28.01.2020

Autor: Stanisław Rogasik

Kategorie: Aktualności, Artykuł

Pierwszym wyzwaniem związanym z ustawą o cyberbezpieczeństwie jest wczesna identyfikacja zagrożeń oraz jak najszybsze przekazanie wykrytych nieprawidłowości do odpowiedniego systemu klasyfikującego, dzięki czemu możemy odpowiednio przygotować się na wszelkiego rodzaju anomalie.

Weźmy pod uwagę dwa punkty ustawy:
Rozdział 3, art.8, podpunkt 2e oraz podpunkt 3:

„objęcie systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej systemem monitorowania

w trybie ciągłym” 

„zbieranie informacji o zagrożeniach cyberbezpieczeństwa […]

Są to wyzwania narzucone przez ustawę, którym Operator Usług Kluczowych musi sprostać, by zachować zgodność z jej wymaganiami.

W tym kontekście musimy monitorować naszą infrastrukturę oraz ciągle zbierać informacje na jej temat. Jedną z metod jest zbieranie logów naszych systemów.

Za przykład możemy wziąć Active Directory, które jest jednym z krytycznych elementów każdej instytucji.

By móc monitorować czynności wykonywane w Active Directory, należy uruchomić reguły audytowania, które są w niej zawarte. Domyślnie są wyłączone, więc musimy je uruchomić poprzez polityki GPO.

Na bazie tych reguł, możemy włączyć audyt:

  • Logowania (sukces i porażka),
  • Zmiany w kontach użytkowników,
  • Zmiany polityk domenowych,
  • Zmiany stref DNS,
  • Zmiany polityk GPO,
  • Zmiany grup dystrybucyjnych oraz grup bezpieczeństwa,
  • Zmiany OU.

Wszystkie te informacje zaczną być rejestrowanie w logach systemowych, w kategorii “Security”.

Po włączeniu tych reguł ilość eventów zacznie narastać w szybkim tempie. W dużych środowiskach w ciągu 1 sekundy może nawet przybyć ich tysiące. Jest to ilość, której nie da się przeanalizować bez specjalistycznego narzędzia.

W tych logach jest wiele przydatnych informacji, m.in.:

  • Kto wykonał daną akcję,
  • Gdzie wykonał daną akcję,
  • Kiedy wykonał daną akcję,
  • Co dokładnie zrobił.

Ręczna weryfikacja takich zdarzeń jest mało wydajna i trudna do wykonania, stąd też nie moglibyśmy sprostać wczesnemu wykrywaniu zagrożeń bez pomocy zewnętrznego narzędzia.

Przy tej ilości logów równie ważna jest sekwencja tego, co się działo wcześniej. Świetnym przykładem jest utworzenie nowego administratora domenowego. Ta sekwencja wyglądałaby następująco:

  1. Utworzenie nowego użytkownika
  2. Dodanie do grupy domenowych administratorów
  3. Logowanie na nowym koncie

Patrząc na dużą ilość eventów, ciężko byłoby wykryć taki schemat wykonywanych akcji.

Abstrahując od audytowania domeny, mamy wiele innych systemów oraz urządzeń, które również wymagałyby weryfikacji danych oraz akcji, które się tam wykonują. Są to m.in.:

  • Firewall’e,
  • Linux’y,
  • Serwery WWW,
  • Serwery bazodanowe,

Musimy wziąć jeszcze pod uwagę udziały sieciowe, na których znajdują się dane, które nie powinny ujrzeć światła dziennego. Mogą to być:

  • Dane personalne pracowników,
  • Pliki konfiguracyjne aplikacji,
  • Poufne dane.

W kontekście wczesnej identyfikacji zagrożeń, powinniśmy wiedzieć m.in. jakie pliki się tam znajdują, kto modyfikował pliki, jakie pliki użytkownicy najczęściej odwiedzali. Wszystkie te akcje powinny być audytowane, by móc zabezpieczyć nasze środowisko.

Przy tym szeregu systemów, urządzeń oraz aplikacji ilość logów będzie niewyobrażalna.

