Informatyka śledcza w obronie przed i po cyberataku

O tym, jak bronić się przed cyberatakiem i jak wyjść obronną ręką już po cyberataku – ze szczególnym podkreśleniem specyfiki sektora finansowego – rozmawialiśmy na zorganizowanym przez redakcję ITwiz i Intel Security spotkaniu z ekspertami. Przedstawiciele banków, firm IT, a także prawnicy dyskutowali o rozwiązaniach, które pozwalają – jeśli nie zabezpieczyć się całkowicie – to zmniejszać ryzyko związane z cyberatakiem. Jednym z najważniejszych elementów tej obrony jest wykorzystanie informatyki śledczej (Forensic), o czym mówili przedstawiciele banku PKO BP.

Spotkanie „Obrona przed i po cyberataku z wykorzystaniem informatyki śledczej” była okazją do wymiany doświadczeń i poglądów ekspertów z różnych dziedzin na temat tego zagadnienia. W części oficjalnej odbyło się pięć prezentacji. Następnie – już w nieco luźniejszej atmosferze – przyszła okazja do debaty i kuluarowych rozmów o cyberbezpieczeństwie. Niemal wszyscy prelegenci byli zgodni, że najlepszą obroną przed cyberatakami jest odpowiednie przygotowanie. Ataku cyberprzestępców nie możemy co prawda uniknąć, ale możemy go przewidzieć i zminimalizować jego skutki. Odpowiednio przygotowani jesteśmy także w stanie znaleźć sprawcę i wyciągnąć wobec niego prawne konsekwencje. Obrona przed cyberatakami to temat nie tylko dla ekspertów z zakresu IT, którzy mają zadbać o odpowiednią infrastrukturę i oprogramowanie, ale też dla prawników, analityków oraz zarządu i osób odpowiedzialnych za wdrażanie i przestrzeganie pewnych procedur w przedsiębiorstwie.

Kultura bezpieczeństwa niezbędna do skutecznej obrony

„Ważne jest odpowiednie zabezpieczenie wszystkich elementów składających się na procesy biznesowe – obok technicznych zabezpieczeń w przedsiębiorstwie równie ważne jest budowanie odpowiedniej kultury bezpieczeństwa informacji. Jest to chociażby wyrobienie nawyków u pracowników związanych z nieprzesyłaniem służbowej korespondencji na prywatny adres e-mail, nieotwieranie nieznanych załączników, czy niepodłączanie nie sprawdzonych dysków pod służbowy komputer” – podkreślał podczas swojego wystąpienia Mateusz Górnisiewicz, doradca zarządu, koordynator ds. bezpieczeństwa w Związku Banków Polskich. „To właśnie brak odpowiedniej świadomości w zakresie bezpieczeństwa zwykle otwiera cyberprzestępcom drzwi do danych klientów, tajemnic handlowych, czy nawet środków finansowych firmy” – dodał.

Nie sprzęt, ale człowiek jest tu zwykle tym najsłabszym ogniwem. Człowiek jest podatny na różne bodźce. Zagrożenie może płynąć ze strony niezadowolonego klienta, byłego pracownika, albo pracownika niedocenionego, zwykle przedstawiciele IT w firmach mają też większy dostęp do newralgicznych danych niż przeciętny użytkownik. Przedsiębiorstwa muszą przewidywać takie niebezpieczeństwa i wypracowywać pewne schematy, które pozwolą zminimalizować ryzyko cyberataku.

Kultura bezpieczeństwa powinna iść w parze z całą kulturą panującą w danym przedsiębiorstwie. Wyzwaniem jest sposób jej wdrożenia, „zakodowania” pracownikowi obowiązku zgłaszania wszelkich naruszeń, błędów w systemach, podejrzanych e-maili. Warto tutaj stosować mierzalne formy jak np. symulacje phishingu. „Jedną z metod podnoszenia świadomości jest np. obowiązek przygotowywania szkolenia nt zasad bezpieczeństwa przez pracownika, który naruszył te zasady” – podkreśla Andrzej Sobczak, Corporate Security Services Manager MEA w Royal Bank of Scotland.

Pomysłów i rozwiązań jest wiele, wszystkie sprowadzają się do uświadamiania pracowników, przestrzegania procedur i finalnie minimalizowania ryzyka. „Trzeba także brać pod uwagę różnice kulturowe. Często testujemy podatność pracowników naszego banku na różnego typu cyberzagrożenia. Bardzo wyraźnie widać różnice kulturowe – jak się okazuje, przykładowo podejrzane maile i linki w pewnych krajach są otwierane znacząco częściej niż w pozostałych” – dodaje Andrzej Sobczak.

