Było włamanie, co dalej?
- Piotr Matuszewski,
- 12.06.2007
Naprawianie błędów
Gdy samo naruszenie bezpieczeństwa jest już historią, należy wyciągnąć z niego wnioski. Po pierwsze należy niezwłocznie podjąć odpowiednie działania minimalizujące ryzyko ponownego podobnego zdarzenia razem z naprawą szkód. Tutaj najczęściej przytaczaną zasadą jest to, że najpierw należy niwelować luki, których skutki są najpoważniejsze. Nie liczy się ilość luk w bezpieczeństwie firmy, ale ich waga i potencjalne skutki. Celowo pomijam detale techniczne, bowiem naruszenie bezpieczeństwa może dotyczyć nie tylko infrastruktury teleinformatycznej.
Działań może być wiele, ale należy zwrócić uwagę na to, by najważniejsze z nich były podjęte możliwie szybko. W tym celu należy:
- wydzielić strefy, w których występują najpoważniejsze niedostatki;
- każdej strefie znaleźć najsłabsze punkty i dla nich opracować działania zapobiegawcze;
- działania te pogrupować pod względem zarówno szybkości wprowadzenia, jak i potencjalnej skuteczności;
- mając gotową listę wdrożyć najważniejsze z nich w pierwszej kolejności;
- dokonać analizy wprowadzonych działań i na podstawie wyników ewentualnie skorygować listę.
Typowa dla niektórych firm decyzja o natychmiastowym zwolnieniu administratorów odpowiedzialnych za zabezpieczenia serwerów może się okazać poważnym błędem, gdyż:
- Nikt nie zna serwerów tak dobrzejak administrator.
- Nie każdy atak jest spowodowany błędem administratora - istniejątak zwane ataki dnia zerowego,poza tym często za niedostatki w bezpieczeństwie jest odpowiedzialny producent systemu operacyjnego, aplikacji lub urządzenia. Bywa też, że administrator jest poważnie ograniczany decyzjami swoich przełożonych, które uniemożliwiają zastosowanie dodatkowych mechanizmów zabezpieczeń.
- Równie dobrze za naruszenie bezpieczeństwa może być odpowiedzialny przełożony lub inna osoba, nawet wysoko postawiona w strukturze organizacyjnej przedsiębiorstwa.
- Wdrożenie do pracy nowych administratorów wymaga czasu, a intruz w tym czasie działa praktycznie bez żadnej kontroli - gdy opanuje maszynę (lub maszyny), prawdopodobnie zainstaluje rootkita, a także dokona maksymalnej, możliwej elewacji przywilejów do kompromitacji całej domeny włącznie - znający system administrator ma szansę skutecznego i szybkiego przeciwdziałania.
- Odzyskiwanie stanu bezpieczeństwa w przypadku opanowanego systemu jest znacznie trudniejsze niż wtedy, gdy atak został sprawnie przerwany.
- Administrator zna pracę systemu w stanie nieskompromitowanym - zatem niektóre zależności będą dla niego oczywiste. Pracownik z zewnątrz musi dopiero je poznać - a to trwa i kosztuje.