Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00309 004704 12593424 na godz. na dobę w sumie
Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej - ebook/pdf
Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej - ebook/pdf
Autor: , , Liczba stron: 608
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-283-1486-3 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> inne
Porównaj ceny (książka, ebook (-20%), audiobook).
Pomiędzy administratorami systemów informatycznych a cyberprzestępcami trwa ciągły wyścig zbrojeń. Ewoluują zarówno stosowane zabezpieczenia, jak i metody kradzieży — jedne i drugie stają się coraz bardziej wyrafinowane. W grę wchodzą przecież duże pieniądze, prestiż, zaufanie, a bywa, że stawka jest o wiele większa. Praca osoby zajmującej się bezpieczeństwem urządzeń informatycznych wymaga ogromnej wiedzy, zmusza do bezustannej nauki, ciągłej analizy i doskonalenia procedur, a przede wszystkim do konsekwentnego wyciągania wniosków z wykrytych incydentów.

Niniejsza książka jest wyczerpującym podręcznikiem bezpieczeństwa systemów informatycznych, a ściślej rzecz ujmując — procedur reagowania na incydenty bezpieczeństwa. To lektura obowiązkowa zarówno dla osób z najwyższego kierownictwa, jak i dla koordynatorów oraz specjalistów zajmujących się bezpieczeństwem systemów informatycznych. Przedstawiono tu sposoby przygotowania zabezpieczeń, ale także opisano, co należy zrobić (i w jakiej kolejności) w przypadku wykrycia ich naruszeń. Co ważne, ta wiedza jest aktualna i oparta na najlepszych doświadczeniach wybitnych specjalistów.

Przedstawiono tu między innymi:

Bądź czujny i nie daj się zaskoczyć!


Jason T. Luttgens, Matthew Pepe i Kevin Mandia — od wielu lat są związani z bezpieczeństwem systemów informatycznych oraz informatyką śledczą. Przeprowadzili wiele śledztw dotyczących szpiegostwa przemysłowego czy kradzieży danych, w tym danych z kart kredytowych; zajmowali się także badaniem i rozwojem metod śledczych, testowaniem sprzętu i oprogramowania. Wszyscy trzej pracowali w instytucjach państwowych (Air Force) czy agencjach rządowych (NASA).

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginału: Incident Response Computer Forensics, Third Edition Tłumaczenie: Łukasz Piwko ISBN: 978-83-283-1483-2 Original edition copyright © 2014 by McGraw-Hill Education. All rights reserved. Polish edition copyright © 2016 by HELION SA All rights reserved All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from the Publisher. Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie biorą jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Autor oraz Wydawnictwo HELION nie ponoszą również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/incbez Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność Spis treści O autorach .....................................................................................................................................13 Wstęp ..............................................................................................................................................15 Podziękowania .............................................................................................................................17 Wprowadzenie ..............................................................................................................................19 CZĘŚĆ I Przygotowywanie się na nieuniknione 1 Prawdziwe incydenty ..................................................................................................................25 Co to jest incydent bezpieczeństwa .................................................................................................26 Co to jest reakcja na incydent ..........................................................................................................27 Aktualny stan wiedzy ........................................................................................................................28 Dlaczego powinieneś interesować się kwestiami reakcji na incydenty bezpieczeństwa ..........30 Studia przypadku ...............................................................................................................................30 Studium przypadku 1. Gdzie są pieniądze ...............................................................................31 Studium przypadku 2. Certyfikat autentyczności ...................................................................37 Fazy cyklu ataku ................................................................................................................................40 I co z tego ............................................................................................................................................43 Pytania ................................................................................................................................................43 2 Podręcznik reagowania na incydenty bezpieczeństwa .......................................................45 Co to jest incydent bezpieczeństwa komputerowego ...................................................................46 Cele reakcji na incydent ...................................................................................................................47 Kto bierze udział w procesie reakcji na incydent ..........................................................................48 Wyszukiwanie utalentowanych specjalistów do zespołu reagowania na incydenty ..........50 Poleć książkęKup książkę 6 INCYDENTY BEZPIECZEŃSTWA Proces reakcji na incydent ................................................................................................................53 Czynności wstępne ......................................................................................................................54 Śledztwo ........................................................................................................................................54 Czynności naprawcze ..................................................................................................................62 Rejestrowanie istotnych informacji śledczych .........................................................................63 Raportowanie ...............................................................................................................................64 I co z tego ............................................................................................................................................65 Pytania .................................................................................................................................................66 3 Przygotowanie na incydent ...................................................................................................... 67 Przygotowywanie organizacji na incydent .....................................................................................68 Identyfikacja ryzyka ....................................................................................................................69 Zasady ułatwiające skuteczne zareagowanie na incydent ......................................................69 Współpraca z zewnętrznymi firmami informatycznymi .......................................................70 Kwestie związane z infrastrukturą globalną .............................................................................71 Szkolenie użytkowników w zakresie bezpieczeństwa hostów ...............................................71 Przygotowywanie zespołu RI ...........................................................................................................72 Definiowanie misji .......................................................................................................................72 Procedury komunikacji ..............................................................................................................73 Informowanie o wynikach śledztwa ..........................................................................................75 Zasoby dla zespołu RI .................................................................................................................76 Przygotowywanie infrastruktury do reakcji na incydent .............................................................83 Konfiguracja urządzeń komputerowych ..................................................................................84 Konfiguracja sieci ........................................................................................................................91 I co z tego ......................................................................................................................................... 