Najlepszą metodą jest zbieranie takich danych przez system trzeci, który potrafi przejąć eventy oraz prezentować je w czytelny sposób.

Równie ważne co zbieranie logów, jest utrzymywanie środowisk w nieskazitelnej kondycji.

Efektywnie wykonanie tego zadania musi opierać się na  monitorowaniu środowiska pod względem aktualności systemów oraz sprawdzaniu stanów brakujących poprawek bezpieczeństwa. Najlepszym przykładem jest oprogramowanie Windows.
Producent wypuszcza cyklicznie poprawki do oprogramowania, które często mają na celu poprawę bezpieczeństwa oraz stabilność systemu. W takim przypadku musimy zbierać informację na bieżąco o maszynach, na których nie zostały zainstalowane odpowiednie paczki bezpieczeństwa.

Do utrzymania odpowiedniego stanu bezpieczeństwa w środowisku informatycznym, wymagane jest analizowanie wykonywanych akcji przez użytkowników końcowych.

Często nieświadome wykonywanie różnych działań przez użytkownika może spowodować zagrożenie dla całej organizacji. Na urządzeniach peryferyjnych mogą być przenoszone nieodpowiednie programy szpiegujące lub wirusy.

Kolejną kwestią jest informowanie administratorów o tym fakcie. Stąd też najlepiej przesyłać wykryte anomalie/eventy do odpowiednich osób poprzez SMSa/E-maila.
Najwygodniejszą opcją jest wysyłanie takich informacji do systemu helpdesk, który następnie na podstawie zaprogramowanych reguł, klasyfikuje takie zgłoszenie oraz przydziela je do odpowiedniej osoby.

Naszą propozycją na sprostanie wymaganiom związanym z wczesną identyfikacją zagrożeńjest system EventLog Analyzer (w skrócie ELA).

System potrafi zbierać dane z wielu systemów, przeprowadzić analizę tych danych oraz wyświetlić je w przejrzystym dla użytkownika interfejsie. EventLog Analyzer posiada wiele wbudowanych raportów, które potrafią nam zaprezentować zmiany zachodzące w naszej domenie.

Każda z tych kategorii skrywa serię raportów, dzięki którym możemy szybko podejrzeć wszelkie zmiany.

System przechowuje wszystkie oryginalne dane w podstawowej postaci i prezentuje je w formie kolumn. Część danych również jest rozszerzana, poprzez np.: odpytanie serwera DNS o nazwę maszyny, z której wykonano daną akcję.

Takie dane możemy filtrować przy pomocy prostych warunków, gdzie każdy warunek odnosi się do typu pola.

Tym sposobem możemy przefiltrować wszystkie dane z naszych systemów w celu weryfikacji konkretnych akcji. Jednak nie rozwiązuje nam to problemu łączenia wydarzeń w spójną całość.

 

Prosta analiza pozwoli na odkrycie nieprawidłowości, jednak jeżeli seria akcji rozciąga się w czasie, to szansa na pominięcie anomalii rośnie. Stąd też kolejnym ważnym elementem jest korelacja takich wydarzeń. EventLog Analyzer pozwala na stworzenie takich korelacji w oparciu o serię eventów.

 

Możemy skonfigurować korelacje na dwa sposoby:

  1. Poprzez proste tworzenie przy pomocy predefiniowanych opcji: 

Po lewej stronie interfejsu mamy możliwość wybrania predefiniowanej akcji, którą możemy dokładnie przefiltrować Bazując na pokazanej akcji możemy:

  • Ustalić z jakiego typu urządzenia nastąpiło logowanie,
  • Ustalić z jakiej nazwy urządzenia nastąpiło logowanie,
  • Jaki użytkownik zalogował się,
  • Do jakiego urządzenia zalogował się,
  • Przefiltrować wiadomość log’a- czyli np.: w EventLog’u Windowsa, w logu pojawiła się informacja, że była to autentykacja typu NTLM.

Jest to prostszy sposób tworzenia korelacji, gdyż opiera się na wybieraniu odpowiednich bloków z akcjami. System rozwija to o możliwość wybrania tylko specyficznych akcji poprzez filtrowanie.

