Päť základných vecí, ktoré by mala spoločnosť spraviť bezprostredne po hekerskom útoku

Bezpečnosť informácií je dnes jednou z najdiskutovanejších vecí v mnohých spoločnostiach.  Práve informácie v digitálnej podobe sú totiž pre mnohé z nich absolútne nevyhnutnou súčasťou ich podnikania. Bezpečnosť a ich kvalitná ochrana už dávno nie je jednorazovou záležitosťou – nestačí kvalitné antivírusové riešenie, firewally a jasne dané pravidlá pre zamestnancov.  Bezpečnosť je proces, v rámci ktorého treba aktívne – a najlepšie proaktívne, reagovať na nové modely ohrozenia a vylepšovať vlastný bezpečnostný hardvér aj softvér, rovnako ako systémy zálohovania kritických dát a zdvojenia kľúčových hardvérových prvkov.

Avšak aj spoločnosti, ktoré túto vec nepodceňujú, sa môžu stať terčom sofistikovaného útoku a nikdy netreba podceňovať ani individuálne ľudské zlyhanie. Na takýto útok treba byť pripravený, pretože rýchlosť (adekvátnej) reakcie je jednou z najdôležitejších vecí, ktorá nám umožní minimalizovať spôsobené škody. Preto ponúkame päť postupných krokov, ktoré nám umožnia efektívnu obranu.

Krok 1: Určite rozsah infekcie

Prvá rada možno vyzerá banálne, napriek tomu je opodstatnená. Ak už vašu spoločnosť zasiahol hekerský útok, respektíve do vašich systémov prenikol v nejakej forme malvér, treba celú situáciu hodnotiť analyticky, nie intuitívne.

V takýchto situáciách je samozrejme rýchlosť odozvy jedným z najdôležitejších faktorov pre minimalizáciu škôd, najprv si však treba presne vyhodnotiť kde a aké vznikli. Dôvod je jednoduchý – treba predísť tomu, aby sme „záchranné aktivity“ automaticky nezamerali prvoplánovo na oblasť, ktorá na prvý pohľad vyzerá najviac postihnutá, aj keď v skutočnosti vôbec nemusí byť kritická.

Útok totiž mohol byť sofistikovaný a mať viacero cieľov, pričom niektoré nám pri zbrklom konaní môžu úplne uniknúť, aj keď sú mimoriadne dôležité. Takže v prvom kroku treba zistiť presný rozsah infekcie, vrátane toho, či bola primárne zameraná na konkrétny hardvér alebo systém, alebo plošne zasiahla celý intranet. Na základe toho vieme totiž presnejšie určiť, aké údaje mohli  uniknúť a nakoľko boli citlivé. Zároveň treba voliť iný postup v prípade, ak cieľom útočníkov boli naše firemné údaje a iný, ak ním boli naše databázy, obsahujúce  súkromné dáta zamestnancov, prípadne klientov.

Krok 2: Zaistite kontinuitu

Druhým krokom, ktorý by mal nasledovať okamžite po zistení rozsahu a závažnosti útoku je – v závislosti od jeho povahy – upozorniť vlastných zamestnancov, prípadne klientov na to, aby venovali zvýšenú pozornosť dátam s ktorými pracujú a ak by zistili akékoľvek podozrivé operácie a neštandardné aktivity, treba, aby o nich okamžite informovali kompetentných. Pre tento prípad treba mať vopred pripravené komunikačné postupy a krízové scenáre.

Ak bol útokom postihnutý konkrétny hardvér, treba ho v rámci infraštruktúry okamžite eliminovať. Pre každú firmu je prirodzene dôležité, aby mohla v čo najkratšom čase plnohodnotne obnoviť svoju činnosť. Pre takéto prípady preto treba mať kritické prvky infraštruktúry – softvérové aj hardvérové –  zdvojené a bezpečne zálohované, tak aby ste poškodenú, respektíve infikovanú časť infraštruktúry alebo intranetu mohli čo najskôr v plnom rozsahu obnoviť.

Krok 3: Infekciu dokonale lokalizujte a izolujte

Toto bezprostredne súvisí s bodom číslo 2 – rýchlym obnovením činnosti. Aby bolo bezpečné, tak postihnutý hardvér a komponenty intranetu treba izolovať tak, aby sa vírus, respektíve iná forma malvéru nemohli šíriť ďalej a aby ste zamedzili ďalšiemu úniku citlivých informácií.

Obmedzenie infekcie sa začína izoláciou zariadenia, o ktorom viete, že bola ohrozené. Vypnutie segmentov siete, ku ktorým malo toto zariadenie prístup, zabráni ďalšiemu šíreniu infekcie v rámci podnikovej siete a preruší akékoľvek spojenie, ktoré mohlo byť vytvorené s útočníkom na účely odcudzenia informácií.

Ak išlo o ransomvér a kritické komponenty vašej siete sú zašifrované, treba mať k dispozícii interných alebo externých odborníkov, ktorí sa po mocou reverzného inžinierstva pokúsia získať funkčné dešifrovacie kľúče, v inom prípade, respektíve pri komunikácii prostredníctvom nedôveryhodných nešifrovaných protokolov, k akým patrí napríklad http, treba sledovať konkrétnu aktivitu útočníka reagovať na ňu – pre túto situáciu treba mať opäť k dispozícii odborníkov z interného alebo externého prostredia, ktorí s tým musia začať v najkratšom možnom čase. Tento proces je veľmi dôležitý aj preto, aby sa čo najviac spresnila povaha útoku, architektúra malvéru a bolo možné okamžite zapracovať efektívne obranné mechanizmy do firewallov, čím sa vytvorí základná línia obrany. Toto nie sú jednoduché veci, každá spoločnosť by preto mala mať komplexné bezpečnostné riešenie, respektíve krízový scenár a kompetentných ľudí, schopných ho čo najrýchlejšie realizovať. To musí prirodzene zahŕňať aj vymedzenie kritických uzlov, na ktorých sa dajú postaviť ďalšie úrovne obrany.

Krok 4: Odstránenie infekcie a škodlivého kódu

Keď sme zamedzili šíreniu infekcie, izolovali postihnuté  časti siete a hardvérové zariadenia a pokúsili sa v bezpečnom rozsahu obnoviť činnosť, nasleduje komplikovanejšia vec – odstránenie infekcie z poškodených zariadení a intranetu. V jednoduchých situáciách na to slúžia automatické antivírusové riešenia, v každom prípade však treba následne monitorovať všetky aktivity, teda množstvo, štruktúru a povahu prenášaných dát, rovnako ako ich smerovanie. Nie je totiž vylúčené, že jednoduchý útok bol len maskovací a hekeri ďalší škodlivý kód schovali do našich systémov hlbšie. To sa zväčša nedá odhaliť inak, než podrobným sledovaním ďalšej aktivity. Keďže v bode 1 sme sa snažili infekciu presne lokalizovať a v bode 3 eliminovať, nemalo by to byť až tak komplikované, keďže by sme vďaka tomu už mali veľmi dobre poznať jej povahu, mali by sme dokázať určiť, čo sú kritické veci a procesy, ktoré treba sledovať so zvýšenou pozornosťou. V tejto situácii by sme už mali mať aktívny aj modifikovaný firewall, upravený tak, aby útočníkovi znemožňoval ďalšie prieniky. Tu si treba položiť aj jednu dôležitú otázku – išlo o náhodný útok, zavinený nedbanlivosťou konkrétnych zamestnancov, prípadne podcenením zabezpečenia, alebo išlo o cielený a dobre pripravený útok na konkrétneho adresáta a konkrétny typ dát?  V druhom prípade treba rátať s tým, že útok sa možno v dohľadnom čase zopakuje a v tomto prípade treba rozhodne pátrať aj po jeho pôvodcoch a ich motivácii.

Krok 5: Naučte sa profitovať aj z vlastných chýb

Vykonanie hĺbkového vyšetrovania toho, čo sa stalo, by malo viesť ku zlepšeniu procesov v rámci organizácie, rozhodne žiaden útok netreba marginalizovať, alebo zametať pod koberec.  Odstránenie slabých miest v infraštruktúre, o ktorých sme predtým nevedeli, je jedinou pozitívnou skúsenosťou ktorú nám takýto útok môže priniesť. predtým neznáma, poskytuje príležitosť na posilnenie obvodu firemných sietí identifikáciou akýchkoľvek ďalších potenciálnych prístupových bodov do systému, ktoré predtým neboli považované za oblasti spadajúce do rozsahu útokov.

 

(mk)