100 Pytania .............................................................................................................................................. 100 CZĘŚĆ II Wykrywanie incydentów i ich charakterystyka 4 Prawidłowe rozpoczynanie śledztwa ....................................................................................103 Zbieranie wstępnych faktów .......................................................................................................... 104 Listy kontrolne .......................................................................................................................... 105 Robienie notatek na temat sprawy ............................................................................................... 111 Chronologiczne zapisywanie informacji o ataku ................................................................. 112 Priorytety śledztwa ......................................................................................................................... 113 Co to są elementy dowodu ...................................................................................................... 113 Ustalanie oczekiwań z kierownictwem .................................................................................. 114 I co z tego ......................................................................................................................................... 114 Pytania .............................................................................................................................................. 115 Poleć książkęKup książkę SPIS TREŚCI 7 5 Zdobywanie tropów ................................................................................................................. 117 Definiowanie wartościowych tropów ...........................................................................................118 Postępowanie z tropami .................................................................................................................119 Zamienianie tropów we wskaźniki .........................................................................................120 Cykl generowania wskaźnika ...................................................................................................120 Analizowanie tropów wewnętrznych .....................................................................................133 Analizowanie tropów zewnętrznych ......................................................................................134 I co z tego ..........................................................................................................................................136 Pytania ..............................................................................................................................................137 6 Określanie zasięgu incydentu ................................................................................................ 139 Co mam zrobić ................................................................................................................................141 Analizowanie danych początkowych .....................................................................................141 Zbieranie i analiza dowodów początkowych .........................................................................142 Określanie sposobu działania ..................................................................................................143 Wyciek danych klientów ................................................................................................................144 Wyciek danych klientów — przykłady niepoprawnego określania zasięgu incydentu ....148 Oszustwo w automatycznym systemie rozrachunkowym (ACH) ...........................................149 Oszustwo ACH — nieprawidłowa identyfikacja zasięgu incydentu ..................................151 I co z tego ..........................................................................................................................................152 Pytania ..............................................................................................................................................152 CZĘŚĆ III Gromadzenie danych 7 Zbieranie danych na żywo ...................................................................................................... 155 Kiedy wykonywać analizę na żywo ...............................................................................................156 Wybór narzędzia do analizy na żywo ...........................................................................................158 Jakie informacje zbierać .................................................................................................................159 Najlepsze praktyki gromadzenia danych .....................................................................................161 Gromadzenie danych na żywo w systemach Microsoft Windows ...........................................165 Gotowe zestawy narzędzi .........................................................................................................165 Narzędzia własnej roboty .........................................................................................................168 Zbieranie informacji z pamięci ...............................................................................................170 Zbieranie danych na żywo w systemach uniksowych ................................................................174 Zestawy narzędzi do analizy na żywo .....................................................................................175 Wykonywanie zrzutów pamięci ..............................................................................................178 I co z tego ..........................................................................................................................................183 Pytania ..............................................................................................................................................184 Poleć książkęKup książkę 8 INCYDENTY BEZPIECZEŃSTWA 8 Duplikacja danych śledczych ..................................................................................................185 Formaty obrazów na potrzeby śledztwa ...................................................................................... 187 Kompletny obraz dysku ........................................................................................................... 188 Wykonywanie obrazu partycji ................................................................................................ 190 Wykonywanie obrazu logicznego .......................................................................................... 190 Integralność obrazu .................................................................................................................. 191 Tradycyjne metody duplikacji ...................................................................................................... 193 Sprzętowe blokady zapisu ........................................................................................................ 193 Narzędzia do tworzenia obrazów ........................................................................................... 