Реагирование на инциденты (Incident Response) — в мире информационной безопасности так называют комплекс мероприятий по обнаружению и прекращению кибератаки или утечки данных из инфраструктуры организации и устранению последствий.
Основная цель реагирования — свести к минимуму ущерб от инцидента, а также позволить организации как можно скорее и с наименьшими затратами вернуться к нормальному режиму работы. За реагирование на инциденты может отвечать как внутренняя команда специалистов, так и внешний SOC.
Этапы реагирования на инциденты
Выделяют шесть основных этапов процесса реагирования на инциденты.
- Подготовка — разработка плана реагирования на инциденты, который включает в себя сценарии работы сотрудников при наступлении того или иного ИБ-события, список необходимых ресурсов, перечень применяемых инструментов, права и обязанности команды реагирования. Также к этапу подготовки относится обучение ответственных за реагирование на инцидент сотрудников. Этот этап не привязан к конкретному инциденту.
- Идентификация. Собственно реагирование на инцидент начинается с обнаружения кибератаки или утечки данных. На этом этапе поступает оповещение об инциденте, специалисты оценивают угрозу и собирают данные о ней. Обычно процесс идентификации сводится к изучению логов.
- Сдерживание. Команда реагирования принимает меры для пресечения распространения угрозы. К ним может относиться изоляция пораженных устройств, изоляция затронутых сегментов сети, временное отключение интернета и так далее. Одна из дополнительных целей этого этапа — не допустить уничтожения следов атаки, которые потребуются при расследовании.
- Ликвидация — устранение угрозы, удаление вредоносных файлов, смена паролей пострадавших учетных записей, восстановление утраченных данных и так далее.
- Возвращение к работе — ввод обратно в эксплуатацию систем, затронутых инцидентом, подключение устройств к сети, тестирование и мониторинг корректности их работы.
- Улучшение — обновление плана реагирования на инциденты с учетом опыта, полученного при устранении кибератаки.
Мероприятия по реагированию на инциденты могут быть частично или полностью автоматизированы. В этом помогут такие средства, как SIEM, UEBA, EDR и SOAR.
Различие между реагированием на инциденты и менеджментом инцидентов
Понятия «реагирование на инциденты» и «менеджмент инцидентов» (incident management, или incident handling) довольно близки, но различаются.
Принято считать, что реагирование на инциденты включает все действия технического характера для устранения угрозы и возобновления работы. Менеджмент инцидентов — это более широкое понятие, включающее в себя в том числе коммуникации по теме инцидента внутри компании и вне ее, координацию и планирование. Часто реагирование на инциденты считают частью менеджмента инцидентов.