790 004 448

info@ciso24.pl

Złota godzina: co musisz zrobić natychmiast po wykryciu ataku na systemy firmowe?

Kiedy w małej firmie logistycznej niedzielny dyżurny zauważył nagle lawinę blokad antywirusa i migoczące na czerwono alerty z systemu EDR, nie spanikował. Zamiast tego, w ciągu godziny poprowadził zespół przez izolację zainfekowanych stacji, zamrożenie backupów i błyskawiczny triage (wstępną ocenę). Dzięki temu krytyczne usługi wróciły do życia jeszcze przed poranną zmianą, a firma uniknęła katastrofy.

Ta „złota godzina” to różnica między kontrolowaną operacją ratunkową a pełnowymiarowym kryzysem, który kosztuje utratę reputacji, odpływ klientów i miliony złotych strat.

Ten przewodnik pokaże Ci, jak w pierwszych minutach zdecydowanie odcinać zagrożenie na hostach, kontach i w sieci. Dowiesz się, jak zabezpieczać dowody i oś czasu zdarzeń, jak szybko ocenić skalę ataku oraz priorytety, a także jak podejmować twarde decyzje w usługach katalogowych (IAM) i chmurze. Czytasz to po to, by w chwili próby mieć prosty, konkretny plan – tak, aby Twoja organizacja reagowała pewnie, przewidywalnie i skutecznie.

Szybkie odcięcie zagrożenia: Hosty, konta, sieć

Gdy systemy krzyczą o włamaniu, nie czas na debaty. Czas na fizyczne i logiczne odcięcie intruza od reszty organizmu.

Co wykonać natychmiast?

  1. Izoluj zainfekowane hosty: Wyłącz porty na switchach (port down), użyj funkcji network quarantine w konsoli EDR lub fizycznie wyłącz Wi-Fi.
  2. Odłącz konta: Zablokuj lub wymuś twardy reset haseł dla kont uprzywilejowanych. Wyloguj wszystkie aktywne sesje (RDP/VPN/SSH).
  3. Zablokuj wskaźniki (IoC): Wrzuć złośliwe domeny, adresy IP i sumy kontrolne (hashe) plików na firewall, serwery DNS i bramki SWG (Secure Web Gateway).
  4. Zatrzymaj automatyzację: Wyłącz zadania harmonogramu i integracje powiązane z zainfekowanymi systemami (magistrale ESB, systemy MDM, potoki CI/CD), aby malware nie rozniósł się sam.
  5. Zamroź backupy: Włącz tryb immutability (niezmienności), odłącz repozytoria od sieci, zablokuj możliwość usuwania i nadpisywania kopii. To Twoja ostatnia deska ratunku.
  6. Włącz monitoring sieci: Uruchom nasłuch (SPAN/NetFlow) dla segmentu objętego incydentem i zapisuj pełne pakiety sieciowe (PCAP-y).
  7. Zablokuj wyjście na świat (Egress): Ogranicz ruch wychodzący do Internetu tylko do ściśle określonej listy dozwolonych adresów (deny by default).

Case study – Ransomware w dziale księgowości: W 15 minut izolujesz hosta, blokujesz konto użytkownika i lokalnego administratora. Wrzucasz hashe złośliwych plików do blokady na poziomie EDR. Zatrzymujesz synchronizację dysków chmurowych, mrozisz backup i ograniczasz ruch wychodzący tylko do serwerów aktualizacji AV/EDR. Efekt? Brak rozlania ransomware na główny segment finansowy i szybki odzysk z niezmienialnego backupu po weryfikacji IoC.

Case study 2 (Zainfekowany serwer integracyjny): Reguły na firewallu i DNS odcinają serwer C2 (Command & Control). NetFlow pokazuje nietypowe połączenia do zewnętrznego VPS. Wyłączasz zadania integracyjne, „zabijasz” sesje uprzywilejowane i odłączasz repozytorium backupu tuż przed końcem okna retencji. Szybki zrzut PCAP potwierdza, że eksfiltracja danych została zatrzymana na bramce SWG. Incydent zamknięty bez utraty danych.

Wskazówka: Jeśli obawiasz się, że Twój zespół nie podoła presji czasu, usługa Wsparcia w incydentach (Incident Response) oferowana przez CISO24 zapewnia dostęp do ekspertów, którzy przejmą stery w tej krytycznej pierwszej godzinie.

