Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Organizacja nadzoru nad cyberbezpieczeństwem

Data publikacji: 15-06-2020 Autor: Artur Cieślik
SKŁADNIKI SIEM NA PODSTAWIE...

Przedsiębiorstwa w coraz większym stopniu narażane są na rosnącą falę cyberprzestępstw. Dla wielu firm priorytetem staje się zapewnienie maksymalnego bezpieczeństwa gromadzonych danych – monitoring infrastruktury IT jest zadaniem złożonym. Prześledźmy sposoby na organizację tego procesu.

 

Zasady bezpieczeństwa informacji w systemach informatycznych zna większość z nas. Jednak nie zawsze stosujemy praktyki pozwalające uniknąć problemów lub z wyprzedzeniem wykryć incydent. Organizacja bezpieczeństwa nie wynika jednak wyłącznie z dobrych praktyk czy norm. Coraz częściej jest rezultatem wymagań prawnych i utrudnia cały proces. Nie wystarczy już wziąć pod uwagę najlepszych praktyk. Dodane są elementy rozliczalności, niezbędne do wykazania zgodności podczas kontroli. Jednym z nich jest odnotowanie czynności przez osoby realizujące czynności wynikające z przyjętych procedur bezpieczeństwa informacji oraz tzw. cyberbezpieczeństwa. Wykorzystywanie kolektorów logów z ograniczonym dostępem dla administratorów, prowadzenie dzienników czynności administracyjnych oraz raportowanie istotnych zdarzeń wykrytych w dziennikach staje się normą.


> Kompetencje


Monitorowanie i analiza zdarzeń w systemach staje się coraz ważniejsze i – jednocześnie – jest coraz trudniejszym zadaniem dla administratorów. Niewiele instytucji oraz firm tworzy odrębne od kadry administrującej systemami zespoły zajmujące się analizą i wykrywaniem niepokojących zdarzeń w systemach. Wynika to z wielu czynników. Jednym z nich są oczywiście koszty. Utworzenie komórki, zajmującej się wyłącznie tą czynnością, rodzi wiele dodatkowych wyzwań dla HR, które (w dobie rodo) boryka się z problemem pozyskania wykwalifikowanych osób, zajmujących się bezpieczeństwem systemów. Wyodrębnienie z obecnego zespołu administratorów osób do zadań monitorowania i obsługi incydentów nakłada na organizację zapewnienie narzędzi i procedur. Aby zespół mógł działać efektywnie, należy zapewnić ponadto dostęp do wiedzy związanej z podatnościami, incydentami oraz możliwość korzystania z narzędzi, zarówno dla celów monitorowania bezpieczeństwa, obsługi incydentów, jak i zabezpieczenia dowodów w postaci elektronicznej.


Podsumujmy obecne wymagania, dotyczące osób zajmujących się analizą logów i wykrywaniem zdarzeń mogących świadczyć o wystąpieniu problemu lub naruszenia bezpieczeństwa. Po pierwsze znajomość procedur dotyczących bezpieczeństwa, a więc wiedza, co i kiedy wykrywać oraz w jakich miejscach systemu. Następnie posiadanie i znajomość narzędzi służących do kolekcjonowania i analizy logów systemu. W przypadku wykrycia podejrzanego zdarzenia zidentyfikowanie zagrożenia w odniesieniu do systemów informatycznych oraz zastosowanie rozwiązań ograniczających skutki wystąpienia tych zagrożeń. Ponadto w przypadku wykrycia szkodliwego oprogramowania zanalizowanie jego działania i określenie potencjalnych skutków dla systemu.


Prawdziwe wyzwania pojawiają się w przypadku wykrycia przełamania lub ominięcia zabezpieczeń systemu informatycznego. Osoby z odrębnego zespołu (może być to również ekspert zewnętrzny) lub administratorzy są zobowiązani do przeprowadzenia analizy powłamaniowej, wraz z określeniem działań niezbędnych do przywrócenia sprawności systemu informatycznego. W ramach tych zadań niezbędne jest zabezpieczenie informacji potrzebnych do analizy powłamaniowej, pozwalających na określenie wpływu incydentu. Aby tego dokonać, osoby wykonujące takie czynności powinny posiadać informacje z wcześniej prawidłowo skonfigurowanych systemów analizy zdarzeń w systemie. Powinny również odpowiedzieć na pytanie, na jakie rodzaje usług systemu informatycznego incydent miał wpływ. Następnie, jakiej liczby użytkowników dotyczył, oraz ustalenie momentu wystąpienia i wykrycia incydentu oraz czasu jego trwania. Kolejnym zadaniem jest określenie zasięgu incydentu, z uwzględnieniem wpływu na inne organizacje, np. dostawców oraz klientów. Na koniec pozostaje ustalenie przyczyny zaistnienia incydentu i sposobu jego przebiegu oraz skutków jego oddziaływania na systemy informatyczne. Ostatecznie zespół zabezpiecza dowody na potrzeby postępowań prowadzonych przez organy ścigania lub wynajmuje do tych działań eksperta z zewnątrz.


Problem pojawia się, gdy w niewielkiej firmie i instytucji informatyką zajmuje się najczęściej jedna bądź maksymalnie dwie osoby. Zakres obowiązków, spadający na jednego administratora, zawiera nadzór nad stacjami roboczymi, serwerami, przełącznikami sieciowymi, a także kontrolę dostępu do internetu oraz współpracę z dostawcami zewnętrznymi. Dochodzi do tego zajmowanie się głównie pracą operacyjną i gaszeniem pożarów, brak lub częściowe ograniczenia użytkowników zasadami przetwarzania, rozproszenie infrastruktury i brak centralizacji zarządzania IT oraz rozproszony i niezintegrowany system bezpieczeństwa. Niedoczas, który w takiej sytuacji się pojawia, można rozwiązać tylko w jeden sposób – określając zasady obowiązujące użytkowników oraz automatyzując zarządzanie poszczególnymi składnikami sieci. Należy przy tym uwzględnić wymagania bezpieczeństwa, które narzucają niejednokrotnie wybór określonego rozwiązania. Administratorzy, pracujący w niewielkich organizacjach, znajdą się w sytuacji, w której muszą wykorzystać przynajmniej częściowo obecnie stosowane rozwiązania i dopasować nowe zasady sieci do obecnych zadań, które niekoniecznie pozwalają na właściwe skupienie się na kwestiach bezpieczeństwa.


> Zasady


W trakcie tworzenia procedur monitorowania uwzględniamy wymagania przepisów oraz właściwych norm (patrz ramka Prawo i normy). Bierzemy również pod uwagę nasze ograniczenia czasowe i kompetencyjne. Nie ma sensu tworzyć procedur, które już na początku nie będą mogły być wykonywane. Naszym głównym celem jest odejście od modelu incydentalnej weryfikacji logów, bez uwzględnienia charakterystyki systemu, jego komponentów czy krytyczności. Oznacza to realne oszacowanie czasu, którym dysponujemy w zespole wewnętrznym. I zdecydowanie, czy i w jakim zakresie powinniśmy wspomóc się zewnętrznymi zespołami (podmiotami) monitorującymi nasz system.

 

Jednocześnie bierzemy pod uwagę możliwości budżetowe, które mogą nam nakazać wypracowanie kompromisu pomiędzy realizacją przez administratorów a przeniesieniem obowiązków na podmiot zewnętrzny.
Monitorujemy bezpieczeństwo systemu w aspektach logów zdarzeń, anomalii, podatności oraz pojemności. W systemie informatycznym włączamy logowanie zdarzeń związanych z bezpieczeństwem, w szczególności dotyczące kont użytkowników, kont o wysokich uprawnieniach, urządzeń i infrastruktury hostów sieciowych. Szczególną uwagę zwracamy na zasady przeglądu logów. Zakresem przeglądu obejmujemy logi zdarzeń, anormalne zachowania systemu, w szczególności sytuacje odbiegające od standardu codziennej eksploatacji. Każde podejrzane zdarzenie analizujemy i zapisujemy w dziennikach systemu. Każdy z systemów powinien posiadać dziennik prowadzony w formie elektronicznej. W dzienniku administratorzy odnotowują istotne działania wykonywane na zasobach systemu informatycznego oraz sytuacje nadzwyczajne, np. awarie, przepełnienie zasobów lub wykryte podejrzane zachowania w systemie.


Logi systemu gromadzimy w kolektorze zdarzeń, który powinien gwarantować zachowanie bezpieczeństwa przed edycją i nieautoryzowanym dostępem. Bezpieczeństwo logów i zbieranych zdarzeń związanych z bezpieczeństwem systemu zapewniane poprzez kolektor logów polegać powinno na właściwie zorganizowanych prawach dostępu do modyfikacji zapisów. Powinna obowiązywać zasada, która uniemożliwia modyfikację logów osobom odpowiedzialnym za systemy, z których zostały zebrane.


Kolektor logów jednocześnie powinien umożliwić archiwizację i rotację logów. Zdarzenia związane z bezpieczeństwem systemu przechowuje się do celów dowodowych przez okres wynikający z przepisów, np. co najmniej 2 lata od momentu ich zebrania.


Kolektor logów oraz wszystkie monitorowane zasoby, tj. urządzenia, komputery, serwery, usługi sieciowe i inne hosty przekazujące informacje o zdarzeniach, powinny posiadać skonfigurowaną synchronizację zegarów z jednym, redundantnym wzorcem czasu.

 

[...]

 

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 22301 oraz ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Konsultant Systemów Zarządzania Bezpieczeństwem Informacji.

 

 

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"