V jednom z našich minulých článkov sme sa venovali rozdielom medzi SOC a CSIRT. V závere článku som sľúbil, že niekedy napíšem o CSIRT (CERT, CIRT) tímoch viac. Ten čas nastal. Čo by mal teda CSIRT tím robiť a prečo ho potrebujete?
Ako sme písali minule, CSIRT sa líši od SOCu hlavne tým, že by sa nemal zaoberať detekciou bezpečnostných incidentov. Jeho oblasť pôsobnosti nastupuje až po detekci a je ňou, ako už aj názov – Computer Security Incident Response Team – naznačuje, incident response, teda reakcia na bezpečnostné incidenty. Aby sme boli úplne korektní, doplníme slovko coordination, teda pôjde o koordináciu reakcie na bezpečnostné incidenty.
Pomerne samovysvetľujúce, čo poviete? Skrýva sa za tým však niekoľko ďalších úloh a činností, ktoré určujú zloženie CSIRT tímu:
- samotná koordinácia reakcie – ak máte incident response plan, budete postupovať podľa neho – ak nie, čo je asi prípad väčšiny, tak CSIRT tím je tu na to, aby riadil celý proces a mali by vedieť najlepšie, čo treba analyzovať, aké dôkazy zaistiť a riadiť proces priebežne podľa zistených skutočností
- forenzná analýza – v tomto kroku sa ponúka najviac paralel s klasickým vyšetrovaním trestnej činnosti – tím dorazí na „miesto činu“, zaistí stopy (počítače, servery, disky, obsah pamäte RAM, logy) a potom ich skúma, aby zistil, ako sa útočník dostal do napadnutej siete/zariadenia a aké činnosti tam vykonával, prípadne, či je stále prítomný
- analýza malwaru – častokrát útočníci použijú na dosiahnutie svojich cieľov škodlivý software, tzv. malware, kedy je potrebné zistiť, o aký malware ide a aké sú jeho funkcie, čo následne pomôže pri určení rozsahu a dopadu – ak bol použitý napr. keylogger, znamená to, že útočníci majú k dispozícii záznam stisknutých kláves z daného zariadenia, čo môže vyžadovať zmenu hesiel použitých na danom počítači
- komunikácia s médiami – bezpečnostný incident môže mať neblahý dopad na reputáciu firmy a nie každému PR oddeleniu je jasné, ako je vhodné danú skutočnosť a dopady tohto incidentu odkomunikovať do vonkajšieho sveta, najmä v prípadoch, kedy dôjde k porušeniu ochrany osobných údajov alebo ZoKB
- komunikácia s orgánmi činnými v trestnom konaní – v prípadoch, kedy má obeť povinnosť, alebo sa rozhodne incident riešiť s políciou alebo ďalšími orgánmi, CSIRT tím vie, akým spôsobom má korektne zabezpečiť jednotlivé dôkazy a tiež, aké sú povinnosti obete z hľadiska rôznych zákonných noriem
- obnovenie činnosti – asi najdôležitejšou úlohou CSIRT tímu je smerovať proces reakcie tak, aby bolo možné čo najskôr pristúpiť k obnoveniu činnosti napadnutej organizácie, musí teda určiť, či je ešte útočník v sieti, či boli nájdené a odstránené všetky možnosti perzistencie, vymenené všetky kompromitované heslá a pod., jednoducho musí zastaviť útok
- návrh nápravných opatrení – vo výsledku by mal CSIRT tím určiť ako sa útočníci dostali do siete, čo všetko dokázali urobiť, k akým dátam mali prístup, zastaviť útok a obnoviť činnosť organizácie. Tým to ale nekončí, veľmi dôležitým krokom je návrh a vykonanie opatrení, ktoré zabezpečia, aby sa daný incident znovu neopakoval – tými môže byť zmena hesiel, úprava segmentácie siete, alebo napríklad bezpečnostný monitoring siete pomocou SOCu
Z vyššie uvedeného vyplýva, že CSIRT tím zahŕňa pomerne dosť veľa ľudí, čo môže byť v konečnom dôsledku dosť drahé na udržiavanie – okrem incident response špecialistov, forenzných analytikov a odborníkov na analýzu malwaru potrebujete aj právnikov či PR špecialistov. Ak u vás máte potrebných špecialistov, môžete mať tzv. ad-hoc CSIRT tím, ktorý sa zloží v prípade, že nejaký incident skutočne nastane a medzitým periodicky overuje incident response plány a precvičuje ich.
Dnes však existuje aj možnosť využiť služby komerčných CSIRT tímov, ktoré majú skúsenosti z množstva incidentov, ktoré riešia pravidelne a môžu aj vám pomôcť s riešením bezpečnostného incidentu od jeho detekcie až po návrh opravných opatrení. Jedným z týchto tímov je aj náš akreditovaný tím AXENTA CSIRT, ktorý pravidelne pomáha pri rôznych druhoch bezpečnostných incidentov (nielen) zákazníkom nášho AXENTA CyberSOC.
Prajeme vám, aby ste nikdy nepotrebovali CSIRT tím v žiadnej variante. Ak už však dôjde na to, že ho náhle budete potrebovať, dbajte na to, aby bol pri riešení incidentu od samotnej detekcie a vyhli ste sa tak nesprávnym krokom, ktoré by mohli významne skomplikovať riešenie incidentu a obnovu činnosti do normálu. Každá minúta môže mať doslova cenu zlata.
Dávid Kosť, Head of CSIRT, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.