Těžká volba mezi obnovou systému a forenzní analýzou

Zodpovědný člověk musí rozhodnout, zda systém „konzervovat“ pro další šetření, nebo co nejrychleji opět uvést do provozu. Lze předpokládat, že vedení firmy bude upřednostňovat druhou variantu.


Jeden z časopisů společnosti IDG, americký CSO, přináší několik tipů, jak by měl člověk odpovědný za zabezpečení IT zareagovat na neočekávaný incident, který firmu postihne. Tipy vycházejí z prezentace Lenny Zeltsera, kterou měl v Bostonu na bezpečnostní konferenci Source.

 

V první řadě je nutné zjistit příčinu problému. To ale není často to, co na začátku „všichni vědí“. Ve skutečnosti se může ukázat, že co vypadalo jako problém webového serveru, je zranitelností na úrovni firewallu. Každopádně je třeba zaznamenat veškeré relevantní informace (kdy byl incident poprvé zjištěn, kým...) a zjistit, jakých pracovních skupin a částí podnikové sítě se problém týká. Zodpovědný člověk by se měl podrobně seznámit s tím, jaké systémy se v potenciálně postižené infrastruktuře provozují. Měl by se ptát – nemusí to předem detailně vědět a neměl by se obávat, že bude za ignoranta.

Než se snažit rozhodnout o řešení, je proto lépe chvíli vyčkat. I tak ale nakonec musí příslušný člověk nějakou odpovědnost přijmout a rozdělit úkoly/role. To ale má smysl až po důkladném seznámení se situací. Za jednotlivé věci musejí být zodpovědní konkrétní lidé, nežádoucí je chaos ve stylu „všichni dělají všechno“. Klíčové je také kromě technických otázek zjistit, kdo má odpovědnost za přijímání obchodních rozhodnutí souvisejících s incidentem. Jak budou formálně vypadat, kdo a jak o nich bude komunikovat? (telefonicky? e-mailem? bude tato komunikace šifrovaná?) Pro všechny tyto činnosti je také třeba stanovit časový harmonogram. Pokud lidé nebudou informováni, budou mj. nejspíš předpokládat nejhorší scénáře.

Pak přichází na řadu nutnost nějak zkoordinovat lidi s patřičnými technickými znalostmi s dalšími odděleními firmy (PR, právní oddělení...). Teď teprve následuje detailnější technický rozbor: jaké části infrastruktury byly problémem postiženy? Došlo k nějakému narušení „shody s předpisy“? Je třeba, aby zaměstnanec zodpovědný za tyto záležitosti v tom případě podnikl nutné kroky (informování úřadů, zákazníků...). Samozřejmě je třeba také informovat další subjekty, jichž by se problém mohl týkat.

Problém ovšem je, co dělat se systémem dál. Je třeba rozhodnout, nakolik do něj lze „vrtat“, protože tímto způsobem mohou být ztraceny cenné informace pro další vyšetřování (forenzní analýzu). Stav předcházející incidentu je třeba co nejlépe zaznamenat a totéž platí i pro následné kroky. Samozřejmě je třeba dále spolehlivě uchovat záznamy protokolů, nyní ovšem už přichází čas i pro jejich analýzu.

Záleží přirozeně na tom, v jaké situaci se přesně nachází člověk odpovědný za celý postup. Je zvnějšku organizace? V tom případě sice v organizaci nejspíš existuje nějaký „formalizovaný“ plán, co dál dělat, může však být zastaralý (nebyl dlouho používán a mezitím je všechno jinak). Také je nutné rozhodnout, zda systém „konzervovat“ pro další šetření, nebo co nejrychleji opět uvést do provozu. Lze předpokládat, že vedení firmy bude upřednostňovat druhou variantu.

Současně je třeba zjistit, jaké možnosti zálohování a obnovy má postižený segment sítě, jaká je možnost přenosu souborů do dalších částí sítě a nakonec, jak odsud pro další analýzu získat všechna potřebná data, pokud systémy budou znovu uvedeny do provozu.

 

Zdroj: CSO

 

 Komentáře