Слід зосередитись на двох великих напрямках:
- Зробити це важко.
- Створення політики та процедур для спокійного та ефективного поводження з випадками, коли хтось потрапив у минулу точку 1.
Зробити це важко
Це дуже складна тема, і багато її фокусується на тому, щоб переконатися, що у вас є достатня інформація, щоб зрозуміти, що WTF стався після факту. Абстрактні пункти для простоти:
- Ведіть журнали (див. Також Управління інформацією про безпеку подій)
- Будь-які спроби авторизації, як успішні, так і невдалі, бажано, щоб джерела інформації були недоторканими.
- Журнали доступу до брандмауера (це може включати брандмауері на сервері, якщо вони використовуються).
- Журнали доступу до веб-сервера
- Журнали аутентифікації сервера баз даних
- Журнали використання, що стосуються додатків
- Якщо це можливо, SIEM може подавати сповіщення про підозрілі схеми.
- Забезпечити належний контроль доступу
- Переконайтеся, що права встановлені правильно скрізь, і уникайте "ледачих прав" ("просто дайте всім читати"), де це можливо.
- Періодичний аудит ACL, щоб переконатися, що процедури насправді виконуються, а тимчасові кроки усунення несправностей ("дайте всім прочитати, подивіться, чи працює він тоді") були видалені правильно після закінчення усунення несправностей.
- Усі правила проходження брандмауера потрібно обґрунтовувати та періодично перевіряти.
- Також потрібно перевірити контроль доступу до веб-сервера, як ACL, так і веб-сервер та файлову систему.
- Забезпечити управління змінами
- Будь-які зміни в середовищі безпеки потребують централізованого відстеження та перегляду більш ніж однією людиною.
- Патчі повинні бути включені в цей процес.
- Наявність спільної збірки ОС (шаблону) спростить середовище та полегшить відстеження та застосування.
- Вимкнути облікові записи гостей.
- Переконайтеся, що всі паролі не встановлені за замовчуванням.
- Позастарелі програми можуть налаштувати користувачів заздалегідь заданими паролями. Змініть їх.
- Багато ІТ-приладів постачаються з парами користувачів / паролів, які дуже добре відомі. Змініть їх, навіть якщо ви входите в цю штуку лише раз на рік.
- Практикуйте найменше-привілей. Надайте користувачам доступ, який їм справді потрібен.
- Для користувачів адміністратора розумне налаштування двох облікових записів. Один звичайний обліковий запис, який використовується для електронної пошти та інших офісних завдань, а другий для роботи з підвищеними показниками. Відеомагнітофони полегшують життя.
- НЕ заохочуйте регулярне використання загальних облікових записів адміністратора / root, важко відстежити, хто що робив.
Створення політик та процедур для спокійного та ефективного поводження з події, коли хтось потрапляє
Політика безпеки та подій є обов'язковою для всіх організацій. Це значно зменшує фазу реакції "бігати з відрізаними головами", оскільки люди, як правило, стають ірраціональними, стикаючись з такими подіями. Натрапи - великі, страшні справи. Сором при перенесенні вторгнення може призвести до того, що в іншому випадку головоломні сисадміни почнуть неправильно реагувати.
Усі рівні організації повинні знати про політику. Чим більше інцидент, тим більше шансів, що вище керівництво якось втягнеться, а встановлення процедур поводження з речами значно допоможе у відбиванні "допомоги" з висоти. Це також дає змогу охопити технічних працівників, які безпосередньо беруть участь у реагуванні на інцидент, у формі процедур, щоб середній менеджмент взаємодіяв з рештою організації.
В ідеалі ваша політика відновлення стихійних лих вже визначила, наскільки довго певні служби можуть бути недоступними до початку дії політики ДР. Це допоможе реагувати на інциденти, оскільки такі події є катастрофами. Якщо подія має тип, у якому вікно відновлення НЕ буде дотримано (приклад: сайт із резервним резервним копією резервного копіювання DR отримує в режимі реального часу канал змінених даних, і зловмисники видаляли купу даних, які реплікувалися на сайт ДР до того, як вони були Тому необхідно використовувати процедури відновлення холоду), тоді вищі керівництву потрібно буде брати участь у переговорах з оцінки ризику.
Деякі компоненти будь-якого плану реагування на інциденти:
- Визначте порушені системи та відкриті дані.
- Заздалегідь визначте, чи потрібно зберігати юридичні докази для можливого притягнення до відповідальності.
- Якщо слід зберігати докази , не торкайтеся нічого про цю систему, якщо цього абсолютно не потрібно . Не входити в нього. Не просіюйте журнали-файли. Робити. Ні. Торкніться
- Якщо докази потрібно зберегти, компрометовані системи потрібно залишити в Інтернеті, але відключити їх до тих пір, поки сертифікований експерт з судових експертиз комп'ютера не зможе розрізати систему таким чином, що сумісний із правилами обробки доказів.
- Вимкнення компрометованої системи може пошкодити дані.
- Якщо ваша система зберігання дозволяє це (дискретний пристрій SAN), зробить знімок уражених LUN перед відключенням та позначте їх лише для читання.
- Правила поводження з доказами складні, і їх так легко викрутити. Не робіть цього, якщо ви не пройшли навчання з них. Більшість загальних SysAdmins НЕ проводять такого роду навчання.
- Якщо докази зберігаються, трактуйте втрату сервісу як аварійну ситуацію з втратою апаратного забезпечення та розпочніть процедури відновлення з новим обладнанням.
- Заздалегідь встановіть правила, які типи катастроф вимагають, які види сповіщення. Закони та норми регулювання залежать від місцевості.
- Правила, що стосуються "впливу" та "перевіреного компромісу", різняться.
- Правила сповіщення потребують залучення відділу зв’язку.
- Якщо необхідне повідомлення буде достатньо великим, доведеться залучати управління вищого рівня.
- Використовуючи дані ДР, визначте, скільки часу "WTF щойно трапилося" можна витратити до того, як повернення послуги на лінію стане вищим пріоритетом.
- Часи відновлення обслуговування можуть вимагати роботи, щоб з'ясувати, що сталося, підпорядковане. Якщо так, то після відновлення служб зніміть диск диска для ураженого пристрою для розсічення (це не доказна копія, це техніка, яка повинна повернути інженеру).
- Плануйте свої завдання з відновлення послуг включати повне відновлення постраждалої системи, а не лише очищення безладу.
- У деяких випадках терміни відновлення служби досить жорсткі, що зображення диска потрібно робити відразу після виявлення компромісу, а юридичні докази не зберігати. Після відновлення служби може розпочатися робота з з'ясування того, що сталося.
- Просійте журнали для отримання інформації про те, як зловмисник потрапив і що він, можливо, зробив колись.
- Просійте змінені файли для інформації про те, як вони потрапили та що вони зробили, як тільки вони потрапили.
- Просійте журнали брандмауера, щоб отримати інформацію про те, звідки вони надходили, куди вони могли надіслати дані та скільки їх може бути надіслано.
Проведення політики та процедур до компромісу і добре відоме людям, які будуть їх реалізовувати у разі компромісу, - це щось, що просто потрібно робити. Він надає всім рамки відповідей у той момент, коли люди не будуть думати прямо. Вище керівництво може громіти і бурхливо ставитись до судових позовів і кримінальних звинувачень, але насправді об'єднання справи - це дорогий процес і знаючи, що заздалегідь це може допомогти протистояти люті.
Я також зазначу, що подібні події потрібно враховувати до загального плану реагування на катастрофи. Компроміс дуже спричинить політику реагування на «втрачену апаратуру», а також спричинить реакцію «втрати даних». Знання часу відновлення служби допомагає встановити очікування, наскільки довго може тривати команда реагування на безпеку, щоб перелити фактичну компрометовану систему (якщо вона не зберігає юридичних доказів), перш ніж вона буде потрібна для відновлення послуги.