Postup pro případ útoku na síť

Oblast počítačové bezpečnosti, konkrétně úmyslný vnitřní nebo vnější útok na IT, je konkrétní případ bezpečnostního incidentu, který je nutné řešit. Pokud není připraven postup pro jeho nápravu, správce, který je pod velkým tlakem nemá možnost určit přesný postup. V takovém okamžiku jsou provozní a následné finanční důsledky pro společnost často podstatně výraznější. Protože cílem postupu pro řešení bezpečnostního incidentu je odhalení rozsahu kompromitace a zdroje útoku, je také nutná určitá příprava. Zpětné získávání informací po útoku je možné, ale často časově náročné a neprůkazné. Stejně jako si většina zlodějů dává pozor na otisky prstů, rozumný útočník nenechává stopy a maže dostupné záznamy. Postup v případě bezpečnostního incidentu by proto měl po uvážení respektovat přibližně následující kroky:

Příprava
Motto: Praemonitus, praemunitus (Předem varován, předem vyzbrojen).
Jedná se o přípravu systému na možnost bezpečnostního incidentu. Auditování práv uživatelů, monitorování komunikace systémů například pomocí IDS, kopírování veškerých LOG souborů a ostatních záznamů o aktivitách důležitých serverů do chráněného úložiště. Protože nejzranitelnější jsou veškeré služby nabízené do internetu, tak je vhodné aktivovat možnost záznamů událostí i na aplikační úrovni a tyto záznamy také ukládat do specializovaného systému. Mimo tyto záležitosti je možné ještě vyhodnocovat četnost a rozsah změn na souborovém systému, tyto záznamy mohou pomoci odhadnout, které systémy mohly být kompromitovány.

Detekce
Motto: Přátele si drž blízko, nepřátele ještě blíž.
V případě detekce útoku je nutné neztratit hlavu. Útoky na systémy probíhají neustále, otázkou je zda dochází k bezpečnostnímu incidentu. Bezpečnostní incident je porušení bezpečnostních pravidel a případně i neoprávněný přístup k datům. Pokud skutečně dochází k narušení ochrany, ani v tu chvíli není vhodné ukvapeně reagovat. Cílem je minimalizovat rozsah bezpečnostního incidentu. Pokud o narušiteli víte, jednou z variant pozdějšího rozhodnutí může být dostat útočníka do role nedobrovolného „testera“ Vašeho systému. Pokud neohrožuje provoz, je možné, ale jen s nejvyšší opatrností, využít jeho energii, sbírat data, kontrolovat jeho činnost. Vždy je podmínkou nedovolit útočníkovi kompromitaci nebo poškození systému.
Pokud již k narušení došlo a alespoň jeden systém je kompromitován, je nutné ochránit ostatní stroje, zjistit odkud je prováděn útok, jaký je rozsah kompromitace a vliv na provoz. V tomto případě doporučuji zálohovat veškeré záznamy o činnosti a zajistit ostatní důkazy, včetně případného svědectví zainteresovaných osob. Požadavkem je sbírat data ale pokud možno nevarovat útočníka.

Určení strategie
Motto: Ten kdo ví, kdy se pustit do boje a kdy se boji vyhnout, ten zvítězí (Sun-c’, umění války)
Po zajištění a analýze úvodních údajů je důležité se rozhodnout, jaká bude strategie. Jedná se o následující okruh témat:
-   Jaký přinos by měla mít reakce, co je jejím cílem? Přínosem může být obnovení důvěryhodnosti systému, identifikace útočníka, ale také například finanční vyrovnání mezi útočníkem a postižením.
-   Jakým způsobem bude možné znovu zajistit důvěryhodnost a případně i dostupnost kompromitovaných systémů a dat? Jakým způsobem identifikuji útočníka?
-   Bude reakce na incident ohrožovat dostupnost systému? Pokud ano, po jakou dobu?
-   Jak rozsáhlý bude sběr dat? Tato otázka má také vliv na dostupnost systémů, je proto nutné ji zodpovědět:
-   Jak bude zajištěna důvěryhodnost záznamů o útoku?
-   Poškodil útok firmu takovým způsobem, aby bylo rentabilní zjišťovat útočníkovu identitu?
-   Je možné a žádoucí k této události pozvat ke spolupráci policii?

