V minulém dílu jsme skončili s co největší sadou údajů o různých událostech v našem IT prostředí. Otázkou je, jak v této kupce sena najít pověstnou jehlu, čili jak se nenechat zavalit údaji s bezpečnostními útoky nesouvisejícími.
Bojujme proti ohni ohněm. Nechme tyto údaje opět zpracovávat počítač.
Doufám, že nemusím dodávat, že takový počítač musí být bezpečně izolován od vnějšího světa a fyzicky plně pod naší kontrolou (tedy včetně adekvátní průběžné ostrahy). Jak k němu tedy data dopravit? Rozhodně na přenosných médiích, která neobsahují nic jiného než soubory s údaji o událostech v našem systému, lokální síti apod., která pravidelně (třeba jednou denně) nahrajeme na jiném prvku naší „špionážní“ sítě na přenosné médium. Určitě také obsah disku ještě ručně zkontrolujeme před tím, než jej do analytického počítače vložíme (aby tam nějaký šibal třeba nepřidal pár dalších souborů s úplně jiným cílem). A provedeme pár dalších triků, zvyšujících bezpečnost. Zastavím se u těch nejdůležitějších:
Soubory by hned po zápisu měly obdržet atribut „pouze pro čtení“, aby je po cestě nikdo a nic nemohli zmanipulovat.
Pro soubory s popisem událostí používáme nestandardní přípony souboru. Jinak by se jej operační systém mohl pokusit otevřít některou ze standardních aplikací, která by mohla obsahovat díru, známou útočníkovi.
Vlastníkem souborů by měl být zvlášť k tomu určený uživatel, kterému jsou explicitně odebrána veškerá práva k operačnímu systému analyzujícího počítače.
Parametry pro přimontování disku by měly rovněž být co nejvíce restriktivní, rozhodně nedovolovat spouštění programů z daného média, ani interpretovat soubor jako socket nebo zařízení, měly by se ignorovat odkazy na soubory apod.
Prvním krokem pak bude vyhledání všech významných odchylek od běžných provozních hodnot a případně sledování některých specifických událostí (například pokusy o přihlášení k určitým adresám nebo datům). Sada událostí v našem systému se tak zredukuje na události „nestandardní“ – ať už to znamená cokoliv. Stále tedy kromě reálného útoku může jít o nepozorného úředníka, který rozklikl e-mail obsahující virus; dítě zaměstnance, které využívá naší rychlou síť k on-line hraní, nebo účetního, který má dva dny v měsíci neobvyklý objem přenášených dat, protože před uzávěrkou rychle dohledává nesrovnalosti v číslech.
Může se stát, že tato sada je už dostatečně malá na to, abychom ji dokázali celou zkontrolovat manuálně. To je ideální, ale u větších podniků toto stále ještě nebude možné. Druhým krokem je tedy další redukce. Tady už je složitější radit nějaký obecný postup, ale v dlouhém horizontu velmi účinnou, a přitom poměrně bezpečnou metodou, je vytváření databáze „známých“ nestandardních událostí. Jde o ty, které se podobají něčemu, co už jsme ručně prověřili a prohlásili za bezpečné. Počítač pak může automarticky vyřadit i ty události, které jsou sice nestandardní, ale dostatečně podobné již známým „nestandardnostem“.
Ze začátku (dokud je databáze malá) nám to sice příliš nepomůže, ale zaručí to, že každou podivnost musíme ručně zkontrolovat pouze jednou, takže nových událostí k ruční kontrole bude postupně čím dál tím méně a nám zbude dost času na opravdu důkladnou a kritickou analýzu…
Shrnu-li tedy to, co jsem se pokoušel tímto dvojdílem říci ještě jednou: nemusíme (a ani nemůžeme) útočníka vždy chytit při činu. Vždy ho ale chytit musíme, a to nejlépe co nejdříve po útoku.
A jako zajímavost na závěr pohled do zákulisí. V rámci zdejší konference CyberSecurity 2016 uznámil NBÚ (obdoba amerického NSA), že uzavřel se společností Cisco dohodu o úzké spolupráci při odhalování kyberútoků a sdílení údajů o nich. Při té příležitosti zmínil i to, že podobnou dohodu má například s firmou Microsoft nebo CZ.NIC (prakticky monopolní internetový HUB propojující české poskytovatele internetu).
A zazněly zde i další zajímavosti:
Jak zjistil Cisco Annual Security Report, pouze 45 procent organizací na světě důvěřuje svému stávajícímu zabezpečení proti kybernetickým útokům. V porovnání s výsledky z minulých let toto číslo přitom setrvale klesá.
Michal Stachník, generální ředitel Cisco ČR pak doslova konstatoval:
„Zabránit proniknutí škodlivého kódu do sítě je dnes prakticky nemožné. Bezpečností strategie musí být založena na schopnosti co nejrychleji napadení odhalit.“