Zabezpieczenie dowodów i zegara zdarzeń: Snapshoty, logi, pamięć RAM

Nie kombinuj, najpierw ratujesz środowisko, a dopiero potem bawisz się w analizę śledczą. Kolejność jest jednak święta, bo to od niej zależy, czy odtworzysz dokładną oś czasu ataku, czy zostaniesz z domysłami.

Działaj według poniższej listy:

  1. Zrzut pamięci RAM: Wykonaj go z najbardziej aktywnych hostów (serwery aplikacyjne, kontrolery domeny). Użyj dedykowanych narzędzi forensycznych (często wbudowanych w EDR), zapisuj do surowych plików i nie kompresuj w locie. Pamięć RAM jest ulotna („paruje”) – każda sekunda zwłoki to utrata skradzionych poświadczeń (creds), komend wpisywanych przez atakującego i artefaktów ukrytych w procesach.
  2. Snapshoty VM / Dysków: Zrób zrzuty stanu maszyn wirtualnych (tylko do odczytu) na hypervisorze lub w chmurze. Zrób punkt w czasie i oznacz go jako niezmienny (immutable). Absolutnie unikaj „naprawiania” systemu (restartowania, usuwania plików) przed zrobieniem snapshotu – nadpiszesz w ten sposób cenne ślady!
  3. Eksport logów: Zgraj logi z EDR (telemetria procesów), VPN (sesje, IP), systemów IAM/MFA (logowania), serwerów pocztowych oraz platform chmurowych (CloudTrail/GCP Audit). Eksportuj je w formacie ułatwiającym analizę (JSON/CSV), zapisując dokładnie offsety czasu i strefy czasowe – bez tego nie złożysz chronologii zdarzeń.
  4. Kopia artefaktów na odseparowany storage: Skopiuj podejrzane pliki na odizolowany dysk z twardą kontrolą dostępu (tylko dla zespołu IR i prawników). Użyj repozytorium WORM (Write Once Read Many), zaszyfruj dane w spoczynku i wyłącz indeksowanie oraz skanery AV na folderach dowodowych, żeby system sam nie skasował „dowodów rzeczowych”.

Złota zasada kryminalistyki cyfrowej: Pilnuj łańcucha dowodowego (Chain of Custody). Bez tego cała akcja obronna nie obroni się ani podczas audytu regulacyjnego, ani przed sądem czy ubezpieczycielem. Zapisuj dokładnie kto, kiedy i jak pozyskał pliki. Natychmiast licz i archiwizuj sumy kontrolne SHA-256 w osobnym dzienniku zmian.

Błyskawiczny Triage: Skala incydentu, wpływ i priorytety

Masz 10 minut, żeby złapać oddech i nadać sens chaosowi. Zrób szybki Triage (segregację medyczną w IT): ustal skalę, realny wpływ na biznes i ostre priorytety reakcji. Bez usprawiedliwień i długich dyskusji. Tylko fakty.

Pytania, które muszą paść natychmiast:

  1. Co zostało dotknięte? Nazwij konkrety: padł produkcyjny backend, CRM, główny VPN, czy tylko odizolowany segment testowy?
  2. Jakie dane mogły wyciec? Oceń ekspozycję: czy to dane osobowe (PII) klientów, kody źródłowe, dane finansowe, czy jedynie niegroźna telemetria?
  3. Od kiedy trwa incydent? Sprawdź logi EDR/SIEM, aby ustalić pierwszy punkt wejścia.
  4. Jaki jest wektor wejścia? Czy to był phishing, wystawiony port RDP, skradziony klucz API, czy atak przez dostawcę oprogramowania (łańcuch dostaw)? Wskaż fakt, nie zgaduj.
  5. Jaki jest zasięg? Policz hosty i konta. Oznacz, czy atak dotyczy infrastruktury on-premise, czy chmury.
  6. Jakie jest ryzyko eskalacji w następnej godzinie? Czy haker może odpalić ransomware, poruszać się bocznie po sieci (lateral movement), eksfiltrować dane lub zablokować płatności?

Szybka klasyfikacja odpala właściwy tor działania.

  • Priorytet 1: Zakłócenie płatności, podejrzenie wycieku danych PII, zainfekowanych ≥5 hostów produkcyjnych. Działanie: Twarda izolacja, blokady dostępu, uruchomienie pełnego playbooka Incident Response.
  • Priorytet 2: Infekcja na odciętym segmencie testowym, brak ryzyka dla danych osobowych. Działanie: Zwiększony monitoring, łatanie podatności, punktowa kontrola dostępu bez wywracania produkcji do góry nogami.

