Jeśli nie rozumiesz co się stało, nie wiesz jak się bronić
Największe wyzwanie w obszarze cyberbezpieczeństwa i analizy poincydentowej to dzisiaj masowa praca zdalna. Systemy, które zapewniały ochronę wcześniej, dzisiaj już tak dobrze nie działają. Potrzeba nowych rozwiązań, które pozwolą odpowiedzialnym za bezpieczeństwo zespołom na zdalne zabezpieczanie i analizowanie informacji po incydentach – rozmowa z Michałem Ceklarzem, odpowiedzialnym za Cybersecurity w regionie CEE w firmie OpenText.
OpenText to duża organizacja z szerokim portfolio rozwiązań dotyczących szeroko rozumianego zarządzania i przepływu informacji w firmie. Jak wygląda oferta w zakresie cyberbezpieczeństwa?
Michał Ceklarz [MC]: Dział bezpieczeństwa powstał w wyniku przejęcia w 2017 r. firmy Guidance Software, która oferowała stworzone na potrzeby organów ścigania rozwiązanie pozwalające na przechowywanie i przetwarzanie informacji cyfrowych stanowiących dowody w sprawach w sposób akceptowany przez sądy.
Budowa tego rozwiązania stanowiła odpowiedź na rosnące znaczenie dowodów elektronicznych we wszystkich dochodzeniach, nie tylko w sprawach związanych z cyberprzestępczością. Taka jest geneza Encase, technologii która bardzo szybko stała się faktycznym standardem wykorzystywanym przez organy ścigania.
EnCase został rozwinięty przez OpenText po przejęciu Guidance Software. W jakim kierunku było rozwijane to oprogramowanie?
MC: OpenText dostrzegł, że nie tylko organy ścigania chcą i potrzebują analizować dowody elektroniczne. Dlatego dopasował EnCase do potrzeb firm komercyjnych, które coraz częściej prowadzą wewnętrzne dochodzenia w związku z niewłaściwymi zachowaniami swoich pracowników, ale także analizy dostępnych dowodów po zaistnieniu incydentów takich jak np. ataki ransomware.
EnCase Endpoint Investigator oferuje praktycznie te same możliwości co systemy dla organów ścigania, ale bez reżimu regulacji prawnych, których częścią jest rekwirowanie sprzętu. Wynika to z faktu, że organizacja musi zachować ciągłość pracy pomimo wystąpienia incydentu. Analiza i działania naprawcze muszą być prowadzona bez zakłócania działania użytkownika, a najlepiej w ogóle bez jego wiedzy i zaangażowania.
Przy tym EnCase Endpoint Investigator dostarcza nie tylko narzędzia niezbędne do prowadzenia dochodzenia, ale także technologię EDR (EnCase Endpoint Protection), która pozwala na wykrywanie zagrożeń nie tylko na podstawie sygnatur, ale także zestawów zachowań np. określonych grup cyberprzestępczych APT. Na stacji roboczej instalowany jest niewielki agent, który działa podobnie do rootkita – pozostaje niewidoczny dla systemu operacyjnego, ale zapewnia możliwość kompletnej analizy z poziomu systemowego.
Pozwala to np. na wykonywanie migawek systemu, które dostarczają informacji o tym jak wygląda system w danej chwili i co się na nim znajduje. Umożliwia także zapobieganie atakom, ponieważ wykrywa np. atak ransomware, uniemożliwia uruchomienie aplikacji i blokuje połączenie z serwerem, na którym odbywa się szyfrowanie. Po incydencie można sprawdzić skąd wziął się plik. Do tego można przeprowadzić powiązaną analizą w skali całej organizacji i wykryć infekcje na innych stacjach.
Czy agent musi być obecny na stacji roboczej?
MC: Agent instalowany na stacji roboczej to idealny scenariusz, ponieważ pełni funkcję EDR oraz umożliwia analizę po incydencie. Można jednak również zainstalować agenta już po incydencie. Nie zapobiegnie to atakowi, ale pomoże zrozumieć dlaczego do niego doszło i wyeliminować jego źródło na przyszłość. Połączenie mechanizmów obronnych z analizą post-incydentową często nazywamy „Digital Forensic Incident Responce” – DFIR.
Jeśli agent działał na stacji już wcześniej, jest oczywiście łatwiej. Można np. porównać migawki z kolejnych dni, żeby ustalić kiedy pojawił się plik i jak dalej działał. To pozwala na wykorzystanie go także nie tylko w związku z cyberatakami, ale także w sprawach miękkich. Klienci wykorzystują EnCase także do wykrywania nadużyć i oszustw. Przykładowo można wykryć, że choć pracownik jest uprawniony do dostępu do określonych danych, to jednak sięga do nich częściej niż powinien, albo zaczyna je gromadzić na dysku – nie chodzi nawet o to, że zamierza coś złego, ale robi to dla wygody, a nie powinien, bo zwiększa się ryzyko ich wycieku. Zdarza się, że EnCase potwierdza niewinność pracownika podejrzewanego o jakieś niezgodne z prawem czy procedurami działanie.
Co można osiągnąć dzięki wykorzystaniu EnCase?
MC: W większości firmy skupiają się raczej na wykrywaniu i zapobieganiu atakom. Jednocześnie zwykle zapominają o korzyściach z analiz prowadzonych po wystąpieniu incydentu. Szkoda, ponieważ taka analiza dostarcza wskazówek, jak się zabezpieczyć przed atakiem w przyszłości.
