Nájde sa len málo ľudí, ktorí nikdy nepočuli o Maslowovej pyramíde potrieb. Na spodku pyramídy nachádzame úplne základné a najdôležitejšie fyziologické potreby (potreba dýchania, regulácie telesnej teploty atď) a postupne prechádzame vyššie a vyššie cez ďalšie potreby až k potrebe sebarealizácie. Naplnenie nižších úrovní je takmer nutnou podmienkou pre možnosť naplnenia vyšších úrovni.
O podobnej hierarchii potrieb môžeme hovoriť aj v kyberbezpečnosti, špecifickejšie možno pri bezpečnostnom monitoringu v SOCu a reakcii na incidenty.
Už sám obrázok hovorí za seba. Na najnižšom stupienku pyramídy, rovnako ako u Maslowa, nachádzame “potrebu”, ktorá je najviac podstatná a naliehavá a následne prechádzame vyššie k potrebám, ktoré su menej podstatné. Rovnako tak naplnenie potrieb na nižších stupienkoch je nutnou podmienkou pre uspokojenie potrieb na vyšších stupienkoch.
Na tejto pyramíde potrieb môžeme krásne ilustrovať, aké všetky schopnosti a funkcie by mala organizácia mať, aby dokázala detekovať bezpečnostný incident, správne ho vyhodnotiť a efektívne na daný incident reagovať. Začnem hneď najnaliehavejšou potrebou – inventár – asset management.
Inventory
Úplne najnaliehavejšou potrebou pri bezpečnostnom monitoringu je potreba informácii o monitorovaných aktívach. Minimálne by sme mali vedieť IP adresy, doménové mená, účel daného zariadenia, kto dané zariadenia používa, resp. zodpovedný kontakt. Pri iných typoch monitorovaných aktív (napr. informačný systém, webový portál, senzor fyzickej bezpečnosti) je tiež potrebné získať zodpovedajúce informácie. Pre interný informačný systém, ktorý používa viacero serverov nás samozrejme budu zaujímať vyššie uvedené informácie ale navyše sa určite hodí vedieť, ako medzi sebou súvisia rôzne servery, ktoré tento systém používa, alebo kto sú správcovia daného systému a pod.
Rovnako tak u bežných pracovných staníc – už len informácia, že zariadenie s danou IP adresou je pracovnou stanicou toho a toho zamestnanca, je dobrá, no pri analyze potenciálneho incidentu určite pomôže napr. informácia o nainštalovanom softvéri na počítači a jeho verziách.
Ďalšou informáciou, ktorá môže pomôcť, je napríklad informácia o geografickom umiestnení aktíva (väčšinou pri fyzických zariadeniach). Pri fyzických aktívach nesmieme zabudnúť ani na informáciu o to, o aké zariadenie ide – server, notebook, mobil, tablet alebo smart chladnička, ideálne aj so značkou a typom.
Tieto informácie môžeme získať zo štandardných prostriedkov správy aktív, ako napr. CMDB databáz alebo Excel tabuliek (všetci vieme ako to môže vyzerať). Netreba však zabúdať na to, že nejde o statický zoznam, ktorý sa raz naplní a vždy sa bude používať, ale je potrebné zaviesť procesy a nástroje, ktorých cieľom bude to, aby informácie o monitorovaných aktívach boli vždy čo najaktuálnejšie.
Veľmi dôležitými informáciami, na ktorých môže závisieť správne vyhodnotenie a správna reakcia na bezpečnostný incident, sú informácie o súvislostiach daného aktíva s činnosťou danej organizácie resp. informácie o tom, ktoré aktíva sú kritické pre činnosť firmy a akým spôsobom (čiže v základe C-I-A triáda = Confidentiality, Integrity, Availability).
Napríklad vyššie spomenutý informačný systém môže mať viacero častí, nad rôznymi fyzickými zariadeniami, ktoré sa môžu líšiť v biznisových požiadavkách – napr. hacknuté webové rozhranie sa môže vypnúť, ale databázový server za tým, na ktorý sú napojené ďalšie systémy sa nesmie za žiadných okolností vypnúť.
Všeobecne môžeme povedať, že dostatočná znalosť monitorovaných aktív je tou najdôležitejšou prerekvizitou na to, aby sme mohli vôbec začať rozmýšľať and tým, ako budeme dané aktíva monitorovať a vyhodnocovať nad nimi nejaké bezpečnostné udalosti.
Práve monitorovanie, viditeľnosť nad aktívami a logy patria do ďalšej úrovne kyberbezpečnostnej pyramídy potrieb, o ktorej si niečo povieme v ďalšom článku.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Obrázek: Matt Swann