Było włamanie, co dalej?

Im większe szkody wywołało naruszenie bezpieczeństwa, tym ważniejsze jest przygotowanie i upublicznienie odpowiedniej informacji o zdarzeniu. Są przypadki, gdy atmosfera niedopowiedzeń powoduje plotki, które mogą wyrządzić więcej szkód niż ujawnienie rzeczywistych rozmiarów problemu. Gdy intruz włamał się do komputera z mało znaczącym serwerem WWW i przeznaczył go na składnicę pirackich filmów albo bota sieci IRC, szkody z włamania są dla firmy mniejsze niż krążąca plotka o rzekomym włamaniu do najbardziej tajnej części sieci. Szczególnie dotyczy to firm, na których działalność wymaga zaufania ze strony klientów. Ponadto gdy firma przetwarza dane posiadające jakikolwiek poziom klasyfikacji, jej obowiązkiem jest powiadomienie odpowiednich służb o potencjalnym naruszeniu bezpieczeństwa tych informacji.

Zapisać ślady

Przeciwdziałanie skutkom naruszenia bezpieczeństwa nie może się obyć bez zebrania śladów. Jestem zdania, że wiele firm niedocenia wyników analiz, jakie można dokonać na podstawie zebranych, wiarygodnych informacji. A właśnie by było to możliwe, w wielu systemach typu Unix stosuje się automatyczne kopiowanie logów systemowych na inne maszyny. W niektórych firmach lub sytuacjach wykorzystuje się nawet wydruk logów, gdyż wówczas, przy pewnych warunkach, jego modyfikacje lub zniszczenie są bardzo trudne.

Zapisy w dobrze skonfigurowanym logu mogą wiele powiedzieć doświadczonemu administratorowi. Najlepszy obraz daje jednak analiza informacji z różnych źródeł. Mogą nimi być nawet tak odległe elementy systemu jak rejestrator wejść do firmy i zapisy z dziennika recepcji. Typowym przykładem jest kompromitacja serwera w sieci lokalnej. Gdy zapisy w logu udowadniają to ponad wszelką wątpliwość, zaś nie ma żadnych wpisów w logach zapory internetowej, logika nakazuje, że albo atak nastąpił przez kompromitację zapory sieciowej (co przy dzisiejszych zaporach jest coraz mniej prawdopodobne), albo intruz zaatakował serwer z sieci lokalnej, bezpośrednio (za pomocą laptopa włączonego do sieci lub złamania zabezpieczeń firmowego komputera) lub pośrednio (np. przez zainstalowany nielegalnie punkt dostępowy sieci bezprzewodowej lub modem). Gdy do danych z infrastruktury serwerowej doda się dane z rejestratora wejść w firmie oraz dziennik recepcji, można wykryć podejrzaną osobę. W takich przypadkach, w logach zapory może w ogóle nie być żadnych śladów, gdyż komputer intruza komunikował się wyłącznie z serwerem. Radą na to jest wykorzystanie technologii limitującej dostęp do sieci na poziomie przełączników sieciowych, ale mało firm to jeszcze stosuje.

Aby mieć lepszy obraz sytuacji, administrator powinien mieć możliwość zebrania w celu analizy zapisów z różnych źródeł (najczęściej do plików tekstowych w formacie sysloga).

Warto pamiętać, jakie dane trzeba zapisać:

  • logi z maszyny, która prawdopodobnie (lub na pewno) została skompromitowana. Nawet jeśli logi zostały zmanipulowane, należy je zapisać, choćby w celu porównania. Ponadto samo usuwanie wpisów logów systemowych może być dodatkowym materiałem do ścigania intruza z użyciem środków prawnych;
  • logi z centralizowanego systemu zapisu zdarzeń, osobnej maszyny, której syslog zbierał wpisy z różnych maszyn;
  • logi z zapory sieciowej;
  • zapisy z dziennika recepcji, sekretariatu;
  • informacje z systemu rejestracji wejść i wyjść;
  • kompletną listę aktywnych kart umożliwiających wejście i porównanie tej listy z listą pracowników;
  • informacje o wydrukowanych dokumentach oraz korzystaniu z kserografu;
  • informacje od pracowników o wszelkich niecodziennych zdarzeniach z tego okresu (pomocne w określeniu ataków socjotechnicznych);
  • zapisy z rejestratorów ruchu systemu alarmowego albo z kamer (jeśli są);
  • zapisy z centrali telefonicznej - informacje o połączeniach;
  • kompletną listę plików działającej maszyny wraz z ich sumami MD5 lub mocniejszymi wykonaną przy użyciu narzędzi, które na pewno nie zostały skompromitowane;
  • listę wszystkich maszyn, które mogły zostać skompromitowane przy rozpoznanym poziomie przywilejów.
Najprostszą z analiz jest określenie przedziału czasu, w którym nastąpiło zdarzenie i zebranie wszystkich innych wydarzeń z tego przedziału. Metodą eliminacji można skreślić zdarzenia całkowicie typowe dla pracy firmy. Dopiero jak się scali kilka źródeł informacji, można ocenić rzeczywiste miejsce i skalę zagrożenia.

Najtrudniejszym zadaniem jest określenie górnej granicy wiedzy włamywacza. Gdy jest to prosty atak na serwer WWW albo przełamanie niedostatecznych zabezpieczeń sieci bezprzewodowej, może to wykonać nastoletni pasjonat, choć równie dobrze mógł to zrobić ekspert. Gdy zaś bardzo skomplikowany atak został dokładnie zaplanowany z użyciem socjotechniki, prawdopodobieństwo, że zaatakował tą drogą jakiś nastoletni włamywacz, jest niewielkie. Choć w ten sposób można określić jedynie minimum posiadanych przez intruza umiejętności, to nadal jest to wiedza istotna.

Szybka kontra

Są przypadki, gdy nie ma czasu na organizowanie grupy do przeciwdziałania ani na zewnętrzne konsultacje z ekspertami. Gdy intruz kopiuje produkcyjną bazę centralnego systemu firmy zawierającą zastrzeżone dane, nie można sobie pozwolić na żadne dodatkowe analizy, po prostu należy natychmiast odciąć dostęp, rejestrując jedynie to co się da zarejestrować. W takich przypadkach nieoceniona jest wiedza i doświadczenie administratora. Doświadczony administrator będzie wiedział co zrobić w takim przypadku, czy odciąć połączenie sieciowe, czy zablokować zaporę symulując jej awarię, a może wyłączyć cały system, tak jakby wystąpiły problemy z zasilaniem.

Również jeśli atak nastąpił w nocy lub w dzień wolny od pracy, to z reguły grupa zostanie zebrana w późniejszym terminie i dopiero wówczas podejmie działania, wspomagając administratorów i oficera bezpieczeństwa.

Aby interwencja odbyła się w rozsądnych ramach, należy przynajmniej częściowo przygotować administratorów do odpowiednich działań. Dlatego powinien zostać opracowany jasny zestaw kryteriów oraz zgrubny opis niezbędnej reakcji. Nawet jeśli firma posiada bardzo skomplikowany system zabezpieczeń, warto przygotować pracowników IT na wypadek przełamania go od strony, której nie przewidzieli konstruktorzy, by mogli szybko podejmować prawidłowe decyzje na podstawie nietypowych wskazań lub informacji.


TOP 200