāpums

Incidenta eskalācija un reaģēšanas komanda Eskalācija no notikuma uz brīdinājumu, incidentu un pārkāpumu; triāža atsijā nesvarīgo; zem tās incidentu reaģēšanas komandas lomas. Incidenta eskalācija Ne katrs notikums ir incidents - triāža izšķir, kas prasa reaģēšanu Notikums jebkurš novērojums log ieraksts · pieteikšanās Brīdinājums automātisks trigeris SIEM · EDR · IDS Incidents apstiprināts kaitējums vai reāls drauds CIA Pārkāpums datu/sistēmas kompromitācija ▲ Triāža: vai tas ir incidents? klasificē un prioritizē Incidentu reaģēšanas komanda (CSIRT / CERT / SOC) Vadītājs koordinē reaģēšanu lēmumi · eskalācija Analītiķis (SOC) atklāj · izmeklē SIEM · EDR triāža Forensika (DFIR) pierādījumi cēloņa analīze Komunikācija iekšējā · publiskā regulatori · klienti Juridiskais vadība · juristi atbilstība · HR NIST SP 800-61r2 (jēdzieni) · ISO/IEC 27035-1:2023 · ENISA CSIRT vadlīnijas

Pielietojums

Kopīga valoda: kad notikums kļūst par incidentu un kurš ko dara. Skaidras lomas un eskalācija samazina haosu reaģēšanas pirmajās minūtēs.

Atsauce

NIST SP 800-61 Rev. 2 · ISO/IEC 27035-1:2023 · ENISA "Good Practice Guide for Incident Management".

Drošības piezīme

Komandu un kontaktus saskaņo PIRMS incidenta. Plāns, kas pirmoreiz tiek lasīts incidenta laikā, ir novēlots - sagatavotība ir cikla pirmais solis.

Reaģēšanas dzīves cikls

NIST SP 800-61, SANS PICERL un ISO/IEC 27035

Incidentu reaģēšanas dzīves cikls NIST četras fāzes ar atgriezenisko cilpu un to sasaiste ar SANS PICERL sešiem soļiem un ISO/IEC 27035 piecām fāzēm. Reaģēšanas dzīves cikls (NIST SP 800-61) Iteratīvs - mācības baro atpakaļ sagatavotībā 1 · Sagatavošana plāns · komanda rīki · apmācība playbooks · žurnalēšana 2 · Atklāšana un analīze triāža · apjoms klasifikācija · prioritāte 3 · Ierobežošana izskaušana atjaunošana izolē · tīri · atjauno 4 · Pēc incidenta mācības atskaite · uzlabojumi cēloņa analīze (RCA) ⇢ mācības → labāka sagatavotība Trīs ietvari, viena ideja - tikai soļu detalizācija atšķiras NIST 800-61 Sagatavošana → Atklāšana/analīze → Ierobežošana/izskaušana/atjaun. → Pēc incidenta SANS PICERL Prepare → Identify → Contain → Eradicate → Recover → Lessons learned ISO 27035 Plāno/sagatavo → Atklāj/ziņo → Novērtē/lemj → Reaģē → Mācies NIST SP 800-61 Rev. 2 (4 fāzes) · SANS PICERL · ISO/IEC 27035-1:2023 · CSF 2.0: Respond + Recover

Izvēlies vienu ietvaru un pieturies pie tā - jaukot terminus dažādu incidentu laikā rada apjukumu. Galvenais: cikls ir nepārtraukts, ne vienreizējs.

Pielietojums

Strukturē reaģēšanu posmos, lai zem spiediena neizlaistu soļus. Viens cikls der gan tehniskai komandai, gan vadības atskaitēm.

Atsauce

NIST SP 800-61 Rev. 2 · SANS Incident Handler's Handbook (PICERL) · ISO/IEC 27035-1:2023 · NIST CSF 2.0 (Respond, Recover).

Drošības piezīme

Visizplatītākā kļūda - izlaist "Pēc incidenta" posmu. Bez mācībām un cēloņa novēršanas tas pats incidents atkārtojas; cikls paliek nepabeigts.