195 Duplikowanie działającego systemu ............................................................................................ 199 Duplikowanie środków firmowych .............................................................................................. 200 Duplikowanie maszyn wirtualnych ........................................................................................ 201 I co z tego ......................................................................................................................................... 202 Pytania .............................................................................................................................................. 202 9 Dowody z sieci ............................................................................................................................203 Argumenty za monitorowaniem sieci .......................................................................................... 204 Rodzaje monitoringu sieciowego ................................................................................................. 205 Monitorowanie zdarzeń ........................................................................................................... 205 Rejestrowanie nagłówków i całych pakietów ........................................................................ 207 Modelowanie statystyczne ....................................................................................................... 208 Tworzenie systemu monitorowania sieci .................................................................................... 211 Wybór sprzętu ........................................................................................................................... 211 Instalacja gotowej dystrybucji ................................................................................................. 213 Wdrażanie czujnika sieciowego .............................................................................................. 214 Ocenianie jakości monitora sieciowego ................................................................................ 215 Analiza danych sieciowych ............................................................................................................ 215 Kradzież danych ........................................................................................................................ 217 Rekonesans za pomocą konsoli sieciowej ............................................................................. 223 Inne narzędzia do analizy sieciowej ....................................................................................... 229 Zbieranie dzienników generowanych przez zdarzenia sieciowe .............................................. 231 I co z tego ......................................................................................................................................... 232 Pytania .............................................................................................................................................. 232 10 Usługi dla przedsiębiorstw ......................................................................................................233 Usługi infrastruktury sieciowej ..................................................................................................... 234 DHCP ......................................................................................................................................... 234 Usługa DHCP ISC .................................................................................................................... 237 DNS ............................................................................................................................................ 238 Aplikacje do zarządzania przedsiębiorstwem ............................................................................. 243 Program Software Management Suite firmy LANDesk ...................................................... 244 Program Altiris Client Management Suite firmy Symantec ............................................... 246 Poleć książkęKup książkę SPIS TREŚCI 9 Programy antywirusowe .................................................................................................................249 Kwarantanna programu antywirusowego .............................................................................249 Program Symantec Endpoint Protection ...............................................................................250 Program McAfee VirusScan ....................................................................................................252 Program Trend Micro OfficeScan ..........................................................................................255 Serwery sieciowe ..............................................................................................................................257 Podstawowe informacje o serwerach sieciowych .................................................................257 Serwer HTTP Apache ...............................................................................................................259 Serwer Microsoft Information Services .................................................................................260 Serwery baz danych .........................................................................................................................263 Microsoft SQL ...........................................................................................................................264 MySQL ........................................................................................................................................265 Oracle ..........................................................................................................................................267 I co z tego ..........................................................................................................................................268 Pytania ..............................................................................................................................................268 CZĘŚĆ IV Analiza danych 11 Metody analizy .......................................................................................................................... 271 Definicja celów .................................................................................................................................272 Zapoznanie się z danymi ................................................................................................................274 Miejsca przechowywania danych ............................................................................................274 Co jest dostępne ........................................................................................................................276 Dostęp do zdobytych danych .........................................................................................................277 Obrazy dysków ..........................................................................................................................277 Jak to wygląda ............................................................................................................................279 Analiza danych ................................................................................................................................280 Zarys proponowanej metody działania ..................................................................................281 Wybór metod .............................................................................................................................282 Ewaluacja wyników .........................................................................................................................286 I co z tego ..........................................................................................................................................287 Pytania ..............................................................................................................................................287 12 Prowadzenie czynności śledczych w systemach Windows .............................................. 