O obsłudze incydentów bezpieczeństwa pisałem już na naszym blogu kilkukrotnie m.in. w poniższych artykułach:
Jak nie reagować na atak hackerski – 10 częstych błędów
Incydent bezpieczeństwa – wprowadzenie do obsługi
Obsługa incydentu bezpieczeństwa – śledztwo oraz IOC
Analiza incydentu bezpieczeństwa, czynności naprawcze i raportowanie
Ostatni z tekstów poświęcony był analizie incydentów bezpieczeństwa. Zanim jednak przystąpimy do analizy i obsługi incydentu warto się do tego procesu odpowiednio przygotować. W tym celu konieczne będzie zgromadzenie odpowiednich zasobów aby w sytuacji podbramkowej nie tracić czasu na ich poszukiwania bądź zakup i dostawę. Brak odpowiedniego przygotowania już na starcie spowoduje, że proces obsługi incydentu nie będzie mógł przebiec prawidłowo.
Przydatne zasoby
Osoby prowadzące prace przy obsłudze incydentu powinny być przygotowane na konieczność posłużenia się określonymi narzędziami – zarówno sprzętem, jak i oprogramowaniem. W narzędzia te warto zaopatrzyć się zawczasu, gdyż ich zdobycie może znacząco opóźnić prace śledcze lub naprawcze. Poniżej zawarta została lista zasobów, których posiadanie umożliwi przeprowadzenie prac bez zbędnych opóźnień:
- Narzędzia do duplikowania dysków i wykonywania obrazów dysków;
- Adaptery z blokadą zapisu dla nośników danych korzystających z popularnych interfejsów
- Przewody i przejściówki umożliwiające podłączanie urządzeń zewnętrznych (z uwzględnieniem różnych producentów korzystających z własnych standardów, np. Apple)
- Zewnętrzne dyski twarde o dużej pojemności do przechowywania materiału dowodowego (np. obrazów dysków systemowych) i wykonywania roboczych kopii danych;
- Przełączniki (minimum gigabitowe) i kable sieciowe;
- Listwy i kable zasilające;
- Kable do łączenia z różnymi portami komputera — Firewire, eSATA, USB;
- Czytniki kart pamięci
- Narzędzia do naprawy komputerów, takie jak śrubokręty, klucze typu Torx
Poza zdefiniowanymi powyżej zasobami przydatny może być wspólny dla całego zespołu pracującego przy obsłudze incydentu udział sieciowy z dużą ilością wolnego miejsca. Można na nim umieścić potrzebne do prac oprogramowanie i arkusze służące do dokumentowania procesu obsługi incydentu. W przypadku korzystania ze środowisk wirtualnych warto na czas obsługi incydentu przydzielić zespołowi dodatkową przestrzeń dyskową lub zasoby sprzętowe w celu umożliwienia wykonywania snapshotów oraz kopii maszyn wirtualnych, a także ich odtwarzania w odizolowanym środowisku. Ponieważ wydzielenie takiego środowiska może być czasochłonne i wymagać współpracy wielu administratorów, idealną jest sytuacja kiedy można je przygotować i zarezerwować zawczasu.
Narzędzia do monitorowania sieci
Niezależnie od posiadanych w organizacji rozwiązań służących do monitorowania bezpieczeństwa ruchu sieciowego (IDS/IPS) w trakcie obsługi incydentu przydatne może być posiadanie łatwego w rekonfiguracji, tymczasowego narzędzia, które można będzie podłączyć do dowolnego segmentu sieci w celu analizy ruchu. Wdrożone już w sieci urządzenia tego typu często wymagają złożonego procesu rekonfiguracji i ich przeniesienie lub zmiana sposobu pracy mogą być niemożliwe w krótkim czasie, którego wymaga obsługa incydentu. Zdarza się też, że pracujące w sieci rozwiązania zostaną zawczasu unieruchomione przez intruzów.
Dlatego też na okoliczność prowadzenia swoich działań zespół zajmujący się obsługą incydentu warto wyposażyć we własne rozwiązanie. Znanym i często stosowanym narzędziem tego typu jest dostępna na licencji open source dystrybucja Linuksa o nazwie Security Onion. Opisywałem dokładniej jej instalację i zastosowanie w artykule Security Onion 2 – open source SIEM / SOC. Można ją pobrać ze strony projektu dostępnej pod adresem https://securityonion.net w formie obrazu instalacyjnego ISO. System ten daje się uruchomić na większości komputerów osobistych i serwerów. Możliwa jest też jego instalacja w formie maszyny wirtualnej, co daje szerokie możliwości podłączania wirtualnych interfejsów sieciowych należących do różnych segmentów sieci.
