Maturitní témata SSPŠ oboru KB

10. Incident Response a krizové řízení

3 min čtení

10. Incident Response a krizové řízení

Co se po vás bude chtít?

Úvod do Incident Response

  • Co je bezpečnostní incident:

    • Událost narušující důvěrnost, integritu nebo dostupnost
    • Rozdíl mezi událostí (event) a incidentem (incident)
    • Příklady incidentů: malware, únik dat, DDoS, neoprávněný přístup

  • Proč je IR důležité:

    • Minimalizace škod a dopadů
    • Rychlá obnova provozu
    • Právní a regulatorní požadavky
    • Ochrana reputace organizace

Fáze Incident Response

1. Příprava (Preparation)

  • Incident Response plán:

    • Dokumentované postupy a procesy
    • Definice rolí a odpovědností
    • Kontaktní seznamy a eskalační matice

  • IR tým (CSIRT/CERT):

    • Složení týmu a role
    • Interní vs externí tým
    • Školení a cvičení

  • Nástroje a prostředky:

    • Forenzní nástroje připravené k použití
    • Komunikační kanály
    • Izolované prostředí pro analýzu

2. Detekce a analýza (Detection & Analysis)

  • Zdroje detekce:

    • SIEM systémy a logy
    • IDS/IPS alerty
    • Uživatelská hlášení
    • Threat intelligence

  • Klasifikace incidentů:

    • Závažnost (severity): kritická, vysoká, střední, nízká
    • Typy incidentů: malware, phishing, DoS, insider threat
    • Prioritizace reakce

  • Analýza incidentu:

    • Určení rozsahu kompromitace
    • Identifikace zasažených systémů
    • Časová osa událostí

3. Omezení (Containment)

  • Krátkodobé omezení:

    • Izolace zasažených systémů
    • Blokování škodlivé komunikace
    • Zachování důkazů

  • Dlouhodobé omezení:

    • Dočasná řešení pro obnovení provozu
    • Monitoring dalšího šíření

4. Odstranění (Eradication)

  • Identifikace příčiny:

    • Root cause analysis
    • Nalezení všech kompromitovaných systémů

  • Odstranění hrozby:

    • Removal malware
    • Uzavření zranitelností
    • Reset kompromitovaných účtů

5. Obnova (Recovery)

  • Obnovení systémů:

    • Obnova ze záloh
    • Reinstalace systémů
    • Ověření integrity

  • Návrat do produkce:

    • Postupné obnovování služeb
    • Zvýšený monitoring
    • Validace funkčnosti

6. Poučení (Lessons Learned)

  • Post-incident review:

    • Co se stalo a proč
    • Co fungovalo a co ne
    • Doporučení pro zlepšení

  • Dokumentace:

    • Incident report
    • Aktualizace postupů
    • Sdílení poznatků

Krizová komunikace

  • Interní komunikace:

    • Informování managementu
    • Koordinace týmů
    • Eskalační postupy

  • Externí komunikace:

    • Komunikace s klienty/zákazníky
    • Média a PR
    • Regulátoři a úřady (NÚKIB, ÚOOÚ)

  • Zásady krizové komunikace:

    • Včasnost a transparentnost
    • Konzistentní messaging
    • Určený mluvčí

CSIRT/CERT

  • Typy týmů:

    • CERT (Computer Emergency Response Team)
    • CSIRT (Computer Security Incident Response Team)
    • SOC (Security Operations Center)

  • Národní a sektorové týmy:

    • NÚKIB CERT
    • Sektorové CSIRTy
    • Mezinárodní spolupráce

Playbooks a runbooks

  • Incident Response Playbook:

    • Předpřipravené postupy pro konkrétní typy incidentů
    • Checklist kroků k provedení
    • Kontakty a nástroje

  • Příklady playbooks:

    • Ransomware response
    • Phishing incident
    • Data breach
    • DDoS attack

Metriky a KPIs

  • Důležité metriky:
    • MTTD (Mean Time to Detect)
    • MTTR (Mean Time to Respond/Recover)
    • Počet incidentů podle typu
    • False positive rate

Právní aspekty

  • Povinnosti hlášení:

    • Zákon o kybernetické bezpečnosti
    • GDPR - hlášení úniků dat (72 hodin)
    • Sektorové regulace

  • Zachování důkazů:

    • Chain of custody
    • Spolupráce s orgány činnými v trestním řízení

Připrav se na HAXAGONu

Analýza síťového provozu:

  • Analýza síťového provozu - úvod
  • Analýza síťového provozu - pokročilý
  • Diagnostika a oprava sítě

Bezpečnost sítí:

  • ARP Spoofing
  • Attacking DHCP - easy

Příchozí odkazy