Podnieść firmę z kolan

Niejednokrotnie zdarzają się ataki, które kończą się przejęciem znaczących zasobów IT w przedsiębiorstwie. Przykładem może być niedawne przejęcie przez włamywaczy kontroli nad systemami IT w Sony Pictures. Przedstawiamy przykłady działań, jakie trzeba podjąć po podobnym zdarzeniu.

Nieuprawnione przejęcie kontroli nad firmową infrastrukturą IT przez osoby trzecie zawsze przynosi poważne skutki. Począwszy od kradzieży informacji, przez naruszenie ciągłości działania i możliwość wykonania różnych działań w imieniu pracowników, aż do utraty wartości, reputacji przedsiębiorstwa i zaufania akcjonariuszy. To ostatnie może prowadzić nawet do upadku firmy. Oznacza to, że po każdym poważnym zdarzeniu organizacja powinna opracować i niezwłocznie wdrożyć odpowiedź na nie, by minimalizować negatywne skutki ataku.

Zaorać i zasiać nowe

Dział IT w małych przedsiębiorstwach z powodzeniem może podjąć strategię odbudowy IT, wykorzystując przy tym zdobycze nowoczesnej technologii, w tym na przykład chmurę. Do zachowania ciągłości działania część usług IT można w uproszczonej formie uruchomić tymczasowo w modelu usługowym, najważniejsze systemy i aplikacje niezwłocznie przeinstalować, a dane odtworzyć z kopii bezpieczeństwa. Jeśli jest to naprawdę mała organizacja z maksymalnie kilkudziesięciu stacjami roboczymi, taki model przywrócenia normalnej pracy ma szanse powodzenia. W większej skali jest to po prostu nierealne.

Zobacz również:

Stan zerowy

Jeśli organizacja działa w dużej skali, począwszy od górnej części sektora średnich przedsiębiorstw, to zbudowanie całego środowiska od zera jest w praktyce niemożliwe. W takim przypadku dział IT musi rozpoznać stan bieżący i szacować szkody, a następnie rozpocząć proces czyszczenia firmowych zasobów z niepożądanej zawartości.

Jacek Skorupka mówi: „jeśli firma jest duża, to niestety nie da się zbudować wszystkiego od nowa. Trzeba określić co zostało przejęte, co być może zostało przejęte, a czego włamywaczom na pewno nie udało się przejąć. Ponieważ nie można sobie pozwolić na przykład na ponowne utworzenie usług katalogowych, to trzeba będzie kierować swoje działania w stronę wyczyszczenia firmowego IT z obcej aktywności. Można, a nawet trzeba wprowadzić wszystkie poprawki, zmienić wszystkie hasła, przeinstalowując przedtem kontrolery domeny. W pierwszej kolejności trzeba jednak określić bilans otwarcia oraz stan zagrożenia – czy jeszcze jest zagrożenie? Czy kanał komunikacji hakerów z firmą został odcięty? Co zostało przejęte, a co być może jest czyste? Być może nie wszystkie stacje robocze i serwery zostały przejęte przez włamywaczy. Jakie były szkody i co jest naszą największą wartością”.

Incydent pod lupą

Zanim rozpocznie się najważniejsze działania, w tym informowanie zarządu firmy i podmiotów zewnętrznych, dział IT musi rozpoznać istotę i znaczenie całego incydentu. Dopiero wtedy można podejmować działania – przedwczesne akcje nie przyniosą oczekiwanego efektu i mogą skutkować dalszymi problemami.

Łukasz Wierzbicki mówi: „Najpierw musimy poznać cały incydent i analizować na którym etapie jesteśmy. Możemy wtedy podjąć decyzję, czy już można wrócić do biznesu komunikując podjęcie działań, czy wprowadzamy całkowitą izolację. Staramy się incydent ograniczyć, przynajmniej zredukować jego rozprzestrzenianie się. Bardzo wiele zależy od tego, co zostało ujawnione na zewnątrz i jest dostępne publicznie. Musimy poznać wektor ataku, określić czy rzeczywiście był wykorzystany do samego ataku, czy służył jedynie do zmylenia tropu, określić skalę szkód a następnie opracować i wdrożyć odpowiedź. Są przypadki, gdy firma nie może od razu działać i musi rozważyć zawieszenie działalności na pewien czas. Może mieć to miejsce wtedy, gdy to, co wyciekło – na przykład dane osobowe czy numery kart kredytowych – może nieść ze sobą dużą odpowiedzialność prawną i lawinę pozwów sądowych. Zarząd musi także wiedzieć czy powrót do działalności nie oznacza konfliktu z prawem”.

