Manažeři bezpečnosti vždy vytvářejí k procesům a plánům nějakou dokumentaci. Je to úkol bez reálného konce, protože se musí každou chvíli oprašovat a přemýšlet o možnostech aktualizace příslušných reakcí. Také potřeby organizace se neustále mění a stejně je tomu i u technologií – takže to, co bylo ještě před pár lety skvělým řešením, může mít v současné době už vážné nedostatky.
To byl i případ našeho plánu reakcí na incidenty. Nedávno jsem měl důvod ho zkontrolovat a zjistil jsem, že jednoznačně vyžaduje nějakou modernizaci.
Během let jsem se naučil, že tyto plány není dobré vytvářet úplně od nuly. Když vytváříte bezpečnostní program podle standardu, je pravděpodobnější, že při auditu obstojíte, protože bude mít podobu, která je v rámci oboru známá a akceptovaná.
Základ od expertů
To je důvod, proč jsem se rozhodl jako náš výchozí bod použít doporučení reakcí na incidenty, který vypracovala agentura NIST (National Institute of Standards and Technology). Každá organizace bude samozřejmě chtít svůj plán přizpůsobit pro své vlastní potřeby, ale vybudovat ho na základě široce používané a solidní struktury může být velkou pomocí do začátku.
S využitím doporučení NIST jsme rozdělili náš proces reakcí na bezpečnostní incidenty do čtyř fází: příprava, detekce a analýza, omezení a vymýcení a konečně analýza po incidentu.
Příprava je v mnoha směrech nejdůležitější částí. Zahrnuje určení členů krizového akčního týmu CAT (Crisis Action Team). Kromě zástupců z oblasti zabezpečení informací jsme v týmu CAT chtěli mít také inženýry znalé platforem Windows a Unix, síťové techniky, personál linky technické podpory a také právníky.
Po výběru těchto lidí jsme si sehnali jejich úplné a záložní kontaktní informace, abychom měli jistotu, že se s nimi dokážeme spojit při výskytu nějakého incidentu. Potom jsme určili některé konferenční místnosti, aby sloužily jako velitelská centra, a zabezpečili jsme pro ně vyhrazenou příchozí telefonní linku a e-mailový distribuční seznam.
V této fázi jsme také udělali souhrn všech relevantních nástrojů, které bychom mohli potřebovat k detekci incidentů a reakci na ně včetně zachytávání paketů, analýzy malwaru a systémů pro sledování událostí a také forenzních nástrojů. Nakonec jsme zjistili důvěryhodné třetí strany, kterým bychom mohli zavolat v případě, že bychom potřebovali pomoc nějakého experta.
Nikdy nemůžete vědět, jak se bude bezpečnostní incident vyvíjet. S tím na mysli jsme se ve fázi detekce a analýzy nepokoušeli vyjmenovat všechny možné scénáře. Namísto toho jsme udělali seznam obvyklých událostí, které považujeme za největší hrozby. Patří mezi ně napadení malwarem, phishingové útoky, neautorizovaný přístup, ztráta dat, útoky odepřením služby a krádež.
Akční tým „v akci“
Stanovili jsme také druhy událostí, které by měly vyvolat aktivaci týmu CAT. Například infekce jednoho počítače malwarem pro to nestačí, ale detekce malwaru, který se rychle šíří, už by mohla vyžadovat plnou odezvu týmu CAT. Abychom dokázali zodpovědně rozhodnout o nutnosti povolat naši bezpečnostní kavalerii, vytváříme matici pro záznam kritérií pro eskalaci problémů.
Pro třetí fázi – omezení a vymýcení – vytváříme pokyny k tomu, zda událost vyžaduje shromažďování důkazů, hodnocení škod a identifikaci útočníků. Připravujeme také kontrolní seznamy, jejichž cílem je zajistit řádné vymýcení, případně omezení libovolné škodlivé aktivity incidentu. Kontrolní seznam může například řešit, co dělat, když dojde ke kompromitaci serveru se systémem Windows.
A konečně pro fázi „po incidentu“ popisujeme, jak zajistit shromáždění všech informací, jež jsou potřeba k podání trestního oznámení či jiného správního řízení, a přidáváme doporučení pro následné analýzy, abychom dokázali identifikovat to, co fungovalo dobře, a to, co je třeba zlepšit.
Jakmile bude dokument pro odezvy na incidenty kompletní, zahájíme plánování školení a pravidelně budeme plán i testovat, abychom si udrželi jistotu, že dokážeme efektivně reagovat na jakýkoli incident.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
PŘEDPLATNÉ
ČLÁNKY DO MAILU