Atklāšana, triāža un klasifikācija

No signāla līdz prioritātei - smaguma līmeņi

Atklāšanas avoti un incidentu smaguma klasifikācija Atklāšanas avoti kreisajā pusē plūst uz triāžu; labajā pusē smaguma līmeņu tabula no SEV-1 līdz SEV-4 ar reaģēšanas laiku. Atklāšana, triāža un klasifikācija Smaguma līmenis nosaka reaģēšanas ātrumu un eskalāciju Atklāšanas avoti SIEM · korelētie žurnāli EDR / XDR · galiekārtas IDS/IPS · tīkla plūsma Lietotāju ziņojumi Draudu izlūkdati · IOC Triāža apjoms · klase Smaguma līmeņi (piemērs) SEV-1 Kritisks nepārtraukti · pamatpakalpojums stāv SEV-2 Augsts stundu laikā · daļēja ietekme SEV-3 Vidējs darba dienā · ierobežota ietekme SEV-4 Zems plānoti · minimāla ietekme Triāžas jautājumi · Kas skarts? (CIA, pakalpojums, dati) · Cik plaši? vai turpinās? vai PII? · Vai jāziņo regulatoram? (sk. cilni "Ziņošana") ENISA taksonomija vienota klasifikācija ziņošanai (ļaunatūra · ielaušanās · DoS · krāpniecība · datu kvalitāte…) NIST SP 800-61r2 (atklāšana/analīze) · ENISA Reference Incident Classification Taxonomy · MITRE ATT&CK

Līmeņu skaits (SEV-1…4 vai P1…P4) un sliekšņi jāpieskaņo organizācijai. Galvenais - vienota, iepriekš saskaņota skala, ko visi saprot vienādi.

Pielietojums

Triāža atsijā troksni un piešķir prioritāti. Smaguma līmenis nosaka, cik ātri reaģēt, ko eskalēt un vai sākt ziņošanas pulksteni.

Atsauce

NIST SP 800-61 Rev. 2 · ENISA Reference Incident Classification Taxonomy · MITRE ATT&CK (tehniku kartēšana).

Drošības piezīme

Nenovērtē smagumu par zemu, lai izvairītos no ziņošanas - daži termiņi sākas no incidenta atklāšanas brīža. Pārklasificē, ja apjoms aug.

Aktīvā reaģēšana

Ierobežošana → izskaušana → atjaunošana

Ierobežošana, izskaušana un atjaunošana Trīs secīgi posmi ar darbībām, paralēli saglabājot pierādījumus visā gaitā. Ierobežošana · izskaušana · atjaunošana Vispirms aptur izplatību, tad novērš cēloni, tad droši atjauno 1 · Ierobežošana · Īstermiņa: izolē skarto (atvieno tīklu, segmentē) · Ilgtermiņa: pagaidu labojums · Bloķē C2 · atsauc piekļuvi Mērķis: apturēt izplatīšanos nesabojājot pierādījumus 2 · Izskaušana · Novērš sākotnējo cēloni · Dzēš ļaunatūru · slēdz kontus · Ielāpo ievainojamību · Maina kompromitētos noslēp. Mērķis: izņemt uzbrucēju no visas vides, ne tikai vienas 3 · Atjaunošana · Atjauno no tīrām dublēm · Pārbauda integritāti · Pastiprināta uzraudzība · Pakāpeniska atgriešana darbā Mērķis: droša normāla darbība RTO / RPO mērķu robežās ⛓ Pierādījumu saglabāšana un uzskaites ķēde (chain of custody) - visā reaģēšanā paralēli Lēmums izolēt pret novērot: ātra izolācija aptur kaitējumu, bet var brīdināt uzbrucēju un iznīcināt pēdas. Atjauno tikai pēc cēloņa novēršanas - citādi uzbrucējs atgriežas pa to pašu ceļu (atkārtots incidents). Dublējumus pārbauda pirms atjaunošanas - tie var saturēt to pašu ļaunatūru vai aizmugures durvis. NIST SP 800-61r2 (3.3. ierobežošana/izskaušana/atjaunošana) · RFC 3227 (pierādījumi) · ISO/IEC 27035-3

Pielietojums

Skaidra darbību secība krīzes brīdī: vispirms aptur, tad iztīra, tad atjauno. Katram solim - iepriekš sagatavots playbook konkrētam incidenta tipam.

