Hierarchie potřeb v kyberbezpečnosti – 1.část

AxentaNajde se jen málo lidí, kteří nikdy neslyšeli o Maslowově pyramidě potřeb. Na spodku pyramidy nacházíme zcela základní a nejdůležitější fyziologické potřeby (potřeba dýchání, regulace tělesné teploty atd.) a postupně přecházíme výše a výše přes další potřeby až k potřebě seberealizace. Naplnění nižších úrovní je téměř nutnou podmínkou pro možnost naplnění vyšších úrovni.

O podobné hierarchii potřeb můžeme mluvit i v kyberbezpečnosti, konkrétně při bezpečnostním monitoringu v SOCu a reakci na incidenty.

Už sám obrázek mluví za sebe. Na nejnižším stupínku pyramidy, stejně jako u Maslowa, nacházíme “potřebu”, která je nejvíce podstatná a naléhavá a následně přecházíme výše k potřebám, které jsou méně podstatné. Stejně tak naplnění potřeb na nižších stupních je nutnou podmínkou pro uspokojení potřeb na vyšších stupních.

Na této pyramidě potřeb můžeme krásně ilustrovat, jaké všechny schopnosti a funkce by měla organizace mít, aby dokázala detekovat bezpečnostní incident, správně ho vyhodnotit a efektivně na daný incident reagovat. Začnu hned nejnaléhavější potřebou – inventář – asset management.

Inventory

Zcela nejnaléhavější potřebou při bezpečnostním monitoringu je potřeba informací o monitorovaných aktivech. Minimálně bychom měli vědět IP adresy, doménová jména, účel daného zařízení, kdo dané zařízení používá, resp. zodpovědný kontakt. U jiných typů monitorovaných aktiv (např. Informační systém, webový portál, senzor fyzické bezpečnosti) je také třeba získat odpovídající informace. Pro interní informační systém, který používá více serverů nás samozřejmě budou zajímat výše uvedené informace, ale navíc se určitě hodí vědět, jak mezi sebou souvisejí různé servery, které tento systém používá, nebo kdo jsou správci daného systému apod.

Stejně tak u běžných pracovních stanic – už jen informace, že zařízení s danou IP adresou je pracovní stanicí toho a toho zaměstnance, je dobrá, ale při analýze potenciálního incidentu určitě pomůže např. informace o nainstalovaném softwaru na počítači a jeho verzích.

Další informací, která může pomoci, je například informace o geografickém umístění aktiva (většinou při fyzických zařízeních). Při fyzických aktiv nesmíme zapomenout ani na informaci o to, o jaké zařízení jde – server, notebook, mobil, tablet nebo smart chladnička, ideálně i se značkou a typem.

Tyto informace můžeme získat ze standardních prostředků správy aktiv, jako např. CMDB databází nebo Excel tabulek (všichni víme, jak to může vypadat). Nesmíme však zapomínat na to, že nejde o statický seznam, který se jednou naplní a vždy se bude používat, ale je třeba zavést procesy a nástroje, jejichž cílem bude to, aby informace o monitorovaných aktivech byly vždy co nejaktuálnější.

Velmi důležitými informacemi, na kterých může záviset správné vyhodnocení a správná reakce na bezpečnostní incident, jsou informace o souvislostech daného aktiva s činností dané organizace resp. informace o tom, které aktiva jsou kritické pro činnost firmy a jakým způsobem (neboli v základě C-I-A triáda = Pravidla, Integrity, Availability).

Například výše zmíněný informační systém může mít několik částí, nad různými fyzickými zařízeními, které se mohou lišit v byznysových požadavcích – např. hacknuté webové rozhraní lze vypnout, ale databázový server za tím, na který jsou napojeny další systémy, se nesmí za žádných okolností vypnout.

Obecně můžeme říci, že dostatečná znalost monitorovaných aktiv je tou nejdůležitější prerekvizitou na to, abychom mohli vůbec začít přemýšlet nad tím, jak budeme daná aktiva monitorovat a vyhodnocovat nad nimi nějaké bezpečnostní události.

Právě sledování, viditelnost nad aktivy a logy patří do další úrovně kyberbezpečnostnej pyramidy potřeb, o které si něco řekneme v dalším článku.

Dávid Kosť, Lead Security Analyst, Axenta a.s.

Obrázek: Matt Swann

Související články

Leave a Comment