Playbook - czasem nazywane elementami Runbook, zapewniają szczegółowe działania. podręcznik zapewniający szczegółowe informacje na temat wszelkich działań operacyjnych. Wyjaśnia również jakie narzędzia należy stosować w odpwoiedzi na incydent związany z bezpieczeństwem. W branży cyberbezpieczeństwa podręczniki są niezbędne! Playbooki dają spójną listę działań, co pozwala przejść przez nie w ustalony sposób niezależnie od tego, kto pracuje nad daną sprawą.

Lista kroków strategia ( zawiera również listę osób odpowiedzialnych + plan w jaki sposób należy wykonać okreśłone zadanie

W celu zmniejszenia potencjalnego ryzyka wymagana jest:

• Pilność
• Skuteczność
• dokładność
• szybka identyfikacja i łagodzenie zagrożenia bezpieczeństwa

Rodzaje playbooków

• Reagowania na incydenty / incident response
• alerty bezpieczeństwa / security alerts
• celów specyficznych dla zespołów / teams-specific purposes
• celów specyficznych dla produktów / product-specific purposes
• Podział na różne rodzaje ataków (ransomware, złośliwe oprogramownaie, rozporoszona odmowa usługi itp_ ransomware, malware, distributed denial of service, and more

Incident response playbook

/ PODRĘCZNIK REAGOWANIA NA INCYDENTY

Opisane są tutaj najważniejsze etapy reagowania na wykryte incydenty:

• Szybka próba zidentyfikowana ataku
• określenie szkód
• przywrócenie skutków naruszenia bezpieczeństwa

Poradniki reagowania na incydenty i luki w zabezpieczeniach Podręczniki reagowania na incydenty i luki w zabezpieczeniach są powszechnie używane przez początkujących specjalistów ds. cyberbezpieczeństwa. Są opracowywane w oparciu o cele określone w planie ciągłości działania organizacji. Plan ciągłości działania to ustalona ścieżka rozwoju umożliwiająca przedsiębiorstwu odzyskanie sprawności i dalsze normalne funkcjonowanie pomimo zakłóceń, takich jak naruszenie bezpieczeństwa.

Te dwa typy podręczników są podobne pod tym względem, że zawierają predefiniowane i aktualne listy kroków, które należy wykonać podczas reagowania na incydent. Wykonanie tych kroków jest konieczne, aby mieć pewność, że jako specjalista ds. bezpieczeństwa przestrzegasz standardów i protokołów prawnych i organizacyjnych. Te podręczniki pomagają również minimalizować błędy i zapewniają wykonanie ważnych działań w określonych ramach czasowych.

Kiedy wystąpi lub zostanie zidentyfikowany incydent, zagrożenie lub podatność, poziom ryzyka dla organizacji zależy od potencjalnej szkody dla jej aktywów. Podstawową formułą określania poziomu ryzyka jest to, że ryzyko równa się prawdopodobieństwu zagrożenia. Z tego powodu istotne jest poczucie pilności. Postępowanie zgodnie z krokami opisanymi w podręcznikach jest również ważne, jeśli wykonywane jest jakiekolwiek zadanie kryminalistyczne. Niewłaściwe obchodzenie się z danymi może łatwo zagrozić danym kryminalistycznym, czyniąc je bezużytecznymi.

Typowe kroki zawarte w podręcznikach incydentów i luk w zabezpieczeniach obejmują:

SZEŚĆ FAZ STOSOWANYCH W CELU ZŁAGODZENIA / Six Phase

1. Preparation - Przygotowanie Before incidents occur, mitigate potential impacts on the organization by documenting, establishing staffing plans, and educating users. Organizacja musi się do tego przygotować, aby ograniczyć prawdopodobieństwo ryzyka i wpływu incydentu na bezpieczeńśtwo. Przygotowanie stanowi podstawę do skutecznej reakcji na incydent.

   • udokumentowanie procedur
   • ustalenie planó kadrowych
   • edukowanie użytkowników
   • np organizacja potrafi tworzyć plany reagowania na incydenty i procedury określające role i obowiązki każdego człownka zespolu ds. cyber

2. Detection and analysis Wykrycie i Analia Detect and analyze events by implementing defined processes and appropriate technology.
   Celem tej fazy jest wykrycie i analiza zdarzenia z wykorzystaniem zdefiniowanych procesów technologii. Na tym etapie analitycy wspierają się odpowiednimi narzędziami i strategiami. Ustalają czy doszło do naruszenia i analizują jego możliwią wielkość.

3. Containment / powstrzymywanie / ograniczanie Prevent further damage and reduce immediate impact of incidents.
   Zapobieganie dalszym szkodom i natychmiastowe zmniejszenie skutkó incydentu związanego z bezpieczeństwem.

4. Eradication and recovery / eliminacja i przywracanie infrastruktury informatycznej Completely remove artifacts of the incident so that an organization can return to normal operations. Całkowite usunięcie incydentu, dzięki czemu organizacja może wrócić do normalnej pracy. Usuwane są artefakty incydentu poprzez usunięcie złośliwego kodu i łagodzenie luk w zabezpieczeniach. Po upewnieniu się że wszystko zostało usunięte, można zacząć przywrcać dotknięte środowisko do stanu bezpiecznego.

5. Post-incident activity / działania po zdarzeniu Document the incident, inform organizational leadership, and apply lessons learned.
   Dokumnetowanie zdarzenia, informowanie kierownictwa organizacji i wkyrzostanie zdobytych doświadczeń, aby w przyszłośći być lepiej przygotowanym na radzenie sobie ze zdarzeniami. W zależności od powagi zagrożenia organizacje mogą przeprowadzić analizę incydentów na pełną skalę w celu ustalenia pierwotnej przyczynny incydentu i wdrożyć różne aktualizacje lub ulepszenia mające na celu poprawę ogólnego stanu bezpieczeńśtwa

6. Cooridnation / Koordynacja Report incidents and share information throughout the response process, based on established standards.
   Zgłoszenie incydentów i udostępnianie informacji na każdym kroku. Jest to oparte na podręczniku rakcji na incydent na ustalonych standardcachorganizacji. Zapewnia organizacji zgodność i pozwala na skoordynową reakcję i rozwiązanie.

Aktualizacja playbooków

• A failure is identified, such as an oversight in the outlined policies and procedures, or in the playbook itself.
• There is a change in industry standards, such as changes in laws or regulatory compliance.
• The cybersecurity landscape changes due to evolving threat actor tactics and techniques.

Po otrzymaniu alertu SIEM możńa skorzystać z odpowiedniego playbooka aby kierować procesem reagownaia. Narzędzia i podręczniki SIEM współpracują ze sobą , aby zapewnić zorganizowany i skuteczny sposób reagowania na potencjalne zincydenty związane z bezpieczeńśtwem

WYKORZYTSANIE PLAYBOOKA

Spójny proces do naśladowania przez specjalistów

1. Ocena alertu. Ustalenie czy alert rzeczywiście istnieje- dlaczego alert został wygenerowany przez SIEM. Można przeanalizować dane dziennika i powiązane metryki.

2. Action and tools to use to contain the malware and reduce further damage. Działania i narzędzia do powstrzymania złośliwego oprogramowania i ograniczenia dalszych szkód. Np odizilowanie ub odłączenie zainfekowanego systemu sieciowego aby zapobiec rozprzestrzeniania się złośliwego oprogramowania do innych częsci sieci.

3. Po opanowaniu zdarzenia zatarcie wszelkich śladów zdarzenia i przywrócenie dotkniętych systemów do normalnej pracy. Podręcznik może instruować analityka jak przywrócić uszkodzony system operacyjny a następnie przywrócić dane, których to dotyczy, za pomocą czystej kopii zapasowej utworzonej przed epidemią złośliwego oprogramowania.

4. Po wyjaśnieniu incydentu podręcznik instruuje analityka, jakie działania ma wykonać po zdarzeniu oraz koordynację sił z zespołem bezpieczeńśtwa. Niektóre działania obejmują utworzenie raportu końcowego informując interesariuszy lub zgłoszenie zdarzenia odpowiednim organim zajmującym się dochodzeniami w sprawie cybeprzestępstw.