Tri stvari koje ne smete da uradite kada dođe do bezbednosnog incidenta

Postoje 3 velike greške koje kompanije prave kada dođe do povrede bezbednosti, zato vodite računa da se i vama ne dogode.

Tri stvari koje ne smete da uradite kada dođe do bezbednosnog incidenta

Vreme je ključ – brzo reagovanje na pretnju u slučaju bilo kakvog sajber incidenta je najvažnija stvar kada je u pitanju reagovanje na bezbednosne incidente. Sudeći prema skorašnjoj studiji "Effective Incident Response Through User Activity Monitoring", organizacije i dalje prave iste 3 greške koje ih mogu koštati više miliona dolara, gubitka reputacije i tužbi. U pitanju su sledeće greške:

1. Isključivanje računara iz struje. Ukoliko napadač „prođe“ odbranu i upadne u sistem, neki misle da će isključivanje iz struje eliminisati rizik od daljeg izvlačenja fajlova i od drugih štetnih aktivnosti napadača. Da, to će možda sprečiti trenutnu aktivnost napadača, ali će organizaciju verovatno staviti u još lošiju poziciju jer biste mogli da izgubite važne poslovne fajlove pa čak i forenzičke informacije koje se čuvaju u privremenoj (volatile) memoriji. Na kraju, ako isključite struju, možda ćete upravo tako direktno doprineti da napadači nikad ne budu pronađeni.

2. Gubitak log fajlova. Računar loguje (beleži) aktivnost i podatke pre, za vreme i posle bezbednosnog incidenta. To može pomoći da se identifikuju krivci za napad i da se otkrije stvarna namera napadača. To takođe može pomoći korisniku da shvati šta je neophodno staviti pod kontrolu i koje posledice napada po IT infrastrukturu i biznis treba sanirati. Logovi mogu biti ključni forenzički dokaz ukoliko dođe do krivičnih ili civilnih tužbi, stoga ih dobro čuvajte.

3. Olako shvatanje incidenta. Svaki bezbednosni incident donosi novo iskustvo i novo znanje, bez obzira kako je do njega došlo i kakve je posledice ostavio. Analizirajte šta je bilo dobro, a šta je pošlo po zlu. Iskoristite to znanje da bolje reagujete na incidente u budućnosti.

Šta uraditi umesto ovih grešaka?

Postoje tehnologije koje vam mogu pružiti potpuni uvid u online i komunikacionu aktivnost zaposlenih i svih drugih koji imaju pristup vašim podacima, tzv. Insajdera. Ovakva tehnologija za monitoring aktivnosti će vam pomoći kod sledećih izazova:

Identifikovanje incidenata. Nije uvek lako razlikovati stvarni incident koji zahteva ozbiljnu reakciju od povremenih, benignih „šumova“. Sa tim se muče i mnogi monitoring sistemi. Zato nekada prođu meseci, čak i godine dok se ne otkrije da se dogodio ozbiljan incident. Najnoviji alati bi trebalo da vas obaveste čim detektuju sumnjivu aktivnost tako da osobe zadužene za bezbednost mogu da donesu odluku o tome šta je potrebno detaljnije ispitati.

Analiza svih relevantnih podataka o incidentu. U većini slučajeva, istražni forenzički timovi imaju pristup samo logovima iz firewalla ili drugih uređaja čiji je cilj da zaustave/ublaže napad, a ne i informacije o mogućim internim pretnjama. Ovi zapisi sadrže malo ili nimalo informacija o događajima koji se dešavaju nakon što napadači probiju liniju odbrane. Napredniji alati za monitoring omogućavaju vam pretragu višestrukih nizova u okviru specifičnih aktivnosti ili pretragu svih zabeleženih logova. Takođe, imate mogućnost i da analizirate prethodne događaje tako da tim zadužen za bezbednost može da identifikuje značajne događaje koji su im ranije promakli. Na primer, tim može brzo da identifikuje i locira bilo koje komunikacione aktivnosti koje su prvobitno smatrane bezopasnim.

Utvrđivanje ŠTA je kompomitovano. Ovo je ključno za otkrivanje motiva lica odgovornog za napad i njihovog brzog zaustavljanja. Na primer, direktori se najviše plaše da ne dođe do povrede poverljivosti podataka o kupcima, jer to je događaj koji se mora prijaviti. Međutim, događaji koji se ne moraju prijaviti mogu izazvati veću štetu ili troškove za organizaciju. Razmislite koliko bi opala prodaja ukoliko bi strateški marketing plan kompanije dospeo u ruke konkurenata ili kada bi funkcionalnost sistema bila kompromitovana. Razmislite o tome kako hakeri prevare bankare da im prebace milione dolara. Monitoring tehnologija mora da vas obavesti šta je i kada je kompromitovano.

Utvrđivanje „ko“ i „zašto“ kako bi se sprečili incidenti u budućnosti. Bitno je znati „šta“ i „kada“, ali je barem podjednako važno znati „ko“ i „zašto“. Ako je malver ušao u sistem preko računara zaposlenog, možda će bezbednosni tim isprva to tretirati kao kriminalni napad. Međutim, detaljna istraga će možda otkriti da nije bilo namere, već je recimo slučajno bio uključen bluetooth na telefonu zaposlenog preko kojeg je on komunicirao sa računarom. U tom slučaju, nema maliciozne ni kriminalne namere, a sve to bezbednosni tim može iskoristiti za obuku zaposlenih na temu šta treba izbegavati kako ne bi izazvali bezbednosne rizike.

Podaci koje dobijete preko naprednih alata za monitoring (kao što je Blabit Shell Control Box, koji prati aktivnosti na nivou celog preduzeća i kontroliše privilegovane pristupe, snima aktivnosti kao pretražive revizijske tragove koje možete da gledate kao film) vam mogu pomoći da reagujete u najkraćem mogućem roku na gotovo svaki incident. Takođe, mogu vam pomoći u sprečavaju budućih incidenata, naročito onih koji rapidno mogu naneti štetu kompaniji.

Izvor: infosecurity-magazine.com