Informatyka śledcza w wykrywaniu wewnętrznych i zewnętrznych zagrożeń

„Ogromna zaleta płynie z wykorzystania technik informatyki śledczej. Techniki te mogą być wykorzystywane nie tylko na etapie działań po cyberataku, ale też pomóc we wcześniejszym wykryciu potencjalnych zagrożeń. Przykłady zagrożeń wewnętrznych to: sprzedaż tajemnic handlowych konkurencji; ‘zabieranie’ przez pracowników danych przy odejściu; celowe usuwanie danych firmowych; udostępnienie ich podmiotom zewnętrznym; nadużycia finansowe czy wykorzystywanie urządzeń firmowych niezgodnie z przeznaczeniem. Z kolei wśród zagrożeń zewnętrznych należy wymienić: cyberszpiegostwo, cyberprzestępczość, zdyskredytowanie organizacji – np. wyciek danych klientów w ‘odpowiednim’ momencie – i działania haktywistów” – zwraca uwagę Włodzimierz Piątek, ekspert w Zespole Badań i Rozwoju Rozwiązań Bezpieczeństwa w banku PKO BP.

Podobnie jak Mateusz Górnisiewicz, zwrócił on uwagę na czynnik ludzki. Wiele z zagrożeń pochodzi z wewnętrznego otoczenia firmy, od osób z wysokimi uprawnieniami. Zaledwie 25% cyberataktów motywowanych jest chęcią zarobku. Natomiast 30% to chęć zemsty na firmie, czy po prostu zamiar zepsucia jej wizerunku. Dużym zagrożeniem są też haktywiści, którzy nie żądają pieniędzy, nie szantażują instytucji, a jedynie udostępniają jej dane ponieważ uważają to za swoją społeczną powinność.

Warto też pamiętać, że aż 59% pracowników odchodząc z firmy zabiera ze sobą również jakieś dane. Często też dochodzi do przypadkowego ujawnienia ich np. poprzez przekazanie wiadomości niepożądanym osobom. W przedsiębiorstwach dochodzi nie tylko do nadużyć finansowych ale też informatycznych, gdzie na służbowych komputerach ogląda się nielegalne treści, czy pobiera pliki pirackie z torrentów lub innych sieci Peer-to-Peer (P2P).

Aby dojść do tego, kto dopuszcza się nadużyć, czy przekazuje dane firmowe wykorzystywana jest właśnie informatyka śledcza. „Skuteczne stosowanie narzędzi z zakresu informatyki śledczej wymaga znajomości kontekstu. Ważne jest określenie celu i założeń prowadzonego ‘śledztwa’. Ułatwi to znacząco próbę odtworzenia tego co się wydarzyło, jak się wydarzyło i kto tego dokonał. Mając odpowiednią wiedzę i wyciągając kolejne wnioski można uzyskać dostęp do istotnych z punktu widzenia ‘śledztwa’ informacji. Np. zauważyć, że Pan X podpiął nieznany dysk do swojego komputera, choć wcześniej nigdy mu się to nie zdarzało” – podkreśla Włodzimierz Piątek.

Informatyka śledcza dysponuje ona coraz większymi możliwościami, podobnie jak sami cyberprzestępcy. Dzięki metodom takim jak Data Carving – czyli odtwarzaniu poprzednio istniejących plików na podstawie zawartości przestrzeni dyskowej – możliwe jest odnajdywanie nawet fragmentów zawartości dawno usuniętych plików, w szczególności tych, dla których brak jest metadanych w systemie plików. Wszystko zależy jednak od potrzeb i konkretnego przypadku. Skuteczność zależy od dobrania narzędzi i zawężenia poszukiwań względem „scenariusza” danego cyberataku, czy innego zagrożenia.

Zarządzanie prawnymi następstwami cyberataku

Sławomir Kowalski z kancelarii Maruta Wacha sp.j. na co dzień jest on koordynatorem praktyki bezpieczeństwa informacji i ochrony danych osobowych, na wstępie swojej prezentacji zauważył, że problemem nie jest samo włamanie, a brak odpowiednich procedur. Dla przedsiębiorstwa najważniejsze jest to, aby po cyberataku przywrócić i utrzymać ciągłość funkcjonowania, a także bezpieczeństwo. Rola prawnika to w dużej mierze kwestia wykonania obowiązków regulacyjnych i wsparcie od samego początku we wszystkich działaniach firmy po cyberataku.

„Są dwa rozwiązania, które przedsiębiorstwa powinny wdrożyć, aby lepiej zabezpieczać się przed prawnymi skutkami cyberataku. W wersji minimum jest to stworzenie podstawowych dokumentów dotyczących polityki firmy plus przeprowadzenie szkoleń, łącznie z oświadczeniami pracowników o ich przebyciu, a także spełnienie wymagań nadzoru. Natomiast w wersji optymalnej należałoby zbudować solidną politykę działań firmy i stosować dobre praktyki rynkowe. Warto rozważyć także udział dużych przedsiębiorstw – zwłaszcza z sektora finansowego – w kreowaniu polityki bezpieczeństwa przez organy państwowe, a także opracowaniu planu działań systematycznych zarówno od strony bezpieczeństwa, jak i od strony prawnej. Ważna jest również implementacja w umowach wymagań bezpieczeństwa oraz realizacja przedstawionych założeń” – podkreśla Sławomir Kowalski.

