silhouette photography of man
a man sitting in front of multiple monitors
07 lipca 2025

Efektywny proces reagowania na incydenty bezpieczeństwa

Skala oraz rozmach działań cyberprzestępców rośnie z każdym rokiem, a ich konsekwencje liczone są już w trylionach dolarów. W momencie tworzenia tego artykułu, statystyki wskazują na ponad 45% wzrost  (w stosunku do roku 2024) ataków typu ransomware, oszustw phishingowych czy też cyberzagrożeń przy użyciu sztucznej inteligencji . Pomimo ogromnego ryzyka strat finansowych jak i wizerunkowych, wiele firm w dalszych ciągu nie uwzględnia w swoich strategiach podstawowych elementów zabezpieczających, takich jak choćby procedura reagowania na incydenty bezpieczeństwa (eng. incident response - IR).

 

Ale czym właściwie jest IR, i co bardziej istotne w jaki sposób może pomóc w zminimalizowaniu szkód oraz ułatwić odzyskanie danych/operacyjności po ataku cybernetycznym? Odpowiedzi na te pytania znajdziesz w tym artykule. 

 

Najogólniej mówiąc procedura reagowania na incydenty bezpieczeństwa jest ustrukturyzowanym podejściem do obsługi/zarządzania atakiem cybernetycznym. Jej głównym celem jest zapewnienie, że ​​organizacja jest w stanie wykrywać, kontrolować oraz eliminować konsekwencje naruszeń bezpieczeństwa, przy możliwie jak najmniejszym wpływie na biznes. U podstaw proces opiera się na 3 filarach: budowaniu gotowości ( przygotowanie), ciągłym doskonaleniu (identyfikacja usprawnień) oraz szybkiemu działaniu (reakcja na incydenty bezpieczeństwa). 

 

 


Wartym podkreślenia jest to, że poza samą reakcją na incydenty, IR przykłada równie dużą wagę do aspektów takich jak:

  • Zapewnienie ciągłości działania 
  • Ograniczenie szkód 
  • Wykrywanie przyczyny źródłowej 
  • Przywracanie systemów do operacyjności
  • Poprawa poziomu bezpieczeństwa (poprzez wyciąganie wniosków - eng. lessons learned)


Kolejnym pytaniem jakie należy sobie zadań  to, to  co możemy nazwać incydentem bezpieczeństwa?
Incydent bezpieczeństwa to każde zdarzenie, które narusza przynajmniej jedna z fundamentalnych wartości bezpieczeństwa tj.: poufność, integralność lub dostępność. Może to być np: udostepnienie poufnych danych nieuprawnionej osobie, nieautoryzowana zmiana wpisu w bazie danych czy tez atak szyfrujący dyski twarde.  Warto jednak podkreślić, że nie każdą taką sytuacje klasyfikujemy od razu jako incydent. W zależności od skali oraz charakteru wyróżniamy:

  • Wydarzenie (eng. Event) – Normalne zdarzenia, takie jak nieudana próba logowania
  • Alert – Powiadomieniami z narzędzi bezpieczeństwa wskazującymi na podejrzaną aktywność
  • Incydent – Potwierdzone naruszenia bezpieczeństwa wymagające zbadania i podjęcia działań.

 

Idąc dalej - w zależności od pierwotnej przyczyny, możemy wyróżnić kilka typów incydentów: 

  • Ataki przy użyciu złośliwego oprogramowania - mające na celu infiltrację środowiska, uszkodzenie systemów oraz zakłócanie działalności biznesowej (np. Ransomware)
  • Socjotechnike (eng. Social Engineering) - oszustwo wykorzystywane przez cyberprzestępców w celu pozyskania poufnych informacji lub udzielenia nieautoryzowanego dostępu (np. phishing email)
  • Naruszenia danych (eng. Data Breach) - nieuprawniony dostęp do informacji poufnych , w konsekwencji czego organizacja narażona jest na kary finansowe, utratę reputacji czy też postępowanie prawne
  • Ataki typu DDoS (eng. Distributed Denial-of-Service) - polegające na przeciążeniu systemu ruchem, celem wywołania awarii (np. czasowy brak dostępność strony internetowej organizacji)  
  • Intencjonalne lub przypadkowe działania pracowników (np. celowe sabotowanie systemu lub omyłkowe udostępnienie poufnych danych w social mediach)

 

Skoro wiemy już czym są incydenty bezpieczeństwa, czas skupić się na tym jak skutecznie sobie z nimi radzić. 
W zgodzie z najlepszymi praktykami, efektywny proces reakcji na incydenty powinien być zorganizowany w następujący sposób: 

 

Krok 1 - Opracowanie  szczegółowego planu, instrukcji operacyjnych oraz szkolenia personelu. Dokumentacja powinna określać role i obowiązki, determinujące zakres czynności leżących w gestii członków z działu: IT, bezpieczeństwa, prawnego, komunikacji oraz kierownictwa.

Całość powinna zostać poddana regularnym testom/ćwiczeniom, w celu potwierdzenia gotowości 'obsługi' prawdziwego incydentu. 

 

Krok 2 - Wdrożenie systemu monitorującego oraz procedur służących do identyfikacji i klasyfikacji zdarzeń. Obejmuje to zarówno rozwiązania techniczne (np. SIEM, EDR), jak i zatrudnienie personelu (dział bezpieczeństwa) będącego w stanie oddzielić fałszywe alarmy od prawdziwych incydentów.

 

Krok 3 - W sytuacji potwierdzonego incydentu, podjęcie natychmiastowych działań mających na celu zminimalizowanie skutków (zarówno w krótkim jak i długim terminie). Może to dotyczyć np. czasowego wstrzymania systemu lub izolację części infrastruktury.

 

Krok 4 - Po powstrzymaniu eskalacji incydentu, działania powinny skupić się na całkowitym usunięciu atakującego ze środowiska. Do najistotniejszych aktywności należy zaliczyć:

  • przeskanowanie środowiska (oprogramowaniem do wykrywania: podatności i złośliwego oprogramowania)
  • aktualizacja oprogramowania (szczególnie instalacja poprawek bezpieczeństwa)  
  • eliminacja 'wektorów ataku' (np. korekta konfiguracji urządzeń, zmian sposobu dostępu do środowiska)
  • przeprowadzenie dogłębnej analizy zajścia, umożliwiająca ustalenie pierwotną przyczyny incydentu

 

Krok 5 - Powrót do operacyjności, koncentrujący się na odtworzeniu danych z kopii zapasowych (w przypadku ich utracenia). Jeżeli wystąpiło mamy do czynienia z atakiem typu ransomware należy upewnić się, że kopie również nie zostały zainfekowane. 
Ponowne uruchamianie systemów powinno odbywać się stopniowo, i w miarę możliwości poprzedzone stosownymi testami.

 

Krok 6 - Analiza zajścia oraz identyfikacja popełnionych błędów. Celem powinna być poprawa poziomu bezpieczeństwa i minimalizacja ryzyka podobnego zajścia w przyszłości. 

 

 

Wartym podkreślenie jest to, że proces ten wymaga zaangażowania wyspecjalizowanych zespołów, których zadania nie ograniczają się jedynie do czynności powiązanych z danym krokiem ale również do zapewnienia, że całość ze sobą współgra. Zazwyczaj wymaga to odgórnej koordynacji, tym niemniej istotne jest to, żeby każda osoba pełniąca w nim aktywną role była świadoma całościowej odpowiedzialności. Na szczególną uwagę zasługuje zespół monitorujący infrastrukturę (Krok 2), do którego zadań poza obsługą systemu należy:

  • Stworzenie oraz optymalizacja instrukcji operacyjnych 
  • Wstępna analiza anomalii ('alertów') wykrytych przez system
  • Kontakt z zespołami administracyjnymi w celu ograniczenia skali oraz skutków incydentu 
  • Powiadomienie struktur kierowniczych 
  • Zaangażowanie jednostki CERT (dogłębna analiza ataku) 
  • Przygotowanie oraz dystrybucja wewnętrznej oraz zewnętrzne komunikacji 

 

Patrząc przyszłościowo, coraz więcej rozwiań monitorujących skłania się ku wykorzystaniu sztucznej inteligencji (SI) do ogólnej poprawy ich efektywności. Zważywszy na to, że cyberataki stają się coraz bardziej wyrafinowane, wykorzystanie SI umożliwia zespołom bezpieczeństwa  przewidywać, wykrywać i reagować z większą wydajnością. W 'tradycyjnym' modelu narzędzia bezpieczeństwa opierają się na predefiniowanych zasadach, które nie zawszą są w stanie 'nadążyć' za stale nowopowstającymi metodami ataków. Do największych zalet płynących z włączenia SI do procesu IR można by wymienić: 

  • Analizowanie ogromnych ilości danych w czasie rzeczywistym
  • Zmniejszenie ilości 'false-positives', a wiec fałszywego alarmu, który został nieprawidłowo oznaczony jako zagrożenie
  • Analityka behawioralna - uczenie się normalnego zachowania użytkownika i systemu w celu wykrycia odchyleń
  • Zautomatyzowane sugestie dotyczące odpowiedzi
  • Wykrywanie anomalii typu 'zero- day' lub APTS 

 

Warto jednak zaznaczyć, że pomimo ewidentnych zalet technologia SI nie jest wolna od błędów, co może prowadzić do niepotrzebnych zakłóceń w procesie.
Jednym z najczęściej pojawiających się problemów jest fałszywa/uprzedzona interpretacja zdarzenia, co może skutkować zaniechaniem działania w momencie gdy jest ono jak najbardziej wskazane. 

 

Pełne wdrożenie oraz utrzymanie procesu reagowania na incydenty bezpieczeństwa, nierzadko stanowi wyzwanie, w szczególności dla tych podmiotów które nie dysponują specjalistyczną wiedzą w obszarze cyberbezpieczeństwa. Firma ACE dzięki wieloletniej praktyce oraz doświadczeniach zdobytych na rynku międzynarodowym jest w stanie zapewnić niezbędne wsparcie tym zakresie.

 

Autor: Grzegorz P.

 

 

Audit          

Consultancy          

Education

Copyright © ACE. All Rights Reserved.