Revista Română de Informatică și Automatică – ICI București
UN STUDIU PRIVIND SITUAŢIA ÎN DOMENIUL RĂSPUNSULUI LA INCIDENTE
Mihnea Horia Vrejoiu
mihnea@dossv1.ici.ro
Ştefan Alexandru Preda
stefanalex@ici.ro
Mădălina Cornelia Zamfir
madalina@ici.ro
Vladimir Florian
vladimir@ici.ro
Institutul Naţional de Cercetare – Dezvoltare în Informatică, ICI – Bucureşti
Rezumat: Problematica atacurilor informatice, a intruziunilor frauduloase în reţele, a compromiterii sistemelor, a blocării serviciilor sau a furtului de date este de mare actualitate, în contextul actual al expansiunii informatizării pe scară largă, atât la nivelul instituţiilor de stat cât şi al entitaţilor private de diferite dimensiuni. Efectele negative ale acestora, precum şi costurile considerabile generate direct sau indirect şi cele pentru remedierea daunelor produse de acestea, au condus la necesitatea dezvoltării şi implementării de metode şi măsuri specifice de răspuns eficient şi rapid la astfel de incidente de securitate informatică. Articolul de faţă prezintă rezumativ rezultatele şi concluziile unui studiu statistic bazat pe un sondaj realizat în anul 2014 sub egida institutului SANSTM care oferă o imagine privind situaţia pe plan mondial cu privire la răspunsul la incidente şi unele direcţii de viitor în acest domeniu.
Cuvinte cheie: răspuns la incidente (RI), echipă de RI, atac de tip DDoS, malware, acces neautorizat, compromitere/furt de date, gestionarea informaţiilor şi evenimentelor de securitate.
Introducere: Incidenţa şi riscurile în continuă creştere ale acţiunilor de intruziune frauduloasă ostilă în sistemele informatice ale diferitelor instituţii, organizaţii şi companii, de stat sau private, de diferite dimensiuni, precum şi costurile importante cauzate de efectele negative ale acestora şi cele aferente eliminării lor, au condus la necesitatea dezvoltării şi implementării unor metode şi măsuri specifice de răspuns eficient şi rapid la astfel de incidente de securitate informatică, a adaptării, actualizării, îmbunătăţirii şi eficientizării continue a acestora.
Având în vedere actualitatea continuă şi utilitatea potenţială a acestor informaţii, prezentăm în articolul de faţă (redactat iniţial în toamna anului 2014), sintetic, rezultatele şi concluziile unui studiu statistic bazat pe un sondaj cu chestionare realizat în anul 2014 sub egida prestigiosului institut britanic SANS [1], privind situaţia bunelor practici pe plan mondial în legătură cu răspunsul la incidente (RI) de securitate în legătură cu sistemele informatice şi principalele direcţii de acţiune pentru viitor avute în vedere de principalii actori din domeniu.
În cadrul sondajului s-au exprimat 259 de profesionişti, dintre care majoritatea (88%) cu roluri în RI – manageri, analişti de securitate, investigatori legişti în criminalitate informatică – din companii şi organizaţii de diferite mărimi (de la sub 100 de angajaţi la peste 20.000), din peste 19 domenii (incluzând tehnologie şi tehnologia informaţiei – TI, servicii financiare, educaţie, sănătate şi industrie farmaceutică, guvernamental, militar, energie, utilităţi, asigurări etc.), acoperind o vastă arie geografică, reprezentând 13 regiuni şi ţări diferite de pe tot globul.
Recomandări:
Pe baza rezultatelor studiului, organizaţiile pot ajunge la eficientizarea proceselor de RI, prin implementarea următoarelor recomandări [1]:
a) O mai bună definire a termenului „incident”
În recomandările Institutului Naţional de Standarde şi Tehnologie de pe lângă Departamentul Comerţului din S.U.A. [4], un incident de securitate informatică este definit ca fiind „o încălcare sau o tentativă de încălcare a politicilor de securitate ale unui sistem informatic, a politicilor de utilizare acceptabilă, sau a practicilor standard de securitate”. Totuşi, în practică, organizaţiile dau diferite interpretări în legătură cu ce tipuri de evenimente intră sub această definiţie. În lipsa unei definiri clare şi unanim acceptate pentru ceea ce intră şi ceea ce nu intră în categoria de „incident”, se poate întâmpla ca o echipă de RI să fie copleşită cu trierea, investigarea şi tratarea unor evenimente care, în mod normal, nu ar fi trebuit să o implice direct. Pe de altă parte, având o definire acceptată, este mai uşor să fie adăugate metrici (măsuri) adecvate, sau indicatori cheie de performanţă (key performance indicators – KPI), pentru detecţie şi remediere, pe baza cărora să se poată justifica asigurarea unui buget corespunzător / suplimentar.