289 Analiza systemu plików ..................................................................................................................291 Główna tabela plików ...............................................................................................................291 Atrybuty INDX ..........................................................................................................................300 Dzienniki zmian ........................................................................................................................302 Kopie zapasowe woluminów wykonywane w tle ..................................................................303 Readresator systemu plików ....................................................................................................305 Poleć książkęKup książkę 10 INCYDENTY BEZPIECZEŃSTWA Pobieranie zasobów z wyprzedzeniem ......................................................................................... 306 Dowody ...................................................................................................................................... 307 Analiza ........................................................................................................................................ 308 Dzienniki zdarzeń ........................................................................................................................... 311 Dowody ...................................................................................................................................... 311 Analiza ........................................................................................................................................ 312 Zadania zaplanowane ..................................................................................................................... 322 Tworzenie zadań za pomocą polecenia at ............................................................................. 322 Tworzenie zadań za pomocą polecenia schtasks .................................................................. 324 Dowody ...................................................................................................................................... 324 Analiza ........................................................................................................................................ 325 Rejestr systemu Windows .............................................................................................................. 330 Dowody ...................................................................................................................................... 331 Analiza ........................................................................................................................................ 336 Narzędzia do analizy rejestru .................................................................................................. 363 Inne ślady sesji interaktywnych .................................................................................................... 365 Pliki LNK ................................................................................................................................... 366 Listy szybkiego dostępu ........................................................................................................... 367 Kosz ............................................................................................................................................ 369 Pamięć .............................................................................................................................................. 372 Dowody ...................................................................................................................................... 372 Analiza pamięci ......................................................................................................................... 376 Inne mechanizmy utrwalania ........................................................................................................ 386 Foldery startowe ....................................................................................................................... 387 Zadania cykliczne ..................................................................................................................... 387 Modyfikacja systemowych plików binarnych ....................................................................... 388 Modyfikowanie kolejności wczytywania bibliotek DLL ..................................................... 389 Powtórzenie — odpowiedzi na często pojawiające się pytania ................................................ 392 I co z tego ......................................................................................................................................... 396 Pytania .............................................................................................................................................. 397 13 Prowadzenie czynności śledczych w systemach Mac OS X ...............................................399 System plików HFS+ i metody jego analizy ................................................................................ 400 Układ woluminu ....................................................................................................................... 401 Usługi systemu plików ............................................................................................................. 407 Podstawowe dane systemu operacyjnego .................................................................................... 410 Układ systemu plików .............................................................................................................. 410 Konfiguracja użytkownika i usług .......................................................................................... 415 Kosz i pliki usunięte ................................................................................................................. 418 Inspekcja systemu, bazy danych i dzienniki ......................................................................... 419 Zadania zaplanowane i usługi ................................................................................................. 429 Instalatory aplikacji .................................................................................................................. 432 Poleć książkęKup książkę SPIS TREŚCI 11 Powtórzenie — odpowiedzi na często zadawane pytania ..........................................................433 I co z tego ..........................................................................................................................................435 Pytania ..............................................................................................................................................436 14 Badanie aplikacji ....................................................................................................................... 