Učinkovitost zaznave in odziva na kibernetski incident je v veliki meri odvisna od vaše pripravljenosti. Če imate načrt in se odzovete sistematično, boste verjetno uspešnejši od hekerjev in jim preprečili, da dosežejo končni cilj (odliv podatkov, odkupnina ipd.). V zapisu zato pojasnjujemo eno od uveljavljenih in najučinkovitejših metod odziva na kibernetski incident.
Organizacije se z varnostnimi incidenti srečujejo odkar obstajajo. Sčasoma so se z njimi naučile soočati, obvladovati tveganja oziroma vsaj preprečevati veliko poslovno škodo. Tako za kršitve, kot so recimo nedotakljivost območja, krajo fizičnih sredstev ali krajo intelektualne lastnine, obstajajo utečeni mehanizmi in institucije, ki se ob teh incidentih aktivirajo. Protivlomno varovanje, alarmi, kamere, varnostniki, policija, sodstvo, zavarovanja itd. so splošno poznani, sprejeti in uveljavljeni varnostni elementi. Če so ti elementi učinkoviti, organizacijam zagotavljajo stabilno, transparentno, korektno in varno poslovno okolje.
Robert Mueller, nekdanji direktor FBI je leta 2012 izrekel danes že legendarno misel, da »obstajata samo dve vrsti organizacij, in sicer tiste, ki so že doživele vdor in tiste, ki ga še bodo.« Dejansko pa so se kibernetska tveganja oziroma pritisk na organizacije od takrat še povečale. Prvi razlog je vsekakor digitalizacija poslovanja, drugi pa bistveno večja organiziranost kibernetskega kriminala – kar predstavlja precejšen posel (skoraj 5 milijard EUR letno vir: World Economic Forum). Gre torej za poslovno tveganje, ki je vsaj na nivoju tistih iz prvega odstavka ali celo večje. Zato je nujen resen pristop k kibernetski obrambi, tako na tehničnem kot vodstvenem nivoju. Žal pri tem še nismo uspešni, saj glede na zadnje raziskave organizacije v povprečju še zmeraj potrebujejo več kot 100 dni (če ne štejemo trivialnih in destruktivnih izsiljevalski virusov je še vedno več kot 300 dni), preden sploh ugotovijo, da so bile napadene.
Razlogi za to porazno statistiko so kompleksni in večplastni. Dejstvo pa je, da boste z učinkovitim sistemom prepoznave in odziva na varnostne incidente bistveno znižali kibernetska tveganja in verjetnost poslovne škode. Dobra novica je, da obstajajo preverjeno učinkoviti pristopi in dobre prakse, s katerimi si lahko pri tem pomagate.
Uveljavljene prakse odzivov na kibernetski incident so zelo učinkovite
Zelo pomembno je, da se pri samem odzivu držite zaporedja izvajanja posameznih faz odziva na incident in jih ne »preskakujete«. Veliko napak se lahko zgodi zaradi nerazumevanja pomembnosti posameznih faz. Prav tako je pomembno zavedanje, da je odziv na incident živ proces, ki se kontinuirano razvija glede na pojavnost novih groženj.
V nadaljevanju bomo zato pojasnili strokovno preverjene, priporočane (NIST, SANS) in predvsem učinkovite faze odziva na incident ter njihove glavne značilnosti.
Zmotno je prepričanje, da se odziv na incident prične, ko je informacijski sistem kompromitiran oz. napaden. Prva faza odziva na incident so priprave (ang. preparation). To pomeni, da se na sam incident pripravljate v naprej. V ta sklop sodijo vse aktivnosti povezane z načrtovanjem odziva na incident, od vzpostavitve, izdelave spiska kontaktov, do izbire orodij in vzdrževanja dobrih odnosov med posameznimi zaposlenimi, ki jih boste potrebovali v primeru incidenta. Prav tako je v tej fazi na mestu razmislek, koga boste obveščali v primeru različnih tipov incidentov (CERT, policija, IP ipd.). Na tem mestu bi priporočali izvedbo tako imenovanih suhih vaj (ang. table top excercise), kjer se udeleženi glede na svojo vlogo poskušajo odzvati na simuliran incident.
V trenutku, ko zaznate kompromitacijo IT-sistema, se prične pravi odziv na incident – to je druga faza, t.i. faza identifikacije (ang. identification). V tej fazi ste že zaznali, da vam sistemi ne delujejo oz. obstaja visok sum, da je v okolju nekaj narobe. Lahko ste bili kot organizacija obveščeni o incidentu od samega povzročitelja, preko policije ali preko javnosti. V fazi identifikacije je nujno, da se identificira obseg incidenta, potencialna škoda, potencialen odliv osebnih podatkov, potencialno prizadete sisteme ter tip incidenta ali škodljive kode.
Natančna identifikacija incidenta (kaj in na kakšen način se je zgodil) je pogoj za uspeh naslednje faze – zajezitve (ang. containment). V tem delu glede na predhodno stanje sprejmete posamezne ukrepe, ki preprečijo nadaljevanje incidenta ali nadaljnje širjenje še trajajočega incidenta. Identifikacija tipa incidenta v prejšnji fazi, kjer se določi tudi kritičnost, vam v tej fazi narekuje tip obrambnih ukrepov. V primeru panike se lahko zgodi, da kakšna organizacija ugasne kritičen poslovni strežnik, za katerega sumi, da je prizadet in tako prizadene lastno poslovanje ali celo sprejme radikalen ukrep odklopa interneta. Ta faza je izjemno pomembna tudi z finančnega vidika, saj je od nje odvisna velikost nastale škode.