Sztab mózgów kryzysowych

Poważny atak nie pozostaje bez wpływu na pracę specjalistów do spraw bezpieczeństwa, którzy będą mieli bardzo dużo pracy. Z drugiej strony właśnie wtedy ich umiejętności są bardzo cenne i nie powinni oni się zajmować sprawami, które może wykonać ktoś inny. Aby taki sztab działał możliwie sprawnie, należy rozważyć wsparcie podmiotów zewnętrznych.

Patryk Puliński mówi: „mnóstwo ludzi zapomina, że przy poważnym ataku mamy do czynienia z kryzysem. Firma musi uruchomić proces zarządzania kryzysowego po to, by specjalista do spraw bezpieczeństwa mógł się skupić na pracy, a nie na informowaniu. W tym czasie ktoś musi zarządzić firmą i jej komunikacją. Równolegle ściągnąłbym zewnętrznych specjalistów od informatyki śledczej, a być może ludzi z CERTu branżowego lub nawet rządowego. W takiej chwili nie warto oszczędzać, bo skutki zaniedbań mogą być ogromne: finansowe, reputacyjne, do upadku firmy włącznie”.

Podobnie uważa Jacek Skorupka i mówi: „przy poważnych atakach zawsze warto rozważyć pomoc. Przy odpowiedzi na włamanie w firmie RSA pracowała amerykańska agencja FBI. Duża firma przy poważnym zagrożeniu może z powodzeniem skorzystać ze wsparcia agencji rządowych. Musimy pamiętać, że nawet największe firmy mogą upaść lub radykalnie stracić na wartości, historia biznesu zna takie przypadki”.

Czy przeinstalowywać wszystkie stacje robocze?

Przy dużych firmach, operujących skalą korporacji, założenie, że hakerzy zainfekowali wszystkie komputery, może być błędne. Włamywaczom może utrudniać działanie nawet sama skala organizacji, skomplikowane struktury IT, a także liczba urządzeń, nad którymi musieliby mieć pełną kontrolę w tym samym czasie. W małej firmie dysponującej setką stacji roboczych, da się przejąć od razu wszystkie z nich, ale przy dużej korporacji ta sama operacja jest bardzo trudna. W praktyce okazuje się, że w dużej firmie nieraz całe działy pozostają nietknięte mimo to, że hakerzy chwalili się przejęciem wszystkich zasobów. Celem wielu ataków jest przejęcie administratora domeny, gdyż taki atak daje dostęp do wszystkich zasobów Windows w danej domenie. Mimo przejęcia konta administratora domeny nie zawsze trzeba będzie przeinstalowywać wszystkie stacje i serwery.

Jacek Skorupka wyjaśnia: „W takim przypadku skupiłbym się na zasobach i sprawdził, czy narzędzie do zarządzania stacjami roboczymi i aplikacjami oraz poprawkami nie zostało zarażone złośliwym oprogramowaniem, które następnie rozpropagowało się tą drogą na stacje robocze. Nie przeinstalowywałbym stacji roboczych, bo to jest w praktyce niemożliwe. Doraźnie odciąłbym wroga, blokując mu komunikację, a następnie rozpoznałbym jego działanie i usuwał go ze stacji roboczych za pomocą odpowiednich narzędzi”.

Oczywiście strategia zależy od metod, celu i środków ataku. Włamywacze często instalują złośliwe oprogramowanie, które coś wysyła na zewnątrz. W ostateczności należy całkowicie odciąć połączenie do Internetu i przeprowadzić analizę ruchu, równolegle analizując malware znaleziony na stacjach roboczych w firmie. Po uzyskaniu choćby podstawowych informacji na temat złośliwego oprogramowania, administratorzy systemów będą mogli stosunkowo szybko usunąć taki niepożądany dodatek.

Poznać i odciąć wroga

W większej skali uruchomienie całego środowiska IT od zera jest praktycznie niemożliwe, skontrolowanie wszystkich urządzeń – bardzo trudne. Nie można zatem natychmiast usunąć wszystkich zmian i pozbyć się od razu całego złośliwego oprogramowania. O wiele niższy poziom ryzyka dla firmy prezentuje malware, które jest odcięte od wszelkiej komunikacji – i tę zasadę należy wykorzystać.

