Artykuł pochodzi z wydania: Maj – Czerwiec 2020
Przedsiębiorstwa w coraz większym stopniu narażane są na rosnącą falę cyberprzestępstw. Dla wielu firm priorytetem staje się zapewnienie maksymalnego bezpieczeństwa gromadzonych danych – monitoring infrastruktury IT jest zadaniem złożonym. Prześledźmy sposoby na organizację tego procesu.
Zasady bezpieczeństwa informacji w systemach informatycznych zna większość z nas. Jednak nie zawsze stosujemy praktyki pozwalające uniknąć problemów lub z wyprzedzeniem wykryć incydent. Organizacja bezpieczeństwa nie wynika jednak wyłącznie z dobrych praktyk czy norm. Coraz częściej jest rezultatem wymagań prawnych i utrudnia cały proces. Nie wystarczy już wziąć pod uwagę najlepszych praktyk. Dodane są elementy rozliczalności, niezbędne do wykazania zgodności podczas kontroli. Jednym z nich jest odnotowanie czynności przez osoby realizujące czynności wynikające z przyjętych procedur bezpieczeństwa informacji oraz tzw. cyberbezpieczeństwa. Wykorzystywanie kolektorów logów z ograniczonym dostępem dla administratorów, prowadzenie dzienników czynności administracyjnych oraz raportowanie istotnych zdarzeń wykrytych w dziennikach staje się normą.
> Kompetencje
Monitorowanie i analiza zdarzeń w systemach staje się coraz ważniejsze i – jednocześnie – jest coraz trudniejszym zadaniem dla administratorów. Niewiele instytucji oraz firm tworzy odrębne od kadry administrującej systemami zespoły zajmujące się analizą i wykrywaniem niepokojących zdarzeń w systemach. Wynika to z wielu czynników. Jednym z nich są oczywiście koszty. Utworzenie komórki, zajmującej się wyłącznie tą czynnością, rodzi wiele dodatkowych wyzwań dla HR, które (w dobie rodo) boryka się z problemem pozyskania wykwalifikowanych osób, zajmujących się bezpieczeństwem systemów. Wyodrębnienie z obecnego zespołu administratorów osób do zadań monitorowania i obsługi incydentów nakłada na organizację zapewnienie narzędzi i procedur. Aby zespół mógł działać efektywnie, należy zapewnić ponadto dostęp do wiedzy związanej z podatnościami, incydentami oraz możliwość korzystania z narzędzi, zarówno dla celów monitorowania bezpieczeństwa, obsługi incydentów, jak i zabezpieczenia dowodów w postaci elektronicznej.
Podsumujmy obecne wymagania, dotyczące osób zajmujących się analizą logów i wykrywaniem zdarzeń mogących świadczyć o wystąpieniu problemu lub naruszenia bezpieczeństwa. Po pierwsze znajomość procedur dotyczących bezpieczeństwa, a więc wiedza, co i kiedy wykrywać oraz w jakich miejscach systemu. Następnie posiadanie i znajomość narzędzi służących do kolekcjonowania i analizy logów systemu. W przypadku wykrycia podejrzanego zdarzenia zidentyfikowanie zagrożenia w odniesieniu do systemów informatycznych oraz zastosowanie rozwiązań ograniczających skutki wystąpienia tych zagrożeń. Ponadto w przypadku wykrycia szkodliwego oprogramowania zanalizowanie jego działania i określenie potencjalnych skutków dla systemu.
Prawdziwe wyzwania pojawiają się w przypadku wykrycia przełamania lub ominięcia zabezpieczeń systemu informatycznego. Osoby z odrębnego zespołu (może być to również ekspert zewnętrzny) lub administratorzy są zobowiązani do przeprowadzenia analizy powłamaniowej, wraz z określeniem działań niezbędnych do przywrócenia sprawności systemu informatycznego. W ramach tych zadań niezbędne jest zabezpieczenie informacji potrzebnych do analizy powłamaniowej, pozwalających na określenie wpływu incydentu. Aby tego dokonać, osoby wykonujące takie czynności powinny posiadać informacje z wcześniej prawidłowo skonfigurowanych systemów analizy zdarzeń w systemie. Powinny również odpowiedzieć na pytanie, na jakie rodzaje usług systemu informatycznego incydent miał wpływ. Następnie, jakiej liczby użytkowników dotyczył, oraz ustalenie momentu wystąpienia i wykrycia incydentu oraz czasu jego trwania. Kolejnym zadaniem jest określenie zasięgu incydentu, z uwzględnieniem wpływu na inne organizacje, np. dostawców oraz klientów. Na koniec pozostaje ustalenie przyczyny zaistnienia incydentu i sposobu jego przebiegu oraz skutków jego oddziaływania na systemy informatyczne. Ostatecznie zespół zabezpiecza dowody na potrzeby postępowań prowadzonych przez organy ścigania lub wynajmuje do tych działań eksperta z zewnątrz.
Problem pojawia się, gdy w niewielkiej firmie i instytucji informatyką zajmuje się najczęściej jedna bądź maksymalnie dwie osoby. Zakres obowiązków, spadający na jednego administratora, zawiera nadzór nad stacjami roboczymi, serwerami, przełącznikami sieciowymi, a także kontrolę dostępu do internetu oraz współpracę z dostawcami zewnętrznymi. Dochodzi do tego zajmowanie się głównie pracą operacyjną i gaszeniem pożarów, brak lub częściowe ograniczenia użytkowników zasadami przetwarzania, rozproszenie infrastruktury i brak centralizacji zarządzania IT oraz rozproszony i niezintegrowany system bezpieczeństwa. Niedoczas, który w takiej sytuacji się pojawia, można rozwiązać tylko w jeden sposób – określając zasady obowiązujące użytkowników oraz automatyzując zarządzanie poszczególnymi składnikami sieci. Należy przy tym uwzględnić wymagania bezpieczeństwa, które narzucają niejednokrotnie wybór określonego rozwiązania. Administratorzy, pracujący w niewielkich organizacjach, znajdą się w sytuacji, w której muszą wykorzystać przynajmniej częściowo obecnie stosowane rozwiązania i dopasować nowe zasady sieci do obecnych zadań, które niekoniecznie pozwalają na właściwe skupienie się na kwestiach bezpieczeństwa.
[…]
Artur Cieślik
Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 22301 oraz ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Konsultant Systemów Zarządzania Bezpieczeństwem Informacji.