Sledi faza izbrisa (ang. eradication), v kateri se glede na identificirano škodljivo kodo ali druge značilke odločate o povrnitvi prizadetih sistemov v zdravo stanje. To lahko v primeru destruktivnega napada na podatkovne baze pomeni obnovitev starih podatkov, izbris škodljive kode ali ponovna vzpostavitev posameznih storitev. Prizadevati si morate, da ima ta faza minimalen vpliv na poslovanje.
Po uspešnem izbrisu sledi faza okrevanja (ang. recovery), v kateri prizadete sisteme, ponovno vključujete v omrežje in postanejo dostopni zunanjemu svetu. V tej fazi se lahko sprejmejo tudi že nekateri dodatni zaščitni ukrepi za zaščito – postavitev sistemov na novejših, neranljivih verzijah, uvedba restriktivnejših politik na požarnih zidovih ipd.. Vzpostavi se tudi kontinuirano spremljanje varnostnih dogodkov okolja, da se opazujejo dodatni sumljivi indikatorji.
Zadnja faza so naučene lekcije (ang. lessons learned). To pomeni sistematično preučitev uspešnosti in pravilnosti odziva na incident. Pomemben del te faze je tudi sprejetje preventivnih ukrepov, ki bi minimizirali takšen ali podoben tip incidenta v prihodnje. Tukaj tipično pride do sprejetja ukrepov, za katere prej nikoli ni bilo ne časa ne denarja. Tako se na primer segmentacija omrežja, ki se je prej prelagala v nedogled, izvede v relativno kratkem času, prav tako pa so relativno hitro na voljo tudi sredstva za dodatne varnostne naprave in kader.
V prvih fazah odziva na incident je potrebno poskrbeti tudi za ustrezno zavarovanje dokazov, še posebej, če ocenite, da bo možen kazenski pregon. Dodatno pa je običajno potrebno izvesti tudi digitalno forenziko na različnih točkah informacijskega sistema in po potrebi tudi analizo škodljive kode. Te aktivnosti potekajo vzporedno posameznim fazam. V primeru pridobljenih dodatnih indikatorjev se je potrebno vrniti nazaj na fazo identifikacije ter od tam nadaljevati postopke. Med izvajanjem odziva tako lahko pride do prepoznave večjega obsega incidenta, kot je bil identificiran v začetku reševanja.
Kako ta metodologija deluje v praksi?
Opisan pristop oziroma fazni proces zahteva predvsem dobro strokovno ekipo, ki ima na voljo ustrezna orodja, da ga lahko izvaja. V praksi v NIL-ovem varnostno operativnem centru (SOC) to pomeni več kot 20 – člansko ekipo varnostnih strokovnjakov z znanji z področij odziva na incident, omrežne forenzike, forenzike končnih postaj, industrijskih okolij, Windows, Linux, varnostnega utrjevanja in preverjanja ipd. Glede na številčnost ekipe in strokovnost (certifikati GIAC SANS, CEH, OSCP, RHCE, MCSE, CQURE ipd.) gre za eno večjih in najbolj usposobljenih ekip v regiji. Naši strokovnjaki za odzive na incidente (ang. incident handler) vam tako lahko pomagajo že v fazi priprave odziva na incident oziroma v okviru storitve NIL-ovega SOC-a 24/7 pripravljenost za odziv na incident. Lahko pa se organizacije, ki so bile udeležene v incidentu, obrnejo na nas tudi po samem incidentu, kjer strankam nudimo odziv po principu razpoložljivih možnosti (ang. best-effort), kar je pa še zmeraj bolj smotrno, kot da izvedete napačne ukrepe.
V tem zapisu smo se dotaknili predvsem postopkov in procesov, obstajajo pa še drugi tehnični ukrepi, o katerih je smiselno razmišljati v kontekstu odzivanja na incidente. Prvi ukrep je razmislek o uvedbi ustreznega orodja za zaznavo in odziv – EDR (ang. endpoint detection and response). Glavnina prometa v omrežjih je namreč šifrirana in po statistikah se večino incidentov zgodi na končni točki. EDR-orodje zato bistveno olajša premikanje preko posameznih faz. Drug smiseln ukrep pa je razmislek o ustreznem kibernetskem zavarovanju, v sklopu katerega zavarovalnica krije potencialne stroške incidenta in strokovne pomoči pri odpravi posledic.
Seveda je najbolj priporočljivo, da se verjetnost uspešnega incidenta zmanjšuje z ustreznimi arhitekturnimi ukrepi (segmesntacija omrežja, varnostni popravki, varnostno utrjevanje, uvedba detekcije ipd.) v času, ko ni časovnega pritiska.
Nasveti za postavitev varnostno operativnega centra in primeri iz prakse
V predavanju je Blaž Babnik izpostavili primere dobre prakse ter preko študije primera podal tudi nekaj koristnih napotkov za tiste, ki razmišljate o postavitvi svojega SOC-a.