Jak si vytvořit plány reakce na bezpečnostní incidenty

Jediná věc horší než napadení kybernetickým útokem je napadení bez připraveného plánu reakce na bezpečnostní incidenty.

Sofistikované útoky APT (pokročilé přetrvávající hrozby) jsou typicky zaměřené na vysoce cenné cíle, jako jsou společnosti cílící na kreditní karty, banky, maloobchody, zdravotnická zařízení a hotelové řetězce, které ukládají informace o velkém množství kreditních karet a další osobní údaje.

Dá se ale říci, že žádná společnost, nehledě na velikost a na obor, není vůči útokům zevnitř a vůči nahodilým útokům malwaru, phishingu, ransomwaru či útokům DoS imunní.

Způsob, jakým organizace reaguje na narušení, může znamenat rozdíl mezi zablokováním incidentu a rychlým návratem k běžným firemním aktivitám, nebo naopak poškození reputace společnosti, které může trvat roky.

Podle nedávné zprávy „Náklady na únik dat“ od Ponemon Institutu jsou průměrné náklady na incident celosvětově 3,9 milionu dolarů, a v USA dokonce 8,2 milionu dolarů. Tým připravený pro reakci na incidenty snižuje podle zprávy náklady na narušení o 360 tisíc dolarů.

Kromě toho společnosti, které dokončí celý životní cyklus reakce na incident (IR, Incident Response), tedy detekci, zablokování, vymýcení, nápravu a obnovení dříve než za 200 dní, ušetří podle zmíněné zprávy 1,2 milionu dolarů oproti firmám, jimž to trvá déle než 200 dní.

Organizace také musejí mít na paměti, že jen během prvního roku vzniká 67 % nákladů spojených s narušením a 22 % nákladů přibude ve druhém roce, když se společnosti snaží obnovit svou pověst, zpomalit odchod dosavadních zákazníků a získat nové. Narušení mívá dlouhodobé dopady nejen ve třetím roce, ale i v letech následujících, uvádí Ponemon.

Vytvoření plánu reakce na incidenty může vypadat jako náročný úkol, ale existují způsoby, jak proces rozdělit na zvládnutelné části.

Považujte reakci na incidenty za úplnou zpětnovazební smyčku, která začíná identifikací hrozeb, ještě než způsobí jakékoli škody, následuje rychlé zastavení krvácení, pokud dojde k narušení.

Dále je to oprava veškerých děr v zabezpečení, které umožnily úspěšnost útoku, a nakonec školení odvozená z incidentu, jež lze pořádat v celé firmě, aby se posílila prevence před narušením a detekční aktivity.

Jinými slovy – plány pokrývají aktivity před narušením, při narušení a po narušení.

1. Vytvoření týmu pro reakci

Pokud by vás někdy postihl úspěšný útok, který by přerostl až v narušení, určitě byste nechtěli až v tom okamžiku začít vytvářet tým pro reakce na incidenty. Je důležité, aby organizace měly tým pro reakce na incidenty připravený a sestavený z nejschopnějších profesionálů zaměřených na zabezpečení IT, ale je také důležité zajistit potřebnou spolupráci v rámci celé společnosti.

Důležitá je také podpora vyššího managementu. Podpora firemního vedení umožňuje manažerům IT najímat kvalifikované lidi, kteří jsou potřební k úspěšnému zvládání plánu. Tito lidé musejí být vyškolení, aby chápali své role a odpovědnosti.

V závislosti na velikosti a globálním dosahu organizace možná budete muset vytvořit více týmů, například jeden pro Evropu, jeden pro Asii a další pro Severní Ameriku, abyste mohli zohlednit různé jazyky, požadavky předpisů, vytváření zpráv atd.

Kromě bezpečnostních analytiků budete potřebovat někoho, kdo dokáže zajistit interní komunikaci mezi techniky zaměřenými na reakci na incidenty a klíčovými zainteresovanými osobami, a to včetně vyššího vedení, představenstva a netechnických zaměstnanců.

Je také nutné zajistit rychlou a vhodnou informovanost partnerů, dodavatelů a dalších třetích stran zapojených do dodavatelského řetězce.

Součástí procesu musejí být také právníci a auditoři, aby se postarali o řadu problémů včetně problematiky dodržování předpisů, právní odpovědnosti a spolupráci se zástupci zákona.

Je potřeba mít tým krizového managementu schopný zabezpečit také aspekt vztahů s veřejností a řízení negativního dopadu narušení. A je nutné informovat i zákazníky a v určitou fázi zapojit marketing za účelem vytvoření strategie pro kontakt s veřejností a budování důvěry klientů.

Tým musí mít lídra, manažera reakcí na incidenty, a osobu specializovanou na vytváření dokumentace. Je také důležité vytvořit jasné komunikační cesty, aby všichni měli k dispozici potřebné kontaktní informace, a je potřeba mít také záložní řešení a alternativy pro situace, kdy nastane nějaká katastrofa a klíčoví členové týmu jsou na dovolené či z jiného důvodu nedostupní.

Měly by také existovat jasné pokyny, jaká úroveň podrobností se má sdělovat managementu IT, nejvyššímu vedení, dotčeným oddělením, zákazníkům a veřejným médiím.

Je vhodné uvážit také další komunikační aspekty: pokud se zjistí útok, může útočník odposlouchávat interní komunikaci, takže dává smysl pracovat mimo e-mail a mimo aplikace pro rychlé zasílání zpráv a spolupráci – všechny shromáždit do místnosti a komunikovat osobně.

Tým navíc možná bude muset vycestovat z ústředí firmy do lokality, kde došlo k narušení, takže je nutné zohlednit také tyto typy logistiky.

Tým reakce na incidenty musí reálně existovat – nesmí být jen na papíře. Společnosti si musejí najít čas na ekvivalent pravidelných požárních cvičení, tj. aby pravidelně nacvičovaly vše potřebné, a zajišťovaly tak, že všichni budou vědět, co dělat, když nastane skutečný incident.

2. Vytvořte si scénář (playbook)

Organizace si musejí vytvořit scénář – podrobné detailní pokyny pro reakci na bezpečnostní incident. Bez scénáře nelze mluvit o existujícím plánu reakce na incident.

Scénář by měl pokrývat přípravu, detekci, analýzu, zablokování, vymýcení, obnovení a aktivity následující po incidentu.

Jednou z klíčových vlastností scénáře je, že musí být dostatečně podrobný, aby jasně stanovoval role, odpovědnosti a postupy.

Na druhou stranu, protože nikdo nedokáže předvídat typ a závažnost narušení, musí scénář umožňovat flexibilitu, aby měli lidé svobodu a autoritu dělat důležitá rozhodnutí v reálném čase, jak to vyžaduje situace.

Například scénář vytvořený na Carnegie-Mellonově univerzitě má jedenáct stran. Plán reakcí na incidenty v jednom kalifornském oddělení technologií má jen čtyři strany a obsahuje sedmnáctikrokový kontrolní seznam, podle kterého mají členové týmu postupovat.

Je také důležité, aby organizace neustále scénář aktualizovaly, aby vyhovoval novým okolnostem a vývoji hrozeb. Scénář by se měl neustále vylepšovat na základě zkušeností získaných týmem pro reakce na incidenty při reakcích na hrozby.

Poznatky z externích zdrojů, jako jsou oborové asociace, analytici, a podobných týmů odjinud by se také měly do scénáře zapracovat.

Samozřejmě že žádný rozsah nácviku nemůže připravit tým na skutečný útok, kdy personál zajišťující reakci může pracovat osmnáct hodin denně, sedm dní v týdnu, a to možná i po dobu několika týdnů v kuse. Scénář reakce na incidenty, který definuje role a odpovědnosti, však bude určitě pomocí.

3. Prevence a příprava

Samozřejmě že nejlepší plán reakcí na incidenty je v první řadě ten, který narušení blokuje. Organizace by měly pravidelně posuzovat zranitelnosti a další typy analýz určených k nalezení a ošetření bezpečnostních děr.

Společnosti také potřebují učit zaměstnance používat osvědčené bezpečnostní postupy v oblastech, jako je vytváření silných hesel a neklikání na phishingové návnady. Fáze prevence by měla zahrnovat i zajištění dostupnosti potřebných nástrojů a zdrojů v případě události narušení.

Společnosti také potřebují seriózně posuzovat firemní hodnoty dat a aplikací. Tento krok umožňuje bezpečnostním týmům volit priority pro ochranu podnikových „korunovačních klenotů“ – identifikují se typy cenných dat potenciálně atraktivních pro útočníky, a pro ochranu takových údajů se použijí další bezpečnostní opatření.

Jedním z nejpřekvapivějších zjištění ve zprávě společnosti Ponemon je, že průměrná doba potřebná ke zjištění úniku dat je 197 dní a průměrná doba potřebná k zablokování úniku dat po zjištění je 69 dní.

To znamená, že v mnoha případech se útočníci pohybují ve vašich systémech déle než šest měsíců, než dojde k jejich odhalení.

Jak se to stane? Jen čtyřicet procent organizací podle nedávného průzkumu společnosti IDC, sponzorovaného firmou Splunk, používá rozsáhlý plán reakce na incidenty a jen čtrnáct procent používá nějakou platformu pro správu reakcí na incidenty, která proces automatizuje.

Nakonec jsou bezpečnostní analytici pohřbení lavinou výstrah, které nemohou přesně kategorizovat, aby odlišili falešně pozitivní výskyty od těch, jež představují okamžitou hrozbu.

Dvě třetiny podniků dotázaných průzkumem IDC uvedly, že zažívají jeden útok týdně, třicet procent zažívá útoky minimálně jednou denně a deset procent trpí výskytem útoků každou hodinu.

V tomto prostředí neustálých útoků uvedlo jen 27 procent dotázaných společností, že pohodlně objem útoků zvládají, zatímco pro 28 procent to je obtížné a dalších pět procent to popisuje jako neustále propukající požáry.

Týmy zabezpečení jsou zahlcené počtem útoků a nemají nástroje, procesy ani vytvořené plány pro efektivní řízení svých aktivit při reakcích na incidenty. Tento závěr vychází z průzkumu společnosti Imperva, podle kterého průměrný analytik pracující v provozním centru zabezpečení (SOC, Security Operations Center) přešetřuje 20–26 incidentů denně.

V důsledku tohoto přívalu varování nakonec bezpečnostní profesionálové ignorují některá varování či upraví své zásady, aby dostávali varování méně.

Většina IT profesionálů (53 procent) účastnících se průzkumu společnosti Imperva uvedla, že jejich SOC má problémy rozlišit důležité bezpečnostní incidenty od takových, které jsou jen šumem.

Nejlepším způsobem efektivního odstranění takového šumu pozadí je využít automatizaci a orchestraci reakcí na incidenty. Podle zprávy Ponemonu automatizace snižuje průměrné náklady na narušení o 1,55 milionu dolarů a zlepšuje prevenci, detekci, reakci a blokování kybernetických útoků.

Prostřednictvím automatizace získají analytici zabezpečení vyšší efektivitu a mohou podnikat kroky na základě lepších informací. Orchestrace může zrychlit reakci na incidenty až čtyřicetkrát, uvádí Ponemon.

4. Identifikace a blokace

Když se zjistí potenciální incident, měl by se tým reakcí na incidenty ihned pustit do práce, upozornit členy širšího celopodnikového týmu IR, začít shromažďovat evidenci, rozhodovat podle typu a závažnosti incidentu a dokumentovat vše, co dělá.

Okamžitým cílem je zablokovat incident a zabránit výskytu dalších škod. To může zahrnovat celou řadu standardních bezpečnostních postupů, jako je izolace síťového segmentu vystaveného útoku, odstavení kompromitovaných produkčních serverů a přesun veškerého dalšího kompromitovaného IT vybavení do karantény.

Dlouhodobějším cílem je dostat postižené systémy zpět do produkce, aby se společnost mohla vrátit k normálnímu provozu. To může představovat poměrně komplexní úkol, protože analytici reakcí na incidenty se pravděpodobně ještě stále snaží zjistit, jak se útočník vlastně dostal dovnitř, co mohl ukrást a zda útok stále ještě netrvá.

Dalším krokem je identifikovat základní příčinu úspěšnosti útoku, eliminovat ji a ochránit systémy, tak aby se podobným útokům zabránilo v budoucnu.

Ve fázi obnovy převádějí organizace postižené produkční systémy zpět do on-line režimu v rámci opatrného metodického postupu, který zahrnuje testování systémů, ověření, zda fungují správně, a jejich monitorování, aby se vše dostalo do normálního stavu.

Po obnově přichází sanace. Pokud například útočník vnikl přes pokladnu, musí společnost revidovat veškeré zásady zabezpečení a postupy týkající se pokladen. Pokud hacker využil kompromitované heslo, potom by měla organizace revidovat všechny své zásady pro hesla a uvážit zavedení dvoufaktorové autentizace.

5. Analýza po incidentu

Po skončení incidentu by měla organizace věnovat čas přešetření a zjištění příčiny incidentu, vyčíslit náklady a navrhnout strategii pro prevenci podobných incidentů v budoucnu.

Může být poněkud bolestivé dívat se zpět, zjišťovat chyby, které mohl tým zabezpečení udělat, a najít například chyby v konfiguracích, které vedly k narušení. Nebo to mohlo být kliknutí koncového uživatele na phishingový odkaz. Anebo šlo útok zevnitř.

Nehledě na příčinu může shromažďování informací pomoct s hledáním příležitostí ke zlepšení – kam zaměřit svou pozornost při prevenci budoucích narušení. Všechny získané poznatky a zkušenosti je pak nezbytné zapracovat do používaného scénáře.

Autor: Weinberg Neal