Jak przygotować firmę do ataku hakerskiego?

25.09.2017 6 minuty na przeczytanie artykułu

Artykuł redakcyjny

Przedsiębiorco, a co jeśli kolejny ogólnoświatowy wirus zaatakuje komputery właśnie w twojej firmie? Podpowiadamy jak przygotować się do ataku, jakie przedmioty przygotować przed przyjazdem wsparcia zewnętrznego oraz co robić, gdy rozpocznie się atak.

 

Checklisty, checklisty, checklisty

W przypadku zaistnienia sytuacji kryzysowej ważne jest, by plan działania bądź utrzymania ciągłości funkcjonowania firmy był tak prosty, jak to tylko możliwe (będzie wtedy łatwiejszy do wdrożenia w razie konieczności). Jest to niezwykle ważne, gdyż sytuacje kryzysowe są z reguły bardzo stresogenne, co w niektórych przypadkach odbija się również na zdolności do zachowania spokoju i rozwagi przez pracowników działu IT.

W tych okolicznościach nawet zinterpretowanie i wdrożenie starannie opracowanych wytycznych zajmujących zaledwie pół strony może skutkować wieloma błędami. Można w tym miejscu przytoczyć przykład dobrych praktyk wykorzystywanych w innym sektorze, mianowicie w lotnictwie. Samoloty pasażerskie wyposażone są w „Skrócony Przewodnik” („QRH”). Zawiera on listy kontrolne na wypadek wszelkich zdarzeń, od wytycznych na czas uruchamiania systemów do awarii silnika. Listy te są zwięzłe i łatwe do wdrożenia, co stanowi doskonałe rozwiązanie: w sytuacji awaryjnej firma nie zawsze ma wystarczająco dużo czasu i musi działać sprawnie.

Kolejna z kwestii, o której się często zapominamy podczas ataku to uprzedzenie ochrony, że oczekujemy na przybycie wsparcia z zewnątrz. Należy upewnić się, że ekipy będą miały niezbędny dostęp do budynku jeszcze zanim się w nim pojawią. Jest to szczególnie ważne poza standardowymi godzinami pracy. Nie do zaakceptowania jest, gdy opóźnienie w działaniu w sytuacji kryzysowej wynika z nieodpowiedniego uprzedzenia ochrony lub z tego, że ktoś zapomniał przekazać kluczy do serwerowni.

 

Jak przygotować się na przyjazd ekipy interwencyjnej?

Niektóre zespoły zarządzania kryzysowego w razie ataku hakerskiego posiadają swoje własne zestawy zawierające narzędzia niezbędne do pracy. Czasem jednak nie starcza czasu, by „przepakować się” w drodze od jednej awarii do drugiej. Dlatego też, by zapobiec opóźnieniom warto mieć zawsze pod ręką niektóre z poniższych przedmiotów:

  • kilka czytników kart SD oraz większa ilość nowych, jeszcze zapieczętowanych kart SD
  • czyste płyty CD
  • mały koncentrator sieciowy
  • latarki i baterie
  • różnego rodzaju kable sieciowe w kolorach, które nie są na co dzień wykorzystywane
  • adaptery szeregowe do sprzętu sieciowego (jeśli dotyczy, np. Cisco/Juniper/…)
  • dostęp do cateringu dla ekipy. Nie jest to absolutnie konieczne, ale będzie z pewnością sympatycznym gestem, który pozwoli również na zaoszczędzenie czasu.
  • spore zapasy napojów kofeinowych (zimnych i ciepłych)
  • notatniki i długopisy

 

Linie komunikacyjne

Stworzenie przejrzystych linii komunikacyjnych to niezbędna część strategii podczas ataku. W jej skład wchodzi komunikacja w sytuacji awaryjnej jak również sposób, w jaki sytuacja awaryjna jest zgłaszana. Wielu użytkowników nie chce zgłaszać, że zauważyło „coś dziwnego” z obawy przed zwróceniem im uwagi lub wyśmianiem. Najlepszym rozwiązaniem jest w tym wypadku edukowanie o konieczności przestrzegania zasady „Gdy coś widzisz, zgłaszaj to” (tak brzmią również wytyczne Departamentu Bezpieczeństwa Krajowego DHS). Firma musi podchodzić do sprawy z wyczuciem, by nie doszło do nadużyć w zgłaszaniu zagrożeń.

Należy wyznaczyć na wypadek sytuacji awaryjnej punkty kontaktowe, w których zbierane będą wszystkie informacje. Nie do końca dobrym pomysłem jest wysyłanie raportu mailem do wiadomości 25 osobom. Przy wiadomościach adresowanych do wielu osób bardzo prawdopodobne jest, że nikt nie zareaguje. Organizacja o spłaszczonej strukturze, gdzie każdy rozmawia z każdym to dobre rozwiązanie w codziennej działalności, które niekoniecznie jednak sprawdzą się w sytuacji awaryjnej.

Ryzyko niedokładnego przekazania informacji bądź pominięcia istotnych elementów jest zbyt wysokie. Zaleca się uprzednie opracowanie pewnych informacji na wypadek, gdy pojawią się pytania. Jeśli sprawą mogą zainteresować się media, wtedy zdecydowanie lepiej jest mieć pod ręką trochę przygotowanych informacji, by móc wysłać je dziennikarzom. Jeśli awaria dotknie usługi zewnętrzne, dobrym rozwiązaniem jest zaangażowanie do pracy innych działów, takich jak PR w celu informowanie o kryzysie.

Mądrze wykorzystuj logi

Z naszego własnego doświadczenia w działaniu w sytuacjach kryzysowych (z wykorzystaniem G DATA Advanced Analytics) wiemy, że jednym z najskuteczniejszych narzędzi jest w tym kontekście odpowiedni zestaw logów – mówi Robert Dziemianko z G DATA.– Logi zapory sieciowej są z reguły obecne, jednak wystarczająco szczegółowe logi powinny również być dostępne ze wszystkich serwerów, w tym kontrolerów domeny. Odzyskiwanie danych może być dużo bardziej skuteczne, gdy mamy także dostęp do logów klientów -dodaje Dziemianko. Należy w tym miejscu odpowiedzieć na ważne pytanie o to, które zdarzenia należy logować i zachowywać. Praktyczna zasada zaleca przechowywanie plików log przez minimum rok. Należy opracować odpowiednią strategię, która pogodzi kwestię niezbędnego poziomu szczegółowości oraz kosztów przechowywania.

Nawet jeśli działanie to może na pierwszy rzut oka wydawać się sprzeczne z intuicją, należy przechowywać nieudane próby logowania. Wszystkie logi należy przechowywać oddzielnie od środowiska produkcyjnego oraz oddzielnie je przetwarzać. Serwer logujący w środowisku produkcyjnym może także może zostać naruszony, przez co wszystkie logi stają się bezwartościowe. Z uwagi na fakt, iż atakujący mogą poruszać się w sieci niezauważeni nawet przez kilka miesięcy, należałoby także zadbać o odpowiednią ilość danych historycznych. Informacja ta pomoże w ustaleniu przebiegu sytuacji kryzysowej, jak również w opracowaniu strategii zaradczych na przyszłość.

Materiał dowodowy

W zależności od specyfiki danej sytuacji kryzysowej należałoby unikać podejmowania prób jej rozwiązania „na skróty” po to, by jak najszybciej powrócić do normalnego funkcjonowania firmy. Choć po raz kolejny wydaje się to sprzeczne z intuicją, istnieją przypadki, w których należy zachować dowody, by móc usunąć przyczynę awarii. Przeinstalowanie oprogramowania na komputerze, który został zainfekowany przez złośliwy program może skutkować zniszczeniem kluczowych dowodów. Z komputera będzie można znów korzystać, jednak nie zdobędziemy żadnej wiedzy na temat tego, od czego to wszystko się zaczęło.

To jeszcze nie koniec: nie wystarczy ograniczenie nacisku nakładanego na pojedyncze komputery. Działanie w sytuacji kryzysowej zawsze dotyczy infrastruktury jako całości. Bez odpowiedniego poznania przyczyny stojącej za infekcją ryzyko, że podobna sytuacja powtórzy się w przyszłości wzrasta dramatycznie – nawet jeśli nie znajdowaliśmy się bezpośrednio na celowniku, jak to miało miejsce wielokrotnie w przypadku pewnych sektorów zaatakowanych przez złośliwe oprogramowanie.

Czas to pieniądz

Posiadanie planów odzyskiwania danych, planów na okoliczność sytuacji kryzysowych, dobrze udokumentowanych aktywów oraz sieci itp. znacząco zmniejszy czas i środki, jakich potrzebuje zewnętrzna ekipa. Możliwe, że przy dobrze przygotowanej dokumentacji będą musieli wysłać na jeden dzień tylko jedną lub dwie osoby.

Zła wiadomość jest jednak taka, że żaden z planów awaryjnych nie jest nigdy naprawdę kompletny w znaczeniu, że „nie będzie potrzebował podjęcia jakichkolwiek dodatkowych kroków”. Dany plan opiera się na ciągłej pracy i stanowi element pewnego cyklu, w którym zawiera się także przeprowadzenie działań w sytuacji kryzysowej, analiza wysnutych wnioski oraz nowy plan.

Zbieranie informacji w sytuacji, gdy do incydentu już doszło jest do pewnego stopnia możliwe, choć utrudnione. Po raz kolejny rodzi to potężne koszty, z reguły kilka tysięcy złotych/euro za dzień za osobę. Poszukiwanie zewnętrznego wsparcia w sytuacji kryzysowej to rozsądne rozwiązanie dla mniejszych firm, które nie mają wystarczających środków, by przeszkolić i zatrudniać na stałe zespół zajmujący się tą kwestią.

Ćwiczenie czyni mistrza

Każdy z opracowanych planów powinien zostać przećwiczony. Ćwiczenia praktyczne uwidaczniają słabe punkty i niedociągnięcia w danym planie oraz pomagają poczuć się pewniej. Należy upewnić się, że tego typu doświadczenie będzie dla firmy korzystne oraz że wprowadzi ona w związku z nim odpowiednie zmiany w dokumentacji. Do określenia aktualnego stanu rzeczy czasem wystarczy przeprowadzenie symulacji przy biurku. Następnie można je przenieść do środowiska produkcyjnego, nawet jeśli nie doszło do żadnego ataku. Zazwyczaj większość osób zostaje poinformowana o planowanych ćwiczeniach.

Wszyscy stawiają się więc przygotowani i gotowi do działania. Ćwiczenia często przeprowadzane są poza godzinami pracy, gdy nikt w nich nie przeszkadza, a nieprzewidzianym zdarzeniom można zaradzić bez ingerencji w codzienne funkcjonowanie firmy. Ostatecznym wyzwaniem będzie przeprowadzenie ćwiczenia typu Red-Teaming, w którym faktycznie dochodzi do ataku. Dzięki niemu możliwe jest doskonalenie umiejętności firmy w zakresie radzenia sobie w przypadku zaistnienia tego typu sytuacji w rzeczywistości oraz ciągłe udoskonalanie jej profilu bezpieczeństwa.

Z tego powodu starannie opracowany plan awaryjny biorący pod uwagę wszystkie wymienione okoliczności jest niezbędny. Powinien on również zawierać rozwiązania umożliwiające pominięcie zwyczajowego „łańcucha odpowiedzialności” w przypadku, gdy z jakiegokolwiek powodu brakuje któregoś z ogniw. Każdy z pracowników działu IT powinien zostać upoważniony do rozpoczęcia wdrażania planu awaryjnego bez obawy o to, że otrzyma oficjalne upomnienie (oczywiście z wyjątkiem przypadków celowego niewłaściwego działania), w szczególności, jeśli alternatywą jest niepodjęcie jakiegokolwiek działania.

Spotkanie podsumowujące

W przypadku, gdy doszło do ataku, wobec którego podjęto środki zaradcze, ważne jest, by przedyskutować przebieg działań ze wszystkimi zainteresowanymi stronami wtedy, gdy sytuacja zostanie już opanowana. Nie należy o tym zapominać nawet wtedy, gdy wszystko zadziałało bez zastrzeżeń. Taka dyskusja może stanowić okazję do poklepania pracowników po plecach za dobrze wykonane zadanie oraz do wskazania, co udało się wyjątkowo dobrze. Pozytywny feedback jest nie do przecenienia jeśli chodzi o motywację zespołu IT w Twojej firmie.

Na spotkaniu podsumowującym trzeba przedyskutować najbardziej problematyczne kwestie. Kluczowa przy kolejnym ataku jest tu nauka na własnych błędach. Jeśli wszyscy wrócą do swoich zadań, gdy tylko sytuacja awaryjna zostanie zażegnana, istnieje duże ryzyko, że w parze z tą lekcją nie pójdzie żadna nauka, a w pewnym momencie w przyszłości popełnione zostaną te same błędy.