Komunikacja i decyzje w pierwszych 60 minutach

W „Złotej Godzinie” reagujesz według łańcucha dowodzenia, bez dyskusji o korporacyjnej hierarchii. Czas reakcji bije wszystko. Jeśli ktoś nie odbiera telefonu, przeskakujesz do kolejnej osoby na liście. Celem jest natychmiastowa decyzyjność, a nie szukanie konsensusu.

Ustal jeden kanał roboczy (War-room na komunikatorze typu Signal, Slack czy na moście telefonicznym) dla techników oraz osobny kanał informacyjny dla kierownictwa, z twardym statusem podawanym co 15 minut.

Szablon szybkiego alertu:

„Wykryto incydent: [Krótka nazwa]. Skala: [P1/P2]. Dotknięte: [Kluczowe usługi]. Kroki podjęte: [3 najważniejsze działania izolacyjne]. Potrzebujemy: [Konkretna decyzja X, np. zgoda na odcięcie e-commerce na 2h, do minuty Y]. Kontakt do prowadzącego: [Imię + nr tel].”

Zasady operacyjne: Utrzymuj jedno źródło prawdy (chronologiczna notatka uzupełniana na żywo). Wprowadź timeboxing dla decyzji (np. maksymalnie 7 minut na akceptację odcięcia usługi). Minimalizuj szum informacyjny.

Krytyczne blokady w IAM i Chmurze (Sesje, Klucze, Zasady)

Jeśli odkryłeś naruszenie w chmurze lub w systemach tożsamości (IAM/SSO), wchodzisz z buta i wciskasz hamulec awaryjny. Nie ma tu miejsca na poprawianie procesów – musisz natychmiast odciąć wektory ruchu napastnika.

Wykonaj te zadania natychmiast:

  1. Wymuś re-logowanie: Unieważnij wszystkie tokeny SSO/OAuth we wszystkich aplikacjach. Aktywne sesje mają zniknąć natychmiast.
  2. Zablokuj rejestrację nowych urządzeń MFA: Powstrzymaj oszusta przed podpięciem własnego telefonu (ochrona przed MFA fatigue i inżynierią społeczną).
  3. Wstrzymaj konta wysokiego ryzyka: Zablokuj logowanie dla administratorów i kont usługowych (service accounts) powiązanych z wektorem ataku.
  4. Rotuj klucze API i sekrety: Wymuś natychmiastową zmianę kluczy dla wrażliwych integracji.
  5. Przytnij polityki IAM: Usuń szerokie reguły Allow, wyłącz dostęp międzykontowy (cross-account) i ogranicz uprawnienia do read-only na czas trwania oceny incydentu.
  6. Zawieś aplikacje ryzyka: Zablokuj tworzenie nowych reguł w poczcie (np. przekierowań na zewnątrz) i wyłącz udostępnianie publicznych linków (public shares).
  7. Zaciśnij kontrolę dostępu w chmurze: Podkręć usługi takie jak AWS GuardDuty czy MS Defender do maksimum. Włącz blokady ruchu wychodzącego na grupach bezpieczeństwa (NSG). Uruchom Conditional Access oparty na rygorystycznej geolokalizacji.

Przykład: Zauważasz wyciek klucza API do chmury. Masz 10 minut. Robisz trzy rzeczy: rotujesz główny sekret, unieważniasz wszystkie powiązane z nim tokeny sesyjne i obcinasz uprawnienia przypisanej do usługi roli do poziomu read-only. Efekt? Atakujący traci wygaszoną sesję, a nawet jeśli miał nową, traci uprawnienia do zapisu. Kanał wycieku jest odcięty.

Stabilizacja i bezpieczne przywracanie: Plan po „Złotej Godzinie” (24–72 h)

Gdy pierwsza godzina minie, Twoim celem staje się stabilizacja środowiska, bezpieczne przywrócenie usług i ostateczne zamknięcie wektorów ataku. Działasz jak chirurg – ostrożnie i w sterylnym środowisku.

