Marek Dolobac
StoryEditor

Zažiť incident vás veľa naučí a veľmi bolestivo

25.11.2022, 00:00

Taký kybernetický incident vás posunie galaktickou rýchlosťou. Môžete sa zlepšiť, alebo padnúť do pekla. Podľa toho, koľko ste investovali a ako ste sa pripravili.

U bežných používateľov tvorí bežná pracovná stanica 100-tisíc udalostí na všetkých vrstvách. Zhluk udalostí môže prejsť do potenciálneho incidentu a z neho sa môže stať reálny incident.

Príval malvéru totiž neustáva. Napríklad iba v Esete denne zachytia tristotisíc nových vzoriek škodlivého kódu.

Odkiaľ už niet návratu

Ste v situácii, ktorá by mohla viesť k poruche, strate, núdzi alebo ku kríze vo vašej organizácii? Incidentom je aj náhla nedostupnosť služby, zníženie jej kvality alebo narušenie ochrany údajov.

Prácu Júliusa Seleckého v spoločnosti Eset si predstavte ako prvý bod kontaktu pre zákazníkov v prípade incidentov. Volajú mu, keď je zle.

Najťažší v zvládnutí incidentu je podľa neho paradoxne fakt, že musíte o incidente vedieť. „Stáva sa, že malvér vyčkáva v infikovanom zariadení tri až šesť mesiacov. V tomto prípade je základom monitoring siete a dôležitá je vizibilita.“ Musíme vedieť, čo v sieti máme a ako to chrániť.

Stále hráme o čas

Bezpečnostní profesionáli sa zhodujú, že tu má nezastupiteľnú úlohu Stredisko bezpečnostných operácií (SOC). „Analytici by mali byť schopní identifikovať, kedy ide o incident a kedy je to planý poplach. SOC je zároveň prvá hranica pri reakcii na incident,“ zdôrazňuje Radoslav Zlacký z Národnej agentúry pre sieťové a elektronické služby.

Miroslav Hlohovský zo spoločnosti Omnicon ho dopĺňa: „Kľúčové je zachytiť kritický moment.“ Ak už ide o skutočný incident a nie je to iba poplach, treba sa zamerať na elimináciu dosahu na organizáciu.

Profesionáli v kybernetickej bezpečnosti majú potom ťažkú úlohu – rozhodnúť sa v zlomku sekundy, čo je dôležité. Či platiť, alebo ani nevyjednávať. Komu čo povedať. Čo vypnúť a čo nie.

Tí, ktorí hasia

Tímy, ktoré prichádzajú v čase incidentu, obklopuje až marvelovský imidž. Napríklad v situácii, keď sú dáta zašifrované a služby nedostupné, znamenajú pre obete ransomvéru niečo ako spásu. Kľúčovými kompetenciami takýchto tímov sú digitálna forenzná analýza a reakcia na incident.

Zatiaľ čo „forenzka“ skúma systémové údaje a aktivitu používateľov a zabezpečuje digitálne dôkazy, v optimálnom prípade sa spúšťajú firemné procesy na udržanie kontinuity.

Forenzný špecialista Ivan Bacigál zo spoločnosti SecurityScorecard za ostatné roky viedol takéto DFIR tímy pri incidentoch v rôznych krajinách v celom svete. Napriek závažnosti opisuje najčastejšie situácie veľmi stručne: „Viete, aká je reakcia pri nepredvídateľných incidentoch? V malých firmách hľadajú papiere. Vo veľkých firmách hľadá papiere viacej ľudí.“

Zaplatiť alebo nezaplatiť?

Riaditeľ centra kybernetickej bezpečnosti Void SOC Soitron Martin Lohnert je rozhodne proti vyjednávaniu o výkupnom v prípade ransomvéru. Ak by sa vám aj zdalo výhodné zaplatiť, dajte si otázku, kde vaše peniaze končia a či nebudete takto financovať teroristické aktivity.

Zároveň sa môže stať, že zaplatíte a aj tak dáta nedostanete. Štatistiky tu nie sú oporou, lebo firmy nie sú ochotné hovoriť, že boli obeťou útoku. „Incident nie je hanba, lebo dokonalá obrana neexistuje. Dôležité je, ako na incident zareagujete,“ zdôrazňuje Martin Lohnert.

Preto by súčasťou prípravy každej organizácie mal byť aj prehľad, alebo už aj výber dodávateľa pre riešenie incidentov. Už v tejto fáze sa dá prihliadať na kvalifikáciu, certifikácie členov tímu a členstvo v organizáciách. Keď už máte nedostupné služby, listovať v Zlatých stránkach je neskoro.

Nepredvídateľné situácie

Bezpečnostné riziká sa dajú iba minimalizovať, nie odstrániť. Najzraniteľnejším bezpečnostným článkom je totiž človek. Sme predvídateľní, čo sa týka práce. Ale emócie a finančná situácia sa nedajú predvídať.

Podľa skúseností Ivana Bacigála sú kritickou oblasťou v súčasnosti dodávatelia. „Ani dodávatelia sa nedajú predvídať. Ak sa záškodníci nevedia dostať priamo do firmy, využívajú slabo zabezpečené prvky v dodávateľskom reťazci.“

Návody nestačia

Manažérka kybernetickej bezpečnosti Andrea Kropáčová z českého združenia CESNET sa na riešenie incidentov pozerá nielen ako na technický proces, ale aj ako na umenie komunikácie. Odporúča zvážiť, čo a kedy komunikovať vnútri organizácie, voči zákazníkom a médiám.

„Netreba vopred vystrašiť všetkých a robiť paniku. Pri podozrení na incident sa spoliehame v prvom kroku na to, že to máme urobené dobre. Ale zároveň okamžite spúšťame celý krízový mechanizmus a nepoľavujeme,“ prízvukuje Andrea Kropáčová.

Dokonalý tím na riešenie incidentov by mali tvoriť „právne gramotní technici a IT gramotní právnici“. V každom prípade by mali mať skúsenosti so správou sietí alebo systémov.

To najdôležitejšie na koniec

Najhorší mýtus je predpokladať, že pre kybernetický zločin a útočníkov nie som zaujímavý. Všetky firmy a ľudia, čo pracujú, sú zaujímaví, lebo vlastnia bankový účet a aktíva.

Musí sa teda stať incident, aby manažment veril, že je potrebné investovať do kybernetickej bezpečnosti? Funguje to, ale takáto prevencia je bolestivá. A zároveň sa nedá ani predpokladať, že vyriešenie jedného incidentu je definitívne riešenie kybernetickej bezpečnosti.

Ak má útočník dostatočné množstvo času a peňazí, je takmer nezastaviteľný. Preto sa ani o žiadnom rozpočte nedá povedať, že je konečný alebo predvídateľný

menuLevel = 1, menuRoute = hn-special, menuAlias = hn-special, menuRouteLevel0 = hn-special, homepage = false
25. november 2022 00:05