         2. Poprzez filtrowanie wszystkich logów na podstawie pól w nich zawartych

Przy tym sposobie konfiguracji korelacji musimy sami zdefiniować bazowo, jaka akcja nas interesuje, stąd też filtrujemy większą ilość parametrów danego wydarzenia. Bazując na przykładzie z zrzutu ekranu:

  • Kod błędu musi równać się 517,
  • Źródło musi być równo urządzeniu o nazwie “Cisco”,
  • Zawartość logamusi zawierać słowo “Logon”.

Ten typ tworzenia korelacji można uznać za bardziej “zaawansowany”, ponieważ musimy dokładniej parametryzować przetwarzane dane, w taki sposób, by określić konkretną akcję.

Tworzenie takich struktur przeszukiwania danych bez odpowiedniego sposobu  informowania osób jest bezsensowne. System pozwala nam na przypisanie profilu notyfikacji dla każdej korelacji.
Możemy wykonać 4 akcje:

  • Wysłać e-mail,
  • Wysłać SMS’a
  • Uruchomić program/skrypt
  • Uruchomić workflow,

Dzięki temu mamy szeroki wachlarz możliwości, który pozwoli nam na szybką reakcję

 

W kontekście całej ustawy warto również wspomnieć o systemach, które potrafią rozwinąć funkcjonalności EventLog Analyzer’a. Jednym z takich systemów jest ADAudit Plus – narzędzie, które potrafi przeanalizować ActiveDirectory, biorąc pod uwagę wiele źródeł danych w naszej domenie.

Są to m.in.:

  • Kontrolery domeny,
  • Serwery członkowskie,
  • Serwery plików,
  • Stacje robocze,
  • Instancje AzureAD,
  • Serwery wydruku,
  • Serwery w grupie roboczej.

W kontekście wczesnej identyfikacji zagrożeń, system pozwoli nam na dogłębną analizę oraz audyt naszej struktury AD. Jednym z przykładów wczesnej identyfikacji zagrożeń będzie raport w formie graficznej, który prezentuje nieudane zalogowania do naszej domeny.

Przeglądając taki raport możemy błyskawicznie zauważyć pojawienie się nadnaturalnej ilość prób zalogowania. Raporty tego typu dostarczają cennych informacji nt. naszego środowiska AD.

Raport nie ogranicza się jedynie do prezentowania takich danych. Możemy również użyć jego alternatywnej wersji i sprawdzić, z którego komputera wykonano największą ilość prób zalogowania wraz z grupowaniem na konto użytkownika.

System znacznie rozszerza zakres badania ActiveDirectory oraz raportowania z niego dokładnych informacji.

Ważnym elementem każdej organizacji jest również udział sieciowy, na którym są przechowywane ważne pliki. Większość organizacji posiada ogromne udziały plików. Jest wykonywane na nich tysiące akcji bez żadnego audytu. Dlatego też warto zbierać informacje na ich temat. Stąd też odpowiedzią na taki problem jest system DataSecurity Plus (w skrócie DSP).

Aplikacja potrafi przeanalizować logi udziałów sieciowych, m.in.:

  • Utworzenie pliku,
  • Modyfikacja uprawnień,
  • Odczyt pliku.

Wyżej zaprezentowany raport pozwala na podejrzenie ostatnich akcji, które wydarzyły się na danym udziale sieciowym. Oprócz suchych danych możemy podejrzeć również raporty grupujące dane.

Weryfikacja naszego udziału sieciowego pod kątem wielu aspektów upraszcza się do prostych raportów, które zawierają wiele informacji. DataSecurity posiada również moduł odpowiedzialny za skanowanie udziałów sieciowych pod kątem danych wrażliwych, takich jak:

  • Nr dowodu osobistego,
  • Nr PESEL,

Aplikacja posiada wiele wbudowanych regex’ów, których możemy użyć od razu.

Dzięki temu systemowi możemy rozpocząć wczesną analizę zagrożeń w naszych udziałach sieciowych, poprzez ich cykliczne skanowanie.

Naszą propozycją wykrywania braku poprawek w systemach informatycznych jest oprogramowanie Vulnerability Manager. Kontroluje on podłączone do niego stacje robocze pod kątem brakujących paczek w systemie oraz programach zainstalowanych na nim.