Lista kroków bezpiecznego powrotu:

  1. Odtwórz czyste hosty z „Gold Image”: Zapomnij o czyszczeniu zainfekowanego systemu „w locie” (in-place cleanup). To proszenie się o ukryty powrót malware’u (tzw. persistence). Zawsze stawiaj systemy od nowa z bezpiecznych szablonów.
  2. Przywracaj z weryfikacją: Używaj tylko niezmienialnych backupów. Zanim podepniesz odzyskany serwer do sieci produkcyjnej, zwaliduj sumy kontrolne (hashe) i sprawdź integralność danych w wyizolowanej strefie kwarantanny.
  3. Wzmocnij EDR: Przełącz system EDR z trybu „obserwuj” na twardy tryb „blokuj”.
  4. Zaktualizuj reguły detekcji: Nakarm systemy SIEM/SOAR świeżymi wskaźnikami (IoC) z właśnie opanowanego incydentu (nowe hashe, domeny C2).
  5. Bezwzględny przegląd uprawnień: Przytnij dostępy do absolutnego minimum (least privilege). Tryby awaryjne (break-glass) odłóż do szafy.

Kiedy możesz ogłosić koniec alarmu? Gdy przez 12 godzin nie pojawi się żaden nowy krytyczny alert, masz pełne logi z ostatnich 48 godzin, a kluczowe usługi działają w reżimie RTO (Recovery Time Objective).

Ostatni, ale niezwykle ważny krok to krótkie „Retro”. Co zadziałało? Co zawiodło? Co najistotniejsze – wnioski wpisz w procedury.

Nie masz własnego zespołu SOC lub procedur awaryjnych? Skorzystaj z usług CISO24. Pomożemy Ci zbudować skuteczne Playbooki IR, przetestujemy je podczas gier decyzyjnych (Tabletop exercises) i zapewnimy wsparcie CISO as a Service (CISOaaS), abyś w krytycznej godzinie nie musiał zgadywać, co robić.

Najczęściej zadawane pytania (FAQ)

Jak przygotować gotowe playbooki, żeby skrócić czas reakcji w Złotej Godzinie?
Stwórz krótkie, przypisane do konkretnych ról instrukcje (runbooki) obejmujące działania na EDR, w systemach IAM, sieci i chmurze. Muszą zawierać gotowe komendy (kopiuj-wklej) i jasne punkty decyzyjne. Aby były skuteczne, testuj je co kwartał podczas ćwiczeń sztabowych (Tabletop) oraz w izolowanych środowiskach testowych.

Jakie minimalne narzędzia warto mieć wdrożone „na półce”, aby nie tracić cennego czasu?
Absolutna podstawa to: system EDR z funkcją izolacji hosta od sieci (network quarantine), system SIEM do korelacji logów, sprawdzone narzędzia do zrzutów pamięci RAM, skrypty ułatwiające eksport logów, menedżer haseł ułatwiający szybką rotację kluczy oraz niezależny system do komunikacji kryzysowej (War-room).

Kiedy należy włączyć zewnętrzny zespół Incident Response (IR) lub powiadomić ubezpieczyciela cyber?
Włączaj zewnętrzną pomoc niezwłocznie, gdy: incydent dotyka krytycznych dla biznesu systemów, podejrzewasz wyciek wrażliwych danych osobowych (PII) lub finansowych, Twój własny zespół nie jest w stanie przeprowadzić pełnego Triage w ciągu pierwszej godziny, lub gdy warunki Twojej polisy cybernetycznej kategorycznie wymagają powiadomienia ubezpieczyciela przed podjęciem działań naprawczych.

Jak pogodzić twardą izolację zainfekowanych systemów z koniecznością utrzymania działania biznesu?
Kluczem jest proaktywna segmentacja sieci i przygotowane plany przełączeń (BCP). Izoluj wyłącznie potwierdzone strefy infekcji. Dla pozostałych procesów uruchamiaj procedury obejścia (np. przejście na systemy read-only, tryb awaryjny). Pamiętaj o bieżącej publikacji krótkich, konkretnych komunikatów operacyjnych dla biznesu z szacowanym czasem przywrócenia usług (ETA).

Co należy dokumentować na bieżąco podczas „gaszenia pożaru”, by ułatwić późniejszą analizę i raportowanie prawne?
Skrupulatnie prowadź oś czasu (timeline) obejmującą: dokładny czas podjęcia kluczowych decyzji (izolacja, odłączenie zasilania), imiona i nazwiska osób podejmujących decyzje, zarchiwizowaną listę zebranych artefaktów wraz z ich sumami kontrolnymi (SHA-256), każdą modyfikację w konfiguracji sieci lub uprawnień oraz mierzalny wpływ incydentu na usługi względem założonych czasów odtworzenia (RTO).