Securitatea sistemelor informaționale

Workmark: Cybersecurity incident response caselet

Scenariu
“Workmark is a benefits management company with approximately 1,200 employees in a single
facility. The enterprise is highly dependent on their internetworked systems to deliver services to
over 3,000 client organizations. Workmark’s servers are virtualized in two data centers,
providing redundancy and geographic diversity. Headquartered in Denver, Colorado with data
centers in Denver and Texas. All employees work in Denver facility. The data center in Texas is
operated by a third party. Workmark primarily used Microsoft Windows for both server and
desktop operating systems. In each data center, Workmark has 75 virtual Windows servers. Each
data center also hosts five Linux servers and a small number of specialized network appliances.
The Denver office has 800 desktop and laptop computers.The data centers are connected via
redundant virtual private network (VPN) connections. Each desktop and server runs an
antimalware solution that is managed from a central server. Most workstations use hard-wired
Ethernet connections, but the laptop computers and tablets used by the management team
connect to a WPA2-secured Wi-Fi network.

At 2:00 a.m., you receive a call from a junior security analyst who is assigned to the network
security operations center. The network engineers have reported a sudden increase in network
traffic from a virtual machine, including what appears to be port scans of the internal network
and large amounts of egress traffic blocked at the firewall. You ask the junior analyst if he has
declared an incident. He tells you that he was not sure if it was an event or an incident and that
he needs guidance.”1

1
Proiect SSI: http://portal.feaa.uaic.ro/licenta/IE/an3/zsem2/COFI/Documents/Proiect%20SSI.pdf

Page | 1
Cerinte
1. Detail the difference between an event and an incident for the junior analyst.
Describe ways to determine if this is, in fact, an incident or just an event.

Evenimentul Cyber Security înseamnă orice acțiune sau încercare, reușită sau nereușită, de a
obține acces neautorizat, de a perturba sau de a folosi în mod abuziv sistemele electronice ale
unui deținător sau informațiile stocate pe astfel de sisteme.
Evenimentul este cel care vizează facilitățile de tranzit, personalul, informațiile sau sistemele
informatice sau de telecomunicații asociate agențiilor de tranzit. Acestea includ:

• Negarea sau întreruperea serviciilor de calculatoare sau de telecomunicații, în special a

sistemelor de control al trenurilor

• Monitorizarea neautorizată a sistemelor informatice sau de telecomunicații,

• Dezvăluirea neautorizată a informațiilor proprietate sau clasificate stocate în cadrul sau

comunicate prin intermediul sistemelor informatice sau de telecomunicații,

• Modificarea sau distrugerea neautorizată a codurilor de programare ale computerului, a

bazelor de date ale rețelelor de calculatoare, a informațiilor stocate sau a capacităților de
calculator;

sau:

• Manipularea serviciilor de calculator sau de telecomunicații rezultate din fraudă, pierderi

financiare sau alte încălcări penale.

Cyber Security Incident "înseamnă orice eveniment rău intenționat sau suspect care perturbă
sau a fost o încercare de a perturba funcționarea acestor dispozitive electronice programabile și a
rețelelor de comunicații, inclusiv hardware, software și date esențiale pentru funcționarea fiabilă
a sistemului Bulk Power2.

2
Bulk Power System(BPS): https://whatis.techtarget.com/definition/bulk-power-system-BPS

Page | 2
  What’s the difference between a Security Incident and an Event?
Security Events Security Incidents

Un eveniment de securitate este orice Dacă s-a dovedit că un eveniment a dus la o

eveniment în timpul căruia pot fi expuse date încălcare a datelor sau a confidențialității,
sau înregistrări ale companiei private. Riscul evenimentul respectiv este considerat un
major, când vine vorba de evenimente, este incident.
dat de faptul că datele ar putea fi expuse.
Așa cum vă puteți aștepta, evenimentele de De exemplu, o întârziere în depistarea unei
securitate se întâmplă frecvent. Unele slăbiciuni de securitate în software-ul vital al
companii, în funcție de mărimea și companiei ar fi un eveniment. Acesta ar fi
notorietatea lor, au sute de evenimente pe zi considerat un incident doar după ce echipa
sub formă de e-mailuri de phishing, atacuri de responsabila de monitorizare a securității a
forță brute, neglijență a angajaților etc. confirmat o încălcare a datelor de către
Serviciile de monitorizare a securității, deși hackerii care au capitalizat pe slăbiciune.
variază foarte mult în funcție de capacitățile
companiei, includ, în general, documentația și
investigarea acestor evenimente.

Page | 3
 Figura 1-Diferentele dintre eveniment&incident3

Incident sau eveniment?

Ținând cont că această creștere spontană a traficului din rețea, din cadrul companiei noastre,
a fost detectată la ora 02:00 AM, ne putem da seama cu ușurintă faptul că această creștere nu
se datorează unor factori obișnuiți de care atât echipa tehnică, analistul junior cât și noi, în

3
What’s the difference between a Security Incident and an Event?: https://www.edts.com/edts-blog/whats-the-
difference-between-a-security-incident-and-an-event-infographic

Page | 4
calitate de manager al acestei echipe, ar trebui să fim anunțați(ex: backup, update s.a.-aceste
actiuni fiind programate). Un alt aspect important este reprezentat de faptul că firewall-ul a
stocat cantități mari de date ce ar putea reprezenta o reală/potenţială situaţie de deconspirare
a unor informaţii substanţiale despre clienţi/companie/operaţiunile efectuate sau poate reda
apariţia unor probleme de comunicare prin dispozitive electronice, cum ar fi trimiterea
email-
urilor care conţin informaţii personale.
Necunoscând sursa acestui trafic crescut, acest eveniment nu este ca unul obișnuit putând
avea
urmări negative asupra companiei astfel, îl putem clasifica ca și incident.

2. Describe the appropriate steps within each of the incident response phases above:
a) What should have been included in the preparation phase to prepare for an
incident like this?

 Executarea unei politici de securitate IT / Audit de arhitectură. Auditurile și evaluările în

materie de securitate joacă un rol crucial în prevenirea incidentelor de securitate
cibernetică. Prin identificarea tuturor activelor din rețeaua noastră, precum și prin
învățarea sistemelor de operare și a aplicațiilor pe care le execută, putem identifica
vulnerabilitățile cheie din rețea pentru a reduce riscul întâmplării unei încălcări. Acesta
este, de asemenea, un pas necesar pentru a ne asigura că putem reproduce mai târziu cele
mai importante date.

 Adăugarea IDS / IPS în rețeaua noastră. Sistemele de detectare a intruziunilor (IDS),

sistemele de prevenire a intruziunilor (IPS) și programele SIEM pot oferi un "avertisment
timpuriu" vital al tentativelor de intruziune în rețeaua noastră, ceea ce permite echipei
IT / cybersecurity să reacționeze rapid la o încălcare în desfășurare. Acest lucru poate
face minuni pentru a minimiza scopul unei încălcări, precum și a accelera procesul de
recuperare. În plus, dacă soluția noastră ține evidența incidentelor dintr-un jurnal de
evenimente, ne poate fi de folos cu investigația post-atac și ne va informa despre modul
în care a intrat atacatorul, astfel încât să putem închide această vulnerabilitate.

Page | 5
 Crearea un plan de răspuns la incidente (IRP). Ce ar trebui să facă X-ulescu din
contabilitate dacă crede că este în desfășurare o încălcare a securității? Cui ar trebui să se
adreseze? Cum poate să limiteze riscul unei încălcări dacă descarcă accidental
programele malware? Acestea sunt câteva dintre întrebările la care putem răspunde prin
crearea unui plan de reacție la incidente și prin forarea acestuia în mintea fiecărui angajat
al companiei - de la CEO până la cei care lucrează în liniile frontale ale companiei. În
acest fel, toată lumea știe ce ar trebui să facă în cazul unei încălcări.

 Adăugarea de Backup de date. Trebuie să avem cel puțin o formă de rezervă pentru toate
datele cele mai critice ale companiei noastre. Dacă este vorba despre informații vitale
pentru afacerile întreprinderii, trebuie să avem o copie de rezervă în cazul în care
calculatoarele pe care le deținem sunt criptate cu ransomware, șterse accidental de
eroarea umană sau distruse de un dezastru (incendiu, inundații, cutremur etc.). O soluție
ideală de salvare a datelor ar fi o soluție bazată pe cloud care se actualizează frecvent
pentru a asigura o RPO(Recovery Point Objective) relativ recentă (sub 12 ore) și o
RTO(Recovery Time Objective) rapidă care rulează pe servere aflate la distanță de
birourile noastre (în caz de un dezastru natural în care este implicată clădirea de birouri).

 TESTAREA IRP-ului nostru! Orice întreprinzător trebuie să testeze cu exactitate planurile

de reacție la incidente și seturile de instrumente de recuperare în fiecare trimestru. Acest
lucru are câteva avantaje:
 Ajută la identificarea anumitor puncte de eșec în soluția de recuperare, astfel încât să
poată fi remediate.
 Ajută la menținerea IRP-ului ca fiind cel mai important lucru de amintit pentru
angajații care ar trebui să-l urmeze. Acest lucru le ușurează să-și amintească când
apare o încălcare reală.
 Acesta poate face RTO mai rapid utilizând instrumentele de recuperare și urmând
natura a doua a IRP-ului pentru angajații companiei Workmark.

Page | 6
  Înștiințează despre funcționalitatea instrumentelor de recuperare atunci când vom avea
nevoie de ele.

 Luarea în considerare a achiziționării unei Asigurări de încălcare a datelor. Asigurarea

de încălcare a datelor este o formă relativ nouă de asigurare a afacerilor care a survenit ca
răspuns la numărul masiv de încălcări a datelor care au loc în fiecare an. Această
asigurare este destinată să acopere costurile asociate cu încălcarea datelor, cum ar fi
taxele legale, protecția identității, repararea / înlocuirea activelor IT compromise și multe
altele. Natura exactă de acoperire va varia, desigur, de la un furnizor de asigurări la altul,
deci este important să știm exact ce acoperă planul de asigurare înainte de a ne alege
unul.

 Dezactivarea tuturor conturilor persoanelor care au plecat din firmă, deoarece acest
incident s-a desfășurat prin intermediul unui cont ce avea accesibilitate deplină
(privileged account). Un cont privilegiat este un cont de utilizator care are mai multe
privilegii decât utilizatorii obișnuiți. Conturile privilegiate ar putea, de exemplu, să poată
instala sau elimina programe, să upgradeze sistemul de operare sau să modifice
configurațiile de sistem sau de aplicații. O modalitate mult mai responsabilă de atribuire a
accesului pe conturi ar trebui realizată de către responsabilul de acest lucru într-o maniera
mai riguroasă, oferind astfel, acces privilegiat la un număr limitat de angajați din
compania Workmark și o descriere în detaliu a termenilor și condițiilor de utilizare a unui
astfel de cont.

b) Which information should be gathered in the detection and analysis phase, and
who should be contacted?

Detectarea și analizarea incidentelui se realizează cu ajutorul următoarelor întrebări:

1. Când a avut loc incidentul?

2. De cine a fost descoperit/detectat?
3. În ce modalitate s-a descoperit?
4. Ce a fost afectat(zone/departamente ale companiei)?

Page | 7
 5. Care este scopul atacului?
6. Este vreo operațiune din cadrul companiei afectată?
7. Se cunoaște atacatorul?

După cum a fost scris și în scenariu, evenimentul a avut loc la ora 02:00 AM și a fost sesizat de
către un analist junior de la centrul de securitate a operațiilor din rețea. Modul în care acest
incident s-a descoperit a fost prin înregistrarea de către o mașina virtuală a traficului intens, ce a
dus la blocarea unor pachete mari de date( de ieșire) de către firewall. Scopul acestui atac nu
poate fi cu exactitate determinat, totuși ne putem da seama că atacatorul a încercat să
fure/sustragă informații secrete din cadrul companiei Workmark. Nici identitatea atacatorului nu
a putut fi determinată, deși se cunoaște că a fost un atac din interior(se cunoaște contul de pe care
s-a realizat acest incident).

În cadrul acestei companii, Workmark, persoana ce ar trebui contactată în urma unui incident ar
fi administratorul de rețea.

c) Describe the importance of the containment, eradication, and recovery steps.

Restrângerea/Limitarea este importantă înainte ca un incident să suprasolicite resursele sau să
sporească daunele. Cele mai multe incidente necesită reținere, astfel încât acestea să reprezinte o
atenție importantă la începutul procesului de tratare a fiecărui incident. Concentrarea oferă timp
pentru dezvoltarea unei strategii de remediere personalizate. O parte esențială a reținerii este
luarea deciziilor (de exemplu, închiderea un sistem, deconectarea de la o rețea sau dezactivarea
anumitor funcții). Astfel de decizii sunt mult mai ușor de luat dacă există strategii și proceduri
predeterminate pentru a preveni incidentul. Organizațiile ar trebui să definească riscuri
acceptabile în tratarea incidentelor și să elaboreze strategii în consecință.
Strategiile de restricționare variază în funcție de tipul de incident. De exemplu, strategia de a
conține o infecție malware pe suport de e-mail este destul de diferită de cea pentru un atac DDoS
bazat pe rețea. Organizațiile ar trebui să creeze strategii separate de izolare pentru fiecare tip de
incident major, cu criterii documentate clar pentru a facilita luarea deciziilor.
După ce un incident a fost oprit, eradicarea ar putea fi necesară pentru a elimina componentele
incidentului, cum ar fi ștergerea malware-ului și dezactivarea conturilor de utilizator care au fost
încălcate, precum și identificarea și atenuarea tuturor vulnerabilităților care au fost exploatate. În
timpul eradicării, este important să se identifice toate gazdele afectate din cadrul organizației,
Page | 8
astfel încât acestea să poată fi remediate. Pentru unele incidente, eradicarea nu este necesară sau
este efectuată în timpul recuperării.
În recuperare, administratorii restabilesc funcționarea normală a sistemelor, confirmă
funcționarea normală a sistemelor și, dacă este cazul, remedierea vulnerabilităților pentru
prevenirea unor incidente similare. Recuperarea poate implica acțiuni precum restaurarea
sistemelor de la copii de siguranță, reconstruirea sistemelor de la zero, înlocuirea fișierelor
compromise cu versiuni curate, instalarea de patch-uri, schimbarea parolelor și înăsprirea
securității perimetrului rețelei (de exemplu, seturi de reguli de firewall, liste de control al
accesului la router). Nivelurile superioare de înregistrare a sistemelor sau de monitorizare a
rețelelor sunt adesea parte a procesului de recuperare. Odată ce o resursă este atacată cu succes,
ea este adesea atacată din nou, sau alte resurse din cadrul organizației sunt atacate într-o manieră
similară.
Eradicarea și recuperarea ar trebui să se facă într-o abordare etapizată, astfel încât pașii de
remediere să fie prioritizați. Pentru incidente la scară largă, recuperarea poate dura luni; intenția
fazelor timpurii ar trebui să fie creșterea securității globale, cu schimbări de valoare ridicată
relativ rapide (de la zile la săptămâni) pentru a preveni incidentele viitoare. Fazele ulterioare ar
trebui să se concentreze asupra unor schimbări pe termen mai lung (de exemplu, modificări ale
infrastructurii) și a activităților în curs de desfășurare pentru a menține întreprinderea cât mai
sigură.
d) What sort of post-incident activity should be conducted and who should
notified.
Activitatea post-incidentă. Una dintre cele mai importante părți ale răspunsului la incidente este,
de asemenea, cel mai adesea omisă: învățarea și îmbunătățirea. Fiecare echipă de răspuns la
incidente ar trebui să evolueze pentru a reflecta noi amenințări, tehnologii îmbunătățite și lecții
învățate. Realizarea unei întâlniri "cu lecții învățate" cu toate părțile implicate după un incident
major și, opțional, periodic, după incidente mai puține, după cum permite resursele, poate fi
extrem de utilă în îmbunătățirea măsurilor de securitate și a procesului de tratare a incidentelor.
Incidentele multiple pot fi acoperite într-o singură întâlnire a lecțiilor învățate. Această întâlnire
oferă o șansă de a realiza închiderea în legătură cu un incident prin revizuirea a ceea ce s-a
întâmplat, a ceea ce s-a făcut pentru a se interveni și cât de bine s-a soluționat/prevenit
incidentul.

Page | 9
Incidentele mici necesită o analiză limitată după incident, cu excepția incidentelor efectuate prin
metode noi de atac, care prezintă o preocupare și un interes major. După ce au avut loc atacuri
grave, este de obicei util să se țină întâlniri post-mortem care depășesc limitele echipei și
organizației pentru a oferi un mecanism de schimb de informații. Principala preocupare în
organizarea unor astfel de întâlniri este asigurarea implicării persoanelor potrivite. Nu numai că
este important să fie invitate persoane care au fost implicate în incidentul analizat, dar este, de
asemenea, înțelept să se ia în considerare cine ar trebui să fie invitat pentru a facilita o cooperare
viitoare.

e)Referencing the iterative nature of incident response, what information should be

fed back into the preparation stage?
 Se va căuta documentația necesară de instruire și exercițiu pentru fiecare persoană
responsabilă de echipă. Trebuie identificate, revizuite și evaluate politicile privind IR,
manipularea, notificarea și revizuirea de bord. Procedurile de sprijin pentru eforturile de
manevră și de răspuns au nevoie de revizuire și corelare cu politicile, controalele de
securitate pentru IR de la SP 800-53 și planul efectiv IR pentru fiecare sistem în timp ce
acesta este revizuit și evaluat.
 Îmbunătățirea comportamentului de combatere/tratare a incidentelor.
 Revizuirea modalității de analizare a efectelor negative pe care incidentele le aduc în
momentul impactului (o analiză mai detaliată și obținută într-un timp real).

Page | 10