W praktyce scenariusz ataku ransomware jest taki, że jeśli nie udało się go wykryć przed zaszyfrowanie, to pozostaje jedynie ponowna instalacja stacji roboczej, która najczęściej, jakiś czas później, znowu staje się celem ataku. Dzieje się tak dlatego, ponieważ tak naprawdę nie wiemy dlaczego doszło do ataku. Tymczasem mamy do czynienia z tą samą stacją i tym samym użytkownikiem, który raczej nie zmienił swoich przyzwyczajeń i sposobu działania.
Jeśli nie analizujemy sytuacji po incydencie, to nie rozumiemy co się stało i nie wiemy jak przeciwdziałać podobnym sytuacjom w przyszłości. Tak było właśnie w głośnej sprawie Sony: firma skupiała się na maksymalnie szybkim przywróceniu działania, nie analizując co dokładnie się wydarzyło i kończyło się to ponowną kompromitacją systemu. Trwało to blisko 10 tygodni.
Dlaczego tak się dzieje?
MC: Dzisiaj skuteczny atak wiąże się z tzw. lateral movement, czyli rozprzestrzenianiem się zagrożenia z jednej stacji na całą organizację. Jeśli mamy do czynienia z zaawansowanym atakiem, to rzadko jest on wykrywany od razu. Raczej dzieje się to dopiero, kiedy zainfekowana jest większość infrastruktury w organizacji. Jeśli tego nie wiemy co się stało, nie znamy całego kontekstu, to nie jesteśmy w stanie szybko przywrócić normalności. Podnosimy kilka stacji, ale za chwilę mamy zwykle powtórkę. Potwierdza to także historia Solar Winds. O ataku nie informowała pierwsza ofiara, ale firmy, których atak dotknął w konsekwencji tego pierwszego ataku.
Właśnie dlatego tak się dzieje, ponieważ firmy skupiają się przede wszystkim na wykrywaniu i zapobieganiu. Jeśli jednak im się to nie udaje, a praktyka dowodzi, że czasem tak się dzieje, to brak analizy po incydencie bywa kosztowny. Nie rozumiemy zagrożenia, nie wiemy dlaczego doszło do incydentu i nie wiemy jak zareagować, działamy w ciemno.
Jak pandemia wpłynęła na ten obszar cyberbezpieczeństwa?
MC: Pojawienie się na masową skalę pracowników zdalnych sprawiło, że wszystkie zabezpieczenia, w które firmy inwestowały przez lata, przestały zapewniać im ochronę. Nie mamy kontroli nie tylko nad sprzętem wykorzystywanym przez pracowników zdalnych, ale także nad chmurą. W tej sytuacji wykrywanie incydentów jest znacznie trudniejsze niż wcześniej, a jeszcze trudniejsza jest analiza po incydencie. Kiedyś można było po prostu podejść do biurka pracownika, odłączyć komputer od środowiska, zabrać go do siebie, skopiować dysk i rozpocząć analizę. Teraz większość dochodzeń musi być prowadzona zdalnie.
Jak EnCase sprawdza się w tej nowej sytuacji?
MC: Doskonale. Umożliwia działanie w sposób całkowicie zdalny. Przykładowo pozwala na weryfikowanie czy komputery nie są wykorzystywane przez pracowników niezgodnie z firmową polityką. Kiedy sprzęt służbowy jest w domu, a domowe komputery wykorzystywane są głównie przez dzieci, firmowe laptopy często służą do robienia czegoś, do czego nie powinny służyć, ponieważ nie są do tego przystosowane.
A czy może działać w sposób zautomatyzowany, wyręczając specjalistów prowadzących analizy?
MC: EnCase działa w pewnym zakresie automatycznie, na podstawie reguł. Jednak części dochodzeniowej nie da się zautomatyzować, ponieważ jest ściśle uzależniona od kontekstu. Przykładowo treści o alkoholu w organizacji finansowej mogą być uznane za niepożądane, ale u dystrybutora napojów alkoholowych nie są niczym niewłaściwym. To człowiek prowadzący dochodzenie decyduje, w jakim kierunku prowadzi działania.
Automatyzacja może dotyczyć jedynie wybranych obszarów. Takim przykładem jest pornografia dziecięca. EnCase wykorzystuje dane z bazy Interpolu, która określa, jakie treści niewątpliwie wypełniają definicję pornografii dziecięcej. Dzięki temu można w prosty sposób automatycznie sprawdzić czy takie pliki znajdują się na komputerach w naszej organizacji.
Samo rozwiązanie pozwala na zautomatyzowanie działań, które podejmuje zawsze/często w określonej sytuacji. Np. jeśli analityk z pierwszej linii SOC (Security Operation Center) podejrzewa kompromitację stacji roboczej, może automatycznie wywołać polecenie wykonania „migawki” systemu operacyjnego i pamięci w EnCase. System doskonale współpracuje z zewnętrznymi elementami bezpieczeństwa od innych dostawców umożliwiając automatyzacje i skracając czas reakcji.
Jak organizacje w Polsce wypadają na tle świata w kontekście analiz poincydentowych?
MC: Niektóre firmy mają bardzo wysoką świadomość w tym zakresie. Ogólnie sytuację w tym zakresie znacznie poprawiła ustawa o KSC. Największe znaczenie mają jednak regulacje sektorowe. Przykładowo w większości organizacji z sektora finansowego istnieją zespoły odpowiedzialne za analizę poincydentową, które stanowią najczęściej trzecią linię SOC.
Wiele z tych zespołów korzysta z naszego rozwiązania, ale raczej z wersji lokalnych, które nie umożliwiają zdalnego dochodzenia. Teraz właśnie dochodzą do wniosku, że muszą to zmienić, bo dzisiaj zabranie komputera do analizy i przekazanie nowego zajmuje kilka dni – to za długo. Zresztą obserwujemy to nie tylko w Polsce, ale w całym regionie Europy Środkowowschodniej.