Το Incident Response ως μέρος μιας ολοκληρωμένης στρατηγικής κυβερνοασφάλειας

Ποια είναι τα κυριότερα σημεία ενός σχεδίου αντιμετώπισης περιστατικών ασφάλειας, που εντάσσεται σε μια γενικότερη στρατηγική Κυβερνοανθεκτικότητας (Cyber Resilience), Επιχειρησιακής Συνέχειας (Business Continuity) και Ανάκαμψης από Καταστροφές (Disaster Recovery).

Δημήτρης Γεωργίου

Chief Security Officer-Partner, Alphabit A.E.

Treasurer, (ISC)² Hellenic Chapter

Οι κυβερνοεπιθέσεις έχουν αυξηθεί δραματικά στη μετά-COVID εποχή. Σε βαθμό μάλιστα που η οργάνωση της αντίδρασης στην περίπτωση μιας παραβίασης ασφάλειας (security breach) αναγνωρίζεται ως επιτακτική ανάγκη, ακόμα και σε οργανισμούς που δεν έχουν υποχρέωση κανονιστικής συμμόρφωσης (regulatory compliance) ή δεσμεύσεις δέουσας επιμέλειας σε θέματα ασφάλειας πληροφοριών (cyber due-diligence). Όμως οι κυβερνοεπιθέσεις δεν είναι οι μόνες παραβιάσεις ασφάλειας: καθετί που απειλεί την εμπιστευτικότητα (confidentiality), την ακεραιότητα (integrity) και τη διαθεσιμότητα (availability) των πληροφοριών, θεωρείται συμβάν παραβίασης της ασφάλειας (security incident) και οφείλει να αντιμετωπιστεί – και μάλιστα προκαταβολικά.

Η οργάνωση της αντιμετώπισης περιστατικών ασφάλειας γίνεται μέσα από μια δομημένη διαδικασία που περιγράφεται σε ένα Σχέδιο Αντιμετώπισης Περιστατικών Ασφάλειας (Incident Response Plan). Πρόκειται για ένα καλά τεκμηριωμένο σχέδιο με έξι διακριτές φάσεις που βοηθά τους επαγγελματίες Ασφάλειας Πληροφοριών και άλλους εμπλεκόμενους να αναγνωρίσουν και να αντιμετωπίσουν ένα συμβάν παραβίασης της ασφάλειας (security breach). Η σωστή σύνταξη και διαχείριση ενός τέτοιου σχεδίου περιλαμβάνει τακτικές αναθεωρήσεις και κατάλληλη εκπαίδευση, εργασίες που συχνά παρέχονται από εξειδικευμένους εξωτερικούς συμβούλους.

Το παρόν άρθρο αποτελεί μια γενική θεώρηση που φιλοδοξεί να συνοψίσει τα κυριότερα σημεία ενός σχεδίου αντιμετώπισης περιστατικών ασφάλειας, που εντάσσεται σε μια γενικότερη στρατηγική Κυβερνοανθεκτικότητας (Cyber Resilience), Επιχειρησιακής Συνέχειας (Business Continuity) και Ανάκαμψης από Καταστροφές (Disaster Recovery). Στην πράξη ένα τέτοιο σχέδιο προκύπτει από μια αναλυτική διαδικασία και πρέπει να είναι καλά μελετημένο για την αντιμετώπιση κάθε διαφορετικής περίπτωσης παραβίασης ασφάλειας σε μια σειρά φάσεις. Σε κάθε φάση, υπάρχουν συγκεκριμένα κρίσιμα ζητήματα που απασχολούν.

Οι φάσεις της αντιμετώπισης των περιστατικών ασφάλειας είναι:

Προετοιμασία του οργανισμού (Preparation)

Αυτή είναι η πρώτη και πιο σημαντική φάση της αντιμετώπισης περιστατικών και ταυτόχρονα η πιο κρίσιμη φάση για την προστασία του οργανισμού, καθώς αφορά στη μελέτη των ιδιαιτεροτήτων κυβερνοασφάλειας κάθε οργανισμού, στο συνολικό σχεδιασμό των ενεργειών που εκτελούνται στις επόμενες φάσεις και φυσικά στην κατάρτιση ενός αναλυτικού, γραπτού σχεδίου αντιμετώπισης συμβάντων. Η προετοιμασία είναι μια φάση που επαναλαμβάνεται σε τακτά διαστήματα, ακόμα και αν δεν έχει προκύψει κανένα πραγματικό συμβάν παραβίασης της ασφάλειας.

Κρίσιμα ζητήματα:

Έχει εγκριθεί η Πολιτική Ασφαλείας (Security Policy) και το σχέδιο αντιμετώπισης περιστατικών από την Διοίκηση;
Υπάρχει ξεκάθαρη ιεραρχία στο ποιος συντονίζει και καθοδηγεί τις προσπάθειες αντιμετώπισης του συμβάντος;
Έχουν εκπαιδευτεί όλοι στις πολιτικές ασφαλείας;
Γνωρίζουν τα μέλη της Ομάδα Αντιμετώπισης Συμβάντων τους επιμέρους ρόλους τους και τις απαιτούμενες ειδοποιήσεις και ενέργειες στις οποίες πρέπει να προβούν;
Έχουν συμμετάσχει όλα τα μέλη της Ομάδας Αντιμετώπισης Συμβάντων σε ασκήσεις, είτε επί χάρτου (tabletop) ή είτε προσομοίωσης (simulated);

Αναγνώριση του περιστατικού (Identification)

Αυτή είναι η φάση κατά την οποία προσδιορίζεται εάν έχει υπάρξει παραβίαση. Μια παραβίαση ασφάλειας μπορεί να προέρχεται από πολλά διαφορετικά σημεία, όπως π.χ. κυβερνοεπιθέσεις (cyberattacks), διαρροή πληροφοριών (data leakage), εσωτερική απειλή (insider threat), αστοχία υλικού (hardware fault), διακοπή τηλεπικοινωνιών (connectivity issue) κ.λπ. και κάποιες φορές μπορεί εσφαλμένα να θεωρηθεί ως παραβίαση κάτι που δεν είναι. Απαιτείται λοιπόν να υπάρχουν εγκατεστημένα κατάλληλα πρωτόκολλα και εργαλεία διαχείρισης πληροφοριών και περιστατικών ασφάλειας (security information and event management), από τα οποία θα προκύψει έγκαιρη προειδοποίηση (early warning) για πραγματικά συμβάντα παραβίασης και καταγραφή των στοιχείων της παραβίασης.

Κρίσιμα ζητήματα:

Υπάρχει συμβάν;
Πότε έγινε το συμβάν;
Πώς ανακαλύφθηκε και από ποιον;
Ποιο είναι το εύρος της παραβίασης; Δικαιολογεί ενεργοποίηση της Ομάδας Αντιμετώπισης;
Επηρεάζει ολικά ή μερικά τη λειτουργία του οργανισμού;
Έχει εντοπιστεί η πηγή (το σημείο εκδήλωσης) της παραβίασης;

Περιορισμός των επιπτώσεων (Containment)

Όταν αποκαλυφθεί ένα συμβάν παραβίασης της ασφάλειας, η πρώτη σκέψη συχνά, ειδικά όταν αφορά παράνομη πρόσβαση, είναι να φτιαχτούν όλα από την αρχή, ώστε να λυθεί το πρόβλημα το συντομότερο. Ωστόσο, αυτό μπορεί να έχει συνέπειες μακροπρόθεσμα, καθώς έτσι χάνονται πολύτιμα στοιχεία που βοηθούν να προσδιοριστεί από πού ξεκίνησε το περιστατικό και να σχεδιαστεί μια μεθοδολογία αντιμετώπισης που θα αποτρέψει να συμβεί μια νέα παραβίαση στο μέλλον.

Αντί για την αντανακλαστική αυτή αντίδραση, που συνήθως είναι αποτέλεσμα έλλειψης προϊούσας οργάνωσης, ένα μελετημένο σχέδιο αντιμετώπισης περιστατικών ασφάλειας οφείλει να δίνει κατευθύνσεις για να περιοριστεί η έκταση της παραβίασης. Εάν είναι δυνατόν, θα πρέπει να απομονωθούν οι επηρεαζόμενες συσκευές από άλλα συστήματα παραμένοντας σε λειτουργία μέχρι να γίνει έρευνα ψηφιακών πειστηρίων (digital forensics investigation). Είναι πολύ σημαντικό να υπάρχουν από πριν κατάλληλες στρατηγικές περιορισμού και συλλογής αποδεικτικών στοιχείων (evidence collection) που να επιτρέπουν την ταυτόχρονη έρευνα των αιτίων με την ανάκαμψη από το συμβάν.

Σημαντικό, λοιπόν, για τις ενέργειες αυτής της φάσης είναι να υπάρχουν ασφαλή εφεδρικά αντίγραφα (backups) των συστημάτων που επηρεάστηκαν, κάτι που θα βοηθήσει στον περιορισμό και στην αποκατάσταση της επιχειρησιακής λειτουργίας (business operations recovery), ακόμα και πριν την έναρξη μιας έρευνας για την κύρια αιτία του συμβάντος (root cause).

Κρίσιμα ζητήματα:

Τι πρέπει να γίνει για να περιοριστεί η επίπτωση από το συμβάν ασφάλειας βραχυπρόθεσμα;
Τι πρέπει να γίνει για να περιοριστεί μακροπρόθεσμα η πιθανότητα για ένα νέο συμβάν ασφάλειας;
Τι είδους αντίγραφα ασφαλείας υπάρχουν; Μπορεί να ξεκινήσει η αποκατάσταση διατηρώντας τα επηρεασμένα συστήματα σε απομονωμένη λειτουργία για σκοπούς έρευνας;

Εξάλειψη της απειλής (Eradication)

Αφού περιοριστεί το πρόβλημα, πρέπει να εντοπιστεί και να εξαλειφθεί η κύρια αιτία που το προκάλεσε. Αυτό σημαίνει πώς τυχόν κακόβουλο λογισμικό (malware) θα πρέπει να αφαιρεθεί με ασφάλεια, τυχόν κατεστραμμένα συστήματα θα πρέπει να επιδιορθωθούν, θα πρέπει να ενισχυθούν τα λειτουργικά συστήματα (hardening) και να εφαρμοστούν διορθώσεις ασφάλειας (security patches) και βέλτιστες πρακτικές (best practices).

Σε αυτή τη φάση θα πρέπει να είστε πολύ προσεκτικοί να γίνει μια πλήρης εξάλειψη του αιτίου. Εάν παραμείνει κάποιο ίχνος κακόβουλου λογισμικού ή ευπάθειες (vulnerabilities) στα συστήματά σας, ενδέχεται να συνεχίσετε να απειλείστε και να υποστείτε ξανά παραβίαση, με αποτέλεσμα η ευθύνη σας να μπορεί να θεωρηθεί ακόμα μεγαλύτερη, αν τυχόν κριθείτε από τις εποπτικές ή τις δικαστικές αρχές.

Αυτή είναι επίσης μια καλή στιγμή για να ενημερώσετε και να ενισχύσετε την ασφάλεια στα επηρεασμένα συστήματά σας (και όχι μόνο), να θέσετε αυστηρότερες πολιτικές για όλες τις προσβάσεις και να υλοποιήσετε μεθοδολογίες υψηλής διαθεσιμότητας (high availability) σε κρίσιμες υποδομές και πόρους – αν όλα αυτά δεν τα έχετε ήδη.

Κρίσιμα ζητήματα:

Έχει εξουδετερωθεί το κακόβουλο λογισμικό; Έχουν θεραπευτεί οι ευπάθειες;
Οι λογαριασμοί χρηστών (user accounts) και συστημάτων (system accounts) έχουν ελεγχθεί ως προς τη σκοπιμότητα της ύπαρξής τους, έχουν ενισχυθεί οι απαιτήσεις ασφάλειας και έχουν αλλάξει οι κωδικοί;
Έχουν εφαρμοστεί όλες οι ενημερώσεις ασφαλείας σε όλα τα συστήματα;
Έχει ενισχυθεί η ασφάλεια των παραμετροποιήσεων (configuration) όλων των συστημάτων;
Απαιτεί η απομακρυσμένη πρόσβασή (remote access) έλεγχο ταυτότητας πολλαπλών παραγόντων (multi-factor authentication);
Υπάρχουν μέσα και διατάξεις υψηλής διαθεσιμότητας;
Είναι δυνατό να ληφθεί ένα νέο αντίγραφο ασφαλείας του συστήματος μετά την εφαρμογή ενισχύσεων, ενημερώσεων και βέλτιστων πρακτικών;

Ανάκαμψη σε κανονική λειτουργία (Recovery)

Αυτή είναι η διαδικασία ελέγχων, επαναφοράς και επιστροφής των επηρεαζόμενων συστημάτων και συσκευών σε παραγωγική λειτουργία (production) στο επιχειρησιακό σας περιβάλλον. Κατά τη διάρκεια αυτής της φάσης, είναι σημαντικό να θέσετε ξανά σε λειτουργία τα συστήματα και τις επιχειρηματικές σας λειτουργίες χωρίς τον φόβο μιας νέας παραβίασης.

Κρίσιμα ζητήματα:

Πότε μπορούν τα συστήματα να επιστρέψουν σε παραγωγική λειτουργία;
Έχουν επιδιορθωθεί, ενισχυθεί και δοκιμαστεί τα συστήματα;
Μπορεί να γίνει επαναφορά του συστήματος (restore) από ένα αξιόπιστο εφεδρικό αντίγραφο (backup);
Πόσο καιρό θα επιτηρούνται τα επηρεαζόμενα συστήματα και τι θα επιτηρείται;
Ποια εργαλεία και ενέργειες θα διασφαλίσουν ότι παρόμοια περιστατικά δεν θα επαναληφθούν; (π.χ παρακολούθηση ακεραιότητας αρχείων (file integrity monitoring), ανίχνευση/αποτροπή εισβολής (intrusion detection/prevention), επιτήρηση δεικτών απόδοσης (KPI monitoring) κ.λπ.)

Διδάγματα για το μέλλον (Lessons Learnt)

Μόλις ολοκληρωθεί η αντιμετώπιση και η έρευνα για την κύρια αιτία του συμβάντος, πραγματοποιήστε μια συνάντηση με όλα τα μέλη της Ομάδας Αντιμετώπισης Περιστατικών Ασφάλειας και συζητήστε τι μάθατε από την παραβίαση που συνέβη. Στη φάση αυτή αναλύονται και τεκμηριώνονται τα πάντα σχετικά με την παραβίαση. Πρέπει να προσδιοριστεί τι λειτούργησε καλά στο σχέδιο αντιμετώπισης και πού υπήρξαν αστοχίες. Τα διδάγματα τόσο από ασκήσεις όσο και από αληθινά περιστατικά θα βοηθήσουν στην ενίσχυση των συστημάτων, αλλά και της κουλτούρας σας σας έναντι των μελλοντικών συμβάντων παραβίασης της ασφάλειας.

Κρίσιμα ζητήματα:

Τι αλλαγές πρέπει να γίνουν στο σχεδιασμό ασφάλειας;
Πώς πρέπει να αλλάξει η εκπαίδευση του προσωπικού;
Ποια αδυναμία οδήγησε στην παραβίαση της ασφάλειας;
Πώς θα διασφαλίσετε ότι μια παρόμοια παραβίαση δεν θα συμβεί ξανά;

Τα περιστατικά παραβίασης της ασφάλειας είναι απολύτως βέβαιο ότι θα συμβούν.

Κανείς δεν θέλει να βρεθεί αντιμέτωπος με αυτά, αλλά είναι απαραίτητο να λάβετε τα μέτρα σας από πριν. Προετοιμαστείτε για αυτά, γνωρίστε τι θα πρέπει να κάνετε όταν συμβούν και διδαχθείτε όλα όσα μπορείτε για το μέλλον.

Η σημαντική επίδραση των Ευρωπαϊκών οδηγιών NIS2 και DORA

H εμπειρία συναντά την καινοτομία στην PeS Cybersecurity

Η ενίσχυση της εταιρικής κουλτούρας κυβερνοασφάλειας είναι μείζονος σημασίας

Επιχειρηματικές αποφάσεις και προστασία προσωπικών δεδομένων

Η σημασία των λύσεων Managed Detection and Response (MDR)

SIEM, SOC, MDR an evolving journey

Αντιμετώπιση Σύνθετων Κυβερνοαπειλών με την υπηρεσία AI-Driven XDR της ADACOM

Sophos MDR – Προσέχει για εσάς, ακόμα και χωρίς εσάς

Ενίσχυση κυβερνοασφάλειας με Υπηρεσίες Διαχειριζόμενης Ανίχνευσης & Απόκρισης της ESET

Bitdefender MDR: Όλα όσα θέλετε να ξέρετε για το νέο Cyber Security Trend

Ενίσχυση κυβερνοασφάλειας με αξιοποίηση ολοκληρωμένων MDR λύσεων

Trend Micro Worry-Free with CO-Managed XDR

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Το μέλλον της ασφάλειας: Η αυξανόμενη ανάγκη για επενδύσεις IGA

HybridSIEM – Η επόμενη γενιά υπηρεσιών SIEM από την BeSecure

Το Incident Response ως μέρος μιας ολοκληρωμένης στρατηγικής κυβερνοασφάλειας

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

Νέες ευκαιρίες ασφάλειας για τις ελληνικές επιχειρήσεις, με το Security Manager MDR της Alphabit

Digital Forensics as a Service

Την εμπορική διεύθυνση της Alphabit αναλαμβάνει η Νάνσι Παλαιολόγου