Marcin Kobyliński mówi: „zwróćmy uwagę na wielkość i skalę zdarzenia. W każdym biznesie należy ustalić, co jest największą wartością firmy, bo nie zawsze są to dane klientów, czy numery kart kredytowych, może być nią know-how. Mogą to być na przykład bankowe systemy core, do których włamanie skutkuje przeprowadzeniem nieautoryzowanych transakcji finansowych. Jeśli zniszczeniu uległa większość aktywów informacyjnych firmy, możemy mówić o poważnej klęsce. W praktyce jednak nie tracimy wszystkiego od razu, zatem musimy podjąć działania w celu zastopowania sekwencji zdarzeń, które do tej klęski prowadzą i choćby doraźne zatrzymanie złośliwej działalności. Niekiedy można taką działalność zablokować w prosty i niskokosztowy sposób, dodając odpowiednią regułę na firewallu aplikacyjnym. Trzeba tu jednak poznać działanie malware'u. Jako ciekawostkę prześledziłbym sposób postępowania atakującego, by powtórzyć jego działania, a następnie przywrócić organizację do minimalnego stanu, który pozwala na jej pracę. Jeśli na przykład do infekcji stacji roboczych wykorzystano system aktualizacji Windows, to użyłbym tego samego mechanizmu do wyczyszczenia tych samych stacji ze złośliwego oprogramowania”.

Rafał Hencel mówi: „zacząłbym od analizy złośliwego oprogramowania. To jest bardzo ważne. Jeśli całe środowisko początkowo jest niepewne, ale poznamy mechanizm malware'u na przykładzie pięciu komputerów wysłanych do pięciu różnych firm zajmujących się informatyką śledczą, to szybko powstanie odpowiednia szczepionka, by odkazić resztę systemów. To się da zrobić, nawet najbardziej zaawansowane wirusy nie są nieskończenie skomplikowane”.

Komunikacja w firmie

W sytuacji kryzysowej, a taką jest poważny atak hakerski i przejęcie wielu systemów, kluczową rolę odgrywa bezpieczna komunikacja między zarządem i dyrekcją wyższego szczebla. Do tego celu niezbędne będzie niewielkie środowisko, które na pewno nies zostało przejęte. Tę część infrastruktury można szybko wykreować.

Rafał Hencel wyjaśnia: „W pierwszej kolejności stworzyłbym sterylne środowisko do komunikacji między dyrekcją, jednostkami, prezesami, czy firmami współpracującymi. Zakupiłbym nowe telefony i laptopy, od różnych dostawców i operatorów, z nowymi numerami, które nie następują po sobie. Laptopów nie należy dołączać do domeny, korzystając przy komunikacji jedynie z osobnej sieci. W ten sposób zarząd firmy będzie mógł komunikować się w bezpieczny sposób”.

Komunikat na zewnątrz

Po każdym poważnym ataku hakerskim zazwyczaj następuje publikacja informacji – grupy hakerskie przyznają się do organizacji ataku i chwalą się tym, co zrobili. Z drugiej strony opinia publiczna nie wie, co naprawdę dzieje się w atakowanej organizacji. Odpowiednio przygotowana komunikacja może radykalnie pomóc firmie, a niewłaściwa lub jej brak pozostawia organizację na niełasce grup hakerskich.

Jacek Skorupka wyjaśnia: „Ludzie nie wiedzą, co się dzieje za kurtyną. Usłyszą tyle, ile im powiemy. Nawet jeśli hakerzy powiedzą, że zmienili tapetę na komputerze prezesa i ukradli X gigabajtów danych, bitwa jeszcze nie jest przegrana. Musimy oszacować, co najwyżej udało się osiągnąć włamywaczom i wykorzystać tę wiedzę, by wytrącić argumenty hakerom, którzy zwykli co pewien czas podawać kolejne detale. Jeśli w odpowiedzi na atak firma się przyzna, że rzeczywiście skradziono nam A i B, być może także C, ale ma plan naprawczy, to wyjdzie z takiej walki z mniejszymi szkodami niż przy bezpośrednim starciu, w którym co pewien czas hakerzy będą przedstawiać kompromitujące informacje. Być może trzeba wyciągnąć konsekwencje personalne, ze zmianami w składzie zarządu włącznie. Jasna komunikacja o szkodach i planach naprawczych wytrąca przeciwnikowi broń z ręki”.

W oczach specjalistów do spraw bezpieczeństwa atak hakerski jest tylko jednym z zagrożeń, ale opinia publiczna traktuje to jako bardzo poważny problem, niezależnie od rzeczywistych skutków udanego włamania. Od najpoważniejszego ataku gorsze jest tylko wrażenie, że organizacja nie wyciąga wniosków z poprzednich porażek. Jeśli nie uczy się na błędach, traci nie tylko dobre reputację, ale także sympatię społeczności. Bez niej dziś nie można sobie wyobrazić dalszego rozwoju. Jednym ze sposobów zakomunikowania może być wyciągnięcie konsekwencji personalnych na wysokim szczeblu i na przykład zmiana w zarządzie firmy. Zmiana osób bezpośrednio odpowiedzialnych za IT nie przynosi oczekiwanego skutku.

Rafał Hencel uważa, że dobra odpowiedź przyniesie korzyści firmie i mówi: „Liczy się dłuższa perspektywa. Wygrana z takim atakiem umożliwi przekucie porażki w sukces. Mówimy – to prawda, upadliśmy, ale już naprawiliśmy szkody i pokazaliśmy w ten sposób klasę. Będzie to swoista ucieczka do przodu, a doświadczenie uczy, że może być to skuteczna taktyka. Trzeba jeszcze zdobyć przychylność za pomocą rozsądnych działań. Ludzie niechętnie patrzą na firmę, która z nimi walczy metodami prawnymi i technicznymi w postaci zabezpieczeń DRM i koni trojańskich na płytach. Społeczności nie da się łatwo kupić, a ich przychylność trzeba zbudować innymi metodami. Przykładem dla Sony mogłoby być zbudowanie projektu w modelu open source, by pasjonaci mogli pisać własne oprogramowanie do uruchomienia na konsolach i nie musieli przy tym łamać żadnych zabezpieczeń. Każda firma powinna rozważyć podobny plan, gdyż w sytuacji krytycznej przychylność społeczności może mieć bardzo duże znaczenie”.

Monolit czy zestaw wysp?

Żadna, nawet najbardziej zorganizowana korporacja dużej wielkości nigdy nie jest monolitem i często obejmuje ona różne spółki lub grupy funkcjonalne, wzajemnie ze sobą współpracujące. Jeśli tych departamentów i oddziałów jest dużo, to mimo bardzo poważnego ataku, prawdopodobnie istnieją wyspy, do których ten atak nie dotarł.

Piotr Filip Sawicki wyjaśnia: „duża korporacja często staje się zestawem oddzielonych wysp, nawet jeśli są one połączone wspólnym mechanizmem uwierzytelnienia. Nawet jeśli włamywacze przejęli las domen Active Directory, to mogą istnieć takie wyspy, do których wszystkie skutki włamania nie dotarły. Z drobnych nieskompromitowanych kawałków będzie można zbudować sterylne środowisko, które mogłoby przejąć fragment działalności pozostałych części firmy, ewentualnie przejmując na ten czas pracowników. Wtedy jedna wyspa może objąć przykładowo HR, druga finanse ze wszystkich spółek. Ma to sens szczególnie w tych częściach, gdzie core business firmy nie stanowi IT”.

VII Forum Bezpieczeństwa i Audytu IT SEMAFOR 2015

Zapraszamy na VII Forum Bezpieczeństwa i Audytu IT SEMAFOR 2015, które odbędzie się 26-27 marca 2015r. w Warszawie. Członkami rady programowej tej konferencji są między innymi:

Jacek Skorupka – Menedżer ds bezpieczeństwa i ciągłości działania w Citibank International PLC

Łukasz Wierzbicki – starszy analityk IS, COB & Controls, Citi Handlowy

Patryk Puliński – specjalista do spraw bezpieczeństwa IT i ciągłości działania w AXA Polska

Marcin Kobyliński – menedżer do spraw bezpieczeństwa IT w Państwowej Wytwórni Papierów Wartościowych

Piotr Filip Sawicki – wewnętrzny audytor IT oraz bezpieczeństwa IT w Ministerstwie Spraw Zagranicznych

Rafał Hencel – specjalista do spraw bezpieczeństwa BGŻ

Restrukturyzacja

Niekiedy tak poważne zdarzenie można wykorzystać do równie poważnego działania, jakim jest restrukturyzacja firmy. Bardzo poważne cięcia, które w normalnych warunkach powodowałyby ujemne skutki biznesowe, w obliczu zagrożenia mogą być przyjęte pozytywnie.

Piotr Filip Sawicki wyjaśnia: „w dużych korporacjach mogą istnieć niedochodowe działy, które były dotąd utrzymywane z racji na dobre imię firmy. Jeśli celem była firma popularnie określana jako kolos o glinianych nogach, to po ataku zarząd ma okazję, by okroić przedsiębiorstwo do zdrowych części. W ten sposób można utworzyć nowe jądro firmy po to, by za kolejne kilka lat znowu stać się potęgą”.