Należy jednak pamiętać, że analiza pełnego ruchu sieciowego wymaga działania interfejsu w trybie promiscuous, który gwarantuje, że do systemu przekazywane są wszystkie pakiety sieciowe, a nie jedynie te, których adresatem jest dana stacja. Tryb ten w środowisku wirtualnym jest często domyślnie zabroniony i wymaga zmiany konfiguracji na poziomie wirtualnego switcha lub maszyny. Ponadto na poziomie samego przełącznika sieciowego, z którego ruch ma być analizowany konieczne będzie włączenie na porcie, do którego podłączony jest interfejs systemu Security Onion trybu tzw. port monitora (zwanego też czasami SPAN lub port mirroringiem). Powoduje on, że do danego portu przełącznika kopiowany jest ruch z wszystkich innych portów. Wiąże się z tym konieczność obsłużenia dużego wolumenu ruchu, co w przypadku przełączników gigabitowych z dużą ilością obciążonych portów może spowodować, że interfejs sieciowy o wydajności gigabita okaże się niewystarczający. W dużych środowiskach sieciowych warto zatem zawczasu pomyśleć o dostępności urządzenia lub maszyny wirtualnej z szybszym niż 1 gigabit/s interfejsem sieciowym.
Oprogramowanie
Z przydatnego na etapie obsługi incydentu oprogramowania, w które warto się zawczasu zaopatrzyć wyróżnić możemy następujące kategorie:
- Systemy bootowalne typu live (Kali Linux, CAINE, Security Onion).
- Systemy operacyjne – nośniki instalacyjne lub gotowe obrazy maszyn używanych w środowisku produkcyjnym, które mogą być wykorzystane do prowadzenia analizy i testów.
- Narzędzia do tworzenia obrazów dysków
- Narzędzia do zrzutów pamięci operacyjnej
- Narzędzia do pobierania i analizy danych na żywo (dla różnych rodzin systemów operacyjnych)
- Narzędzia do tworzenia i wyszukiwania wskaźników zagrożeń (IOC)
- Narzędzia do analizy zawartości dzienników systemowych (logów)
Przykłady konkretnych narzędzi z powyższego zakresu i sposoby ich użycia zaprezentowane zostaną w kolejnych częściach cyklu poświęconego obsłudze incydentów bezpieczeństwa.
Kontakty
W sytuacjach krytycznych często zachodzi konieczność współpracy z zewnętrznymi dostawcami usług. Warto zawczasu zebrać i przygotować listę kontaktów do działów technicznych usługodawców takich jak:
- Dostawcy łączy internetowych
- Dostawcy innych łączy, od których zależne są procesy biznesowe
- Dostawcy usług hostingowych
- Dostawcy odpowiedzialni za obsługę i rejestrację domen oraz konfigurację serwerów DNS
- Dostawcy odpowiedzialni za obsługę stron internetowych
- Dostawcy oprogramowania wykorzystywanego w organizacji
- Dostawcy innych usług IT
- Operatorzy telefonii komórkowej i voip
Warto przy tym pamiętać, że w kontakcie z dostawcami często potrzebny jest numer umowy, numer klienta lub inny identyfikator potrzebny do zarejestrowania zgłoszenia. Wszystkie te dane, a także godziny dostępności obsługi technicznej i gwarantowane w umowie czasy reakcji warto zawczasu mieć zebrane w jednym miejscu. Ich poszukiwanie w chwili pojawienia się incydentu może znacznie utrudnić i opóźnić reakcję zespołu obsługującego. Już na etapie zbierania tych danych często okazuje się, że konieczna może być zmiana zapisów umowy i podwyższenie gwarantowanego poziomu obsługi. Dostawcy usług nie zawsze też są skłonni współpracować w przypadku gdy konieczne jest dostarczenie danych z ich systemów (np. logów). Warto zatem zawczasu dowiedzieć się na jakich zasadach odbywa się współpraca w tym zakresie i jeżeli to konieczne uwzględnić odpowiednie zapisy w umowie.
Wsparcie w obsłudze incydentu
Jeżeli nie dysponujemy odpowiednio doświadczonym zespołem lub skala incydentu przerasta nasze możliwości warto skorzystać ze wsparcia firm zajmujących się profesjonalnie obsługą incydentów. W zasobach przygotowanych na okoliczność wystąpienia incydentu warto więc posiadać z 2-3 kontakty do takich ośrodków. Aby zapewnić sobie odpowiedni poziom obsługi warto też zawczasu podpisać umowę ramową definiującą zasady współpracy (koszty, czas reakcji, zakres wsparcia).
Jeśli poszukujecie profesjonalnego wsparcia w obsłudze incydentów jedną z firm, które mogą wam go udzielić jest rtfs.pl. (Uwaga – to nie jest płatna reklama ani link sponsorowany. Polecam ponieważ pracują tam świetni specjaliści zajmujący się informatyką śledczą i analizą powłamaniową, których kojarzę w wystąpień na konferencjach lub książek poświęconych tej tematyce.)
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.
Image by storyset on Freepik