Виявлення кібератаки – критичний момент для будь-якої організації. Від правильності та своєчасності перших дій залежить масштаб збитків, тривалість простою та здатність компанії легко і швидко повернутися до нормальної роботи. Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA надає алгоритм дій для відновлення діяльності після інциденту.
Паніка – найбільший ворог у такій ситуації. Першочергові дії вимагають витримки та чіткого дотримання протоколу. Нижченаведена інструкція є узагальненим планом, який слід адаптувати відповідно до специфіки вашої організації та конкретного типу інциденту (наприклад, атака програми-вимагача, фішинг, злам сервера).
Під час реагування та відновлення компанії після атаки пропонуємо використовувати стандартизовані кроки реагування за кращими практиками та підходами щодо реагування на основі моделі реагування від SANS Institute (американська компанія, що спеціалізується на навчанні та сертифікації фахівців з кібербезпеки), яка має назву PICERL.
Етап 1: Підготовка (Preparation)
Цей етап виконується до інциденту. Його мета – бути готовим до атаки, а не реагувати хаотично:
- розробіть та затвердьте план реагування на кіберінциденти;
- сформуйте команду, чітко визначте ролі та зони відповідальності кожного її учасника;
- підготуйте необхідні інструменти (резервні копії, «чисті» образи систем, засоби аналізу) та канали екстреного зв’язку.
Етап 2: Ідентифікація (Identification)
Після виявлення аномалії необхідно точно встановити факт інциденту, його джерело та масштаби. Спершу необхідно розібратись, чи справді це інцидент, а не технічний збій Зберіть первинні дані із систем моніторингу (SIEM, EDR), антивірусів, журналів подій.
Далі потрібно провести аналіз і дати відповіді на низку питань: як зловмисники потрапили до системи (фішинг, вразливість, злам облікового запису), коли відбулася початкова компрометація, а також які системи, облікові записи та дані було скомпрометовано
Етап 3: Стримування (Containment)
Головне завдання – негайно зупинити поширення загрози та обмежити збитки:
- негайно ізолюйте уражені системи від мережі. Це можна зробити фізичним від’єднанням кабелю або програмним блокуванням на рівні мережевого обладнання;
- змініть паролі для всіх скомпрометованих облікових записів, а також для всіх адміністративних та сервісних акаунтів;
- не перезавантажуйте уражені системи без крайньої потреби. Створіть образи дисків та копії оперативної пам’яті для подальшого розслідування (форензики).
Етап 4: Усунення загрози (Eradication)
На цьому етапі відбувається повне видалення всіх компонентів загрози та усунення першопричини атаки. Це не просто видалення вірусу. Ми радимо оновити програмне забезпечення до актуальних версій, з метою усунення вразливостей. Також рекомендуємо заблокувати скомпрометовані облікові записи та перегляyти мережеву інфраструктуру — від принципів сегментації до переліку сервісів, відкритих для зовнішнього доступу.
Повністю видаліть усі файли, процеси та записи в реєстрі, пов’язані зі шкідливим програмним забезпеченням.
Етап 5: Відновлення (Recovery)
Мета — безпечне та контрольоване повернення систем до повноцінної роботи.
- використовуйте для відновлення лише перевірені та надійні резервні копії, створені до моменту інциденту. Переконайтесь, що бекапи не містять шкідливого коду;
- перед повним поверненням в експлуатацію ретельно протестуйте відновлені системи в ізольованому середовищі. Встановіть посилений моніторинг їхньої активності;
- поетапно повертайте системи до робочого середовища, постійно відстежуючи їх стан.
Етап 6: Аналіз та висновки (Lessons Learned)
Кібератака – це не лише криза, а й можливість зробити висновки та посилити захист. Для цього:
- складіть звіт, задокументуйте весь життєвий цикл інциденту, від виявлення до повного відновлення. Опишіть причини, наслідки та вжиті заходи;
- оновіть план реагування. На основі отриманого досвіду внесіть зміни до вашого плану, політик безпеки та технічних засобів захисту;
- проведіть навчання, поділіться результатами аналізу з персоналом, щоб запобігти повторенню подібних інцидентів у майбутньому.
Про факт будь-якого кіберінциденту, особливо якщо він стосується державних інформаційних ресурсів або об’єктів критичної інфраструктури, слід невідкладно повідомляти CERT-UA:
За інформацією Держспецзв'язку