Kradzież informacji, backdoor, haktywizm, APT, to wszystko wiele i zarazem nic nie znaczące slogany, które w ostatnim czasie przewijają się przez wszystkie tytuły gazet. Poczucie zagrożenia, które odczuwamy w odniesieniu naszych cennych danych powoduje, że co rusz zastanawiamy się, czy aby na pewno jesteśmy dobrze zabezpieczeni.

Z Przemysławem Krejzą, Dyrektorem ds. Badań i Rozwoju Mediarecovery, CISSP i EnCE, ekspertem w zakresie informatyki śledczej i bezpieczeństwa IT rozmawia Damian Kowalczyk.

Dlaczego systemy bezpieczeństwa w organizacjach są zawodne?

Bezpieczeństwo informacji należy oceniać przez pryzmat ryzyka – nie sposób jest zabezpieczyć się przed każdym możliwym zagrożeniem, bo to kosztowałoby po prostu zbyt dużo. Każdy z nas odpowiedzialnych za bezpieczeństwo informatyczne w organizacjach, wie jak trudno jest zbudować uzasadnienie biznesowe dla czysto hipotetycznego zagrożenia. Oczywiście w naszym zarządzie istnieje świadomość, że przysłowiowe „włamania” są możliwe, jednak na pytanie: „ile mieliśmy takich problemów?” zwykle musimy odpowiedzieć: „no, jeszcze nie mieliśmy (prawdopodobnie)”. Nie bez znaczenia jest również wiara w szeroko pojęty antywirus. A nawet Brian Dye, wiceprezes Symantec – jednej z najbardziej znanych firm antywirusowych, powiedział niedawno, że czas posłać tego typu zabezpieczenia na emeryturę.

Hierarchia procesow w ramach systemu Security Operations Center (SOC).Z drugiej strony wiemy, że najsłabszym ogniwem naszych systemów bezpieczeństwa są ludzie. Jeśli spojrzymy na statystyki lub przeczytamy key studies dużych incydentów, dowiemy się, że w większości przypadków zawiódł człowiek. Można by powiedzieć, że „w każdym z nas jest hacker” – poprzez swoje zaniedbania, podatność na socjotechnikę, czy zwykłą niewiedzę, niejako własnymi rękami otwieramy drzwi, którymi wchodzi atakujący.

Oczywiście możemy zwiększyć ilość systemów bezpieczeństwa i lepiej wyszkolić pracowników. Nie to jest jednak zasadniczą przyczyną zawodności systemów bezpieczeństwa. Prawdziwy problem tkwi głębiej – brak centralizacji zarządzania bezpieczeństwem nie daje właściwego poglądu sytuacyjnego na istniejące zagrożenia. Za całość bezpieczeństwa informacji zwykle odpowiada kilka zespołów, które często nawet nie wiedzą o swoich problemach. IT „widzi swoje”, sieciowcy „swoje”, ryzyko „swoje”, itd. Brak jest jednego spojrzenia na nasze aktywa. To właśnie jest najsłabszy punkt systemów bezpieczeństwa.

Co możemy zrobić w takiej sytuacji?

To co możemy zrobić to lepiej wykorzystywać to, czym dysponujemy poprzez zbudowanie świadomości sytuacyjnej stanu bezpieczeństwa w naszej organizacji. Koncepcja Security Operations Center (SOC), w uproszczeniu, sprowadza się do powiązania ze sobą różnych systemów w celu „zbudowania wiedzy”. Agregowanie dostępnych informacji w jednym miejscu i ich korelacja pozwala odnaleźć szereg problemów związanych z bezpieczeństwem, które do tej pory były niezauważalne. Powiązanie ruchu sieciowego z tym co dzieje się na stacji może np. ujawnić szkodliwe oprogramowanie, które ukrywa się w naszym systemie.


Czy tego nie załatwia SIEM?

Nie mówimy tu o klasycznym SIEM (Security Information and Event Management). Wielu ekspertów mówiąc o SOC, w rzeczywistości ma na myśli właśnie tego typu system. SIEM jest oczywiście ważnym składnikiem całości jednak tu potrzebne jest coś więcej. SOC to koncepcja organizacji samouczącej się w której poszczególne komponenty systemu bezpieczeństwa – antywirus, IDS/IPS, firewall, itd. – dostarczają informacji do centralnego systemu zarządzania. Aby to jednak miało sens, muszą w nim funkcjonować odpowiednie role organizacyjne w ramach spójnego zespołu. Zadaniem SOC jest dostarczenie dla każdej z ról pełnego ale tylko niezbędnego poziomu informacji. Najważniejszy jest tu manager SOC, który ma pełną świadomość problemów na podstawie statusów systemów, stanu zarządzania incydentami i wiedzy o obciążeniach zespołów. Priorytet zarządzania zależny jest od wartości biznesowej, zasobów objętych konkretnymi zdarzeniami, a uporządkowany mechanizm komunikacji z IT czy sieciowcami, pozwala menedżerowi na koordynowanie ich działań. SOC jest więc nie tylko rozwiązaniem technicznym ale i organizacyjnym.

Punkt ciężkości SOC odnosi się do decyzji w zakresie reakcji. Dostarczane do systemu dane muszą być na tyle precyzyjne aby zespół reagowania czy też informatyki śledczej mógł dotrzeć do źródła problemu. Tu zwykły SIEM, operujący głównie na metadanych, z reguły przestaje być wystarczający. Im więcej informacji jest dostępnych bezpośrednio, tym reakcja będzie skuteczniejsza. Zespół reagowania może potrzebować dostępu do wszystkich warstw ruchu sieciowego, pamięci stacji roboczych, itd. Oczywiście wszystko zgodnie z zasadami informatyki śledczej – a więc, z możliwością przedstawienia dowodów w sądzie.

 

Brzmi to na skomplikowany i kosztowny proces…

Decyzja o centralizacji bezpieczeństwa w centrum operacyjnym nie jest łatwa. Model o którym powiedziałem wcześniej, wymaga pewnych zmian organizacyjnych, a przede wszystkim ewolucji modelu myślenia. Jednak odpowiednie zaplanowanie tego procesu pozwala na przeprowadzanie zmiany stopniowo, z wykorzystaniem dostępnego zespołu i istniejących komponentów systemu bezpieczeństwa. Również decyzje zakupowe mogą być odłożone w czasie, a co więcej bardziej świadome bo oparte o zgromadzoną w SOC wiedzę o incydentach.

Od czego powinniśmy zacząć?

Pierwszym krokiem do podjęcia decyzji czy SOC powinien zadziałać w organizacji jest oczywiście ocena wartości biznesowej przetwarzanych informacji, istniejących wymogów prawa, itd. Podzielam zdanie Nicka Bradleya z IBM, który zaleca rozważanie najgorszych hipotetycznych scenariuszy. Jeśli skutki możliwych naruszeń bezpieczeństwa mogą wywołać poważny kryzys – SOC będzie nieunikniony w przyszłości.

Kolejny krok to powołanie managera SOC w osobie dyrektora ds. bezpieczeństwa informacji (CIO), w celu ustalenia w nim odpowiedzialności wykonawczej. Pierwszą inicjatywą powinien być przegląd dostępnych systemów i możliwości pozyskiwania z nich wiedzy. Celem tych działań powinno być zbudowanie świadomości sytuacyjnej. Fundamentem programu SOC jest uporządkowanie pełnego wykazu aktywów informacyjnych. Wiele firm nie przywiązuje do tego wielkiej wagi, traktując system IT jako jedność. A przecież wiemy, że niektóre serwery czy stacje robocze posiadają cenniejsze informacje. Inwentaryzacja aktywów jest trudna choć wymaga tego chociażby norma ISO 27001.

Techniczne funkcjonowanie SOC powinno być oparte o SIEM. Dobre rozwiązanie tego typu powinno zapewnić w przyszłości możliwość podziału ról zespołów, zgodnie z tym o czym mówiłem wcześniej. Szczególnym nacisk przy wyborze rozwiązania powinien być położony na możliwość szybkiego dotarcia do źródła problemu na wypadek incydentu.

Funkcjonalność SOC powinna dążyć do maksymalizacji ilości informacji na temat bezpieczeństwa; ich gromadzenia i przechowywania, nawet jeśli nie ma możliwości bieżącej analizy. Często retencja danych w komponentach systemu bezpieczeństwa nie przekracza tygodnia lub dwóch. To powoduje, że jeśli firma wykryje naruszenie, nie ma możliwości zbadania problemu. Nawet dane z pozoru zbędne mogą okazać się przydatne w trakcie analizy incydentu. Ważne również, aby dane te były dostępne szybko. Te aspekty powinny być brane pod uwagę przy wyborze rozwiązań.

Czy utrzymanie SOC jest kosztowne?

Tak jak mówiłem SOC jest raczej ewolucją niż rewolucją i może wymagać jedynie reorganizacji. Może się jednak zdarzyć, że budowanie świadomości sytuacyjnej bezpieczeństwa doprowadzi do wniosku, że któryś z obszarów nie jest pokryty. Niewiedza ta może prowadzić do przeoczenia pewnych zagrożeń. Konieczne może być wówczas zaplanowanie dodatkowych komponentów systemu bezpieczeństwa. Kluczem do decyzji powinno być lepsze monitorowanie ale w odniesieniu do tego jakie dane i systemy muszą być chronione a nie jakie są możliwość danego produktu.

Możliwe jest również rozważenie czy nie powierzyć części zadań na zewnątrz. Decyzje w tym zakresie są zależne są od zakładanych negatywnych scenariuszy. Niektóre role zespołów, np. informatyka śledcza może być skutecznie realizowana w ramach umów outsourcingowych.

Jakie jeszcze mamy korzyści z SOC?

Dobry system bezpieczeństwa zorientowany jest na samodoskonalenie. Oznacza to, że każda sytuacja kryzysowa powinna pozwolić na bycie lepszym w przyszłości. Security Operations Center poprzez zorientowanie na wyjaśnianie incydentów pozwala na unikanie kryzysów i wyciąganie wniosków z występujących problemów. Świadomość sytuacyjna dostarczana poprzez wiedzę z istniejących systemów bezpieczeństwa pozwala łatwo określić stan normalności, a każde odchylenie od tego stanu, wywołane nawet przez całkowicie nieznane zagrożenie będzie w SOC zauważalne. Uporządkowane role zespołów powodują, że w takiej sytuacji każdy będzie wiedział co robić.

Z drugiej strony SOC dostarczy nam wiedzy niezbędnej do zarządzania ryzykiem. Pozwali na tworzenie lepszych uzasadnień dla biznesu i świadome budowanie systemu bezpieczeństwa, poprzez wdrażanie nowych komponentów w ramach SOC.

Dziękuję za rozmowę.