V prvej časti sme sa zaoberali úplne základnou potrebou v kyberbezpečnosti, čiže potrebou poznania svojich aktív. Táto potreba stojí pevne na spodku kyberbezpečnostnej pyramídy potrieb, keďže umožňuje všetko čo je nad ňou.
Ak sa venujeme správe aktív, mali by sme mať k dispozícii informácie o tom, aké zariadenia máme v sieti, ako naša sieť vyzerá, ako vyzerá naša doména, aký softvér sa na ktorom zariadení používa, ktorí užívatelia pracujú na počítačoch, matice prístupových práv k zdieľaným prostriedkom, aké sú verzie softvéru, aká je geografická poloha aktív – môžeme ísť veľmi hlboko v tom, čo všetko by sme mali vedieť, aby sme mohli tieto aktíva chrániť.
Veľa z týchto vecí už bude patriť podľa Paretovho princípu patriť do tých 80 %, ktoré neprinášajú až taký úžitok, ako tých prvých 20%. Najužitočnejšie dáta, ktoré najviac pomôžu, sú dáta o tom, ako vyzerá sieť, IP adresy a doménové mená zariadení, typ a účel zariadení (pracovná stanica/server/mobil/tlačiareň), kto dané zariadenie používa a kontakt na správcu zariadenia. Neoceniteľné sú aj procesy a nástroje slúžiace na to, aby boli tieto informácie vždy aktuálne.
Čo však, ak už tieto informácie máme a získali sme istú znalosť o aktívach, ktoré máme chrániť. Tu prichádza ďalší stupeň kyberbezpečnostnej pyramídy potrieb – telemetria, alebo možno zrozumiteľnejšie (aj keď nie úplne správne) – logovanie.
Telemetry
Nazvať túto potrebu len logovaním, by bolo zavádzajúce, keďže zahŕňa oveľa viac vecí. Celá táto úroveň by sa dala zhrnúť tak, že ide o potrebu viditeľnosti nad aktívami, o ktorých vieme. Logy sú len jeden zo zdrojov dát, z ktorých môžeme túto viditeľnosť získať. Práve v tejto fáze prebieha získavanie dát, nad ktorými vo vyšších vrstvách pyramídy potrieb prebieha vyhodnocovanie a reakcia na detekované problémy.
Čo si môžeme predstaviť pod viditeľnosťou je pomerne jednoduché. Ide vlastne o to, že vieme povedať, aké deje (alebo udalosti) prebiehajú na monitorovanom aktíve alebo sa ich monitorované aktívum zúčastňuje, resp. je do nich zapojené.
Aké udalosti sme schopní a chceme sledovať sa môže líšiť podľa typu daného aktíva. Taktiež spôsoby, akými túto viditeľnosť môžeme získať sa môže pre rôzne triedy aktív líšiť. Skúsim stručne načrtnúť niekoľko bežných možností.
Môžeme sa pozerať na servery a sledovať autentizačné logy, na endpointoch môžeme sledovať spúšťanie PowerShellu, bežiace procesy alebo otvárané súbory, na mobiloch zase nainštalované aplikácie. Alebo môžeme ísť o úroveň vyššie a sledovať databázové logy, alebo logy vznikajúce pri prevádzke rôznych informačných systémov. Na úrovni siete môžeme sledovať, kto s kým kedy komunikuje, na akých portoch, na aké domény a pod. Navyše, vlastné možnosti viditeľnosti ponúkajú aj bežne používané cloudové služby ako napríklad Office 365 alebo Google Suite, kde môžeme napr. vidieť, kto pristupoval k akému dokumentu.
Asi si viete predstaviť, že som nevymenoval zďaleka všetky možné spôsoby a typy dát, ktoré nám umožňujú urobiť si obrázok o tom, čo sa vlastne na aktívach / s aktívami deje. Na hlbšiu sondu do tejto problematiky sa môžete tešiť v ďalšom článku.
Dávid Kosť, Lead Security Analyst, Axenta a.s.