Żona w bezpieczeństwie czyli wszystko sprowadza się do danych

Informatyka śledcza w bezpieczeństwie IT to trochę jak żona w małżeństwie. Dostrzega i widzi więcej, analizuje dane, łączy fakty, wyciąga wnioski i wygrzebuje sprawy, o których szanowny małżonek dawno już nie pamięta, a może nawet nie ma świadomości, że miały miejsce.

Każdy mąż bywa tym momentami przytłoczony. Lecz nawet jeśli panowie świetnie poradziliby sobie zostając singlami to z całą pewnością bez swoich partnerek ich życie nie byłoby tak pełne sukcesów i zadowolenia, jak w ich towarzystwie. Małżonkowie się dopełniają i uzupełniają. Podobnie wygląda to w naszej branży – bezpieczeństwie IT. Wbrew powszechnemu przekonaniu informatyka śledcza nie jest narzędziem dedykowanym wyłącznie dla służb i policji. To efektywny i przydatny element każdego środowiska IT Sec. To jego dopełnienie. Coraz częściej w ramach departamentów bezpieczeństwa, zespołów CERT czy CISRT tworzą stanowiska dla specjalistów informatyki śledczej. I nie są to odosobnione przypadki lecz staje się to nowym, rozwijającym się trendem.

Wynika to z faktu, że dotychczasowe polityki bezpieczeństwa skupiające się wyłącznie na systemach zabezpieczeń przestały się sprawdzać. Praktyka wskazuje, że żaden z systemów bezpieczeństwa IT nie jest w stanie zapewnić 100% bezpieczeństwa, a dane, informacje stały się bardzo cenną walutą. Dane to nie tylko te, które przychodzą w pierwszej myśli do głowy czyli finansowe, biznesowe, strategiczne, marketingowe, projektowe, osobowe, technologiczne czy tzw. własność intelektualna. Na danych oparte jest całe IT.

Atak hakerski to informacje cyfrowe. Alerty z ISP, firewalla czy SIEM to informacje cyfrowe. E-mail, dokument Word czy Excel, połączenie komunikatorem, zdjęcie, film, raport z systemu antyspamowego to przy niskopoziomowym podejściu zera i jedynki.  I tu na scenę wchodzi żona. Żadna z gałęzi informatyki nie jest tak blisko z danymi, jak informatyka śledcza. To na ich analizie, dostępie w głębokie czeluści sieci, serwerów, endpointów, systemów, aplikacji, a ostatnio nawet urządzeń IoT opiera się informatyka śledcza.

Praktyczny przykład wykorzystania informatyki śledczej

Żeby lepiej zobrazować problem posłużymy się przykładem logu ze SIEM. Na jednej ze stacji roboczych ktoś wielokrotnie próbował zalogować się na konto z uprawnieniami administracyjnymi. Sam fakt logowania nie wskazuje nam od razu żeby mamy do czynienia z zagrożeniem. Być może użytkownik się pomylił. Może być jednak tak, że ktoś celowo próbuje skorzystać z loginu i hasła podejrzanego podczas ostatniej wizyty admina przy jego komputerze. W związku z tym, że zerkał zza jego ramion nie do końca jest pewien jak to hasło brzmiało. Więc stosuje metodę prób i błędów. Co zatem robić? Można zadzwonić do użytkownika i zapytać o co chodzi. Taka rozmowa może zakończyć sprawę.

Co jednak w przypadku kiedy użytkownika nie ma przy biurku bo jest na spotkaniu? Może to malware? A skoro tak, to może zainfekowane są również inne komputery, a opisywane zdarzenie to zaledwie próba wykorzystania przez złośliwe oprogramowanie zdobytych loginów i haseł? Ilość możliwych scenariuszy jest tak duża, że bez wsparcia żony mąż nie będzie w stanie rozpatrzeć każdego zdarzenia w wielu różnych płaszczyznach, nie tylko tych, które nasuwają się w pierwszej chwili, niezbędna jest tu informatyka śledcza. Tylko ona pozwoli ustalić rzeczywiste przyczyny i skalę problemu. Proste zablokowanie podejrzanej stacji może być niewystarczające, jeśli zagrożenie „rozlało” się w całej sieci.

Zaangażowanie informatyków śledczych jest konieczne żeby w ogóle wiedzieć jak zareagować. To ich praca da nam dane będące podstawą do dalszych działań.

Kluczem jest analiza danych

Zostają jeszcze przy małżeńskim porównaniu. Trzeba zdecydować gdzie i kiedy jedziemy na wakacje. Czasem decyduje mąż, czasem decyzja jest wspólna. Jednak to żona zazwyczaj przedstawia plusy i minusy różnych terminów wychodząc o wiele dalej niż zgoda szefa na urlop (urodziny mamusi, wizyta cioci Krysi, ruchy prądów oceanicznych i ich wpływ na dobową średnią temperaturę przy Waszym hotelu, powrót córki z obozu przetrwania – tak, tak zgodziłeś się wysłać córkę na obóz przetrwania, jak możesz tego nie pamiętać?).

Dzięki temu niskopoziomowemu przetworzeniu dziesiątek informacji macie finalne dane by podjąć ostateczną decyzję.  A potem to już z górki. Spakować walizki i zawieźć wszystkich na lotnisko lub zaplanować optymalną trasę podróży samochodowej…