O politică bună de RI la nivelul unei organizaţii, concepută în etapa de pregătire a procesului de RI trebuie neapărat să includă o definire explicită a acelor tipuri de incidente care intră în responsabilitatea echipei de RI. În absenţa unor astfel de precizări, acesteia i se pot atribui în mod nefericit unele sarcini minore şi irelevante din punct de vedere al RI, de genul investigării oricărei încălcări a politicilor de utilizare acceptabilă, sau urmăririi/localizării echipamentelor şi/sau dispozitivelor pierdute sau furate.
Toţi actorii implicaţi sau interesaţi trebuie să agreeze asupra conţinutului definit pentru termenul „incident” înainte de stabilirea atribuţiilor echipei de RI, deoarece numai astfel pot fi definite cu claritate rolurile şi responsabilităţile echipei de RI. Mai trebuie menţionat că politicile şi procedurile de RI trebuie să furnizeze şi alte detalii, cum ar fi de exemplu condiţiile în care un membru al echipei de RI poate decupla din reţea sau închide/opri un sistem.
b) Asigurarea securităţii proceselor celorlalte componente ale afacerii
Toţi proprietarii/deţinătorii de date şi persoanele care gestionează/întreţin echipamentele şi/sau dispozitivele de tehnologia informaţiei (TI) ale organizaţiei trebuie pregătiţi/educaţi pentru a implementa cele mai bune practici de securitate.
Dezvoltatorii de software intern trebuie să includă (şi) consideraţii de securitate în ciclul de dezvoltare. Astfel, echipa de RI va avea mai puţine probleme cu vulnerabilităţi ale aplicaţiilor dezvoltate „în casă”.
Tehnicienii care asigură suport pentru utilizatori trebuie să deţină o bună înţelegere a trierii sistemului şi să fie antrenaţi astfel încât să poată discerne corect o problemă între utilizator şi o infecţie de tip malware.
Proprietarii/deţinătorii de date trebuie să înţeleagă avantajele asociate bunelor practici cum sunt cerinţa accesului cu privilegii minime la date şi auditarea evenimentelor specifice sistemului şi aplicaţiei.
c) Urmărirea costurilor RI pentru justificarea necesarului de instrumente şi personal de RI
În absenţa unor măsurători precise ale costurilor implicate în gestionarea unui incident, este aproape sigur că bugetul destinat activităţilor de RI va avea de suferit. O tehnică recomandată pentru justificarea necesităţii de resurse suplimentare de personal şi/sau de hardware şi software, este aceea de urmărire a costurilor proceselor şi procedurilor curente ineficiente.
Costurile directe pentru angajarea unor servicii de investigare de RI de la terţi şi deplasarea pentru un RI la distanţă, ca şi costurile indirecte determinate de scăderea productivităţii în cazul alocării şi şcolarizării de personal pentru RI pe durata unui incident apărut, precum şi al procesării manuale a datelor şi jurnalelor sunt măsuri/metrici ce pot fi utile în justificarea necesităţii de resurse suplimentare.
Tabelul 4 – Procentul din bugetul pentru securitate alocat RI (conform [1])
| Necunoscut | 38,6% |
| Nu există (0%) | 29,5 |
| 4-5% | 11,4% |
| 5-10% | 6,8% |
| 1-2% | 6,8% |
| peste 10% | 4,5% |
| 2-3% | 2,3% |
Costurile de dezvoltare şi întreţinere de instrumente de RI proprii ale organizaţiei pot reprezenta un capitol substanţial în bugetul anual al unei echipe de securitate. Pe de altă parte, existenţa acestor instrumente adecvate poate simplifica substanţial procesul de achiziţie de date anost şi consumator de timp şi permite echipei să realizeze mai mult cu mai puţin şi să reducă duratele în toate etapele RI.
