Narzędzia open source wspierające monitorowanie i obsługę incydentów bezpieczeństwa dla rozwiązań IT

• 07.05.2018

• Autor: Marcin Jastrzębski

• RODO w IT

Niezależnie od tego czy mamy do czynienia z małą firmą, czy dużą korporacją, liczba incydentów związanych z bezpieczeństwem rośnie z roku na rok. Wszystkie incydenty potrzebują skutecznego zarządzania. W szczególności te, które skutkują koniecznością sięgania po środki nadzwyczajnej rangi, takie jak plany utrzymania ciągłości działania firmy. Jak zatem skutecznie monitorować i przeciwdziałać incydentom bezpieczeństwa?

Rozważania warto rozpocząć od przyjrzenia się narzędziom, które mogą okazać się pomocne w skutecznym wykrywaniu incydentów, ich segregacji, ich ograniczeniu i reagowaniu na nie. Rozwiązania, których wdrożenie może mieć istotny wpływ na bezpieczeństwo systemów IT, można podzielić na siedem klas narzędzi:

1. Ochrona

Jedną z pierwszych linii obrony przed atakami, tuż za zaporami sieciowymi, stanowią systemy klasy IDS/ IPS (Intrusion Detection and Prevention Systems). Mają one za zadanie w czasie rzeczywistym monitorować aktywność sieci i serwerów pod kątem wykrywania prób potencjalnych włamań i naruszeń bezpieczeństwa. Działanie tych systemów opiera się na analizie sygnaturowej i heurystycznej pakietów danych oraz porównaniu ich do znanych typów ataków. W przypadku wykrycia aktywności uznanej za złośliwą, system ma możliwość zablokowania takiej transmisji.

Aplikacje webowe możemy chronić dodatkowo systemami klasy WAF (Web Application Firewall). Praca tych systemów polega na sprawdzaniu żądań HTTP, a następnie dzięki zestawowi reguł, np. obejmujących luki OWASP Top 10, blokowaniu takiego ruchu lub jego przepuszczaniu. Przykładowymi atakami z OWASP Top 10 są np. SQL injection czy XSS.

Wśród popularnych narzędzi typu IDS/ IPS znajdują się Snort, OSSEC, natomiast narzędziem typu WAF jest ModSecurity.

2. Logi

Dzienniki aktywności są bogatym źródłem informacji o tym, co dzieje się w naszym środowisku IT, w szczególności w sieci i systemach. W praktyce przeglądanie każdego dziennika z osobna jest skrajnie nieefektywne i nie pozwala na sprawne wyciąganie sensownych wniosków. Tym bardziej, że z reguły odpowiedzialność za te przeglądy jest rozproszona na wiele osób, np. administratorów poszczególnych systemów i urządzeń. W takich sytuacjach warto stosować systemy zwane SIEM (Security Information and Event Management). Zadaniem SIEM jest zebranie w jednym miejscu wszystkich logów i ich analiza jednocześnie z korelacją zdarzeń pomiędzy nimi. W efekcie otrzymujemy spójny i przejrzysty obraz sytuacji, a co więcej, wszelkie zagrożenia są wychwytywane w dużo szybszym tempie.

Przykładem narzędzia typu SIEM jest OSSIM.

3. Sprawdzanie podatności

Automatyczne skanery podatności identyfikują potencjalne luki w systemach IT, dzięki czemu można na czas wdrożyć działania naprawcze. To pozwala w znaczący sposób minimalizować obszary ryzyka. Działanie skanerów opiera się na sprawdzeniu czy wersje komponentów wykorzystywanych przez nasze systemy znajdują się w bazie znanych podatności CVE (Common Vulnerabilities and Exposures).

Przykładem takiego skanera jest OpenVAS.

4. Monitoring

Niezbędne jest stałe monitorowanie wszystkich krytycznych komponentów infrastruktury w tym aplikacji, usług, systemów operacyjnych, protokołów sieciowych, wybranych wskaźników czy infrastruktury. Monitorowanie dostępności jest niezwykle ważne i pomocne, ponieważ przerwa w działaniu aplikacji lub usług może być pierwszą oznaką incydentu bezpieczeństwa.

Przykład narzędzi: Nagios, Zabbix.

5. Inwentaryzacja sieci

Rozumienie swojego środowiska IT pozwala skutecznie reagować na zagrożenia płynące z sieci wewnętrznej. Najlepszym sposobem na to jest automatyczne wykrywanie zasobów i ich inwentaryzacja. Dzięki temu rozwiązaniu wiemy ile i jakie urządzenia są obecne w sieci oraz jakie oprogramowanie jest na nich zainstalowane. Pozwala nam to na eliminowanie źródeł potencjalnych ataków, np. niewspierane lub nieaktualne wersje systemów operacyjnych i programów, zanim faktycznie do nich dojdzie.

Przykład narzędzia: OCS Inventory.

6. Materiały dowodowe

W przypadku, gdy dojdzie już do incydentu bezpieczeństwa istotne jest sprawne zidentyfikowanie, odzyskanie, zachowanie i analiza sekwencji wydarzeń, które do niego doprowadziły. Ma to kluczowe znaczenie dla zidentyfikowania i naprawienia pierwotnej przyczyny. Zgromadzone dowody mogą również wspierać wszelkie działania dyscyplinarne lub prawne, np. zawiadomienie odpowiednich służb i organów nadzorczych.

Przykłady narzędzi: SANS SIFT, Sleuthkit.

7. Człowiek

System klasy Service Desk może mieć kluczowe znaczenie w organizacji w zakresie informowania służb IT o potencjalnych źródłach incydentów. Najbardziej podstawową formą kontroli bezpieczeństwa jest wykształcony i świadomy pracownik. Użytkownicy powinni być świadomi swoich obowiązków i sposobu w jaki mogą zgłaszać incydenty i reagować na nie. Co więcej powinni być wręcz zachęcani do zgłaszania wszelkich słabych punktów związanych z bezpieczeństwem tak szybko jak to możliwe.

Przykładem narzędzia do obsługi zgłoszeń jest OTRS.

Podsumowanie

Ochrona przed cyberzagrożeniami staje się poważnym problem dla wielu organizacji. Dlatego przedstawione propozycje narzędzi typu open source mogą stanowić filar budowy systemu zarządzania incydentami bezpieczeństwa. Oczywiście nic nie stoi na przeszkodzie, aby sięgać po rozwiązania komercyjne. Niezależnie jednak od tego, jakie systemy zdecydujemy się zaimplementować wewnątrz naszej organizacji, ważne jest, aby stale śledzić i monitorować informacje o nowych zagrożeniach jakie pojawiają wokół nas.

Źródło: „Magazyn ODO” 2018

Autor

Marcin Jastrzębski

Audytor i specjalista ds. systemów informatycznych. Realizuje projekty audytorsko-analityczne związane m.in. z ochroną i zabezpieczeniem danych osobowych w systemach IT, oceną zaawansowania wdrożonych w organizacji środków zabezpieczeń technicznych i organizacyjnych oraz analizami ryzyka.