Atsauce

NIST SP 800-61 Rev. 2 · ISO/IEC 27035-3:2020 (operācijas) · RFC 3227 (pierādījumu vākšana) · SANS PICERL (Contain/Eradicate/Recover).

Drošības piezīme

Steidzīga "iztīrīšana" pirms apjoma noskaidrošanas atstāj uzbrucēju citur sistēmā. Vispirms saproti pilnu klātbūtni, tad izskausti visu uzreiz.

Juridiskā ziņošana

Ziņošanas termiņi - NIS2, GDPR un CERT.LV

Incidentu ziņošanas termiņi Laika ass no incidenta atklāšanas: NIS2 agrīnais brīdinājums 24 stundās, paziņojums un GDPR datu pārkāpuma ziņojums 72 stundās, NIS2 galaziņojums viena mēneša laikā. Ziņošanas termiņi (NIS2 / GDPR) Pulkstenis sākas no incidenta apzināšanās - dokumentē šo brīdi 0 h Atklāšana incidents apzināts sāc reģistrēt laiku 24 h Agrīns brīdinājums NIS2 → CSIRT/CERT.LV sākotnējā informācija 72 h Paziņojums NIS2 incidenta paziņojums + GDPR 33. p. (ja skarti PII) 1 mēnesis Galaziņojums NIS2 → cēlonis ietekme · pasākumi GDPR 33./34. pants (personas dati) · 72 h uzraudzības iestādei (LV: DVI) · Augsta riska gadījumā - arī datu subjektiem · Atsevišķi no NIS2 (var sakrist laikā) NIS2 23. pants (LV: MK noteikumi Nr. 397) · 24 h brīdinājums → 72 h paziņojums → 1 mēn. · Adresāts: CSIRT / CERT.LV · Būtiski/svarīgi subjekti · starpziņojumi pēc pieprasījuma NIS2 (Dir. 2022/2555) 23. p. · GDPR (Reg. 2016/679) 33./34. p. · MK noteikumi Nr. 397 · CERT.LV

Konkrētie termiņi un adresāti ir atkarīgi no subjekta tipa un jurisdikcijas - šī ir vispārēja shēma. Precīzās prasības pārbaudi normatīvajos aktos un ar CERT.LV.

Pielietojums

Skaidra termiņu shēma palīdz nepalaist garām juridiskos logus. Ziņošanas lēmumu un kontaktus iekļauj playbook - krīzes laikā nav laika meklēt.

Atsauce

NIS2 direktīva (ES) 2022/2555 23. pants · GDPR 33./34. pants · MK noteikumi Nr. 397 · CERT.LV ziņošanas kārtība.

Drošības piezīme

NIS2 un GDPR ir atsevišķi pienākumi - viens incidents var prasīt abus ziņojumus dažādām iestādēm. Termiņš sākas no apzināšanās, ne no pilnas izmeklēšanas beigām.

Standartu karte un metrikas

Ietvari, taksonomijas un reaģēšanas metrikas

Incidentu reaģēšanas standartu ainava un metrikas Astoņas standartu un ietvaru grupas divās rindās, zem tām četras galvenās reaģēšanas metrikas. Standartu ainava un metrikas Procesa ietvars + taksonomija + atbilstība - kopā pilna IR programma NIST SP 800-61 Rev. 2 incidentu apstrāde SP 800-86 forensika reaģēšanā CSF 2.0 Respond · Recover SANS PICERL 6 soļu modelis Handler's Handbook praktiska rokasgrāmata playbooks scenāriju soļi ISO / IEC 27035-1/2/3 incidentu pārvaldība 27001 A.5.24-27 kontroles ISMS 27037 digitālie pierādījumi Taksonomijas ENISA RICT incidentu klases MITRE ATT&CK uzbrukuma tehnikas VERIS pārkāpumu apraksts Koordinācija (LV) CERT.LV nacionālā CSIRT nozaru CSIRT sektoru komandas FIRST globālais CSIRT tīkls ES / LV atbilstība NIS2 23. p. ziņošanas pienākums MK noteikumi Nr. 397 LV īstenošana GDPR 33./34. p. datu pārkāpumi Nozaru DORA finanšu IKT incidenti PCI DSS 12.10 maksājumu kartes HIPAA veselības dati (ASV) Apmaiņa TLP 2.0 dalīšanās marķējums STIX / TAXII IOC apmaiņa MISP draudu platforma Galvenās reaģēšanas metrikas MTTD vid. atklāšanas laiks MTTA vid. reakcijas laiks MTTR vid. atrisināšanas laiks Dwell time uzbrucēja klātbūtne

Pielietojums

Palīdz salikt pilnu IR programmu: process (NIST/SANS/ISO), taksonomija (ENISA/ATT&CK), atbilstība (NIS2/GDPR) un mērīšana (MTTD/MTTR).

