V první části jsme se zabývali zcela základní potřebou v kyberbezpečnosti neboli potřebou poznání svých aktiv. Tato potřeba stojí pevně na spodku kyberbezpečnostní pyramidy potřeb, neboť umožňuje vše co je nad ní.
Pokud se věnujeme správě aktiv, měli bychom mít k dispozici informace o tom, jaké zařízení máme v síti, jako naše síť vypadá, jak vypadá naše doména, jaký software se na kterém zařízení používá, kteří uživatelé pracují na počítačích, matice přístupových práv k sdíleným prostředkům, jaké jsou verze softwaru, jaká je geografická poloha aktiv – můžeme jít velmi hluboko v tom, co všechno bychom měli vědět, abychom mohli tato aktiva chránit.
Hodně z těchto věcí už bude patřit podle Paretova principu do těch 80%, které nepřinášejí až takový užitek, jako těch prvních 20%. Nejužitečnější data, která nejvíce pomohou, jsou data o tom, jak vypadá síť, IP adresy a doménová jména zařízení, typ a účel zařízení (pracovní stanice / server / mobil / tiskárna), kdo dané zařízení používá a kontakt na správce zařízení. Neocenitelné jsou i procesy a nástroje sloužící k tomu, aby byly tyto informace vždy aktuální.
Co však, pokud již tyto informace máme a získali jsme jistou znalost o aktivech, která máme chránit. Zde přichází další stupeň kyberbezpečnostní pyramidy potřeb – telemetrie, nebo možná srozumitelnější (i když ne zcela správně) – logování.
Telemetry
Nazvat tuto potřebu jen logováním, by bylo zavádějící, protože zahrnuje mnohem více věcí. Celá tato úroveň by se dala shrnout tak, že jde o potřebu viditelnosti nad aktivy, o kterých víme. Logy jsou jen jeden ze zdrojů dat, ze kterých můžeme tuto viditelnost získat. Právě v této fázi probíhá získávání dat, nad kterými ve vyšších vrstvách pyramidy potřeb probíhá vyhodnocování a reakce na detekováné problémy.
Co si můžeme představit pod viditelností je poměrně jednoduché. Jde vlastně o to, že umíme říci, jaké děje (nebo události) probíhají na monitorovaném aktivu nebo se jich monitorované aktivum účastní, resp. je do nich zapojeno.
Jaké události jsme schopni a chceme sledovat se může lišit podle typu daného aktiva. Také způsoby, jakými tuto viditelnost můžeme získat, se může pro různé třídy aktiv lišit. Zkusím stručně nastínit několik běžných možností.
Můžeme se dívat na servery a sledovat autentizační logy, na endpoint můžeme sledovat spouštění PowerShellu, běžící procesy nebo otevírané soubory, na mobilech zase nainstalované aplikace. Nebo můžeme jít o úroveň výš a sledovat databázové logy nebo logy vznikající při provozu různých informačních systémů. Na úrovni sítě můžeme sledovat, kdo s kým kdy komunikuje, na jakých portech, na jaké domény apod. Navíc, vlastní možnosti viditelnosti nabízejí i běžně používané cloudové služby jako například Office 365 nebo Google Suite, kde můžeme např. vidět, kdo přistupoval k jakému dokumentu.
Asi si umíte představit, že jsem nejmenoval zdaleka všechny možné způsoby a typy dat, které nám umožňují udělat si obrázek o tom, co se vlastně na aktivech / s aktivy děje. Na hlubší sondu do této problematiky se můžete těšit v dalším článku.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Další články společnosti Axenta:
Hierarchie potřeb v kyberbezpečnosti – 3. část
Hierarchie potřeb v kyberbezpečnosti – 4.část
Hierarchie potřeb v kyberbezpečnosti – 5. část
Hierarchie potřeb v kyberbezpečnosti – 6. část
Hierarchie potřeb v kyberbezpečnosti – 7. část
Obrázek: Matt Swann