Pierwszą funkcjonalnością pozwalającą na zapoznanie się ze stanem bezpieczeństwa swojej infrastruktury jest dashboard przedstawiający odkryte najnowsze luki w oprogramowaniu. Producent cały czas aktualizuje tą listę, abyśmy mogli odpowiednio przygotować się na różne ewentualności związane z lukami bezpieczeństwa.

Po wybraniu odpowiedniego tematu zostaniemy przekierowani do forum producenta, na którym jest wszystko dokładnie opisane, łącznie z propozycją obejścia problemu:

Następnym widokiem jest dashboard posiadający informacje o brakujących poprawkach według kryterium luk bezpieczeństwa:

W powyższym przykładzie posiadamy jedną maszynę, na której zostały wykryte luki w zabezpieczeniach.  Przechodząc do wybranej poprawki możemy ją zainstalować na wybranych maszynach przy użyciu dosłownie kilku kliknięć.

Kolejnym ważnym widokiem jest widok z najważniejszych niezaimplementowanych poprawek w naszym środowisku.

Wdrożeniem najważniejszych poprawek powinniśmy zająć się od samego początku, ponieważ błędy te umożliwiają często przejęcie akcji przez osoby trzecie.

 

W środowisku powinniśmy również sprawdzać jego stan pod kątem zainstalowanych aplikacji, których wsparcie już wygasło.

Wymagane jest również analizowanie wykonywanych akcji przez użytkowników w firmie, od Administratorów po ostatniego użytkownika.

Aplikacja posiada wiele innych widoków, które umożliwiają analizę systemów pod względem incydentów bezpieczeństwa m.in.: wyłączony Firewall, wyłączony bitlocker, brak Certyfikatu SSL.

Przy użyciu czytelnych dashboardów jesteśmy w stanie odpowiednio szybko zidentyfikować problemy związane z systemami operacyjnymi, zainstalowanymi programami oraz nieprawidłowości związanymi z błędnymi konfiguracjami wykonanymi zarówno przez Administratorów, jak i użytkowników końcowych.

Następnym wyzwaniem jest analizowanie zewnętrznych urządzeń podpinanych przez użytkowników końcowych.

Pierwszy widok wyświetla podsumowanie przeniesionych plików z urządzeń na stacje robocze:

Moduł analizy wyświetla nam wszystkie zaobserwowane event’y związane z urządzeniami zewnętrznymi w firmie. Agent zbiera wszystkie potrzebne informacje na temat wykonywanych akcji przez użytkownika.

Podsumowując cały artykuł, wyzwaniom stawianym przez ustawę możemy sprostać dzięki narzędziom, które dostarczą nam cennych informacji na temat naszego środowiska.

Zbieranie danych z wielu źródeł to najważniejszy element wczesnej identyfikacji zagrożeń, do którego możemy wykorzystać EventLog Analyzer. Można go rozszerzyć o specjalistyczne narzędzia, które służą do audytu domeny, takie jak np ADAudit oraz o analizę udziałów sieciowych, przez programy pokroju DataSecurity Plus. Do kontrolowania samego środowiska idealnie nadaje się Vulnerability Manager, który umożliwia nam  sprawdzanie braku wymaganych aktualizacji. Posiada on moduł Device Control Plus, który analizuje zewnętrzne urządzenia oraz ich działania.

W następnym artykule opiszemy temat Monitorowania usług kluczowych, czyli weryfikowania up-time’u oraz działania hardware’u i software’u. Przedstawimy sposoby weryfikacji zużycia zasobów, wyzwania narzucone przez ustawę w tym kontekście oraz naszą propozycję na sprostanie wyznaniu.

Masz pytania? Chcesz dowiedzieć się więcej? Skontaktuj się z nami! 

 

28.01.2020

Autor: Stanisław Rogasik

Kategorie: Aktualności Artykuł

Newsletter. Bądź na bieżąco.

Kontakt

MWT SOLUTIONS S.A.

ul. Szyperska 14, 61-754 Poznań

Napisz do nas: