Narzędzia do wykrywania naruszeń

Aby móc zgłaszać naruszenia, trzeba umieć je wykrywać, a do tego potrzebne są odpowiednie procesy i narzędzia, o czym wspomina się w motywie 87 preambuły:

Należy się upewnić, czy wdrożono wszelkie odpowiednie techniczne środki ochrony i wszelkie odpowiednie środki organizacyjne, by od razu stwierdzić naruszenie ochrony danych osobowych i szybko poinformować organ nadzorczy i osobę, której dane dotyczą.

 

 

Bez wątpienia potrzebne będą techniczne mechanizmy pozwalające wykrywać naruszenia, takie jak m.in.:

  • systemy monitorowania i korelowania zdarzeń w systemach komputerowych (SIEM),
  • rozwiązania do wykrywania i zatrzymywania zagrożeń w sieciach komputerowych (różnego rodzaju IDS/IPS),
  • programy wykrywające potencjalne „wycieki” informacji (DLP),
  • systemy kontroli dostępu do sieci (NAC),
  • rozwiązania do zarządzania urządzeniami mobilnymi (EMM, MDM).

 

Oczywiście, same rozwiązania niewiele pomogą, jeśli nie będzie osoby, a w większych organizacjach zespołu, który będzie je operacyjnie obsługiwał. Często taki zespół określa się mianem SOC – ang. security operations centre.

 

SIEM – Security Information and Event Management

 

Każdy system produkuje tzw. logi z zapisami rozmaitych zdarzeń. System SIEM gromadzi zdarzenia z bardzo wielu miejsc, filtruje, normalizuje, agreguje i koreluje je, zamieniając na wartościowe z punktu widzenia bezpieczeństwa repozytorium danych.

 

SIEM jest coraz popularniejszym narzędziem w wielu orga­nizacjach, swojego rodzaju centralnym punktem informacji na temat bezpieczeństwa.
 

Organizację bez rozwiązania klasy SIEM należy uznać za ślepą – ona po prostu nie wie, co się w jej sieci dzieje. Można to zobrazować na następującym przykładzie: Firma ma 100 użytkowników oraz przechowuje dane na 20 serwerach, czyli w 120 miejscach musi sprawdzać logi. Dochodzą do tego logi z innych systemów – DHPC, WINS, Active Directory, logi aplikacji, urządzeń sieciowych, systemów antywirusowych, proxy, filtrowania ruchu internetowego, firewalla itd. Nawet gdyby nakazano kilku administratorom sprawdzać non stop wszystkie logi, to i tak nie zapewni się bezpieczeństwa.

 

System SIEM w IT pełni taką samą funkcję, jak system kamer przemysłowych w budynkach (CCTV). Korzyści z wdrożenia SIEM jest wiele, najważniejsze z nich to:

  • możliwość sprawdzenia, czy doszło do incydentu w sieci komputerowej,
  • podłączenie logów z wielu różnych źródeł,
  • jedno centralne miejsce do przeprowadzania „śledztw” komputerowych – wszystkie informacje pod ręką,
  • korelowanie zdarzeń ze sobą i wykrywanie anomalii (np. osoba, która nigdy nie pracuje dłużej niż do godz. 17.00, nagle zostaje w pracy do 22.00, z jej komputera nastąpiło logowanie do sieci z Warszawy, a 15 minut później z Meksyku),
  • monitorowanie logów na bieżąco,
  • alarmowanie o zdarzeniach – niektóre systemy SIEM potrafią nawet zlecić podjęcie akcji, np. zablokowanie konta albo dostępu do Internetu, tak aby zmniejszyć lub nie dopuścić do szkody.

 

IDS/IPS – Intrusion Detection/Prevention Systems

 

IDS (ang. Intrusion Detection System) – to rozwiązania służące do wykrywania prób ataków na sieć komputerową.

Główną rolą IDS jest wykrycie (detekcja) ataku i informowanie o tym administratora. Po integracji IDS np. z fire­wallem powstaje IPS, które będzie w stanie nie tylko wykryć, ale i zablokować atak. Zatem IPS to nic innego jak IDS, któremu umożliwiono działanie. Najczęściej używa się obu akronimów (IDS/IPS) w odniesieniu do całościowego systemu wykrywania oraz reagowania na zdarzenia w sieci. Warto wiedzieć, że są darmowe systemy IDS – należą do nich m.in. Snort i OSSEC.

 

NAC – Network Access Control

 

Rozwiązanie typu NAC (ang. Network Access Control) zatrzymuje nieautoryzowanych użytkowników oraz urządzenia niespełniające zasad bezpieczeństwa przed dostępem do sieci. Gdyby to rozwiązanie kontrolowało samochody, to do budynku wpuszczałoby tylko samochody będące na liście (uprawnione), które mają zadowalający stan techniczny i ważne ubezpieczenie.

 

Zapobieganie podłączaniu do sieci nieuprawnionych urządzeń jest niezmiernie ważne. Przykładowo „obcy” komputer może „podsłuchiwać” sieć, a to może pozwolić na przejęcie haseł albo innych informacji, które ułatwią uzyskanie nieuprawnionego dostępu.

 

Antimalware/antywirus

 

Oprogramowanie antywirusowe to absolutna podstawa w higienie sieci komputerowej. Rozwiązania tego typu coraz częściej określane są mianem endpoint protection, czyli ochroną stanowiska pracy. To już nie jest jedynie ochrona przed złośliwym oprogramowaniem. Takie rozwiązania często mają przykładowo wbudowane rozwiązania IDS/IPS i potrafią wykrywać np. skanowanie sieci komputerowej z użyciem programu Nmap.

 

Skanowanie podatności

 

Podatność (ang. vulnerability) – to pewnego rodzaju słabość, która odnosi się do braku odporności na skutki wrogiego środowiska. Podatność może wynikać z braku zainstalowanych aktualizacji, ale nie tylko. Przykładowo, nieprawidłowa lub niechlujna konfiguracja może spowodować podatność.

 

Skaner podatności – to swojego rodzaju narzędzie diag­nostyczne, które pozwala ocenić, na ile „zdrowy” jest dany system czy aplikacja. Wszystkie urządzenia w sieci komputerowej warto „przebadać” skanerem podatności zarówno wewnątrz, jak i na zewnątrz sieci. Warto to robić co jakiś czas i regularnie.

 

Podobnie jak w przypadku IDS/IPS, dostępne są rozwiązania darmowe – w tym przypadku OpenVAS.