Zlepšete své reakce na incidenty (2)

Minule jsme se podívali na podstatu reakce na incidenty, dnes se podíváme na praxi spojenou s firemními sítěmi.

Další oblast zájmu se soustředí na provoz v síti. Organizace musí monitorovat příchozí i odchozí provoz. Ve většině případů se pozornost věnuje hlavně příchozímu provozu, ale pokud se útočníkovi podaří toto sledování obejít, už nikdo nesleduje, co odchází.

Monitoring odchozích přenosů může pomoci odchytit unikající data. Je to rozdíl mezi způsobem řešení incidentů již dnes nebo až za rok, když vám nějaká další strana oznámí, že už jste napadeni nějakou dobu a stále vám unikají data.

Někteří lidé zdůrazňují, že při incidentu je potřebné mít jednu kontaktní osobu, která bude koordinovat úkoly a zajišťovat, aby každý, kdo se potřebuje události účastnit, měl potřebné informace.

Pokud incident vyžaduje nutnost oznámit jej, potom musí existovat jasně definované zprávy zákazníkům a partnerům (nebo široké veřejnosti), a i tehdy by měl za společnost mluvit jen tiskový mluvčí (často interní zaměstnanec pro vztahy s veřejností nebo agentura) a nikdo jiný.

Kontaktní osoba, zpráva a delegování úkolů se budou měnit v závislosti na incidentu, takže by organizace měly mít pro takové případy několik možností.

Protokolování je proces, který mnoho bezpečnostních pracovníků považuje za nezbytný. Když si přečtete různé zprávy o narušení, často se v nich poukazuje, že důkazy o útoku byly v protokolech snadno dostupné, ale nikdo jim nevěnoval pozornost. Ještě horší je, že v některých případech organizace ani netušily, že takové logy mají k dispozici.

Nejdůležitější jsou protokoly syslog, ale významné jsou i výstupy systémů IPS a IDS stejně jako protokoly ze všech nasazených firewallů. Řeknou vám, odkud útočníci přišli, co udělali a v některých případech také jak to udělali. Sice nejsou dokonalé, ale jsou velmi použitelným nástrojem.

Kromě nich je potřebné využít také další protokoly, které jsou neméně důležité, tedy například protokoly z proxy, VPN, DNS a směrovačů. Stručně řečeno – měly by se monitorovat a kontrolovat protokoly ze všech zařízení, služeb a aplikací v síti (včetně Active Directory).

Ve stejný okamžik však mohou být logy i noční můrou, protože organizace musí během incidentu rychle oddělit užitečné informace od nedůležitého zbytku. Existuje pár nástrojů, a to jak komerčních, tak i open source, které s tímto procesem mohou pomoci, ale ne každá firma je potřebuje.

Někdy je společnost tak malá, že jí stačí ruční filtrování a kontrola. V opačném případě by mělo být protokolování a reportování předmětem interní diskuze, a jsou-li potřebné nástroje, měly by se prověřit a koupit.

Například HBGary, dceřiná firma společnosti Mantech, vydala nástroj pro reakce na incidenty, vycházející z řešení firmy Vantos, již koupila. Platforma Vantos umožňuje organizacím připojit datové toky z oblastí e-commerce, turistických středisek, zábavních center apod. a vše zpřístupnit pomocí jednoduchého zobrazení, které lze sdílet s dalšími, kdo potřebují takové informace, ale vůbec nerozumějí technické stránce reakce na incidenty.

Většina dotázaných účastníků nedávné  konference Black Hat zmiňovala institut SANS, kde je k dispozici užitečný dokument, jak pomocí nástrojů open source vytvořit sadu nástrojů pro reakci na incidenty a systém SIEM.

Přestože tento dokument nemusí být pro každého, určitě stojí za přečtení. Kromě tohoto jednoho dokumentu nabízí SANS i řadu informací o reakci na incidenty, které pokrývají problémy počínaje hrozbami nultého dne, sociální média a konče indikátory kompromitací a cloudovými incidenty.

Podle expertů jsou vhodné i profesionální skupiny, např. NAISG, jež jsou užitečné pro seznámení se s tím, co v oblasti reakce na incidenty existuje za nástroje a co se naopak neosvědčilo.

Osvědčené metody pro reakci na incidenty

1. Seznamte se s daty, která jsou cílem: Znamená to znalost všech typů dat v síti, kde se v síti ukládají a stanovení priorit jejich hodnoty. Potom zmapujte všechny způsoby, jakými lze k těmto datům přistupovat, a to jak interně, tak i externě. Naplánujte ochranu těchto dat při ukládání i při přenosech a kontrolujte i monitorujte veškeré přístupy k nim.
2. Zdokumentujte plány pro různé scénáře: Ne každý incident se bude týkat napadení hackery. Organizace by měly připravit plány pro útoky zvenčí, ale také pro incidenty způsobené ztrátou nebo krádeží vybavení, nehodami a útočníky z řad personálu (včetně případů, kdy vnější osoba zneužije přístup někoho ze zaměstnanců.)
3. Vytvořte provozní základnu: Provozní základna je určitý druh velitelského centra. Usnadní to situaci organizace a často to neznamená více než vyhrazení jedné konferenční místnosti nebo největší kanceláře v budově. V případě nutnosti to může být nějaký méně významný prostor, ale je důležité jej stanovit.
4. Jmenujte jedinou kontaktní osobu: Zajistěte, aby tato kontaktní osoba byla jediným, na koho se budou všichni obracet při práci na incidentu, a postarejte se o ty, kdo budou potřebovat pravidelné aktualizace a informace. Je také dobré ověřit, zda existuje možnost rychlého využití služeb agentury pro vztahy s veřejností, pro případ, že by to bylo třeba. Pokud jsou takové služby nutné, mělo by to být od tohoto okamžiku jediným hlasem komunikujícím za firmu vůči veřejnosti, co se týče libovolného incidentu. Pověřte právní oddělení řešením otázek dodržování předpisů.
5. Vykonávejte aktualizaci a údržbu:Zajistěte, aby se plány reakce na incidenty aktualizovaly pravidelně a aby se tyto informace udržovaly aktuální. Pokud se do sítě přidává nové zařízení nebo se přijímají další zaměstnanci, zajistěte, aby plány odrážely všechny příslušné změny. To by se mělo dělat minimálně jednou ročně.
6. A konečně, bez ohledu na to, jak dobrý plán je, nikdy nepřežije svůj první skutečný test: Zajistěte, aby někdo po incidentu vytvořil zprávu a abyste se poučili ze všech omylů, problémů a selhání. Plány a zásady přizpůsobujte podle potřeby.

Tento příspěvek vyšel v Security Worldu 4/2014.

Minulý díl najdete zde.