A reieşit că aproape 30% din repondenţi nu alocă pentru RI nicio parte din bugetul lor pentru securitate, în timp ce alţi 39% nu au cunoştinţă dacă au alocat un buget pentru RI (sau cât de mare a fost acesta).
Printre consecinţele lipsei unui buget pentru RI sau a vizibilităţii asupra a ceea ce un astfel de buget acoperă se numără riscul de terminare şi pierdere a licenţelor curente sau imposibilitatea obţinerii unor licenţe pentru software esenţial, incluzând instrumente de monitorizare la nivel de reţea sau gazdă, suite de investigare criminalistică şi instrumente de colectare şi analiză a datelor.
d) Urmărirea măsurilor/metricilor de RI pentru justificarea necesarului de instrumente de RI şi dimensionarea adecvată a echipei de RI
În ciuda climatului actual de securitate, 14% dintre repondenţii la sondaj lucrează în organizaţii în care nu există echipe dedicate pentru RI. Această lipsă a unei echipe formale a fost citată ca principal obstacol în tratarea eficientă a incidentelor.
Mulţi manageri de securitate găsesc dificilă justificarea alocării de personal dedicat permanent RI, deoarece frecvenţa sau volumul incidentelor de securitate la nivelul organizaţiei tind să fie mai degrabă ciclice şi nicidecum continue. Pe de altă parte, s-a dovedit că majoritatea echipelor de RI au un mai mare succes şi o mai mare eficienţă în detecţia şi izolarea incidentelor în cazul utilizării unei monitorizări continue proactive şi aplicării răspunsului corespunzător, decât în cazul unor procese de reacţie punctuală, intermitentă.
Recomandarea este ca organizaţiile să deţină o echipă de RI dedicată, dimensionată adecvat, precum şi capabilităţi de monitorizare continuă şi de răspuns corespunzător la orice moment. Metricile utilizate pentru justificarea necesarului de personal şi/sau instrumente de RI să aibă în vedere trei intervale de timp: de la infectarea iniţială până la detecţie, de la detecţie până la izolare şi, respectiv, de la detecţie până la remediere.
BIBLIOGRAFIE
- TORRES, A.: Incident Response: How To Fight Back, A SANS Survey Sponsored by Bit9 + Carbon Black, Advisor: Jacob Williams, SANSTM Institute – UK (www.sans.org), August 13, 2014 (http://www.sans.org/reading-room/whitepapers/analyst/incident-response-fight-35342).
- ZAMFIR, M. C.; FLORIAN, V.; PREDA, Ş. A.: Cercetări referitoare la extrapolarea principiilor sistemelor cu imunitate naturală la activităţile echipelor de tip CERT (Computer Emergency Response Team) pentru optimizarea şi particularizarea raportului securitate-accesibilitate. Analiza rezultatelor cercetărilor de referinţă în domeniul imunităţii naturale (biologice) şi a sistemelor de imunitate artificială existente. Definirea principiilor şi mecanismelor ce pot fi aplicate în România privind optimizarea bazelor de date şi infrastructurilor suport pentru achiziţia informaţiilor relative la incidente. Elaborarea de proceduri de lucru pentru echipe CERT privind răspunsul la incidente şi formularea de propuneri de reglementări. Proceduri de lucru pentru echipe CERT privind răspunsul la incidente şi propuneri de reglementări. – Raport de cercetare, etapa I a proiectului PN0923-0302, ICI Bucureşti, iunie 2014.
- ZAMFIR, M. C.; FLORIAN, V.; PREDA; VREJOIU, M. H.: Cercetări referitoare la extrapolarea principiilor sistemelor cu imunitate naturală la activităţile echipelor de tip CERT (Computer Emergency Response Team) pentru optimizarea şi particularizarea raportului securitate-accesibilitate. Experimentarea rezultatelor cercetărilor şi supunerea lor dezbaterii comunităţii TIC. – Raport de cercetare, etapa a II-a a proiectului PN0923-0302, ICI Bucureşti, decembrie 2014.
- CICHONSKI, P.; MILLAR, T.; GRANCE, T.; SCARFONE, K.: Computer Security Incident Handling Guide – Recommendations of the National Institute of Standards and Technology, NIST Special Publication 800-61 Revision 2, August 2012, CODEN: NSPUE2 (http://dx.doi.org/10.6028/NIST.SP.800-61r2 http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
This work is licensed under a Creative Commons Attribution 4.0 International License.