437 Co to są dane aplikacji ....................................................................................................................438 Gdzie aplikacje przechowują dane ................................................................................................439 System Windows .......................................................................................................................439 System OS X ...............................................................................................................................440 System Linux ..............................................................................................................................440 Ogólne zasady badania aplikacji na potrzeby śledztwa ..............................................................441 Przeglądarki internetowe ...............................................................................................................445 Internet Explorer .......................................................................................................................447 Google Chrome .........................................................................................................................453 Mozilla Firefox ...........................................................................................................................458 Klienty poczty elektronicznej ........................................................................................................463 Internetowe klienty poczty elektronicznej ............................................................................464 Microsoft Outlook dla systemów Windows ..........................................................................465 Apple Mail ..................................................................................................................................469 Microsoft Outlook for Mac ......................................................................................................470 Komunikatory internetowe ............................................................................................................472 Metody analizy ..........................................................................................................................472 Najpopularniejsze komunikatory i protokoły .......................................................................473 I co z tego ..........................................................................................................................................481 Pytania ..............................................................................................................................................481 15 Sortowanie szkodliwych programów ................................................................................... 483 Postępowanie ze szkodliwym oprogramowaniem ......................................................................485 Bezpieczeństwo ..........................................................................................................................485 Dokumentacja ...........................................................................................................................486 Dystrybucja ................................................................................................................................487 Dostęp do szkodliwych witryn internetowych ......................................................................488 Środowisko do sortowania .............................................................................................................489 Konfiguracja środowiska wirtualnego ..........................................................................................491 Analiza statyczna .............................................................................................................................491 Co to za plik ...............................................................................................................................492 Przenośne pliki wykonywalne .................................................................................................501 Analiza dynamiczna ........................................................................................................................506 Zautomatyzowana analiza dynamiczna — piaskownice .....................................................507 Ręczna analiza dynamiczna .....................................................................................................507 I co z tego ..........................................................................................................................................513 Pytania ..............................................................................................................................................514 Poleć książkęKup książkę 12 INCYDENTY BEZPIECZEŃSTWA 16 Pisanie raportów ........................................................................................................................515 Po co pisać raporty ......................................................................................................................... 516 Standardy raportowania ................................................................................................................ 517 Styl i formatowanie raportu .................................................................................................... 518 Treść i organizacja treści raportu ........................................................................................... 521 Kontrola jakości .............................................................................................................................. 524 I co z tego ......................................................................................................................................... 525 Pytania .............................................................................................................................................. 525 CZĘŚĆ V Naprawa 17 Wprowadzenie do technik naprawczych .............................................................................529 Podstawowe pojęcia ........................................................................................................................ 530 Testy wstępne .................................................................................................................................. 536 Kompletowanie zespołu naprawczego ......................................................................................... 536 Kiedy utworzyć zespół naprawczy ......................................................................................... 536 Wyznaczanie lidera procesu naprawczego ............................................................................ 537 Członkowie zespołu naprawczego ......................................................................................... 539 Czas rozpoczęcia akcji .................................................................................................................... 540 Opracowywanie i wdrażanie wstępnych środków zaradczych ................................................. 542 Skutki zaalarmowania hakera ................................................................................................. 544 Opracowywanie i wdrażanie środków ograniczania zasięgu incydentu ................................. 545 Plan ostatecznej likwidacji zagrożenia ......................................................................................... 548 Wybór momentu wykonania planu likwidacji zagrożenia i jego wdrażanie .......................... 552 Formułowanie zaleceń strategicznych ......................................................................................... 557 Dokumentacja zdobytego doświadczenia ................................................................................... 557 Podsumowanie ................................................................................................................................ 559 Typowe błędy będące przyczyną niepowodzenia procesu naprawczego ................................ 565 I co z tego ......................................................................................................................................... 566 Pytania .............................................................................................................................................. 566 18 Studium przypadku procesu naprawczego .........................................................................567 Plan naprawczy dla pierwszego przypadku — pokaż pieniądze .............................................. 