Computerworld.pl
 
  1. Strona główna
  2. Porady
  3. Było włamanie, co dalej?

Było włamanie, co dalej?

Naprawianie błędów

Gdy samo naruszenie bezpieczeństwa jest już historią, należy wyciągnąć z niego wnioski. Po pierwsze należy niezwłocznie podjąć odpowiednie działania minimalizujące ryzyko ponownego podobnego zdarzenia razem z naprawą szkód. Tutaj najczęściej przytaczaną zasadą jest to, że najpierw należy niwelować luki, których skutki są najpoważniejsze. Nie liczy się ilość luk w bezpieczeństwie firmy, ale ich waga i potencjalne skutki. Celowo pomijam detale techniczne, bowiem naruszenie bezpieczeństwa może dotyczyć nie tylko infrastruktury teleinformatycznej.

Działań może być wiele, ale należy zwrócić uwagę na to, by najważniejsze z nich były podjęte możliwie szybko. W tym celu należy:

  • wydzielić strefy, w których występują najpoważniejsze niedostatki;
  • każdej strefie znaleźć najsłabsze punkty i dla nich opracować działania zapobiegawcze;
  • działania te pogrupować pod względem zarówno szybkości wprowadzenia, jak i potencjalnej skuteczności;
  • mając gotową listę wdrożyć najważniejsze z nich w pierwszej kolejności;
  • dokonać analizy wprowadzonych działań i na podstawie wyników ewentualnie skorygować listę.
Brak działań zapobiegawczych jest poważniejszym błędem niż dopuszczenie do powstania luk. Gdy proces usuwania niezgodności powstałych po naruszeniu bezpieczeństwa działa prawidłowo, po każdym ataku (udanym lub nie) wzrasta bezpieczeństwo firmy. Pozostawienie luki w bezpieczeństwie zapory lub serwera jest jednym z najpoważniejszych błędów, bowiem wieści na temat przełamanych zabezpieczeń potrafią rozchodzić się bardzo szybko. Wtedy znacząco wzrasta ilość włamywaczy korzystających z otwartej drogi.

Wyciąganie konsekwencji

Typowa dla niektórych firm decyzja o natychmiastowym zwolnieniu administratorów odpowiedzialnych za zabezpieczenia serwerów może się okazać poważnym błędem, gdyż:

  1. Nikt nie zna serwerów tak dobrzejak administrator.
  2. Nie każdy atak jest spowodowany błędem administratora - istniejątak zwane ataki dnia zerowego,poza tym często za niedostatki w bezpieczeństwie jest odpowiedzialny producent systemu operacyjnego, aplikacji lub urządzenia. Bywa też, że administrator jest poważnie ograniczany decyzjami swoich przełożonych, które uniemożliwiają zastosowanie dodatkowych mechanizmów zabezpieczeń.
  3. Równie dobrze za naruszenie bezpieczeństwa może być odpowiedzialny przełożony lub inna osoba, nawet wysoko postawiona w strukturze organizacyjnej przedsiębiorstwa.
  4. Wdrożenie do pracy nowych administratorów wymaga czasu, a intruz w tym czasie działa praktycznie bez żadnej kontroli - gdy opanuje maszynę (lub maszyny), prawdopodobnie zainstaluje rootkita, a także dokona maksymalnej, możliwej elewacji przywilejów do kompromitacji całej domeny włącznie - znający system administrator ma szansę skutecznego i szybkiego przeciwdziałania.
  5. Odzyskiwanie stanu bezpieczeństwa w przypadku opanowanego systemu jest znacznie trudniejsze niż wtedy, gdy atak został sprawnie przerwany.
  6. Administrator zna pracę systemu w stanie nieskompromitowanym - zatem niektóre zależności będą dla niego oczywiste. Pracownik z zewnątrz musi dopiero je poznać - a to trwa i kosztuje.
Dlatego najczęściej warto zaczekać na wyniki pracy administratora, a potem grupy zajmującej się przeciwdziałaniem, zanim się podejmie jakiekolwiek decyzje prawne. niezwłoczne zwolnienie administratora ma sens, jeśli ponad wszelką wątpliwość stwierdzi się, że brał udział w naruszeniu bezpieczeństwa lub nie wykonywał uzasadnionych poleceń przełożonego.

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas