W przypadku incydentów naruszenia bezpieczeństwa odpowiedź na pytania, kto i dlaczego dostał się do naszych systemów informatycznych może być bardzo trudna. Sytuacja staje się jeszcze bardziej skomplikowana, gdy sprawcą ataku okazuje się osoba posiadająca uprzywilejowany dostęp do sieci lub człowiek, od którego oczekuje się ochrony przed cyberatakami. Kluczowym elementem w badaniu przyczyn naruszenia danych jest zebranie wszystkich potrzebnych informacji.
Tymczasem wiele firm nie wypracowało modelu ścieżki audytu dowodów, do której istniałby szybki dostęp i która byłaby nie do podważenia w postępowaniu sądowym.
Jak zatem organizacje mogą najbardziej skutecznie poszukiwać źródła incydentu?
Wyzwaniami dla specjalistów wewnętrznych czy agencji zewnętrznych, czyli osób, których zadaniem jest precyzyjne określenie tego, jak doszło do naruszenia danych i kto za tym stoi, są:
- czas i szybkość reakcji – dużo łatwiej, bardziej precyzyjnie i zwykle taniej jest rozpocząć dochodzenie niezwłocznie po wykryciu ataku, a nie po upływie tygodni czy miesięcy.
- zbyt duża ilość nieuporządkowanych danych. Rejestry zdarzeń gromadzą dane tworzone przez wszystkie urządzenia sieci i aplikacje. Może to jednak być jak szukanie igły w stogu siana, a przesiewanie sterty informacji może trwać całymi dniami.
- sposób, w jaki dane są zbierane i prezentowane. Logi muszą spełniać standardy formalne dla dowodów (przechowywane w bezpieczny sposób) i każdy, który został zmieniony lub nie był bezpiecznie przechowywany, może być odrzucony jako dowód w sądzie.
Zbieranie dowodów jest obecnie bardzo istotną kwestią dla organizacji, ponieważ cyberprzestępcy, dokonujący ataków, coraz częściej przejmują konta użytkowników wewnętrznych. Uzyskują w ten sposób uprzywilejowany dostęp do aktywów informatycznych firmy i wrażliwych informacji takich, jak dane finansowe, dane systemu zarządzania relacjami z klientami, zapisy dotyczące pracowników lub numery kart kredytowych.
Nowe sposoby monitorowania użytkownika i analizy zachowań umożliwiają firmom analizowanie poprzez systemy informatyczne wszystkich działań użytkownika, w tym zdarzeń szkodliwych. Pozwala to przedsiębiorstwom śledzić i wizualizować działania użytkownika w czasie rzeczywistym, aby zrozumieć, co naprawdę dzieje się z siecią.
– Jeśli nastąpiło niespodziewane zamknięcie systemu, wyciek danych lub manipulacja w bazie danych, okoliczności zdarzenia są łatwo dostępne w ścieżkach audytu, zatem szybko można zidentyfikować przyczynę incydentu. Te zapisane i zabezpieczone ścieżki audytu można przewinąć do tyłu jak film i odtworzyć wszystkie działania użytkownika. – wyjaśnia Csaba Krasznay, Product Manager Shell Control Box w Balabit i dodaje: – Ścieżki audytu są bezcenne zarówno dla śledztw prowadzonych w czasie rzeczywistym, jak również po włamaniu i umożliwiają automatyczną analizę zachowania użytkownika.
Przedsiębiorstwa mogą zostać zaatakowane przez hackerów, ulec próbom oszustwa lub kradzieżom danych wrażliwych. Ścieżka audytu działań użytkownika z zapisanym czasem, zaszyfrowana i podpisana stanowi nie tylko kluczowy dowód w przypadku postępowania sądowego, ale również daje gwarancję określenia przyczyny incydentu poprzez zapisane dane logów. Jeśli jest to uzupełnione analizą zachowań, organizacja może przyspieszyć czas oraz zmniejszyć koszt dochodzenia w śledztwie oraz jednocześnie aktywnie odpowiedzieć w czasie rzeczywistym na ostatnie zagrożenia.