facebook LinkedIN LinkedIN - follow
Cloud & Security , IT Security

Recovery po útoku aneb Krizový IT management v praxi

Michal Štusák


Na koho se obrátíte, když přijdete do práce a zjistíte, že nic nefunguje? Zastaví se výroba, zastaví se logistika. Zákazníci se s vámi nemohou spojit a na serveru vyskakuje okno se žádostí o výkupné. Hraje se o čas. Nedokáže-li vaše firemní IT na situaci reagovat, je nutné spojit se s experty.


Rada číslo jedna – odpojte internet

Expert na kybernetickou bezpečnost většinou dorazí do firmy v řádu hodin od okamžiku kontaktování. Okamžitě rozjede fázi jedna, známou jako incident response nebo digitálně forenzní response. Zásadní rada, kterou však udělí při prvotním kontaktu, je odpojení od internetu. Jen tak lze spolehlivě útočníka odstřihnout a minimalizovat škody. Skutečně jde však pouze o odpojení ze sítě. Počítače ani servery se vypínat nedoporučuje, mohou obsahovat v paměti šifrovací klíč.

Expert zjišťuje vektor útoku a celkově hledá, odkud útok přišel. Hlavními stopami bývají zašifrované servery, logy i síťové sondy, ze kterých dokáže expert rozpoznat čas útoku, kam se útočník dostal a co napáchal. Sestavuje časovou osu útoku a snaží se dostat do takzvaného bodu nula, který je klíčový pro obnovu dat. Tyto kroky musí proběhnout s naprostou přesností – pokud není tento bod odhalen přesně, útok se může opakovat znovu.

Expert tak zjistí, o jaký šlo útok, případně kdo se za ním skrývá a jaké chce výkupné. A především jaká část struktury byla tím zranitelným článkem, přes který se útočník dostal do systému. Celá tato fáze může trvat jednotky, ale i desítky hodin. Záleží na velikosti firmy, počtu serverů, poboček a počítačů.

Nejtypičtějšími útoky jsou ty přes e-mailové servery. Slabým místem však mohou být také VPN bez dvoufaktorového ověření, kterých je zhruba 70 %. Útočníci si zpravidla vybírají společnosti, do kterých najdou snazší cestu. Pokud je firma v public cloudu nebo v hybridním cloudovém módu, není tak snadné na ni zaútočit. Nicméně i cloud lze nastavit tak špatně, že může být snadným cílem.

První fáze reakce na útok se odhalením typu útoku, škod a bodu nula chýlí ke konci. Bezpečnostní expert sepisuje takzvaný security report, který se v některých případech předává Policii ČR nebo NÚKIB. Rychlý zásah a rychlé přezkoumání stavu zaručí odstřižení útočníka a pomůže zanalyzovat typ útoku a rozsah škod. Dalším ne­mé­ně důležitým a náročným krokem je obnova byznysové kontinuity.

Fáze obnovy

Výpadek IT má často konsekvence, na které se společnost za běžného chodu málokdy zvládne připravit. Vypadnou systémy v celé budově, karty na odemykaní mohou přestat fungovat, IT může zjistit, že nemá přístup k heslům, protože jsou uložena na zašifrovaném disku, a mohou nastat nepředvídatelné situace. Proto je extrémně důležité nejen rychle zareagovat, ale také zachovat chladnou hlavu. Z praxe je ale běžné, že společnosti napříč velikostmi i odvětvími nevědí, jak reagovat, jak postupovat, kdo má jaké kompetence, a celkově nejsou dostatečně připravené a netuší, jak dlouhý a náročný proces obnovy je čeká, ani kde v něm začít.

V takovém případě je nejlepší nechat externího kyberbezpečnostního odborníka, aby je dále recovery procesem provedl a poradil, jak síť do budoucna zabezpečit a být na podobnou situaci patřičně připravený, ideálně jí zamezit zcela.

Ve fázi obnovy na IT oddělení dopadá obrovská míra stresu. Management tlačí na rychlé recovery dat, zároveň volají dodavatelé nebo zákazníci. Všichni požadují co nejrychlejší reakci a řešení prob­lé­mu. Jde o krizový management a měl by mít svůj předem připra­ve­ný takzvaný Disaster Recovery scénář. Podobně jako je důle­ži­té cvičení IZS, je klíčové vědět, jak postupovat v případě výpadku systému, jak obnovit firmu z úplného bodu nula. Také s tímto scéná­řem může expert na kybernetickou bezpečnost pomoci, jelikož nepři­pra­ve­nost je nejčastějším problémem IT pracovníků i managementu.

Pokud scénář neexistuje, expert na kyberbezpečnost funguje jako styčný důstojník, který radí, jak efektivně postupovat, aby došlo k co nejmenším ztrátám. Pomáhá s prioritizací a řešením kroků nutných pro zachování business kontinuity. Po podniknutí úkonů nezbytných k fungování společnosti následuje obnova počítačů, během které se staví většinou zcela nová síť. Jednotlivé servery se oddělují od uživatelů a vytvoří se management sítě, aby se zamezilo obdobnému kolapsu v budoucnu.

Zašifrovaná data se nedoporučuje mazat, firmy tak stojí před problémem, kam je přesunout. Při obnově dat vedle zašifrovaných serverů by mohlo dojít k další „kontaminaci“. Řešením je využití externího mobilního datového úložiště, které při recovery procesech ve firmách využívá i naše společnost. Toto zařízení dokáže přispět až k o polovinu rychlejšímu procesu obnovy.

Security mentoring a konzultace

Poslední fáze celého procesu zahrnuje převážně nápravná opatření, která vycházejí z doporučení bezpečnostního experta. Začíná se drobnými, ale důležitými změnami konfigurací bez větších investic. Zavede se například účinné dvoufaktorové ověření VPN a podobně. Jedním z opatření může být například sanitizace dat (CDR) – nový prvek na úrovni kybernetické bezpečnosti – který dokáže rozpoznat rizika již při vstupu do sítě.

Dále se nastavují střednědobá a dlouhodobá opatření, zreviduje se síť a upraví se zálohování a nastartuje se kybernetická bezpečnost. Expert pak může nadále fungovat jako konzultant a pomoci firmě nastavit veškeré procesy tak, aby se minimalizovaly, ideálně eliminovaly další hrozby.

Celý proces recovery po útoku je velmi náročný. A pokud se společ­nost dostane do situace, že jím musí projít, je dobré být na něj při­pra­ven. Ať už to znamená mít v trezoru v papírové podobě schovaný podrobně a pečlivě zpracovaný Disaster Recovery scénář, nebo mini­mál­ně vědět, na koho se v takové situaci obrátit. Tímto člověkem většinou není interní IT, jelikož nemá a nemůže mít kapacity pro tuto oblast, ale externí expert na kybernetickou bezpečnost.

Michal Štusák Michal Štusák
Autor článku je expertem na kybernetickou bezpečnost a spolumajitelem společnosti ComSource.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.

Inzerce

Ochrana dat a bezpečnost v éře DORA a NIS2

Klíčová role IBM Guardium a SIEM QRadar

Security AIS rostoucími nároky na ochranu citlivých dat a dodržování regulatorních požadavků se firmy stále více obrací k pokročilým nástrojům, které jim umožňují efektivně čelit výzvám moderního IT prostředí. Směrnice DORA a NIS2, které zdůrazňují operační odolnost a správu kybernetické bezpečnosti, stanovují jasné standardy pro ochranu dat a řízení přístupu. V tomto kontextu hrají zásadní roli řešení IBM Guardium a SIEM QRadar.