568 Wybór członków zespołu ........................................................................................................ 569 Czas prowadzenia działań naprawczych ............................................................................... 570 Ograniczanie zasięgu incydentu ............................................................................................. 570 Wstępna akcja naprawcza ....................................................................................................... 574 Pozbywanie się hakera ze środowiska .................................................................................... 578 Strategia na przyszłość ............................................................................................................. 582 I co z tego ......................................................................................................................................... 584 Pytania .............................................................................................................................................. 585 Skorowidz .............................................................................................................................................587 Poleć książkęKup książkę ROZDZIAŁ 2. Podręcznik reagowania na incydenty bezpieczeństwa Poleć książkęKup książkę 46 INCYDENTY BEZPIECZEŃSTWA P rzygotowanie się na incydent bezpieczeństwa komputerowego i odpowiednia reakcja to duże wyzwanie. Technologia nie stoi w miejscu, przez co czasami może się wydawać, że trudno za nią nadążyć. Jednak wspólnie mamy już ponad trzydzieści lat doświadczenia w tej branży i pracowaliśmy nad setkami przypadków w organizacjach każdej wielkości. W odniesieniu do tego rozdziału do głowy przychodzą dwie konkretne myśli. Po pierwsze, największe trudności przy reagowaniu na incydenty powodują sprawy nietechniczne. Po drugie, podstawowe zasady badania incydentów bezpieczeństwa komputerowego nie różnią się od nietechnicznych śledztw. Największą trudnością jest przedarcie się przez szum marketingowy, którego celem jest przekonanie nas, że jest inaczej. W rozdziale tym pragniemy pomóc Ci w przejściu przez gąszcz modnych słów i marketingowy szum, abyś wiedział, co naprawdę jest ważne, i mógł sporządzić solidny program reagowania na incydenty bezpieczeństwa. Zaczynamy od podstaw, czyli wyjaśniamy, co oznacza bezpieczeństwo komputerowe, jakie są cele reakcji na incydent oraz kto bierze udział w tym procesie. Następnie opisujemy fazy cyklu śledztwa, metody zdobywania najważniejszych informacji oraz techniki raportowania. Z doświadczenia wiemy, że organizacje, które poświęcają dużo czasu na przemyślenie tych kwestii, znacznie skuteczniej radzą sobie z incydentami bezpieczeństwa. CO TO JEST INCYDENT BEZPIECZEŃSTWA KOMPUTEROWEGO Definicja incydentu bezpieczeństwa komputerowego określa zakres działań utworzonego zespołu specjalistów i pozwala skupić działania na odpowiednich obszarach. Definicja jest bardzo ważna, ponieważ dzięki niej każdy członek drużyny zna swoje obowiązki. Jeśli jeszcze jej nie sformułowałeś, powinieneś jak najszybciej określić, co w Twojej organizacji oznacza pojęcie „incydent bezpieczeństwa komputerowego”. Nie istnieje jedyna powszechnie przyjęta definicja, ale uważa się, że incydent bezpieczeństwa komputerowego to każde zdarzenie: (cid:374) którego celem jest spowodowanie szkody, (cid:374) którego sprawcą jest człowiek, (cid:374) w którym wykorzystywane są zasoby komputerowe. Przyjrzymy się krótko tym cechom. Pierwsze dwie są zbieżne z wieloma typami incydentów nietechnicznych, np. podpaleniem, kradzieżą czy napaścią. Jeśli celem nie jest wyrządzenie krzywdy, trudno zdarzenie nazwać incydentem. Należy przy tym podkreślić, że szkoda może nie być natychmiastowa. Przykładowo skanowanie systemu w poszukiwaniu luk w zabezpieczeniach, które później zostaną wykorzystane w szkodliwy sposób, samo w sobie nie powoduje szkody — ale bez wątpienia jest to działanie, którego celem jest wyrządzenie krzywdy. Druga cecha, czyli udział człowieka, wyklucza takie zdarzenia jak losowe awarie systemu i czynniki niezależne od nas, np. pogodę. To, że z powodu przerwy w dopływie energii przestała działać zapora sieciowa, wcale nie oznacza, że wystąpił incydent bezpieczeństwa, chyba że sprawcą tej przerwy jest działający umyślnie człowiek albo ktoś wykorzysta nadarzającą się okazję do zrobienia czegoś niedozwolonego. Poleć książkęKup książkę ROZDZIAŁ 2. PODRĘCZNIK REAGOWANIA NA INCYDENTY BEZPIECZEŃSTWA 47 Trzecia cecha decyduje o tym, że dane zdarzenie to właśnie incydent bezpieczeństwa komputerowego, ponieważ dotyczy zasobów komputerowych. Pojęcia „zasoby komputerowe” używamy, ponieważ obejmuje szeroki wachlarz różnych technologii. Czasami zasoby komputerowe pozostają niezauważone — są to nośniki do archiwizacji danych, telefony, drukarki, karty dostępu do budynków, tokeny dwuskładnikowe, kamery, automaty, urządzenia GPS, tablety, telewizory i wiele innych. Urządzenia komputerowe są wszędzie i czasami zapominamy, jak dużo informacji się w nich znajduje, czym sterują oraz do czego są podłączone. Czasami możemy nie mieć pewności, czy dane zdarzenie jest incydentem, dopóki nie przeprowadzimy pewnych analiz wstępnych. Podejrzaną aktywność zawsze należy traktować jako potencjalny incydent, który trzeba zbadać i ewentualnie udowodnić, że nim nie jest. Może też się zdarzyć, że w toku śledztwa prowadzonego w sprawie incydentu okaże się, że to wcale nie był incydent bezpieczeństwa. Oto kilka przykładów typowych incydentów bezpieczeństwa komputerowego: (cid:374) kradzież danych, takich jak poufne informacje osobiste, wiadomości e-mail i dokumenty; (cid:374) kradzież funduszy, np. nieuprawniony dostęp do konta bankowego, skorzystanie z karty kredytowej lub oszustwo dotyczące przelewów; (cid:374) wyłudzenie; (cid:374) nieuprawniony dostęp do zasobów komputerowych; (cid:374) obecność szkodliwego oprogramowania, np. narzędzi zdalnego dostępu i programów szpiegujących; (cid:374) posiadanie nielegalnych lub nieautoryzowanych materiałów. Skutkiem tych incydentów może być konieczność przeinstalowania kilku komputerów, poniesienie dużych kosztów związanych z czynnościami naprawczymi, a nawet zamknięcie całej organizacji. Decyzje, które podejmiesz, zarówno przed incydentem, podczas jego trwania, jak i po incydencie, będą miały bezpośredni wpływ na to, co się wydarzy. CELE REAKCJI NA INCYDENT Głównym celem reagowania na incydent bezpieczeństwa jest pozbycie się zagrożenia ze środowiska komputerowego organizacji, zminimalizowanie szkód oraz przywrócenie normalnej działalności. Cel ten osiąga się, wykonując dwie ważne czynności. Oto one. (cid:374) Śledztwo (cid:374) Ustalenie początkowej metody przeprowadzenia ataku. (cid:374) Ustalenie użytych szkodliwych programów i narzędzi. (cid:374) Ustalenie, które systemy zostały zainfekowane i w jaki sposób się to stało. (cid:374) Ustalenie, czego hakerowi udało się dokonać (szacowanie szkód). (cid:374) Ustalenie, czy incydent trwa. (cid:374) Ustalenie czasu trwania incydentu. (cid:374) Czynności naprawcze (cid:374) Wykorzystanie informacji zdobytych w toku śledztwa oraz opracowanie i wdrożenie planu naprawczego. Poleć książkęKup książkę 48 INCYDENTY BEZPIECZEŃSTWA KTO BIERZE UDZIAŁ W PROCESIE REAKCJI NA INCYDENT Reakcja na incydent (ang. incident response — IR) to dyscyplina obejmująca wiele dziedzin. Wymaga znajomości zasobów z kilku różnych jednostek operacyjnych organizacji. Jak wynika z rysunku 2.1, w proces reagowania na incydent bezpieczeństwa może zostać zaangażowanych wiele osób z różnych działów firmy, np. specjaliści od zasobów ludzkich, prawnicy, informatycy, specjaliści od PR, specjaliści od zabezpieczeń, ochroniarze, dyrektorzy, pracownicy pomocy technicznej i inni. RYSUNEK 2.1. Skład zespołu Na czas trwania procesu reakcji na incydent firmy zazwyczaj tworzą zespoły złożone z wyznaczonych osób, których zadaniem jest przeprowadzenie dochodzenia i pozbycie się problemu. Zespołem dowodzi doświadczony kierownik, najlepiej jeśli jest to ktoś potrafiący kierować innymi jednostkami