Recovery po útoku aneb Krizový IT management v praxi
Na koho se obrátíte, když přijdete do práce a zjistíte, že nic nefunguje? Zastaví se výroba, zastaví se logistika. Zákazníci se s vámi nemohou spojit a na serveru vyskakuje okno se žádostí o výkupné. Hraje se o čas. Nedokáže-li vaše firemní IT na situaci reagovat, je nutné spojit se s experty.
Rada číslo jedna – odpojte internet
Expert na kybernetickou bezpečnost většinou dorazí do firmy v řádu hodin od okamžiku kontaktování. Okamžitě rozjede fázi jedna, známou jako incident response nebo digitálně forenzní response. Zásadní rada, kterou však udělí při prvotním kontaktu, je odpojení od internetu. Jen tak lze spolehlivě útočníka odstřihnout a minimalizovat škody. Skutečně jde však pouze o odpojení ze sítě. Počítače ani servery se vypínat nedoporučuje, mohou obsahovat v paměti šifrovací klíč.
Expert zjišťuje vektor útoku a celkově hledá, odkud útok přišel. Hlavními stopami bývají zašifrované servery, logy i síťové sondy, ze kterých dokáže expert rozpoznat čas útoku, kam se útočník dostal a co napáchal. Sestavuje časovou osu útoku a snaží se dostat do takzvaného bodu nula, který je klíčový pro obnovu dat. Tyto kroky musí proběhnout s naprostou přesností – pokud není tento bod odhalen přesně, útok se může opakovat znovu.
Expert tak zjistí, o jaký šlo útok, případně kdo se za ním skrývá a jaké chce výkupné. A především jaká část struktury byla tím zranitelným článkem, přes který se útočník dostal do systému. Celá tato fáze může trvat jednotky, ale i desítky hodin. Záleží na velikosti firmy, počtu serverů, poboček a počítačů.
Nejtypičtějšími útoky jsou ty přes e-mailové servery. Slabým místem však mohou být také VPN bez dvoufaktorového ověření, kterých je zhruba 70 %. Útočníci si zpravidla vybírají společnosti, do kterých najdou snazší cestu. Pokud je firma v public cloudu nebo v hybridním cloudovém módu, není tak snadné na ni zaútočit. Nicméně i cloud lze nastavit tak špatně, že může být snadným cílem.
První fáze reakce na útok se odhalením typu útoku, škod a bodu nula chýlí ke konci. Bezpečnostní expert sepisuje takzvaný security report, který se v některých případech předává Policii ČR nebo NÚKIB. Rychlý zásah a rychlé přezkoumání stavu zaručí odstřižení útočníka a pomůže zanalyzovat typ útoku a rozsah škod. Dalším neméně důležitým a náročným krokem je obnova byznysové kontinuity.
Fáze obnovy
Výpadek IT má často konsekvence, na které se společnost za běžného chodu málokdy zvládne připravit. Vypadnou systémy v celé budově, karty na odemykaní mohou přestat fungovat, IT může zjistit, že nemá přístup k heslům, protože jsou uložena na zašifrovaném disku, a mohou nastat nepředvídatelné situace. Proto je extrémně důležité nejen rychle zareagovat, ale také zachovat chladnou hlavu. Z praxe je ale běžné, že společnosti napříč velikostmi i odvětvími nevědí, jak reagovat, jak postupovat, kdo má jaké kompetence, a celkově nejsou dostatečně připravené a netuší, jak dlouhý a náročný proces obnovy je čeká, ani kde v něm začít.
V takovém případě je nejlepší nechat externího kyberbezpečnostního odborníka, aby je dále recovery procesem provedl a poradil, jak síť do budoucna zabezpečit a být na podobnou situaci patřičně připravený, ideálně jí zamezit zcela.
Ve fázi obnovy na IT oddělení dopadá obrovská míra stresu. Management tlačí na rychlé recovery dat, zároveň volají dodavatelé nebo zákazníci. Všichni požadují co nejrychlejší reakci a řešení problému. Jde o krizový management a měl by mít svůj předem připravený takzvaný Disaster Recovery scénář. Podobně jako je důležité cvičení IZS, je klíčové vědět, jak postupovat v případě výpadku systému, jak obnovit firmu z úplného bodu nula. Také s tímto scénářem může expert na kybernetickou bezpečnost pomoci, jelikož nepřipravenost je nejčastějším problémem IT pracovníků i managementu.
Pokud scénář neexistuje, expert na kyberbezpečnost funguje jako styčný důstojník, který radí, jak efektivně postupovat, aby došlo k co nejmenším ztrátám. Pomáhá s prioritizací a řešením kroků nutných pro zachování business kontinuity. Po podniknutí úkonů nezbytných k fungování společnosti následuje obnova počítačů, během které se staví většinou zcela nová síť. Jednotlivé servery se oddělují od uživatelů a vytvoří se management sítě, aby se zamezilo obdobnému kolapsu v budoucnu.
Zašifrovaná data se nedoporučuje mazat, firmy tak stojí před problémem, kam je přesunout. Při obnově dat vedle zašifrovaných serverů by mohlo dojít k další „kontaminaci“. Řešením je využití externího mobilního datového úložiště, které při recovery procesech ve firmách využívá i naše společnost. Toto zařízení dokáže přispět až k o polovinu rychlejšímu procesu obnovy.
Security mentoring a konzultace
Poslední fáze celého procesu zahrnuje převážně nápravná opatření, která vycházejí z doporučení bezpečnostního experta. Začíná se drobnými, ale důležitými změnami konfigurací bez větších investic. Zavede se například účinné dvoufaktorové ověření VPN a podobně. Jedním z opatření může být například sanitizace dat (CDR) – nový prvek na úrovni kybernetické bezpečnosti – který dokáže rozpoznat rizika již při vstupu do sítě.
Dále se nastavují střednědobá a dlouhodobá opatření, zreviduje se síť a upraví se zálohování a nastartuje se kybernetická bezpečnost. Expert pak může nadále fungovat jako konzultant a pomoci firmě nastavit veškeré procesy tak, aby se minimalizovaly, ideálně eliminovaly další hrozby.
Celý proces recovery po útoku je velmi náročný. A pokud se společnost dostane do situace, že jím musí projít, je dobré být na něj připraven. Ať už to znamená mít v trezoru v papírové podobě schovaný podrobně a pečlivě zpracovaný Disaster Recovery scénář, nebo minimálně vědět, na koho se v takové situaci obrátit. Tímto člověkem většinou není interní IT, jelikož nemá a nemůže mít kapacity pro tuto oblast, ale externí expert na kybernetickou bezpečnost.
Michal Štusák Autor článku je expertem na kybernetickou bezpečnost a spolumajitelem společnosti ComSource. |