Forenzní duplikace dat
Motto: Když se to nedá vyjádřit v číslech, není to věda. Je to názor.
Jedná se o realizaci rozhodnutí, jak sbírat data. Zde záleží na tom, zda útok již skončil nebo nadále trvá. V druhém případě je vhodnější využívat jenom data z NIDS a HIDS systémů, systémových logů a dalších záznamů, které systém pořizuje. Pokud dochází k výrazným změnám situace, jako je například napadení dalších strojů, provést i výpis paměti. Pokud IDS systém není k dispozici, je vhodné používat alespoň nástroje umožňující monitorování síťového provozu. Naproti tomu pokud již útok skončil, je možné provést nejenom výpis paměti, ale vytvořit i pro účely dalšího zkoumání kopii dat. Veškerá sebraná data je nutné zálohovat.

Pátrání
Motto: Je to prosté milý Watsone …
Analýza dat má za cíl najít mechanismus útoku. To znamená zjistit, co přesně se stalo a jakým způsobem. Podle těchto informací zjistit, jestli tomu lze v budoucnu zabránit. Další částí je pokus o vysledování zdroje a případné určení konkrétní osoby.

Implementace bezpečnostních opatření
Motto: Jakmile se zbavíme jedné chyby, objeví se další.
Jakmile je znám mechanismus útoku, je možné přistoupit k návrhu a implementaci bezpečnostních opatření. Cílem je izolovat napadené systémy a zabránit rozšíření incidentu. Bezpečnostní opatření mohou být širokého rozsahu, většinou se ale jedná o úpravy komunikačních pravidel. Podmínkou je, aby byla tato opatření trvalého rázu.

Monitorování sítě
Motto: Důvěřuj, ale prověřuj.
Po implementaci bezpečnostních opatření je nutné ověřit jejich funkčnost, tedy zda jsou skutečně vůči tomuto útoku odolné. Dále je nutné zjistit, zda došlo v rámci incidentu k nějaké reakci na změnu prostředí a dále sbírat veškerá dostupná data o útoku.

Reakce
Motto:Hardware je to, do čeho můžež kopnout, když nefunguje software.
Stroje, které byly kompromitovány, není možné již nadále považovat za důvěryhodné. Z tohoto důvodu by neměly být až do reinstalace nasazeny v prostředí, které je z provozního nebo bezpečnostního hlediska kritické. Veškerá ostatní technika, která s nimi přišla do styku, by měla být podrobena zkoumání podle zjištěných charakteristik útoku.
Pokud došlo ke kompletnímu převzetí kontroly útočníkem, takový stroj nebo stroje je nutné reinstalovat v „čistém prostředí“, to znamená z originálních médií. Následně by měla být obnovena data. Kompromitované stroje by nikdy neměly mít možnost komunikace se stroji čistými ani mezi sebou. Automatizace napadení může pokračovat i po odříznutí vnějších kanálů, což samo o sobě představuje bezpečnostní hrozbu. Oddělení vnitřních komunikačních kanálů je možné, buď na logické úrovni použitím interních firewallů, nebo na fyzické úrovni přímým odpojením od média.

Dokumentace
Motto: Žij a uč se. Nebo nebudeš žít dlouho.
Dokumentace je často podceňovanou částí bezpečnostního plánu. Jejím účelem je úprava stávajících bezpečnostních pravidel aby odpovídaly aktuálním podmínkám systému. Významnějším aspektem je získání zpětné vazby k úpravě postupu pro případ dalšího bezpečnostního incidentu.

Powered by Drupal - Design by artinet