biznesowymi podczas śledztwa. Tego, jak ważny jest ten ostatni punkt, nie da się przecenić. Kierownik zespołu musi szybko zdobywać informacje i zlecać zadania do wykonania wszystkim zasobom w organizacji. Dlatego jest nim często dyrektor ds. informatyki i zabezpieczeń albo ktoś mu bezpośrednio podległy. Osoba ta staje się osią całego przedsięwzięcia, Poleć książkęKup książkę ROZDZIAŁ 2. PODRĘCZNIK REAGOWANIA NA INCYDENTY BEZPIECZEŃSTWA 49 nadzoruje wiele działań oraz dba o to, by wszystko było wykonywane, jak należy. Zespołem naprawczym kieruje doświadczony pracownik działu informatycznego. Jest to postać, na której spoczywa obowiązek koordynowania wszystkich czynności naprawczych, włącznie z działaniami podjętymi na podstawie wyników śledztwa, oceną stopnia poufności skradzionych danych oraz wprowadzeniem strategicznych zmian mających na celu zapewnienie większego bezpieczeństwa firmy. Większość organizacji obsadza zespoły reagowania i naprawczy osobami z różnych szczebli i działów. Wśród nich podczas śledztwa często można znaleźć pracowników wyższego szczebla z działów IT, zwłaszcza mających doświadczenie w analizowaniu dzienników, informatyce śledczej i rozpoznawaniu wirusów. Zespół śledczy powinien też mieć szybki dostęp do miejsc przechowywania dzienników, konfiguracji systemu oraz musi posiadać uprawnienia do wyszukiwania potrzebnych materiałów, jeżeli w użyciu jest obejmująca całe przedsiębiorstwo platforma reagowania na incydenty. Ponadto w grupie mogą znaleźć się konsultanci, którzy będą opracowywać taktykę śledztwa, jeśli mają odpowiednie doświadczenie. Zespół naprawczy z kolei powinien mieć uprawnienia do tego, aby nakazać wprowadzenie zmian potrzebnych do pozbycia się problemu. Uwaga Uzyskanie uprawnień do wyszukiwania informacji w całym przedsiębiorstwie może być trudne, ponieważ istnieją regulacje prawne i lokalne, które mogą w tym przeszkadzać, zwłaszcza na terenie Unii Europejskiej. W zespołach pomocniczych tworzonych w razie potrzeby z reguły nie muszą znajdować się ludzie związani ze śledztwem ani czynnościami naprawczymi. Ich praca zazwyczaj polega na wykonywaniu konkretnych zadań na żądanie kierownika śledztwa. Typowymi członkami zespołów pomocniczych są: (cid:374) wewnętrzni i zewnętrzni radcy prawni; (cid:374) inspektorzy nadzoru (np. PCI, HIPAA, FISMA oraz NERC); (cid:374) pracownicy pomocy technicznej; (cid:374) członkowie zespołów zajmujących się infrastrukturą sieci; (cid:374) dyrektorzy z pionu biznesowego; (cid:374) przedstawiciele działu zasobów ludzkich; (cid:374) pracownicy działu PR. Skład zespołów śledczych i naprawczych opisujemy w rozdziale 3., ale należy pamiętać, że relacje i oczekiwania należy ustalić z góry. Najgorszym momentem do otrzymania wytycznych od rady lub inspektorów jest czas, gdy śledztwo już trwa. Bardzo dobrym pomysłem jest określenie wszystkich wymogów dotyczących raportowania i całego procesu w sposób odpowiedni dla swojej branży. Co powinno się wiedzieć z perspektywy nadzoru? Jeśli jeszcze nie odbyłeś spotkania z inspektorami wewnętrznymi, którzy jednocześnie mogą być głównymi radcami prawnymi firmy, poświęć dzień na rozmowy o cyklu incydentu. Dowiedz się, jakie systemy informatyczne są objęte atakiem i jakie obowiązują wymagania dotyczące składania raportów. Poleć książkęKup książkę 50 INCYDENTY BEZPIECZEŃSTWA W niektórych sytuacjach odpowiedź na pytanie o zasięg może być znaleziona innymi środkami (mogą to być np. oceny zgodności z normami PCI DSS). Dowiedz się, kogo należy informować o potencjalnych włamaniach i przypadkach złamania zabezpieczeń, a także jakie są zdefiniowane progi powiadomień. Co najważniejsze, znajdź wewnętrzną jednostkę odpowiedzialną za komunikację na zewnętrz i upewnij się, że członkowie Twojego zespołu mogą rozmawiać z decydentami bez owijania w bawełnę. Wewnętrzna rada prawników powinna pomóc w określeniu odpowiadających jej progów raportowania. Różne parametry (czas od identyfikacji zdarzenia, możliwość wycieku danych, zakres potencjalnego wycieku) mogą nie pasować do parametrów określonych przez strony zewnętrzne. Uwaga Jedną z branż, która notorycznie narzuca procesy i standardy śledczym, jest branża kart płatniczych. Gdy przedstawiciele tej gałęzi zostaną zaangażowani w proces śledczy, prowadzone przez Ciebie działania naprawcze mają drugorzędne znaczenie w porównaniu z ich celem ochrony marki i zmotywowania organizacji do spełnienia wymogów standardu PCI DSS. Wyszukiwanie utalentowanych specjalistów do zespołu reagowania na incydenty Pracujemy w firmie świadczącej usługi konsultacyjne na rzecz organizacji borykających się z poważnymi problemami dotyczącymi bezpieczeństwa informacji. Biorąc to pod uwagę, wiemy, że z całego serca powinniśmy zalecać zatrudnianie konsultantów, jeśli tylko wystąpią jakiekolwiek incydenty. To trochę tak, jakby pytać przedstawiciela firmy Porsche, czy potrzebujemy najnowszego modelu ich samochodu. Szczera odpowiedź na pytanie, czy dana firma powinna skorzystać z usług konsultanta, czy zlecić wykonanie wszystkich prac firmie konsultacyjnej, zależy od wielu czynników. Oto one. (cid:374) Koszt utrzymywania zespołu reagowania na incydenty — jeśli tempo operacji nie jest wysokie i nie można wykazać ich wyników, wiele firm nie może sobie pozwolić na utrzymywanie zespołu doświadczonych specjalistów od reagowania na incydenty ani uzasadnić jego istnienia. (cid:374) Kultura zlecania zadań na zewnątrz — wiele organizacji zleca różne zadania biznesowe, włącznie z usługami IT. Ku naszemu zaskoczeniu kilka firm z listy „Fortune” 500 zleca ogromną większość swoich usług informatycznych na zewnątrz. Zjawisko to i jego implikacje dla powodzenia reakcji na incydent omawiamy w jednym z kolejnych rozdziałów. (cid:374) Upoważnienie przez władze nadzorujące i urząd certyfikacji — przykładem zewnętrznej organizacji, która może dyktować, w jaki sposób ma być prowadzona akcja, jest Rada PCI Security Standards Council. Jeżeli Twoja firma działa w branży związanej z kartami kredytowymi, wspomniana rada może narzucić wymóg, aby śledztwo prowadziły „zatwierdzone” firmy. Poleć książkęKup książkę ROZDZIAŁ 2. PODRĘCZNIK REAGOWANIA NA INCYDENTY BEZPIECZEŃSTWA 51 (cid:374) Brak doświadczenia w prowadzeniu śledztw — wynajęcie doświadczonej firmy konsultacyjnej może być najlepszym sposobem na utworzenie zalążka własnego zespołu reagowania na incydenty (RI). Prowadzenie dochodzeń to działalność wymagająca doświadczenia i umiejętności w tym zakresie rosną wraz ze zdobywanym doświadczeniem. (cid:374) Brak lub ograniczone zasoby własnych specjalistów — prowadzenie śledztw, zwłaszcza dotyczących włamań, wymaga dużych umiejętności i szerokiej wiedzy, od znajomości sposobu działania systemów operacyjnych, aplikacji i sieci po umiejętność analizowania szkodliwych programów i przeprowadzenia czynności naprawczych. Z wyjątkiem sytuacji, gdy firma nie ma w ogóle żadnego wewnętrznego działu IT, z naszego doświadczenia wynika, że organizacje utrzymujące własne zespoły ds. reagowania na incydenty mają większą szansę na skuteczne śledztwo i szybkie rozwiązanie problemu. Jest tak nawet wtedy, kiedy zespół RI przeprowadzi tylko wstępne czynności śledcze przy zaangażowaniu pomocy z zewnątrz. Uwaga Kiedy zatrudniamy zewnętrznych ekspertów do pomocy w śledztwie, warto napisać umowę przy pomocy radców prawnych, aby jej postanowienia były zabezpieczone przed ujawnieniem. Jak zatrudnić talent Zatrudnianie odpowiednich ludzi sprawia trudności wszystkim dyrektorom. Jeśli masz zespół i chcesz go powiększyć, znalezienie odpowiedniej osoby może być łatwiejsze, ponieważ w ocenie umiejętności i osobowości aplikanta możesz liczyć na pomoc członków zespołu. Ponadto już wiesz, jak się to robi i do jakich ról potrzebujesz ludzi, co ułatwia sporządzenie profilu idealnego kandydata. Jeżeli jednak znajdujesz się w sytuacji typowej dla specjalisty od zabezpieczeń informatycznych, który musi utworzyć niewielki zespół RI, to od czego zaczniesz? Zalecamy podzielenie procesu szukania pracownika na dwa etapy, czyli znalezienie kandydatów, a następnie ocenienie ich kwalifikacji i tego, czy pasują do Twojej firmy. Znajdowanie kandydatów Jednym z narzucających się pomysłów jest rekrutowanie członków innych zespołów RI. Dobrym pomysłem jest też umieszczenie ogłoszeń w portalach typu LinkedIn, choć jest to metoda pasywna. Szybsze efekty daje aktywne poszukiwanie kandydata np. w grupach technicznych, odpowiednich mediach społecznościowych i na tablicach ogłoszeń. Do wielu specjalistów od informatyki śledczej o różnym poziomie umiejętności można dotrzeć właśnie poprzez tablice ogłoszeń, takie jak np. Forensic Focus. Jeśli masz możliwość skontaktowania się z biurami karier ośrodków uniwersyteckich, na uczelniach z dobrym programem nauczania w dziedzinach informatyki, inżynierii i informatyki śledczej możesz znaleźć początkujących analityków do zespołu. Z naszego doświadczenia wynika, że najlepszych kandydatów do naszej pracy można znaleźć tam, gdzie program obejmuje jako przedmiot główny czteroletni kurs informatyki i inżynierii oraz istnieje możliwość odbywania dodatkowych kursów z informatyki śledczej albo zdobywania certyfikatów z tej dziedziny. Poleć książkęKup książkę 52 INCYDENTY BEZPIECZEŃSTWA Odwrotnie jest natomiast w miejscach uczących wszystkiego w ramach głównego programu nauczania. Podstawowe zdolności, jakie powinien posiadać idealny kandydat, są takie same jak w większości innych dziedzin naukowych: są to zmysł obserwacji oraz umiejętność porozumiewania się, klasyfikowania, mierzenia, wnioskowania i przewidywania. Osoby obdarzone takimi talentami są z reguły najlepszymi członkami zespołów RI. Jeśli znajdziesz w pobliżu swojej firmy uczelnię, której program nauczania skupia się najpierw na podstawach nauki i inżynierii oraz przewiduje seminaria lub przedmioty fakultatywne z informatyki śledczej, masz szczęście. Ocenianie przydatności kandydata: zdolności i cechy Jakie zdolności powinni mieć członkowie Twojego zespołu RI? Generalnie zespół taki powinien składać się z osób o różnych talentach, takich, które mają wiedzę i umiejętności pozwalające im przechodzić między kolejnymi fazami śledztwa. Patrząc na naszą grupę konsultacyjną, dostrzegamy pewne cechy, które wydają się cenne. Jeśli zatrudniasz doświadczonych kandydatów, weź pod uwagę to, czy mają poniższe kwalifikacje. (cid:374) Doświadczenie w prowadzeniu śledztw w środowisku technologicznym — jest to szerokie pole obejmujące zarządzanie informacjami i analizowanie tropów, umiejętność współdziałania z innymi jednostkami biznesowymi, zdolność analizowania dowodów i danych oraz podstawowe umiejętności techniczne. (cid:374) Doświadczenie w prowadzeniu ekspertyz z zakresu informatyki śledczej — na doświadczenie takie składa się znajomość podstaw działania systemów operacyjnych, znajomość artefaktów systemów i aplikacji, umiejętność analizowania dzienników oraz pisania zrozumiałej dokumentacji. (cid:374) Doświadczenie w analizowaniu ruchu sieciowego — jest to umiejętność badania ruchu sieciowego i protokołów oraz znajomość technologii pozwalających na wykorzystanie zdobytych informacji w systemie detekcyjnym. (cid:374) Znajomość aplikacji z branży działalności organizacji — większość firm posiada specjalne systemy przetwarzające dane na specjalnych platformach (np. transakcje finansowe odbywające się na komputerach mainframe). (cid:374) Znajomość zagadnień IT dla przedsiębiorstw — przy braku platformy RI nie ma nic lepszego od administratora umiejącego napisać dwulinijkowy skrypt przeszukujący wszystkie znajdujące się pod jego kontrolą serwery. (cid:374) Umiejętność analizowania szkodliwego kodu źródłowego — osoba potrafiąca to robić jest bardzo ważnym członkiem zespołu, ale większość zespołów RI może się bez niej obyć, wykonując podstawową analizę automatycznie „w piaskownicy”. Jeśli masz trzy wolne miejsca pracy, zatrudnij wszechstronne osoby posiadające podstawową wiedzę w zakresie wykrywania szkodliwej działalności. Jakie cechy osobowości powinien mieć członek zespołu RI? Podczas rozmów o pracę próbujemy dowiedzieć się, czy kandydat ma następujące cechy: (cid:374) wysokie kompetencje analityczne, (cid:374) wysokie kompetencje komunikacyjne, Poleć książkęKup książkę ROZDZIAŁ 2. PODRĘCZNIK REAGOWANIA NA INCYDENTY BEZPIECZEŃSTWA 53 (cid:374) umiejętność dostrzegania szczegółów, (cid:374) metodyczne i zorganizowane podejście do rozwiązywania problemów, (cid:374) udowodnione sukcesy w rozwiązywaniu problemów. Często jesteśmy pytani o to, czy różne certyfikaty, od których roi się w branżach informatyki śledczej i RI, są coś warte. Zasadniczo wszystkie certyfikaty wymagające okresowego zdawania testów i wykazywania, że ktoś cały czas się uczy, są dobrym wskaźnikiem, że taka osoba aktywnie działa na pewnym polu. Jeśli aplikant ma niewielkie doświadczenie w pracy, na podstawie odbytych przez niego szkoleń możemy wytypować tematy do poruszenia podczas rozmowy o pracę. Ponadto, jeśli testy certyfikacyjne są dostępne w internecie, możemy przy okazji sprawdzić zdolności komunikacyjne kandydata oraz jego styl pisania. Jeśli nie, to mamy dobry wskaźnik prawdziwych umiejętności kandydata. W istocie zauważamy odwrotną zależność między głębią wiedzy aplikanta i liczbą posiadanych przez niego certyfikatów, jeśli jego doświadczenie zawodowe jest solidne. Nieprzydatne z reguły są certyfikaty wydawane przez konkretne firmy, ponieważ stanowią one tylko poświadczenie umiejętności w zakresie posługiwania się konkretnymi narzędziami, a nie posiadania gruntownej wiedzy teoretycznej i możliwości działania. PROCES REAKCJI NA INCYDENT Proces reakcji na incydent składa się z wszystkich czynności, których wykonanie jest konieczne, aby osiągnąć cele tej reakcji. Cały proces i poszczególne działania powinno się skrupulatnie udokumentować i przedstawić zespołowi RI oraz akcjonariuszom organizacji. Reakcja na incydent składa się z trzech podstawowych czynności i z naszych doświadczeń wynika, że najlepiej, aby każdą z nich wykonywała wyspecjalizowana grupa. Są to: (cid:374) czynności wstępne, (cid:374) śledztwo, (cid:374) naprawa. Wstępna reakcja na incydent to czynność, która rozpoczyna właściwy proces reakcji na incydent. Gdy zespół potwierdzi, że rzeczywiście doszło do złamania zabezpieczeń, i przeprowadzi czynności wstępne polegające na zebraniu początkowego materiału dowodowego oraz podjęciu wstępnych środków zaradczych, działania śledcze i zaradcze są z reguły prowadzone równolegle. Celem zespołu śledczego jest wyłącznie przeprowadzenie śledztwa, w czasie którego specjaliści tworzą listy tzw. „tropów”. Tropy to dające się wykorzystać informacje o skradzionych danych, wskaźniki sieciowe, zidentyfikowane potencjalne podmioty lub problemy, które przyczyniły się do zaistnienia danej sytuacji zagrożenia lub złamania zabezpieczeń. Wszystkie mogą być natychmiast wykorzystane przez specjalistów, których procesy też muszą być koordynowane i planowane, co wymaga czasu. Często zdarza się tak, że odkryta aktywność jest na tyle groźna, iż trzeba natychmiast zareagować, aby zapobiec dalszej działalności intruza. Poleć książkęKup książkę 54 INCYDENTY BEZPIECZEŃSTWA Czynności wstępne Na tym etapie głównym celem jest zebranie zespołu RI, przejrzenie danych sieciowych i innych, które są od razu dostępne, ustalenie rodzaju incydentu oraz ocena potencjalnych skutków. Chodzi o to, by zgromadzić informacje potrzebne zespołowi do podjęcia decyzji, w jaki sposób zareagować. Zazwyczaj na etapie tym nie zbiera się danych bezpośrednio z dotkniętego systemu. Najczęściej informacje zdobyte w tej fazie dotyczą sieci, dzienników oraz innych dowodów historycznych i kontekstowych. Na ich podstawie można podjąć decyzję, jakie środki zaradcze przedsięwziąć. Jeśli np. koń trojański zostanie znaleziony w laptopie dyrektora finansowego banku, sposób działania będzie całkiem inny niż w przypadku wykrycia tego szkodliwego programu w komputerze recepcjonisty. Jeżeli ponadto konieczne jest przeprowadzenie peł
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Incydenty bezpieczeństwa. Metody reagowania w informatyce śledczej
Autor:
, ,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: