Było włamanie, co dalej?

Niezależnie od zastosowanych środków i wielopoziomowych zabezpieczeń zawsze istnieje prawdopodobieństwo udanego ataku intruza. Stosunkowo mało przedsiębiorstw jest jednak przygotowanych na takie zdarzenie, najczęściej wieść o przełamaniu zabezpieczeń elektryzuje całą firmę, czasami powoduje natychmiastowe zwolnienie administratorów i różne, nierzadko kontrowersyjne działania. Choć powszechnie wiadomo jak się bronić przed atakami, to z wiedzą co należy robić w trakcie lub tuż po jego zakończeniu jest znacznie gorzej.

Niezależnie od zastosowanych środków i wielopoziomowych zabezpieczeń zawsze istnieje prawdopodobieństwo udanego ataku intruza. Stosunkowo mało przedsiębiorstw jest jednak przygotowanych na takie zdarzenie, najczęściej wieść o przełamaniu zabezpieczeń elektryzuje całą firmę, czasami powoduje natychmiastowe zwolnienie administratorów i różne, nierzadko kontrowersyjne działania. Choć powszechnie wiadomo jak się bronić przed atakami, to z wiedzą co należy robić w trakcie lub tuż po jego zakończeniu jest znacznie gorzej.

W pewnych przypadkach informacja o przełamaniu zabezpieczeń jest oczywista - włamywacz zrobił modyfikacje firmowej strony WWW, zainstalował podejrzane oprogramowanie, którego połączenia wyłapał sensor IDS/IPS, są podejrzane wpisy w logach, względnie odnaleziono odkładane pliki nieznanego pochodzenia. Praktycznie każdy doświadczony administrator od razu będzie mógł wówczas ocenić nie tylko skutki, ale też potencjalne szkody wynikające z włamania.

Niestety, nie zawsze tak jest. Najpoważniejsze ataki często mogą pozostać niezauważone, bo nie powodują spektakularnych zmian w publicznych stronach WWW, a wykorzystują ciche, niemal niezauważalne rootkity, których zadaniem jest ukrywanie obecności włamywaczy kradnących lub niepostrzeżenie zmieniających dane. Czasami samo określenie skompromitowanych obiektów jest zdaniem trudnym, zaś oszacowanie strat przekracza możliwości jednej osoby, w dodatku zwykle działającej pod presją czasu. Bywa, że wykonanie takiej analizy przekracza możliwości całego działu IT.

Wykrycie naruszenia bezpieczeństwa i przeciwdziałanie jego skutkom jest sytuacją nadzwyczajną, która wymaga wykonania dodatkowej, niestandardowej pracy. Jednocześnie nie każda firma ma plan awaryjny, który można szybko wdrożyć w takich przypadkach. Warto o tym pomyśleć, bo zaplanowanie i przećwiczenie niektórych procedur może bardzo pomóc w razie prawdziwego zagrożenia. Oprócz tego w wypadkach naruszeń bezpieczeństwa w dużych firmach przeważnie mamy do czynienia z intruzami dysponującymi dość dużą wiedzą informatyczną, zatem prawdopodobieństwo pozostawienia przez nich łatwych do wykrycia śladów włamania jest bardzo niskie. Należy też pamiętać, że niektóre decyzje zbyt szybko podjęte zaraz po wykryciu zagrożenia mogą przynieść później niepożądane skutki i właśnie dlatego warto być przygotowanym do dobrze zaplanowanego działania, bo w trakcie ataku na analizy i zastanawianie się co zrobić nie zawsze jest czas.

Jakie włamanie, przecież serwer działa!

Wiele firm jest nieświadomych zagrożenia albo bagatelizuje je – skoro serwer działa, to co przeszkadza jakiś bot sieci IRC (swego czasu bardzo częste) albo węzeł wymiany danych? Spotkałem nawet lekceważenie ewidentnych oznak kompromitacji systemu, gdzie dopiero po kilku wyraźnych prośbach administrator systemu odbudował serwer Windows NT. Serwer ten kilka dni później ponownie został skompromitowany, prawdopodobnie przez tych samych ludzi, a potem ponownie odbudowany. Cały proces powtarzał się cztery razy. Winą należy obarczyć nie tylko luki w zabezpieczeniach, nieaktualizowany system Windows, niewiedzę administratora, ale także brak wdrożenia działań zapobiegawczych. Niewiedza administratorów wynika także z trendu do obniżania kosztów – jednym ze sposobów obniżenia TCO jest zatrudnianie niedoświadczonych pracowników, obciążanie ich innymi zadaniami i oszczędzanie

na szkoleniach.

Tutaj nawet duże firmy popełniają widoczne błędy, czego dowodem było swego czasu poczytne archiwum zmodyfikowanych stron WWW, umieszczone w serwisie hacking.pl. Niektóre strony figurowały tam wielokrotnie, zaś włamywacze sygnalizowali przez zmodyfikowane dokumenty, że „odwiedzają” dany serwer regularnie od dłuższego czasu.

Ważny jest plan

Aby móc sprawnie przeciwdziałać i likwidować skutki zagrożenia, należy przygotować rozsądny plan. Jego podstawowe elementy są najczęściej określane jako tak zwana czarna szóstka:

  1. Organizacja grupy odpowiedzialnej za działania związane z naruszeniem bezpieczeństwa.
  2. Oszacowanie (choćby zgrubnie) szkód oraz ryzyka ich dalszego powstawania.
  3. Opracowanie planu powiadomienia o zdarzeniu.
  4. Rozpoczęcie działań związanych z likwidacją szkody.
  5. Przygotowanie dokumentacji zdarzenia.
  6. Wdrożenie procedury mające na celu uniknięcie podobnych zdarzeń w przyszłości.
Zorganizowanie grupy jest wbrew pozorom bardzo ważne. Działania techniczne w wielu przypadkach wykonają pracownicy działu IT, w miarę potrzeb, przy wsparciu zewnętrznych ekspertów, ale z reguły informatycy nie mają odpowiedniej wiedzy i nie są zainteresowani działaniami ściśle prawnymi, przygotowaniem odpowiednich informacji itd.

Dlatego taka grupa powinna zawierać:

  • pracowników IT odpowiedzialnych za eksploatację i wdrażanie systemów;
  • zewnętrznych ekspertów (jeśli jest to potrzebne);
  • dyrektora/kierownika ds. bezpieczeństwa, którego wiedza jest nieoceniona dla pracowników ukierunkowanych na sprawy techniczne, jak administratorzy systemu lub tych spoza działu IT, którzy nie znają się na zagrożeniach IT;
  • specjalistę zajmującego się kontaktami z zewnętrznymi podmiotami oraz przepływem informacji w firmie;
  • prawnika;
  • osobę odpowiedzialną za sporządzanie bieżącej, profesjonalnej dokumentacji oraz kontakty z pracownikami i osobami zewnętrznymi.
Grupa taka powinna podlegać wyłącznie prezesowi zarządu z pominięciem zależności służbowych. Jest to szczególnie ważne w przypadku gdy okaże się, że był to atak wewnętrzny, a sprawcą naruszenia bezpieczeństwa był wysoko postawiony pracownik firmy. W razie ataku na infrastrukturę teleinformatyczną na początku najwięcej pracy i najważniejsze zadania muszą wykonać informatycy i dyrektor ds. bezpieczeństwa.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200