Wraz z postępującą cyfryzacją rozwinęły się także ataki w cyberprzestrzeni. Dla małych i średnich organizacji systemy oraz zespoły zapewniające cyberbezpieczeństwo mogą wydawać się zbyt dużym wydatkiem. Outsourcing lub kosztowne oprogramowanie i jego utrzymanie bywają nieosiągalne. Mimo to konieczne jest wdrożenie zabezpieczeń, polityk i procedur, które uchronią przed atakiem lub ograniczą jego skutki.

Według NIST Cybersecurity Framework cykl zarządzania cyberbezpieczeństwem można opisać w pięciu obszarach – identyfikacja, ochrona, wykrywanie, reagowanie i odzyskiwanie. Monitorowanie cyberbezpieczeństwa należy do komponentu wykrywanie i jest nieodłącznym elementem całego procesu. Monitoring umożliwia obserwowanie zdarzeń mających miejsce w infrastrukturze, analizowanie ich oraz reagowanie w przypadku anomalii lub naruszeń bezpieczeństwa. Sama budowa, utrzymanie oraz rozwój infrastruktury, a w szczególności segmentów odpowiadających za cyberbezpieczeństwo, to ciągła praca oraz dostosowywanie organizacji do zmieniającego się krajobrazu zagrożeń. Wdrożenie podstawowego monitoringu i wiedza na temat zagrożeń cyfrowych może uchronić organizację przed dotkliwym atakiem skutkującym stratami finansowymi i uszczerbkiem na reputacji. W ramach przygotowań i zainicjowania tego procesu warto także docenić wartość „bycia na bieżąco”. Informacja o najnowszych podatnościach czy powszechnych atakach daje szansę na naukę na cudzych błędach lub przygotowanie się na nadchodzące zagrożenia.

> Czy jest co wykrywać?

Obecnie na pierwszych stronach gazet i portali informacyjnych coraz częściej można znaleźć wiadomości o udanych cyberatakach na urzędy, placówki medyczne lub firmy. Takie ataki mają katastrofalny wpływ nie tylko na samą organizację, ale także jej klientów czy pacjentów. Niektóre z nich wynikają z obecnych w systemach podatności, inne z niedostatecznego przeszkolenia pracowników. Jednak wielu można byłoby uniknąć za pomocą skutecznych zabezpieczeń.

Do najbardziej aktualnych zdarzeń należą ataki ransomware’owe na Urząd Marszałkowski Województwa Mazowieckiego (grudzień 2022 r.) oraz Instytut Centrum Zdrowia Matki Polki w Łodzi (listopad 2022 r.). Wiązały się one z zaszyfrowaniem danych w systemach, a w konsekwencji uniemożliwieniem świadczenia usług oraz brakiem dostępu do informacji. Nie wykluczono także nieautoryzowanego dostępu przez osoby trzecie do danych, które znajdowały się w zaatakowanej infrastrukturze. Nietrudno sobie wyobrazić, że utrudnione funkcjonowanie, a nawet kompletny paraliż takich instytucji może mieć wpływ nie tylko na samą organizację, ale także na ludzkie zdrowie lub nawet życie.

Interesującym zagrożeniem, które staje się coraz powszechniejsze, są reklamy aplikacji przekierowujące do niebezpiecznego oprogramowania. Przykładowo, chcąc pobrać narzędzie OBS Studio do nagrywania i transmitowania wideo, sięgamy do wyszukiwarki Google. Po wyszukaniu frazy „OBS Studio” pierwszym wynikiem okazuje się reklama prowadząca do fałszywej strony podszywającej się pod OBS Project. Dopiero na drugim miejscu widoczna jest oficjalna strona oprogramowania (rys. 1). Odnośnik prowadzi do witryny, z której można pobrać plik .zip zawierający malware. Łatwo się pomylić i odruchowo wejść w pierwszy wynik z wyszukiwarki. Ponadto cały proces może nie wzbudzić podejrzeń także na dalszych etapach – w końcu spodziewamy się pliku wykonywalnego .exe, gdy pobieramy oprogramowanie.

Z nieco bardziej ogólnych „trendów” w atakach – niezmiennie – niezwykle popularnym wektorem ataku jest phishing, któremu bardzo dużo uwagi poświęciliśmy w zeszłorocznym listopadowym numerze („IT Professional” 11/2022, s. 8). Dostarczany za pomocą SMS-ów, wiadomości e-mail lub komunikatorów internetowych dociera zarówno do osób prywatnych, jak i do firm. Działania pojedynczego użytkownika mogą doprowadzić nie tylko do utraty przez niego pieniędzy lub dostępów do kont, ale także do pojawienia się złośliwego oprogramowania w infrastrukturze organizacji. Wyłudzenie przez przestępców danych dostępowych do kluczowych kont w systemach firmy może skutkować także wyciekiem poufnych informacji.

Tego typu ataki to jedynie ułamek zagrożeń, które mogą do nas dotrzeć. Przestępcy nie postępują etycznie – patrzą na zysk, nie zwracając uwagi, czy ofiarą padnie placówka medyczna, szkoła, czy urząd. Wiele ataków jest dystrybuowanych masowo bez precyzyjnie określonego celu. Skuteczne i dotkliwe ataki nie muszą być spersonalizowane lub kierowanie do ściśle wyselekcjonowanej grupy docelowej. Warto o tym pamiętać i nie lekceważyć potrzeby zabezpieczenia organizacji przed cyfrowymi zagrożeniami. Wnioski z udanych ataków powinny pomóc dostosować plan rozwoju lub nawet utworzenia systemów bezpieczeństwa.

> Ocena potrzeb i plan

Fundamentem dobrego systemu monitorowania cyberbezpieczeństwa jest zdefiniowanie na samym początku potrzeb organizacji i planu stworzenia takiego systemu. Implementacja monitorowania daje możliwość analizy zdarzeń, reagowania na nie i późniejsze wyciągnięcie wniosków z całego procesu. Oczywiście by taki proces mógł zaistnieć, konieczny jest szerszy system zarządzania cyberbezpieczeństwem, który określa i realizuje dalsze kroki następujące po detekcji potencjalnego zagrożenia.

Szczególnie na etapie analiz oraz planów trudno o ustalenie jednolitego, uniwersalnego modelu wdrożenia bez znajomości stanu początkowego i konkretnego przypadku. Zbudowanie takiego systemu wymaga wielu analiz, czasu oraz pracy, które sprawią, że będzie on „szyty na miarę” i ciągle ulepszany. Z tego względu niektóre zagadnienia będą jedynie zasygnalizowane, tak by każdy mógł zwrócić uwagę, iż temat wart jest samodzielnego zgłębienia.

W idealnej sytuacji w organizacji powinien już funkcjonować proces zarządzania ryzykiem, który uwzględnia cyberbezpieczeństwo. W „planie minimum” musi się znaleźć przynajmniej analiza ryzyka. Jest to niezwykle istotny etap, który zawiera w sobie określenie najważniejszych procesów i zasobów z perspektywy działania organizacji oraz w następnej kolejności ocenę ryzyka dla każdego z nich. Analiza taka powinna skutkować określeniem zasobów i procesów krytycznych, których monitorowanie powinno zostać wdrożone jako pierwsze. Na krytyczność systemów oraz potrzebę monitoringu należy też popatrzeć z perspektywy prawnej i przeanalizować obowiązujące regulacje i wymagania, które wymuszają konkretną metodykę monitoringu pod groźbą kar finansowych lub innego rodzaju konsekwencji. Przykładem takiego zagadnienia jest retencja danych, która w wielu przypadkach regulowana jest prawnie – ma ściśle określone ramy czasowe, w których logi zawierające dane muszą i mogą być przechowywane.

Poza wymogami określanymi przez prawo należy też określić potrzeby i zakres monitoringu, jaki chcemy wdrożyć. Na te decyzje wpływ będą mieć: wielkość organizacji, szacowane koszty, dostępność wykwalifikowanej kadry oraz czas na wdrożenie. W opisywanym w artykule przykładzie zakładamy scenariusz pesymistyczny, w którym chcemy zbudować podstawowy monitoring bezpieczeństwa samodzielnie i od zera, mając elementarną wiedzę na temat cyfrowych zagrożeń. Warto zwrócić uwagę, że w tworzeniu oraz rozwijaniu każdego systemu bezpieczeństwa nieocenioną wartość ma polityka bezpieczeństwa, która definiuje obowiązujące zasady i wskazuje konkretne procesy i procedury. Są to dokumenty, które usprawniają budowanie oraz rozwijanie systemów bezpieczeństwa, a także weryfikację ich zgodności z przyjętymi zasadami.

> Podstawowe elementy narzędzia Wazuh

Monitoring bezpieczeństwa to bardzo obszerny i zróżnicowany temat. Podejście do wdrożenia, obsługi procesu i rozwoju jest różne w zależności od wybranego oprogramowania czy konkretnej implementacji w organizacji. Dla zachowania spójności podstawowe elementy monitorowania bezpieczeństwa zostaną przedstawione na przykładzie przypadków użycia (ang. use cases) oferowanych przez platformę Wazuh (szczegóły techniczne oraz poradnik instalacji można znaleźć w „IT Professional” 12/2022, s. 40). Zawarte tam elementy nie pokrywają wszystkich najważniejszych przestrzeni wartych monitorowania, lecz stanowią dobry początek dalszego procesu tworzenia systemów i infrastruktury monitorującej.

01 Analiza logów

W monitoringu logi są głównym źródłem informacji. Pochodzą z różnych dobranych do potrzeb źródeł, które dzięki analizie, wykrywaniu anomalii i korelacji mogą wyzwolić skonfigurowane alerty. Zbierane logi spływają z urządzeń, systemów i aplikacji. Warto uwzględnić zarówno dane z urządzeń końcowych wykorzystywanych przez użytkowników, jak również elementów infrastruktury sieciowej, np. routerów. Wazuh może zbierać dane zarówno za pomocą zainstalowanych agentów na stacjach, a w przypadku urządzeń sieciowych lub aplikacji otrzymywać logi poprzez Syslog. Dobór zbieranych logów to niezwykle ważny etap wdrożenia, ponieważ od niego zależy, ile danych dostarczymy i jakie obszary chcemy najuważniej obserwować. Implementacja dodatkowych źródeł danych, takich jak Sys­mon, znacząco poszerza perspektywę w monitoringu i umożliwia tworzenie skutecznych reguł detekcji. Sysmon pozwala monitorować podejrzane zmiany w rejestrze, połączenia sieciowe, zacieranie śladów i wiele zdarzeń mogących wskazywać na obecność szkodliwego oprogramowania lub innych nieprawidłowości w infrastrukturze monitorowanego systemu.

Szczególny nacisk warto położyć na monitoring uwierzytelniania i autoryzacji. Umożliwia to wykrycie podstawowych ataków, takich jak brute force, ale także ułatwia rozliczanie oraz weryfikację działań administracyjnych ze względu na przejrzyste zdarzenia świadczące o logowaniu konkretnego użytkownika. Dostarczają one również szerszego kontekstu poprzez informacje o źródłowym adresie IP logowania, identyfikatorze stacji roboczej lub metodzie uwierzytelniania.

O tym, co dzieje się w naszej infrastrukturze, co do niej dociera i co z niej wychodzi, informują nas wszelkiego rodzaju logi sieciowe. Mogą pochodzić z systemów proxy, zapór sieciowych, serwerów DNS i innych systemów oraz urządzeń. Wraz z informacjami z przeglądarek internetowych użytkowników mogą umożliwić zbudowanie pełnego obrazu działań pracowników w sieci i umożliwić wykrywanie anomalii.

[...]

Autorka jest analityczką cyberbezpieczeństwa zajmującą się monitoringiem zagrożeń w dużej organizacji sektora finansowego. Działa po defensywnej stronie cyberprzestrzeni i z zaangażowaniem bada wykorzystanie czynnika ludzkiego w atakach.