V jednom z našich minulých článků jsme se věnovali rozdílu mezi SOC a CSIRT. V závěru článku jsem slíbil, že někdy napíšu o CSIRT (CERT, Cirta) týmech více. Ten čas nastal. Co by měl tedy CSIRT tým dělat a proč ho potřebujete?
Jak jsme psali minule, CSIRT se liší od SOCu hlavně tím, že by se neměl zabývat detekcí bezpečnostních incidentů. Jeho oblast působnosti nastupuje až po detekci a je jí, jak již název – Computer Security Incident Response Team – naznačuje, incident response, tedy reakce na bezpečnostní incidenty. Abychom byli zcela korektní, doplníme slůvko coordination, tedy půjde o koordinaci reakce na bezpečnostní incidenty.
Poměrně samovysvětlující, co říkáte? Skrývá se za tím však několik dalších úkolů a činností, které určují složení CSIRT týmu:
- Samotná koordinace reakce – pokud máte incident response plan, budete postupovat podle něj – pokud ne, což je asi případ většiny, tak CSIRT tým je tu na to, aby řídil celý proces a měli by vědět nejlépe, co je třeba analyzovat, jaké důkazy zajistit a řídit proces průběžně podle zjištěných skutečností
- Forenzní analýza – v tomto kroku se nabízí nejvíce paralel s klasickým vyšetřováním trestné činnosti – tým dorazí na „místo činu“, zajistí stopy (počítače, servery, disky, obsah paměti RAM, logy) a pak je zkoumá, aby zjistil, jak se útočník dostal do napadené sítě / zařízení a jaké činnosti tam vykonával, případně, zda je stále přítomen
- Analýza malwaru – častokrát útočníci použijí k dosažení svých cílů škodlivý software, tzv. malware, kdy je třeba zjistit, o jaký malware jde a jaké jsou jeho funkce, což následně pomůže při určení rozsahu a dopadu – pokud byl použit např. keylogger, znamená to, že útočníci mají k dispozici záznam stisknutých kláves z daného zařízení, což může vyžadovat změnu hesel použitých na daném počítači
- Komunikace s médii – bezpečnostní incident může mít neblahý dopad na reputaci firmy a ne každému PR oddělení je jasné, jak je vhodné danou skutečnost a dopady tohoto incidentu komunikovat do vnějšího světa, zejména v případech, kdy dojde k porušení ochrany osobních údajů nebo ZoKB
- Komunikace s orgány činnými v trestním řízení – v případech, kdy má oběť povinnost, nebo se rozhodne incident řešit s policií nebo dalšími orgány, CSIRT tým ví, jakým způsobem má korektně zajistit jednotlivé důkazy a také, jaké jsou povinnosti oběti z hlediska různých zákonných norem
- Obnovení činnosti – asi nejdůležitějším úkolem CSIRT týmu je směřovat proces reakce tak, aby bylo možné co nejdříve přistoupit k obnovení činnosti napadené organizace musí tedy určit, zda je ještě útočník v síti, zda byly nalezeny a odstraněny všechny možnosti perzistence, vyměněna všechna kompromitovaná hesla apod., prostě musí zastavit útok
- Návrh nápravných opatření – ve výsledku by měl CSIRT tým určit jak se útočníci dostali do sítě, co všechno dokázali udělat, k jakým datům měli přístup, zastavit útok a obnovit činnost organizace. Tím to ale nekončí, velmi důležitým krokem je návrh a provedení opatření, která zajistí, aby se daný incident znovu neopakoval – těmi může být změna hesel, úprava segmentace sítě, nebo například bezpečnostní monitoring sítě pomocí SOCu
Z výše uvedeného vyplývá, že CSIRT tým zahrnuje poměrně hodně lidí, což může být v konečném důsledku dost drahé na udržování – kromě incident response specialistů, forenzních analytiků a odborníků na analýzu malwaru potřebujete i právníky či PR specialisty. Pokud u vás máte potřebných specialistů, můžete mít tzv. ad-hoc CSIRT tým, který se složí v případě, že nějaký incident skutečně nastane a mezitím periodicky ověřuje incident response plány a procvičuje je.
Dnes však existuje také možnost využít služeb komerčních CSIRT týmů, které mají zkušenosti z množství incidentů, které řeší pravidelně a mohou také vám pomoci s řešením bezpečnostního incidentu od jeho detekce až po návrh nápravných opatření. Jedním z těchto týmů je také náš akreditovaný tým AXENTA CSIRT, který pravidelně pomáhá při různých druzích bezpečnostních incidentů (nejen) zákazníkům našeho AXENTA CyberSOC.
Přejeme vám, abyste nikdy nepotřebovali CSIRT tým v žádné variantě. Pokud již však dojde na to, že ho náhle budete potřebovat, dbejte na to, aby byl při řešení incidentu od samotné detekce a vyhnuli jste se tak nesprávným krokům, které by mohly významně zkomplikovat řešení incidentu a obnovu činnosti do normálu. Každá minuta může mít doslova cenu zlata.
Dávid Kosť, Head of CSIRT, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.