Abstrakt: Kybernetický incident není otázkou „zda“, ale „kdy“. Rozdíl mezi firmou, která útok přežije s minimálními škodami, a tou, která skončí v insolvenci, často spočívá v kvalitě Incident Response Planu (IRP) a v tréninku jeho použití. Tento článek popisuje pět fází incident response podle metodiky NIST – přípravu, detekci a analýzu, izolaci, eradikaci a obnovu, a poučení. Cílí na CIO, CISO i technické vedoucí, kteří potřebují praktický rámec pro budování schopnosti reagovat na útoky.
1. Proč většina IRP plánů selhává
Selhání nepramení obvykle z technologie, ale z organizační nepřipravenosti. Typické problémy v praxi:
- Plán existuje pouze jako PDF v intranetu, který nikdo nečetl. Poslední aktualizace je několik let stará, kontakty na odpovědné osoby jsou neplatné.
- Plán nikdo netrénoval. V krizi nikdo nečte padesátistránkový dokument, jedná se podle paměti a improvizace.
- Technická nepřipravenost. Logy se přepisují po sedmi dnech, zálohy nejsou izolované, chybí forenzní nástroje a šablony pro komunikaci.
Cílem moderního IRP je zajistit, aby tým věděl, co dělat v prvních patnácti minutách – a aby měl k dispozici nástroje a oprávnění to provést.
2. Fáze 1: Příprava
Příprava je nejdůležitější fází. Tady se rozhoduje o úspěchu reakce na incident.
Struktura CSIRT týmu. Doporučuji rozdělit role do tří úrovní. Jádrový tým tvoří incident commander (rozhoduje), technický vedoucí (analyzuje a koordinuje technickou reakci) a vedoucí komunikace (interní i externí). Rozšířený tým zahrnuje administrátory, vývojáře, právní oddělení, HR a zástupce businessu. Externí kontakty: forenzní laboratoř, kybernetické pojištění, Policie ČR – sekce kybernetické kriminality, PR agentura pro krizovou komunikaci.
Technické vybavení. Připravený nástroj IR toolkit obsahuje image nástroje (FTK Imager), analyzátory paměti (Volatility), forenzní platformy (Autopsy), nástroje pro analýzu PCAP a sadu skriptů pro sběr důkazů z Windows i Linuxu. Součástí jsou také předem schválená pravidla firewallu pro nouzovou izolaci a skripty pro odpojení účtů v Active Directory.
Politika retence logů. Bezpečnostní logy Windows minimálně 180 dnů, firewall a e-mailová brána 365 dnů, EDR telemetrie 90 dnů, aplikační logy 90 dnů. Finanční systémy podle zákona sedm let.
Playbooky. Pro každý hlavní typ incidentu (ransomware, datový únik, DDoS, APT, insider threat) musí existovat krátký, akční playbook s konkrétními kroky a kontakty.
3. Fáze 2: Detekce a analýza
Statistiky ukazují, že nejčastějším detektorem incidentu zůstává uživatel (přibližně třetina případů, ale s průměrnou dobou detekce přes dva dny). Naopak EDR systémy detekují za desítky minut, externí oznámení (typicky upozornění od dodavatele nebo zákazníka) přichází průměrně až po sedmi týdnech.
Triáž a kategorizace. Při potvrzeném incidentu rozhodněte o úrovni závažnosti. Kritická úroveň aktivuje celý IR tým a vyžaduje okamžité informování vedení. Pro každou závažnost musí existovat předem definované eskalační schéma.
Sběr důkazů. Před jakýmkoliv zásahem zachyťte stav systému: výpis paměti, seznam procesů a síťových spojení, kopii event logů, hash souborů. Důkazy musí být získány tak, aby je bylo možné použít při případném soudním řízení – tedy s časovou značkou, hashem a řetězcem úschovy.
Identifikace nultého pacienta. Najít systém, kde útok začal, je klíčové pro pochopení rozsahu kompromitace. Korelace logů z e-mailové brány, EDR a proxy obvykle vede k cíli během několika hodin.
4. Fáze 3: Izolace
Cílem izolace je zastavit šíření, aniž by se zničily důkazy.
Krátkodobá izolace (prvních 30 minut). Odpojení postižených systémů od sítě, blokování známých C2 domén na firewallu, zakázání sdílených složek, deaktivace plánovaných úloh. U ransomwaru je rychlost zásadní – každá minuta znamená další zašifrované soubory.
Dlouhodobá izolace. Vytvoření izolované VLAN pro infikované systémy, reset hesel privilegovaných účtů, revokace aktivních sessions, povinné MFA i tam, kde dosud nebylo. Na úrovni aplikací zablokujte API klíče a převeďte kritické systémy do read-only režimu.
Zachování důkazů. Před případným restartem nebo vypnutím proveďte výpis paměti. Mnoho moderního malwaru existuje pouze v paměti a po vypnutí o stopy přijdete.
5. Fáze 4: Eradikace a obnova
Odstranění malwaru. Identifikujte všechny zasažené systémy, určete rodinu malwaru, použijte specializované nástroje, ověřte výsledek dvěma nezávislými skenery. Zkontrolujte mechanismy persistence: registry, naplánované úlohy, WMI subscriptions, profily uživatelů, systémové služby.
Odstranění zranitelnosti. Bez nalezení a opravy vstupního vektoru se útočník vrátí. Nasazení záplat, oprava konfigurace, posílení autentizace, revize firewallových pravidel.
Strategie obnovy podle typu incidentu. Po ransomware útoku obnovujte z čistých záloh, nikdy ne na původní hardware bez kompletní reinstalace. Po datovém úniku resetujte všechny credentials a posilte monitoring. Po APT útoku doporučuji předpokládat totální kompromitaci a postavit infrastrukturu znovu, často s migrací na novou doménu.
Validace obnovy. Zkontrolujte stav klíčových služeb, síťovou konektivitu, integritu dat proti baseline hashům, aktivitu firewallu a antiviru. Teprve pak vraťte systémy do produkce.
6. Fáze 5: Poučení
Po incidentu sestavte detailní timeline – od první detekce po plnou obnovu. Z timeline pak vychází formální lessons learned dokument.
Hodnocení by mělo pokrýt tři roviny:
- Co fungovalo dobře. Rychlá detekce, fungující komunikační plán, integrita záloh.
- Co selhalo. E-mailová brána nezachytila útok, některé servery měly lokální admin hesla, DR lokalita se aktivovala pomalu.
- Akční položky. Okamžité (aktualizace e-mailové brány, odebrání lokálních admin práv), krátkodobé (tabletop cvičení, aktualizace dokumentace) a dlouhodobé (Zero Trust architektura, nepřetržitý SOC).
KPI pro měření zlepšení: průměrná doba do detekce, do izolace, do plné obnovy, podíl ztracených dat, celkové náklady incidentu, podíl dokončených lessons learned.
7. Komunikace během incidentu
Komunikace je polovina úspěchu. Technicky vyřešený incident lze pokazit špatnou komunikací.
Interní matice. Vedení a právní oddělení musí být informováni okamžitě. IT a vedoucí oddělení do hodiny. Všichni zaměstnanci do čtyř hodin – s jasnou instrukcí, co dělat a co ne (typicky: nerestartovat počítače, hlásit podezřelé chování).
Externí komunikace. Pojišťovna a klíčoví zákazníci do šesti hodin. Regulátoři podle GDPR do 72 hodin. S médii komunikuje pouze pověřená osoba, ideálně připravená na krizové scénáře.
Šablony. Mějte připravené hotové vzory zpráv pro nejčastější situace. V krizi není čas na formulování textu.
8. Tabletop cvičení
Plán, který nikdo netrénoval, neexistuje. Doporučuji minimálně dvě tabletop cvičení ročně. Scénáře typicky: ransomware, datový únik, kompromitace privilegovaného účtu, DDoS s vydíráním.
Cvičení odhalí mezery dříve, než to udělá útočník. Hodnotíte připravenost ve třech oblastech: lidé (identifikace týmu, definované role, trénink, pokrytí 24/7), procesy (aktuálnost plánu, testované playbooky, komunikace, eskalace) a technologie (detekční nástroje, forenzní připravenost, ověřené zálohy, schopnost izolace).
9. Závěr
Po dvaceti letech zkušeností s reakcí na incidenty platí několik zásadních pouček. Připravenost je důležitější než technologie – nejlepší EDR nepomůže týmu, který neví, co dělat. Zálohy je třeba testovat obnovou, nikoli pouze úspěšným dokončením úlohy. Dokumentujte za běhu, po incidentu si detaily nikdo nepamatuje. Rychlost rozhodnutí je důležitější než dokonalost – osmdesátiprocentní řešení teď je lepší než stoprocentní za týden. A trénujte celý tým, ne pouze IT.
Otázka tedy nezní, zda budete mít incident, ale kdy. Buďte připraveni.
Reference
- NIST SP 800-61r2 – Computer Security Incident Handling Guide
- SANS Incident Handler's Handbook
- ENISA Good Practice Guide for Incident Management
- ISO/IEC 27035 – Information security incident management
- NÚKIB – Národní úřad pro kybernetickou a informační bezpečnost
- CSIRT.CZ – Národní CSIRT tým
- TheHive, MISP, Volatility – nástroje pro IR a forenzní analýzu
