Kolejne skuteczne ataki, czyli dlaczego właściwie potrzebujemy SOC?

Autor: Grzegorz Mucha, Sr Systems Engineer, Eastern Europe, RSA, The Security Division of EMC

W ciągu ostatnich kilku tygodni miały miejsce dwa symptomatyczne zdarzenia związane z cyberprzestępczością. Pierwszy to atak na firmę Code Spaces [1], gdzie przestępcy wykorzystując nieuprawniony dostęp do panelu strefowania serwisem hostowanym w chmurze (AWS), skasowali większość przechowywanych tam danych oraz backupów, co doprowadziło do zamknięcia firmy. Atak został wykryty w trakcie trwania i Code Spaces zmieniło kody dostępu, nie zauważono jednak, że przestępcy pozostawili sobie boczne furtki, poprzez które dokonali dzieła zniszczenia. Niecałe dwa tygodnie później pojawiła się informacja o długotrwałym ataku na amerykańskie i europejskie (w tym polskie) firmy związane z energetyką [2]. W tym wypadku przestępcy wykorzystali różne rodzaje złośliwego kodu do uzyskania dostęp do chronionych informacji oraz do wyprowadzenia tych informacji na zewnątrz. Choć nic nie wskazuje, aby takie działania miały miejsce, teoretycznie istniała również możliwość wpłynięcia na procesy produkcyjne, co mogłoby mieć bardzo poważne konsekwencje nawet w skali krajów. Atak ten trwał od 2013 roku.

Choć oba te przypadki wydają się odległe, łączy je jeden wspólny problem – brak dostatecznej widoczności tego, co dzieje się w środowisku informatycznym. Bezpieczeństwo wielu organizacji wciąż opiera się na przeświadczeniu, że inwestycja w klasyczne systemy obrony (firewalle, IPS-y, nawet zaawansowane rozwiązania antymalware’owe) powstrzyma wszystkie ataki. Nie możemy zakładać, że firmy będące celem ataków zlekceważyły zagrożenie i były słabo chronione. Przypadki takie jak opisane wyżej udowadniają tezę, że żadne zabezpieczenie nie daje 100% gwarancji powstrzymania ataku, i że firmy muszą być przygotowane na to, że atak się powiedzie.

Jeżeli tak się stanie, kluczowe jest:

a) zrozumienie, jak wygląda atak – co jest celem, jaki jest mechanizm ataku, do jakich danych/systemów atakujący uzyskał dostęp, jakie dane udało mu się jak dotąd pozyskać, czy dane opuściły organizację, jakie wewnętrzne systemy zostały skompromitowane;

b) błyskawiczna reakcja na incydent, której celem jest zatrzymanie trwającego ataku i minimalizacja strat;

c) przygotowanie i wdrożenie działań naprawczych, mających na celu minimalizację prawdopodobieństwa wystąpienia podobnego ataku w przyszłości.

Żeby było to możliwe, konieczne jest wdrożenie narzędzi analitycznych zapewniającą pełną widoczność w środowisku informatycznym (sieć, końcówki), oraz wdrożenie narzędzi i mechanizmów odpowiedzi na incydent – a w konsekwencji zbudowanie nowoczesnego centrum bezpieczeństwa (SOC – Security Operation Center).

RSA oferuje swoim klientom nie tylko technologię, ale również ekspertów, którzy mogą pomóc klientom w przygotowaniu się na nieuniknione ataki, ulepszeniu możliwości monitorowania, wykrywania ataków i odpowiedzi na incydenty. Zachęcam również do lektury dokumentu opisującego problematykę ataków w dzisiejszym świecie p.t. “Taking Charge of Security in a Hyperconnected World” oraz dokumentu opisującego realizację SOC na przykładzie EMC p.t. „Building an Intelligence-Driven Security Operations Center”.

[1] www.theregister.co.uk/2014/06/18/code_spaces_destroyed
[2] www.bbc.com/news/technology-28106478

[ZOBACZ INNE WPISY W JĘZYKU POLSKIM]

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *