Od incidentu k řešení: Jak zvládnout kybernetický útok

Další článek

V každé firemní síti probíhá obrovské množství procesů – od přihlašování, přes spouštění různých skriptů, aktualizace a stahování až po pokročilé úpravy konfigurace. Všechny tyto procesy musí spravovat IT administrátoři.

Velké množství procesů má nevyhnutelně negativní vliv na bezpečnost, protože zvyšuje pravděpodobnost incidentu.

Uveďme typický příklad: Zaměstnanec připojí k počítači své soukromé USB, které je napadeno červem, a problém je na světě. Máte nastavené detekční mechanismy? Víte vy i každý zaměstnanec, jak správně postupovat?

Jak reagovat na bezpečnostní incident

Standard, se kterým můžete porovnat svůj plán reakce na incidenty, byl zveřejněn v publikaci amerického Národního institutu pro standardy a technologie (NIST).

Tato příručka podrobně popisuje čtyři fáze reakce na bezpečnostní incidenty:

  1. příprava,
  2. detekce a analýza,
  3. odstranění a obnova,
  4. aktivita po incidentu.

Všechny fáze pro vás shrnula Michaela Horáková ve videu:

Čtyři fáze reakce na bezpečnostní incident
Životní cyklus reakce na bezpečnostní incident | Zdroj: NIST

1. Příprava

V první řadě je důležité zavést procesy, které minimalizují riziko, že k incidentu vůbec dojde. Už při vytváření a údržbě firemní sítě je potřeba brát ohled především na její bezpečnost. To zahrnuje udržování serverů, operačních systémů a aplikací v aktuálním stavu, jejich vhodnou konfiguraci a v neposlední řadě ochranu před malwarem. Aktuálně firmy řeší zpřístupnění sítí pro práci z domovů.

Data z našeho průzkumu z října říkají, že jen necelá polovina firem využívá pro připojení VPN, což je jediný způsob, který můžeme s čistým svědomím doporučit (samozřejmě - bezpečná VPN musí mít adekvátní konfiguraci). 

Jakou formu připojení využívají firmy

V rámci preventivních opatření je nutné řešit i vzdělávání zaměstnanců. Neznalost rizik může v důsledku způsobit řadu problémů. Pravidelně se přitom v oblasti bezpečnosti vzdělává jen čtvrtina zaměstnanců. I krátké, ale praktické školení může výrazně pomoci eliminovat rizika.

 

Poměr proškolených zaměstnanců v oblasti kyber bezpečnosti v roce 2020

Ne každá událost vyžaduje mobilizaci celého týmu. Na méně závažné incidenty, typicky spamy či phishingové útoky, postačí automatizovaná reakce. Tým je na místě povolat, pokud se jedná o cílený útok nebo došlo k nevysvětlitelnému selhání některého systému.

Při nastavování sítě je důležité zajistit, abyste měli k dispozici všechny potřebné nástroje pro monitorování a vytváření protokolů, které umožňují sběr a analýzu dění ve vaší síti. Patří sem například nástroje na vzdálené monitorování a správu (RMM), nástroje pro správu bezpečnostních informací a událostí (SIEM), nástroje na automatizaci sladění zabezpečení a následnou reakci (SOAR), systémy detekce neoprávněných vniknutí (IDS) a systémy prevence neoprávněných vniknutí (IPS), jakož i řešení pro detekci a následnou reakci na útoky na koncová zařízení (EDR).

Všechny uvedené nástroje můžete využívat v produktech ESET, například IPS a IDS jsou už v produktech integrované.
Potřebujete poradit, jak monitoring nastavit? Obraťte se na naši technickou podporu.

Organizace, které nejsou ochotné vystavovat se jakémukoliv riziku (třeba banky či úřady), mohou navíc využívat nástroje, které budou administrátory  informovat o jakýchkoli indikátorech narušení zabezpečení.

Dostupné logy a záznamy umožní CSIRT týmu zjistit původ incidentu a najít řešení.

Vytvoření týmu pro řešení bezpečnostních incidentů (CSIRT)

Součástí preventivních opatření je také vydefinování týmu, který bude odpovědný za řešení bezpečnostních incidentů.

Menší firmy budou s největší pravděpodobností potřebovat pouze dočasný tým složený ze stávajících administrátorů. Větší firmy mohou mít permanentní tým CSIRT, který si podle potřeby přizve další IT experty (například správce databáze může pomoci analyzovat útok typu „SQL injection“).

Využít lze také poskytovatele bezpečnostních služeb. Pokud tuto variantu zvažujete, měli byste počítat s delším časem odezvy. Externí CSIRT tým může být také finančně nákladnější.

CSIRT tým musí rozuměn vaší konkrétní síti a vědět, co je pro vás normální a co neobvyklé.

Klíčovou roli hraje také management. Musí poskytovat CSIRT týmu potřebné zdroje a nástroje, ale také přijímat zásadní obchodní rozhodnutí, které vyplynou z bezpečnostního incidentu (například zvážit dopady odstávek serverů a podobně).

Důležitou podporu pro CSIRT poskytují i další zaměstnanci a týmy v celé firmě. Pracovníci IT podpory mohou pomoci tak, že vypnou a vymění servery, obnoví data ze zálohy a vyčistí je podle požadavků týmu CSIRT. Týmy právního oddělení a oddělení vztahů s veřejností jsou zase důležité při řízení komunikace o bezpečnostním incidentu s externími médii, partnery, zákazníky a/nebo orgány činnými v trestním řízení.

2. Detekce a analýza

V této fázi analytici CSIRT týmu zkoumají data a protokoly ze všech monitorovacích nástrojů, aby přesně pochopili, co se v síti děje. Cílem je zpětně vysledovat původ incidentu a identifikovat, jaké kroky bude nutné podniknout pro potlačení šíření hrozby.

Druhá a třetí fáze jsou cyklické, což znamená že CSIRT tým se může průběžně vracet k analýze logů a monitorovacích nástrojů a hledat další navazující kroky, jak následky incidentu zmírnit.

3. Zabránění šíření, odstranění a obnova

V třetí fázi se tým rozhoduje, jak zastavit další infekci. Je třeba vypnout server, izolovat koncové stanice nebo pozastavit některé služby? Zvolená strategie by měla brát v úvahu další potenciální škody, zachování důkazů a dobu trvání. Obvykle to znamená izolaci napadených systémů, segmentaci částí sítě nebo umístění příslušných zařízení do izolovaného sandboxu.

Výhodou sandboxů je, že umožňují dodatečný monitoring hrozby a shromažďování dalších důkazů. Hrozí však riziko, že napadené zařízení bude v sandboxu ještě více poškozeno.

Jakmile se podaří zastavit šíření malwaru, je třeba odstranit jej z napadených systémů. Možná bude nutné deaktivovat, zrušit nebo resetovat uživatelské účty. Je důležité opravit bezpečnostní zranitelnosti, obnovit systémy a soubory z bezpečných záloh, změnit hesla, zpřísnit pravidla firewallu atd. Veškeré kroky by měly vyplývat z analýzy, kterou si analytici provedli v druhém kroku.

Úplný návrat k běžnému provozu může, podle závažnosti incidentu, trvat i měsíce. Z krátkodobého hlediska doporučujeme zavést zvýšené nebo přesnější monitorování, aby administrátoři mohli zabránit případnému opakování stejného incidentu. Z dlouhodobého hlediska lze doporučit další změny v infrastruktuře, díky kterým bude síť bezpečnější.

4. Aktivita po incidentu

CSIRT tým by měl poskytnout rekonstrukci incidentu, včetně časových os. Tento dokument bude obsahovat informace o vektoru útoku, perzistenci malware, dotčených zařízeních a datech, ale také to jaké kroky vedly k řešení. Pomáhá to pochopit hlavní příčinu bezpečnostního incidentu a zjistit, jaké preventivní kroky je nutné v budoucnosti zavést.

Na základě toho je vhodná doba přehodnotit zavedené postupy, identifikovat nedostatky a zefektivnit stávající plán reakce na incidenty. Vedení firmy musí rozhodnout, jak se naloží s důkazy a zda bude chtít podniknout nějaké právní kroky. Většina firem si v souladu s legislativou archivuje záznamy o incidentu dva roky.

Chcete svou sadu nástrojů pro řešení bezpečnostních incidentů doplnit o produkt s účinnými vyšetřovacími schopnostmi?

Vyzkoušejte bezplatnou zkušební verzi ESET Enterprise Inspector.