Atsauce

NIST SP 800-61/86 · ISO/IEC 27035 · ENISA RICT · MITRE ATT&CK · VERIS · FIRST · NIS2 · MK noteikumi Nr. 397 · GDPR · TLP 2.0.

Drošības piezīme

Metrikas vada uzlabojumus, bet var maldināt: "ātrs slēgšanas laiks" ar nepilnīgu izskaušanu ir slikta zīme. Skati metrikas kopā ar mācību kvalitāti.

Saīsinājumi

Visu ceļvedī lietoto saīsinājumu atšifrējumi (oriģināls un nozīme).

IR
Incident Response — incidentu reaģēšana.
CSIRT
Computer Security Incident Response Team — datordrošības incidentu reaģēšanas komanda.
CERT
Computer Emergency Response Team — datordrošības reaģēšanas komanda.
CERT.LV
Latvijas nacionālā kiberdrošības incidentu novēršanas komanda.
SOC
Security Operations Center — drošības operāciju centrs.
SIEM
Security Information and Event Management — drošības notikumu pārvaldība.
EDR / XDR
Endpoint / Extended Detection and Response — galiekārtu un paplašinātā atklāšana.
IDS / IPS
Intrusion Detection / Prevention System — ielaušanās atklāšana/novēršana.
IOC
Indicator of Compromise — kompromitācijas indikators.
DFIR
Digital Forensics and Incident Response — digitālā forensika un reaģēšana.
RCA
Root Cause Analysis — sākotnējā cēloņa analīze.
CIA
Confidentiality, Integrity, Availability — konfidencialitāte, integritāte, pieejamība.
C2
Command and Control — uzbrucēja vadības kanāls.
SEV / P
Severity / Priority — smaguma/prioritātes līmenis (SEV-1…4).
NIST SP
NIST Special Publication — ASV standartu institūta publikācija.
PICERL
Prepare, Identify, Contain, Eradicate, Recover, Lessons learned (SANS).
CSF
Cybersecurity Framework — NIST kiberdrošības ietvars (2.0).
MTTD
Mean Time To Detect — vidējais atklāšanas laiks.
MTTA
Mean Time To Acknowledge — vidējais reakcijas (apstiprināšanas) laiks.
MTTR
Mean Time To Respond/Recover — vidējais atrisināšanas/atjaunošanas laiks.
RTO
Recovery Time Objective — pieļaujamais atjaunošanas laiks.
RPO
Recovery Point Objective — pieļaujamais datu zuduma apjoms.
BCP / DRP
Business Continuity / Disaster Recovery Plan — nepārtrauktības un atjaunošanas plāns.
NIS2
Network and Information Security Directive 2 — ES tīklu un informācijas drošības direktīva.
GDPR
General Data Protection Regulation — Vispārīgā datu aizsardzības regula.
DVI
Datu valsts inspekcija (LV datu aizsardzības uzraugs).
MK 397
Ministru kabineta noteikumi Nr. 397 (NIS2 īstenošana Latvijā).
ENISA
Eiropas Savienības Kiberdrošības aģentūra.
RICT
ENISA Reference Incident Classification Taxonomy.
VERIS
Vocabulary for Event Recording and Incident Sharing (Verizon).
ATT&CK
MITRE pretinieku taktiku un tehniku zināšanu bāze.
FIRST
Forum of Incident Response and Security Teams (globāls CSIRT tīkls).
DORA
Digital Operational Resilience Act — ES finanšu nozares noturības regula.
PCI DSS
Payment Card Industry Data Security Standard.
TLP
Traffic Light Protocol — informācijas dalīšanās marķējums (2.0).
STIX / TAXII
draudu izlūkdatu apraksta un apmaiņas standarti.
MISP
Malware Information Sharing Platform - draudu apmaiņas platforma.