„Zgodnie z rekomendacjami KNF, Bank powinien posiadać system zarządzania ciągłością działania, w tym plany utrzymania ciągłości działania oraz plany awaryjne, zapewniające nieprzerwane działanie banku na określonym poziomie, uwzględniający profil ryzyka operacyjnego banku” – dodaje. Tymczasem polityka wewnętrzna może być dowodem na okoliczność odpowiedzialności osób za określone obszary działalności. Procedury nie ochronią przed atakiem, ale ochronią przed odpowiedzialnością.

Prawnik nie uchroni nas przed cyberatakiem, nie pomoże też bezpośrednio po ataku, może jednak wesprzeć przedsiębiorstwo tworząc umowy oraz procedury, które będą lepiej chroniły interes firmy i wymagały przestrzegania bezpieczeństwa. Może też pomóc w minimalizowaniu skutków ataku i zapewnieniu jak najszybszego przywrócenia płynnego funkcjonowania przedsiębiorstwa. Warto też pamiętać, że przepisy prawa coraz częściej wskazują cel, a nie sposób jego osiągnięcia.

Ewolucja cyberataków i złośliwego oprogramowania

Tomek Sawiak, audytor i architekt technologii bezpieczeństwa IT w zespole Technologii Cyberbezpieczeństwa oraz Patryk Gęborys, lider obszaru usług doradczych w zakresie architektury i procesów bezpieczeństwa oraz zarządzania podatnościami w PwC Polska przedstawili jak rozwijały się cyberataki na przestrzeni lat oraz jak wyglądają współczesne ataki. Proces ten przeszedł sporą ewolucję. „Początkowo cyberataki były proste, mało wysublimowane. W chwili obecnej do ataków wykorzystuje się nie tylko zaawansowane oprogramowanie, ale też socjotechnikę. Cyberatak to nie zagrożenie sprowadzone przez jedną maszynę, na drugą, ale przez człowieka na ludzi. Ataki o konkretnym celu, przypominają napady na bank rodem z filmów sensacyjnych, z dokładnie przemyślanym planem oraz z zagraniami wpływającymi na psychikę człowieka (użytkownika). Najskuteczniejsze są właśnie takie ataki hybrydowe” – mówi Tomek Sawiak.

O ile systemy zabezpieczeń i oprogramowanie jest w stanie szybko ewoluować i dostosować się do nowych zagrożeń, to użytkownicy już nie. Nie są też w stanie być wystarczająco czujni. Dlatego najlepszą obroną jest stałe monitorowanie i próba łączenia różnych systemów zabezpieczeń i procedur.

Eksperci z PwC porównują wręcz obronę przed cyberatakami do sztuki wojennej Sun Tzu. Aby skutecznie bronić się przed niebezpieczeństwem powinniśmy znać zarówno siebie, jak i cyberprzestępców. Powinniśmy także znać metody jakie stosuje przeciwnik. Na konkretnym przykładzie pokazali oni, że problem zwykle są błędy ludzkie, w tym ludzka naiwność. Firmy co prawda posiadają rozwiązania działające prewencyjnie, ale brakuje odpowiedniej detekcji i reakcji na zagrożenia.

„Warto przeprowadzać ćwiczenia typu Red Teaming, czyli kontrolowany atak na własną organizację. Z naszej praktyki wynika, że w przeważającej liczbie przypadków udaje się uzyskać dostęp do wrażliwych dla firm informacji lub systemów. Ćwiczenia Red Team – np. oparte o metodykę PwC STRIKE – pozwalają zidentyfikować słabe miejsca, ale przede wszystkim mogą posłużyć do budowy świadomości wśród pracowników, którzy w ten sposób stykają się z realnymi atakami. Scenariusze powinny obejmować nie tylko świat IT, ale także bezpieczeństwo fizyczne, czy analizę zachowań” – stwierdza Patryk Gęborys.

Technologie w obronie przed cyberatakiem

Partnerem spotkania organizowanego przez magazyn ITwiz był Intel Security. Bartosz Chmielewski, Sales System Engineer w Intel Security zademonstrował na żywo działanie narzędzi pozwalających na zaawansowaną ochronę i minimalizację szkód cyberataku przy wykorzystaniu narzędzi informatyki śledczej. Dedykowane oprogramowanie pozwala odnaleźć symptomy zagrożeń/infekcji. Mechanizmy pomagające chronić przed malware to: whitelisting, definicje DAT, globalna reputacja plików, lokalna reputacja obiektów, sandboxing, konteneryzacja i analiza behawioralna.

Rozwiązania Intel Security oferują mechanizmy ochrony przed złośliwym kodem oraz rozwiązania pozwalające wykryć i zneutralizować infekcję gdy jednak do niej dojdzie. Podczas spotkania można było zapoznać się z narzędziem McAfee Active Response, które pozwala na przejrzenie: podejrzanych plików – zarówno z przeszłości, jak i chwili obecnej; wpisów w rejestrze; nawiązanych połączeń sieciowych; rejestrów programów uruchamianych podczas startu systemu; a także obecnie uruchomionych procesów i usług. Sprawdzając te parametry możemy stwierdzić, czy zaistniała infekcja, możemy dowiedzieć się, które stacje robocze zostały zarażone, możemy też odpowiednio reagować na przyszłe wystąpienia symptomów infekcji. Rozwiązanie McAfee Active Response pozwala również na proaktywne poszukiwanie niewykrytych plików.

„Połączenie McAfee Active Response z rozwiązaniami McAfee Threat Intelligence Exchange pozwala na znacznie szybsze reagowanie na incydenty, weryfikację, które stacje zostały zainfekowane, analizę ataków, minimalizację ryzyka przez konteneryzację kodu, czy inwentaryzację aplikacji. To także łatwe i przystępne w użyciu rozwiązanie typu Endpoint Detection and Response. Takie dane są świetnym materiałem do dalszej analizy w systemach SIEM” – mówi Bartosz Chmielewski. „Nasze narzędzia zwiększają bezpieczeństwo, ale także pomagają zminimalizować skutki i przyśpieszyć działania jeśli jednak do cyberataku dojdzie” – dodaje.

Być o krok przed cyberprzestępcą

Każde przedsiębiorstwo jest narażone na cyberataki, nawet to najlepiej zabezpieczone. Żadna z metod nie gwarantuje 100% niezawodności. Natomiast przemyślany plan działań, przestrzegane procedury, odpowiednie oprogramowanie pozwalają na zminimalizowanie jeśli nie wystąpienia samego ataku, to ograniczenie skutków jego działania. W tworzenie odpowiednich zabezpieczeń zaangażowani powinni być nie tylko eksperci z zakresu IT, ale też zarząd firmy, osoby odpowiedzialne za kulturę przedsiębiorstwa (często HR), jak i prawnicy. Kwestia cyberprzestępczości wciąż ewoluuje, na szczęście systemy zabezpieczeń również. Przedsiębiorstwa muszą być na bieżąco i dostosowywać się do nowych standardów. Starać się być o krok przed wrogiem, który może nadejść również z wewnątrz firmy.

• • daty utworzenia, modyfikacji i usunięcia plików i folderów,
• • identyfikacja usuniętych plików (na podstawie metadanych systemu plików),
• • odtworzenie zawartości (na podstawie metadanych systemu plików),
• • Data Carving,
• • zgodność formatu plików,
• • wyszukiwanie (zawartość, skrót).

• • profile i konta użytkowników lokalnych i domenowych,
• • daty logowania użytkowników,
• • uruchamiane pliki wykonywalne – w tym powershell (prefetch, UserAssist, shimcache),
• • otwierane pliki i foldery (shellbags, MRU),
• • zaplanowane zadania,
• • oprogramowanie uruchamiane przy starcie OS,
• • elementy ekranu wyświetlane przez RDP (RDP Bitmap Cache),
• • podłączane urządzenia zewnętrzne,
• • podłączane sieci WiFi,
• • podłączane urządzenia USB,
• • usuwane pliki (np. kosz),
• • drukowane pliki,
• • zdarzenia (logi).

• • usunięte wiadomości mailowe (klient poczty),
• • kalendarz,
• • pobierane pliki,
• • odwiedzane witryny,
• • webmail,
• • wyszukiwane zwroty,
• • historia rozmów (czaty),
• • sieci społecznościowe.

• • lista uruchomionych procesów,
• • otwarte pliki,
• • otwarte porty,
• • aktywne połączenia sieciowe,
• • sesje użytkowników,
• • historia poleceń (powershell, cmd).
• Sieć:
• • logi
• • zawartość pakietów,
• • NetFlow.

• • udane i nieudane logowania użytkowników,
• • próby użycia niestandardowych procedur składowanych,
• • zapytania,
• • adresy IP łączących się klientów.

• • historia SMS,
• • kontakty,
• • połączenia,
• • lokalizacja,
• • zdjęcia,
• • nagrania,
• • podłączane sieci WiFi,
• • historia przeglądarek,
• • dodatkowe aplikacje (czaty, sieci społecznościowe itp.).

Źródło – prezentacja PKO BP