Incident Response

Incident Response (IR) - bu kiberxavfsizlik hodisalariga tez va samarali javob berish jarayoni. Maqsad - zararni minimallashtirish, tiklash vaqtini qisqartirish va kelajakda takrorlanishining oldini olish.

Incident nima?

Security Incident misollari:

  • Malware yuqishi
  • Ruxsatsiz kirish
  • Data breach (ma'lumot oqishi)
  • DDoS hujumi
  • Ransomware
  • Insider threat

Incident emas:

  • False positive ogohlantirishlar
  • Oddiy tizim xatolari
  • Foydalanuvchi xatosi
  • Rejalashtirilgan to'xtashlar

IR bosqichlari (NIST framework)

1

Preparation (Tayyorgarlik)

Incident yuz bermasidan oldin tayyorgarlik ko'rish.

  • • IR rejasi yaratish
  • • Jamoa tashkil qilish va o'qitish
  • • Vositalar va jarayonlarni tayyorlash
  • • Contact ro'yxati (kim kimga qo'ng'iroq qiladi)
  • • Backup va recovery rejasi
2

Detection & Analysis (Aniqlash va tahlil)

Incidentni aniqlash va uning ta'sirini baholash.

  • • Monitoring tizimlardan ogohlantirish
  • • Incidentni tasdiqlash
  • • Scope va ta'sirni aniqlash
  • • Prioritet va darajani belgilash
  • • Dastlabki dalillarni yig'ish
3

Containment (To'xtatish)

Incidentning tarqalishini to'xtatish.

Short-term

  • • Yuqtirilgan qurilmani izolatsiya qilish
  • • Tarmoqdan uzish
  • • Tezkor himoya choralari

Long-term

  • • Vaqtinchalik patch
  • • Tizim konfiguratsiyasini o'zgartirish
  • • Monitoring kuchaytiriladi
4

Eradication (Yo'q qilish)

Tahdid manbalarini butunlay olib tashlash.

  • • Malware ni to'liq olib tashlash
  • • Backdoor'larni yopish
  • • Zaif parollarni o'zgartirish
  • • Zaifliklarni tuzatish
  • • Tizimni tozalash
5

Recovery (Tiklash)

Tizimlarni normal holatga qaytarish.

  • • Tizimlarni qayta tiklash
  • • Backup'dan ma'lumotlarni restore qilish
  • • Tizimlarni test qilish
  • • Kuchaytirilgan monitoring
  • • Bosqichma-bosqich production'ga qaytarish
6

Post-Incident Activity (Keyingi faoliyat)

O'rganish va yaxshilash.

  • • Lessons Learned yig'ilishi
  • • To'liq incident hisoboti
  • • Jarayonlarni yaxshilash
  • • Vositalar va skillarni yangilash
  • • Zaifliklarni uzoq muddatda tuzatish

IR jamoasi (CSIRT)

Computer Security Incident Response Team (CSIRT) - bu incidentlarga javob beruvchi jamoa.

Asosiy rollar:

  • Incident Manager: Jarayonni boshqaradi
  • Security Analyst: Tahlil qiladi
  • Forensics Expert: Dalillar yig'adi
  • Communications: Aloqa va hisobotlar

Qo'shimcha rollar:

  • Legal: Huquqiy masalalar
  • HR: Insider threat
  • Management: Qarorlar va resurslar
  • PR: Ommaviy munosabatlar

Incident Response Plan

Har bir tashkilot IR rejasiga ega bo'lishi kerak. Bu hujjat incidentda nima qilish kerakligini aniq belgilaydi.

IR Plan tarkibi:

  • Maqsad va doira
  • Jamoa tarkibi va mas'uliyatlar
  • Contact ro'yxati
  • Incident turlari va prioritetlari
  • Har bir bosqich uchun jarayonlar
  • Vositalar va resurslar
  • Kommunikatsiya rejasi
  • Huquqiy va kompayans talablar

Asosiy xulosalar

  • Incident Response - 6 bosqichli jarayon (NIST framework)
  • Tayyorgarlik - eng muhim, oldindan reja qiling
  • Tez harakat qiling - har bir daqiqa muhim
  • Lessons Learned - har bir incidentdan o'rganing

Tabriklaymiz!

Siz barcha 21 ta kiberxavfsizlik nazariy kursini muvaffaqiyatli tugatdingiz!

Endi amaliyotga o'ting - CTF musobaqalarda ishtirok eting va ko'nikmalaringizni oshiring!

Security Operations