Zlepšete své reakce na incidenty (1)

18. 7. 2015

Sdílet

 Autor: © kentoh - Fotolia.com
Reakce na incidenty (Incident Response, IR) se často propaguje jako aktivní ochrana na své vlastní vrstvě, v celkovém obrazu by ji ale bylo možné stejně tak nazývat obnovou po havárii nebo plánováním nepřetržitého provozu.

Pokud zjistíte bezpečnostní incident, je jedno, zda právě probíhá nebo už prošel vaším IT před delší dobou, musí se vykonat několik kroků, které zajistí, že se vaše organizace zotavila z následků a že se daná situace už nebude opakovat. Předtím však musí existovat plán reakce.

Reakce na incidenty je něco, co se vyvíjí a také se v průběhu času v organizaci mění. Incidenty mohou být technické a fyzické. Přestože se nemůžete připravit na všechno, je moudré se alespoň přichystat na nejpravděpodobnější hrozby, kterým bude vaše organizace čelit.

„Firmám došlo, že ať budou investovat do obranných strategií jakkoliv vysokou částku, v určitém okamžiku stejně dojde k selhání. Prokazuje se to neustále. Dokonce i nejlepší systémy selžou, protože čím déle existují, tím více útočníků bude hledat způsoby, jak je obejít,“ tvrdí Ken Silva, prezident kybernetických strategií ve společnosti ManTech Cyber ​​Solutions.

„Vynakládají veškerý svůj čas, školení, vzdělávání a finanční prostředky na faktor obrany a dokonce i vnitřní ochrany, ale nedaly ani halíř na účely reakce na incidenty.

Ta přitom bývá ve většině případů záležitostí ad hoc, která vzniká podle potřeby a je podobná hasičskému sboru tvořenému dobrovolníky. Jediným rozdílem je, že dobrovolní hasiči jsou řádně vyškolení a používají správné postupy a mají vhodné nástroje.“

Vytváření plánu IR a zajištění, aby odpovídal cílům a potřebám organizace stejně jako existujícím zásadám a dodržování předpisů, může být velmi náročné. Kromě toho bude tento proces vyžadovat, aby spolu komunikovaly všechny části společnosti, což může být samo o sobě velký úkol. Jak to charakterizoval jeden bezpečnostní pracovník na nedávné konferenci Black Hat – „je to podobné jako hlídat kočky“.

Přinejmenším se musí zapojit právní oddělení, aby se zajistilo dodržování předpisů, dále vedení společnosti (tedy všichni vyšší manažeři), aby se každý z nich mohl potřebným způsobem vyjádřit, a samozřejmě i IT oddělení, které musí zajistit udržování a pravidelnou aktualizaci plánu.

Eric Fiterman, výkonný ředitel společnosti Spotkick, která nabízí platformu SaaS pro analýzy zabezpečení, tvrdí, že reakce na incidenty bude často záviset na velikosti samotné organizace. Jeho stanovisko je, že žádné dva plány nejsou stejné.

„Některé podniky a organizace jsou dostatečně velké, aby mohly trávit čas vyšetřováním, ale existuje také mnoho IT oddělení, pro které to není hlavním zájmem. Nejdůležitějším problémem je tedy zajistit spolehlivost a obnovení systémů, co nejrychleji je to možné,“ uvedl Fiterman.

Zásadní podle něj je, aby organizace pochopily, že incidenty nastanou. „Určitě se najdou určité typy škodlivých aktivit, které budou mít dopad na to, co děláte, takže by organizace měly mít plán, jak zvládnout různé okolnosti, jež mohou nastat.“

Podle expertů existuje několik častých problémů, pokud jde o reakce na incidenty, a jestliže se plány nevytvoří a neotestují před jejich výskytem, pak se ony potíže projevují v nejhorší možné době, tj. při skutečném incidentu.

„IT oddělením pomáhá, že svou infrastrukturu znají. Vědí, kde je hodnota dat, a znají své vstupní a výstupní body. Je to jejich síť a vědí, jak funguje. Chybují ale v tom, že nevyužívají pracovní znalosti o své síti k pochopení toho, jak incident vzniká,“ vysvětluje Chris Pogue, ředitel služeb Trustwave SpiderLabs.

Útočníci podle něj mají své cíle a nebývá to jen zábava a hraní. Mají v úmyslu něco ukrást. Chtějí to získat a zpeněžit. Pokud by oddělení IT kombinovala své znalosti se schopnostmi reakce na incidenty, dosahovala by mnohem lepších výsledků, protože znají cíle i vstupní a výstupní body.

Jedním z často se opakujících problémů reakce na incidenty je, že organizace málokdy chápou ty, kdo na ně útočí, co tito útočníci hledají a také způsoby, jak se to snaží získat.

Je tedy důležité vědět, co je cenné pro útočníka a kde se to ve vaší síti nachází. Jak již zmiňoval Pogue, znalost všech cest a přístupových bodů ke kritickým datům je nezbytná, abyste, když se něco stane, mohli přesně označit incident a odpovídajícím způsobem se s ním vypořádat.

Zásadní však je použít tento způsob myšlení i pro jiné incidenty, než jsou zranitelnosti a malware, protože třeba jsou i plány a postupy pro případy, že například dojde ke ztrátě či krádeži notebooku, k nežádoucímu vyzrazení údajů nebo se vyskytnou zlomyslní zaměstnanci, kteří zneužijí svůj přístup.

Dále by měly existovat plány pokrývající incidenty, kdy někdo zvenčí zneužije přístup nějakého pracovníka, což je případ mnoha trvalých útoků, které se často stávají v kratších úsecích a málokdy všechny najednou.

Příště se podíváme na provoz v síti a seznámíme se s osvědčenými motodami pro reakci na incidenty.

bitcoin_skoleni

 

Tento příspěvek vyšel v Security Worldu 4/2014.