Zabezpieczenie przed atakami wirusów – krok po kroku

Przedsiębiorco, a co jeśli kolejny ogólnoświatowy wirus zaatakuje komputery właśnie w twojej firmie? Podpowiadamy jak przygotować się do ataku, jakie przedmioty przygotować przed przyjazdem wsparcia zewnętrznego oraz co robić, gdy rozpocznie się atak.

Checklisty, checklisty, checklisty

W przypadku zaistnienia sytuacji kryzysowej ważne jest, by plan działania bądź utrzymania ciągłości funkcjonowania firmy był tak prosty, jak to tylko możliwe (będzie wtedy łatwiejszy do wdrożenia w razie konieczności). Jest to niezwykle ważne, gdyż sytuacje kryzysowe są z reguły bardzo stresogenne, co w niektórych przypadkach odbija się również na zdolności do zachowania spokoju i rozwagi przez pracowników działu IT. Ponadto czasem dochodzi do sytuacji, w której osoba, której obowiązkiem jest wdrożenie planu awaryjnego, wcale nie bierze udziału w jego tworzeniu.  

W tych okolicznościach nawet zinterpretowanie i wdrożenie starannie opracowanych wytycznych zajmujących zaledwie pół strony może skutkować wieloma błędami. Można w tym miejscu przytoczyć przykład dobrych praktyk wykorzystywanych w innym sektorze, mianowicie w lotnictwie. Samoloty pasażerskie wyposażone są w „Skrócony Przewodnik” („QRH”). Zawiera on listy kontrolne na wypadek wszelkich zdarzeń, od wytycznych na czas uruchamiania systemów do awarii silnika. Listy te są zwięzłe i łatwe do wdrożenia, co stanowi doskonałe rozwiązanie: w sytuacji awaryjnej firma nie zawsze ma wystarczająco dużo czasu i musi działać sprawnie. Nie mogą wystąpić żadne wątpliwości związane z wdrożeniem planu i nie ma miejsca na własne interpretacje. Owszem, tworzenie tego typu list sporo kosztuje, jednak koszt ten jest niższy, niż koszt bycia nieprzygotowanym w przypadku, gdy sytuacja kryzysowa faktycznie zaistnieje. A jeśli sytuacja okaże się naprawdę poważna, od samego początku nie ma miejsca na błędy w podejmowanych działaniach. Zewnętrzne ekipy wsparcia w sytuacjach kryzysowych mogą owszem zacząć działać, nawet jeśli nie mają żadnych z wyżej opisanych informacji, będą jednak potrzebowały większej liczby pracowników. W takim wypadku brak ustalonych procedur może utrudniać skuteczne działanie.

Kolejna z kwestii, o której się często zapominamy to uprzedzenie ochrony, że oczekujemy na przybycie wsparcia z zewnątrz. Należy upewnić się, że ekipy będą miały niezbędny dostęp do budynku jeszcze zanim się w nim pojawią. Jest to szczególnie ważne poza standardowymi godzinami pracy. Nie do zaakceptowania jest, gdy opóźnienie w działaniu w sytuacji kryzysowej  wynika z nieodpowiedniego uprzedzenia ochrony lub z tego, że ktoś zapomniał przekazać kluczy do serwerowni.

Jak przygotować się na przyjazd ekipy interwencyjnej?

Niektóre zespoły zarządzania kryzysowego posiadają swoje własne zestawy zawierające narzędzia niezbędne do pracy. Czasem jednak nie starcza czasu, by „przepakować się” w drodze od jednej awarii do drugiej. Dlatego też, by zapobiec opóźnieniom warto mieć zawsze pod ręką niektóre z poniższych przedmiotów:

  1. kilka czytników kart SD oraz większa ilość nowych, jeszcze zapieczętowanych kart SD
  2. czyste płyty CD
  3. mały koncentrator sieciowy
  4. latarki i baterie
  5. różnego rodzaju kable sieciowe w kolorach, które nie są na co dzień wykorzystywane
  6. adaptery szeregowe do sprzętu sieciowego (jeśli dotyczy, np. Cisco/Juniper/…)
  7. dostęp do cateringu dla ekipy – nie jest to absolutnie konieczne, ale będzie z pewnością sympatycznym gestem, który pozwoli również na zaoszczędzenie czasu.
  8. spore zapasy napojów kofeinowych (zimnych i ciepłych)
  9. notatniki i długopisy

Linie komunikacyjne

Stworzenie przejrzystych linii komunikacyjnych to niezbędna część strategii. W jej skład wchodzi komunikacja w sytuacji awaryjnej jak również sposób, w jaki sytuacja awaryjna jest zgłaszana. Wielu użytkowników nie chce zgłaszać, że zauważyło „coś dziwnego” z obawy przed zwróceniem im uwagi lub wyśmianiem. Najlepszym rozwiązaniem jest w tym wypadku edukowanie o konieczności przestrzegania zasady „Gdy coś widzisz, zgłaszaj to” (tak brzmią również wytyczne Departamentu Bezpieczeństwa Krajowego DHS). Czasem lepiej jest podnieść alarm nawet w nieuzasadnionym przypadku niż nie mówi nic, gdy akurat sytuacja wymaga natychmiastowego działania. Firma musi jednak podchodzić do sprawy z wyczuciem, by nie doszło do nadużyć w zgłaszaniu problematycznych sytuacji.  

Należy wyznaczyć na wypadek sytuacji awaryjnej punkty kontaktowe, w których zbierane będą wszystkie informacje. Nie do końca dobrym pomysłem jest wysyłanie raportu mailem do wiadomości 25 osobom. Chodzi tu po prostu o „rozproszenie odpowiedzialności”. Przy wiadomościach adresowanych do wielu osób bardzo prawdopodobne jest, że nikt nie zareaguje, bo wszyscy adresaci pomyślą „Ktoś inny na pewno coś z tym zrobi”. Spójrzmy prawdzie w oczy: załóżmy, że masz w ostatnim czasie masę pracy – kiedy ostatnio przysiadłeś do przeczytania przydługiej wiadomości, którą oprócz Ciebie otrzymało 25 innych osób? Organizacja o spłaszczonej strukturze, gdzie każdy rozmawia z każdym to dobre rozwiązanie w codziennej działalności, które niekoniecznie jednak sprawdzą się w sytuacji awaryjnej. Ryzyko niedokładnego przekazania informacji bądź pominięcia istotnych elementów jest zbyt wysokie. Jeśli chodzi o komunikację zewnętrzną: sposób komunikacji zależy od istoty awarii. W przypadku, gdy usługi zewnętrzne pozostały nienaruszone lub ucierpiały jedynie w nieznacznym stopniu,  nie należy natychmiast poinformować o awarii, która mogła przejść niezauważona. Zaleca się jednak uprzednie opracowanie pewnych informacji na wypadek, gdy pojawią się pytania. Jeśli sprawą mogą zainteresować się media, wtedy zdecydowanie lepiej jest mieć pod ręką trochę przygotowanych informacji, by móc wysłać je dziennikarzom. Unikniemy wtedy sytuacji, w której będziemy naprędce przygotowywać wiadomość do wysłania do prasy, a dziennikarze w tym czasie opracują już swoją własną wersję wydarzeń i przekażą dalej nieprawdziwe bądź niekompletne informacje. W niekorzystnym scenariuszu, gdy ucierpią publiczne usługi, należy dopilnować, by informacja była zwięzła, krótka i regularnie uaktualniania. Czekanie na „doskonały” lub „pełny” przekaz nie zawsze jest pożądane. W zależności od okoliczności każda godzina, która upłynie bez poinformowania klientów bądź podwykonawców to godzina, w ciągu której mogą zacząć się rozprzestrzeniać nieuzasadnione plotki. W związku z tym równie ważne jest informowanie na bieżąco własnych pracowników. Należy im również powiedzieć, by nie umieszczali żadnych informacji o bieżącej sytuacji na portalach społecznościowych, gdyż niektóre szczegóły mogą dla osób z zewnątrz przyczynić się do stworzenia niewłaściwego obrazu sytuacji wyrwanej z kontekstu oraz do rozprzestrzenienia nieprawdziwych informacji. Jeśli awaria dotknie usługi zewnętrzne, dobrym rozwiązaniem jest zaangażowanie do pracy innych działów, takich jak na przykład PR w celu przekazywania informacji o sytuacji kryzysowej.

Mądrze wykorzystuj logi

– Z naszego własnego doświadczenia w działaniu w sytuacjach kryzysowych (z wykorzystaniem G DATA Advanced Analytics) wiemy, że jednym z najskuteczniejszych narzędzi jest w tym kontekście odpowiedni zestaw logów – mówi Robert Dziemianko z G DATA.- Logi zapory sieciowej są z reguły obecne, jednak wystarczająco szczegółowe logi powinny również być dostępne ze wszystkich serwerów, w tym kontrolerów domeny. Odzyskiwanie danych może być dużo bardziej skuteczne, gdy mamy także dostęp do logów klientów -dodaje Dziemianko. Należy w tym miejscu odpowiedzieć na ważne pytanie o to, które zdarzenia należy logować i zachowywać. Praktyczna zasada zaleca przechowywanie plików log przez minimum rok. Należy opracować odpowiednią strategię, która pogodzi kwestię niezbędnego poziomu szczegółowości oraz kosztów przechowywania. G DATA Advanced Analytics regularnie współpracuje z klientami, wspierając ich w procesie podejmowania decyzji i opracowuje strategie odpowiednie dla każdego środowiska. Dzięki odpowiednim logom, ekipom działającym w sytuacjach awaryjnych łatwiej jest zaobserować wskaźniki, które zostały złamane (oparte zarówno na plikach, jak i na informacjach z sieci, takich jak komunikacja ze znanym serwerem C&C skąd płyną instrukcje dla złośliwego oprogramowania). Nawet jeśli działanie to może na pierwszy rzut oka wydawać się sprzeczne z intuicją, należy przechowywać nieudane próby logowania. Wszystkie logi należy przechowywać oddzielnie od środowiska produkcyjnego oraz oddzielnie je przetwarzać. Serwer logujący w środowisku produkcyjnym może także może zostać naruszony, przez co wszystkie logi stają się bezwartościowe. Z uwagi na fakt, iż atakujący mogą poruszać się w sieci niezauważeni nawet przez kilka miesięcy, należałoby także zadbać o odpowiednią ilość danych historycznych. Informacja ta pomoże w ustaleniu przebiegu sytuacji kryzysowej, jak również w opracowaniu strategii zaradczych na przyszłość.

Materiał dowodowy

W zależności od specyfiki danej sytuacji kryzysowej należałoby unikać podejmowania prób jej rozwiązania „na skróty” po to, by jak najszybciej powrócić do normalnego funkcjonowania firmy. Choć po raz kolejny wydaje się to sprzeczne z intuicją, istnieją przypadki, w których należy zachować dowody, by móc usunąć przyczynę awarii. Przeinstalowanie oprogramowania na komputerze, który został zainfekowany przez złośliwy program może skutkować zniszczeniem kluczowych dowodów, które można wykorzystać do opracowania strategii na przyszłość. Z komputera będzie można znów korzystać, jednak nie zdobędziemy żadnej wiedzy na temat tego, od czego to wszystko się zaczęło. To jeszcze nie koniec: nie wystarczy ograniczenie nacisku nakładanego na pojedyncze komputery. Działanie w sytuacji kryzysowej zawsze dotyczy infrastruktury jako całości. Bez odpowiedniego poznania przyczyny stojącej za infekcją ryzyko, że podobna sytuacja powtórzy się w przyszłości wzrasta dramatycznie – nawet jeśli nie znajdowaliśmy się bezpośrednio na celowniku, jak to miało miejsce wielokrotnie w przypadku pewnych sektorów zaatakowanych przez złośliwe oprogramowanie.  

Jeśli spostrzeżemy, jak atakujące oprogramowanie przemierza sieć w poprzek, instynktownie pokażemy mu “drzwi” i będziemy chcieli, by wyniósł się najszybciej, jak to możliwe.  W przypadku wykrycia dowodów działalności przestępczej należy to działanie zabezpieczyć tak, by nie stanowiło dla atakującego ostrzeżenia. Nie wiemy, co może zrobić, gdy dowie się, że go namierzyliśmy – w najgorszym wypadku może narobić bałaganu i zniszczyć, co tylko się da na drodze swojej ucieczki. Jeśli okaże się to dla niego wystarczająco opłacalne, jest bardzo możliwe, że atakujący będzie w aktywny sposób próbował unicestwić dotychczas podjęte działania zaradcze. Dalsze działania staną się przez to droższe. Złapanie atakującego w pułapkę z reguły okazuje się lepszym rozwiązaniem. Ekipy zajmujące się działaniami w sytuacjach kryzysowych przechodzą szkolenie z zakresu zbierania i przechowywania materiału dowodowego. Odpowiednio zabezpieczone dowody są szczególnie ważne w przypadku, gdy po działaniach z zakresu zarządzania kryzysowego lub równolegle z nimi prowadzone jest śledztwo, które z dużym prawdopodobieństwem doprowadzi do wykrycia sprawcy/sprawców.

Czas to pieniądz

Posiadanie planów odzyskiwania danych, planów na okoliczność sytuacji kryzysowych, dobrze udokumentowanych aktywów oraz sieci itp. znacząco zmniejszy czas i środki, jakich potrzebuje zewnętrzna ekipa. Możliwe, że przy dobrze przygotowanej dokumentacji będą musieli wysłać na jeden dzień tylko jedną lub dwie osoby. Zła wiadomość jest jednak taka, że żaden z planów awaryjnych nie jest nigdy naprawdę kompletny w znaczeniu, że „nie będzie potrzebował podjęcia jakichkolwiek dodatkowych kroków”. Dany plan opiera się na ciągłej pracy i stanowi element pewnego cyklu, w którym zawiera się także przeprowadzenie działań w sytuacji kryzysowej, analiza wysnutych wnioski oraz nowy plan. Nie jest to prosta sprawa z uwagi na fakt, iż zasoby stanowią ograniczenie dla większości MŚP, jednak jest to jedyne wyjście zapewniające skuteczność planu.

Zbieranie informacji w sytuacji, gdy do incydentu już doszło lub gdy trwa on nadal jest do pewnego stopnia możliwe, jednak informacje uzyskane w ten sposób mogą okazać się niekompletne i będą zajmowały czas, który można by było wykorzystać w lepszy sposób. Po raz kolejny rodzi to potężne koszty, z reguły kilka tysięcy złotych/euro za dzień za osobę – są to pieniądze, których nie trzeba wydawać, jeśli firma jest przygotowana na sytuację kryzysową z wyprzedzeniem. Poszukiwanie zewnętrznego wsparcia w sytuacji kryzysowej to rozsądne rozwiązanie dla mniejszych firm, które nie mają wystarczających środków, by przeszkolić i zatrudniać na stałe zespół zajmujący się tą kwestią. Dobrym pomysłem jest w tego typu przypadkach negocjowanie kontraktu z zewnętrzną ekipą zarządzania kryzysowego, gdyż pomaga kontrolować koszty.

Ćwiczenie czyni mistrza

Każdy z opracowanych planów powinien zostać przećwiczony. Ćwiczenia praktyczne uwidaczniają słabe punkty i niedociągnięcia w danym planie oraz pomagają poczuć się pewniej. Należy upewnić się, że tego typu doświadczenie będzie dla firmy korzystne oraz że wprowadzi ona w związku z nim odpowiednie zmiany w dokumentacji. Do określenia aktualnego stanu rzeczy czasem wystarczy przeprowadzenie symulacji przy biurku. Następnie można je przenieść do środowiska produkcyjnego, nawet jeśli nie doszło do żadnego ataku. Zazwyczaj większość osób zostaje poinformowana o planowanych ćwiczeniach. Wszyscy stawiają się więc przygotowani i gotowi do działania. Ćwiczenia często przeprowadzane są poza godzinami pracy, gdy nikt w nich nie przeszkadza, a nieprzewidzianym zdarzeniom można zaradzić bez ingerencji w codzienne funkcjonowanie firmy. Ostatecznym wyzwaniem będzie przeprowadzenie ćwiczenia typu Red-Teaming, w którym faktycznie dochodzi do ataku. Dzięki niemu możliwe jest doskonalenie umiejętności firmy w zakresie radzenia sobie w przypadku zaistnienia tego typu sytuacji w rzeczywistości oraz ciągłe udoskonalanie jej profilu bezpieczeństwa.

Należy jednak pamiętać, że o przeprowadzaniu ćwiczenia typu red-teaming powinno wiedzieć jak najmniej osób. I nawet jeśli wrażenie jest bardzo realistyczne, ćwiczenie to nie obrazuje do końca warunków prawdziwego ataku. Musi ono opierać się na ściśle określonych zasadach i zapisach prawnych, podczas gdy prawdziwy atakujący rzadko kiedy stosuje się do tego typu ustaleń.

Wszyscy dobrze znamy prawo Murphy’ego, które mówi, że sytuacje awaryjne zazwyczaj mają miejsce w najmniej odpowiednich momentach. Może to być na przykład czas, gdy osoby kluczowe w firmie nie są dostępne, by szybko zjawić się na miejscu – pierwsza osoba kontaktowa z listy jest na wakacjach, jej zastępca musiał właśnie wziąć zwolnienie lekarskie, a trzecia w kolejności osoba ma w danej chwili mnóstwo pracy związanej z serwisowaniem, której nie da się przerwać ani przełożyć.

Z tego powodu starannie opracowany plan awaryjny biorący pod uwagę wszystkie wymienione okoliczności jest niezbędny. Powinien on również zawierać rozwiązania umożliwiające pominięcie zwyczajowego „łańcucha odpowiedzialności” w przypadku, gdy z jakiegokolwiek powodu brakuje któregoś z ogniw. Każdy z pracowników działu IT powinien zostać upoważniony do rozpoczęcia wdrażania planu awaryjnego bez obawy o to, że otrzyma oficjalne upomnienie (oczywiście z wyjątkiem przypadków celowego niewłaściwego działania), w szczególności, jeśli alternatywą jest niepodjęcie jakiegokolwiek działania.

Spotkanie podsumowujące

W przypadku, gdy doszło do cyberataku, wobec którego podjęto środki zaradcze, ważne jest, by przedyskutować przebieg działań ze wszystkimi zainteresowanymi stronami wtedy, gdy sytuacja zostanie już opanowana. Nie należy o tym zapominać nawet wtedy, gdy wszystko zadziałało bez zastrzeżeń. Taka dyskusja może stanowić okazję do poklepania pracowników po plecach za dobrze wykonane zadanie oraz do wskazania, co udało się wyjątkowo dobrze. Pozytywny feedback jest nie do przecenienia jeśli chodzi o motywację zespołu IT w Twojej firmie. Na spotkaniu podsumowującym można, a nawet trzeba przedyskutować te kwestie, do których w przyszłości należałoby podejść w inny sposób. Jeśli podczas ćwiczeń bądź w przypadku faktycznego zagrożenia na jaw wyszły słabe punkty, jest to dobry moment, by o nich wspomnieć i przedyskutować zmiany, jakie należałoby wprowadzić do planu w celu ich uniknięcia w przyszłości. Kluczowa jest tu nauka na własnych błędach. Jeśli wszyscy wrócą do swoich zadań, gdy tylko sytuacja awaryjna zostanie zażegnana, istnieje duże ryzyko, że w parze z tą lekcją nie pójdzie żadna nauka, a w pewnym momencie w przyszłości popełnione zostaną te same błędy.

Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...