Izradio: Vučinić Želimir

---

Sadržaj 1 Uvod 2 Metodologija odgovaranja na incidente 3 Priprema za odgovaranje na incident 4 Priprema mreže 5 CERT organizacije 6 Zaključak 7 Literatura

Uvod

Računalni sigurnosni incident je bilo koji nezakonit, neautorizirana ili neprihvatljiva akcija koja uključuje računalni sustav ili mrežu. Računalni sigurnosni incidenti su česta pojava u moderno doba. Općenita definicija računalno sigurnosnog incidenta jest posredno ili neposredno ugrožavanje sigurnosne politike, pravila i procedura.

Takva akcija može uključivati bilo koji od slijedećih događaja:

• Krađu ili razmjenu tajni
• E-mail spam ili dosađivanje
• Neautoriziran ili nezakonit upad u računalni sustav
• Pronevjera
• Posjed ili širenje dječje pornografije
• DoS napadi
• Iznuda
• Bilo koja nezakonita akcija kada se dokazi za takvu akciju mogu pohraniti na računalni medij poput prevare, prijetnji i tradicionalnih zločina

Sigurnosni incident je čin narušavanja propisanih ili podrazumijevanih sigurnosnih normi. Kako bi određenu aktivnost mogli proglasiti incidentom bitno je da se radi o ciljanoj ilegalnoj aktivnosti.

Da bi odgovor na sigurnosne incidente bio brz i učinkovit, tvrtke moraju biti uvijek korak ispred napadača. Pravovremeno i učinkovito odgovaranje na sigurnosne incidente uz odgovarajuće mjere je presudno za smanjivanje njihovog potencijalnog utjecaja na ugled tvrtke. To znači ne samo primjenu zadovoljavajućih zaštitnih mjera, nego i pripremljenost za sve moguće incidentne situacije. Kroz takvu se aktivnost svi sustavi moraju konfigurirati tako da što više informacija bude prikupljeno o radu sustava, a procedure odgovaranja na incidente moraju biti dobro poznate i uvježbane.

Incidente možemo podijeliti u dvije skupine i to prema vrsti i težini incidenta.

Prema vrsti:

• uskraćivanje ili gubitak usluge
• uskraćivanje ili gubitak usluge
• računalna forenzika
• nezakonita aktivnost
• neovlašteni pristup
• zlonamjerni softver
• višekomponentni incident
• elektronička pošta

Prema težini:

• utjecaj na ključne sustave, servise ili informacije
• utjecaj na sustave, servise ili informacije koji nisu definirani kao kljucni
• njihovo rješavanje nije vremenski osjetljivo

---

Metodologija odgovaranja na incidente

Metodologija odgovora se sastoji od 7 koraka:

1. Priprema prije nego što se incident dogodi

Priprema vodi uspješnom odgovaranju na incidente. Tijekom ove faze, organizacija treba pripremiti samu sebe kao cjelinu kao i članove CSIRT-a, prije nego se računalni sigurnosni incident dogodi. Idealno gledajući, pripreme uključuju ne samo nabavu alata i razvojnih tehnika za odgovor na incidente, već i poduzimanje akcija na sustavu i mreži koji su dio incidenta koji će biti potrebno istražiti.

2. Detekcija incidenata

Za sve organizacije najizazovniji dio odgovora na sigurnosni incident je precizno otkrivanje i procjena mogućih incidenata te utvrđivanje je li se incident dogodio, ako jest, koja vrsta incidenta se dogodila i koliki mu je utjecaj na cijeli sustav. Incident se obično otkrije kada netko posumnja da se dogodio neautorizirani, neprihvatljiv ili nezakonit događaj u organizacijskoj računalnoj mreži ili u opremi za obradu podataka. Incident može biti prijavljen od strane krajnjeg korisnika, otkriven od strane administratora, pomoću IDS upozorenje i sl.

U većini organizacija, krajnji korisnici mogu prijaviti incident na 3 načina:

1. njihovom neposrednom nadzorniku
2. odjelu za pomoć
3. liniji za incidente koju vodi objekt za informacijsku sigurnost

Bez obzira na koji način se otkrije incident, najvažnije je da se zabilježe svi poznati detalji. Najbitniji detalji su:

• trenutno vrijeme i datum
• tko/što je prijavilo incident
• priroda incidenta
• kada se dogodio incident
• uključeni hardver/softver
• dodirne točke za uključeno osoblje

Nakon bilježenja najbitnijih detalja, treba se aktivirati CSIRT i kontaktirati prikladni ljudi.

3. Inicijalni odgovor

Ova faza označava okupljanje CSIRT-a, prikupljanje mrežnih i drugih podataka, određivanje vrste incidenta koji se dogodio i procjena štete koju je nanio incident. Cilj ove faze je prikupiti dovoljno informacija kako bi se moglo krenuti sa sljedećom fazom, a to je oblikovanje strategije odgovora. Također, potrebno je dokumentirati korake koji moraju biti poduzeti.

Ova faza uključuje obavljanje sljedećih zadataka:

• Intervjuiranje sistem administratora koji bi mogao imati uvid u tehničke detalje incidenta
• Intervjuiranje osoblja poslovne jedinice koji bi mogli imati uvid u poslovne događaje koji mogu dati objašnjenje incidenta
• Pregled izvješća o detekciji upada i mrežnih log zapisa kako bi se identificirali podaci koji mogu pokazati da se incident dogodio
• Pregled mrežne topologije i pristup kontrolnim listama kako bi vidjeli mogu li se neki putovi napada isključiti

Minimum ove faze jest određivanje da li se incident zaista dogodio, tip incidenta, koji su sustavi izravno ili neizravno pogođeni, koji korisnici su uključeni, i mogući utjecaj na poslovanje. Kada su prikupljeni ovi podaci, može se prijeći na sljedeću fazu i odluku kako reagirati na incident.

4. Oblikovati strategiju odgovora na incidente

Cilj oblikovanja strategije odgovora je određivanje najprikladnije strategije odgovora s obzirom na okolnosti incidenta. Strategija bi trebala uzeti u obzir političke, tehničke, pravne i poslovne faktore koji okružuju incident. Strategija odgovora, među ostalim, treba uzeti u obzir i poslovne ciljeve organizacije. Zbog tog razloga i zbog potencijalnog utjecaja na organizaciju, strategija odgovora treba biti odobrena od menadžmenta više razine.

Sljedeći faktori trebaju biti uzeti u obzir kada se odlučuje o količini resursa potrebnih da bi se incident istražio, da li se treba napraviti forenzička kopija bitnih sustava, treba li napraviti kaznenu prijavu ili pokrenuti građansku tužbu i sl.:

• Koliko su kritični pogođeni sustavi?
• Koliko su osjetljive kompromitirane ili ukradene informacije?
• Tko su potencijalni zločinci?
• Je li incident poznat javnosti?
• Koju je razinu neautoriziranog pristupa dosegnu napadač?
• Koje su očite vještine napadača?
• Koliko je vrijeme ispada sustava i korisnika?
• Koliki je novčani gubitak?

5. Istražiti incident

Faza istraživanja uključuje otkrivanje tko, što, gdje, kada, kako i zašto vezano uz incident koji se dogodio. Istraga se provodi pronalaženjem i istraživanjem serverskih i mrežnih dokaza, te dokaza prikupljenih na tradicionalan, netehnički način.

Računalno sigurnosna istraga se može podijeliti na 2 faze:

• prikupljanje podataka - prikupljanje podataka je akumulacija činjenica i dokaza koji trebaju biti uzeti u obzir tijekom forenzičke analize. Prikupljeni podaci čine temelj zaključka o tome kako se incident dogodio.

• forenzičku analizu - računalna forenzika je grana forenzičke znanosti koja se bavi prikupljanjem, pretraživanjem, zaštitom i analizom dokaza u digitalnom obliku te uključuje njihovu prezentaciju kao materijalnih dokaza u kasnijim eventualnim sudskim postupcima.

Forenzička analiza uključuje pregled prikupljenih podataka: log zapisa, konfiguracijske datoteke sustava, sigurnosne veze, datoteke povijesti web preglednika, e-mail poruke i njihovi privitci, instalirane aplikacije, grafičke datoteke.

Analizira se softver, pregledavaju oznake datuma / vremena, pretražuju se ključne riječi i poduzimaju se ostali koraci istrage. Također se pretražuju informacije koje su logički obrisane sa sustava kako bi se odredilo da li obrisane datoteke, zanemareni ili prazan prostor sadrže fragmente ili cjelovite datoteke koje bi bile korisne u istrazi.

Glavne skupine forenzičkih alata su:

• programski paketi za stvaranje preslika čvrstog diska
• alati za rekonstrukciju programskih paketa i sklopovlja
• alati za rukovanje sažetcima poruka
• programi za dohvaćanje obrisanih podataka
• programi za dekriptiranje i otkrivanje zaporki

6. Izvještavanje

Izvještavanje može biti najteža faza procesa odgovaranja na incidente jer treba napraviti izvješća koja točno opisuju detalje incidenta koji su razumljivi donositeljima odluka, koji mogu podnijeti prepreke pravne kontrole i koji će biti kreirani na vrijeme.

Preporuke za pisanje izvješća:

• odmah dokumentirajte
• pšite sažeto i jasno
• koristite standardne
• koristite uređivače teksta

7. Donošenje odluka

Cilj faze odlučivanja je implementiranje poslužiteljskih, mrežnih i proceduralnih protumjera kako bi se spriječilo da incident ne uzrokuje daljnja oštećenja i kako bi se organizaciju vratilo u siguran i zdrav operativni status. Prije nego se odluče implementirati bilo kakve sigurnosne mjere, potrebno je prikupiti sve dokaze ako se organizacija odlučila na poduzimanje pravne ili administrativne akcije kako ne bi došlo do izmjene ili ugrožavanja dokaznih materijala.

Kako bi se riješio incident treba odrediti organizacijske prioritete, odrediti prirodu incidenta, uzroke incidenta, povratiti pogođene sustave, popraviti ranjivosti na poslužitelju i mreži, dodijeliti odgovornosti za popravak problema na sustavu te pratiti napredak popravaka, validirati efikasnost protumjera, poboljšati sigurnosne politike i procedure.

---

Priprema za odgovaranje na incident

Priprema za odgovaranje na incident uključuje organizacijske korake te korake pripreme tima za odgovor na računalno sigurnosni incident – CSIRT-a.

Preporučaju se sljedeći koraci:

• identificiranje organizacijskih rizika
• priprema poslužitelja za odgovaranje i oporavak od incidenata
• priprema mreže implementacijom sigurnosnih mjera
• donijeti politike i procedure kojima će se postići ciljevi odgovaranja na incidente
• kreirati programske alate za CSIRT
• stvoriti CSIRT koji će se moći nositi s incidentima.

---

Priprema mreže

Postoje mnoge mjere na temelju mreže koje se mogu poduzeti u sklopu mogućnosti odgovora na incidente. Logiranje na mrežu je ključno, jer postoje mnogi slučajevi u kojima je praćenje rada mreže jedini način prikupljanja dokaza. Tako da su mrežni administratori odgovorni za mrežnu arhitekturu i topologiju, što se treba razumjeti kako bi shvatili npr. koji redom su sustavi pogođeni. Mrežni administratori isto tako upravljaju vatrozidovima, ruterima i sustavima za detekciju upada, kojima se treba pristupiti kako bi pregledali ključne log datoteke. Od mrežnih administratora se može tražiti da blokiraju određeni promet tijekom odgovora na incidente.

Mrežne sigurnosne akcije uključuju sljedeće:

• instaliranje vatrozidova i sustava za detekciju upada
• korištenje kontrolne liste pristupa na ruterima
• kreiranje topologije potrebne za nadgledanje
• enkripcija mrežnog prometa
• zahtijevanje autentifikacije

---

CERT organizacije

CERT organizacije su zadužene za pružanje potpore i obrane od napada na računalne sustave, kao i za razmjenu informacija te surađivanje s vladom, industrijom i međunarodnim partnerima. Osim CERT organizacije, postoji i CERT koordinacijski centar (CERT Coordination Center – CERT/CC)) koji predstavlja opširniji CERT program. Program je usredotočen na identificiranje i rješavanje postojećih i potencijalnih sigurnosnih prijetnji, uključujući obavještavanje i obrazovanje administratora i drugog tehničkog osoblja organizacije, koordinaciju sa skupina ma za rješavanje sigurnosnih incidenata u svijetu.

Tipovi CSIRT organizacija

• Unutarnji CSIRT – pruža usluge rukovanja incidentima svojim partnerskim organizacijama. To može biti CSIRT za banku, tvornicu, sveučilište ili vladinu agenciju.
• Nacionalni CSIRT – pruža usluge rukovanja incidentima državi. Na primjer, Japanski CERT (JPCERT/CC) ili Singapurski CERT (SingCERT).
• Koordinacijski centri – koordiniraju i olakšavaju upravljanje incidentima među raznim CSIRT organizacijama. Na primjer CERT koordinacijski centar (CERT/CC) ili US-CERT (eng. United States – CERT).
• Centar za analizu – usredotočen je na prikupljanje podataka iz različitih izvora i utvrđivanje trendova i uzoraka u pojavi sigurnosnih incidenata. Prikupljene se informacije mogu koristiti za predviđanje budućih incidenata te za rana upozorenja.
• Prodavačke skupine – upravljaju izvještajima o ranjivostima u svojim programskim paketima i uređajima. Mogu se formirati unutar organizacije i određivati jesu li proizvodi ranjivi te u slučaju da jesu razviti strategije koje uklanjaju problem i smanjuju posljedice.
• Organizacije za rješavanje incidenta - pružaju usluge upravljanja incidentima uz proviziju drugim organizacijama.

---

Zaključak

Razvojem tehnologije i računalne znanosti nastaju i nove metode napada i ugrožavanja sustava i računalnih mreža. Brz i ekeftivan odgovor je najbitnija stvar pri odgovaranju na računalne sigurnosne incidente. Organizacije osim provođenja procjena rizika i poboljšavanja zaštite sustava trebaju grupe za rješavanje sigurnosnih incidenata jer je neke sigurnosne incidente i napade nemoguće spriječiti. Zaštitom i osiguravanjem kritičnih dijelova računalne mreže bave se CSIRT organizacije. Postoje različiti tipovi CSIRT organizacija koje pružaju svoje usluge zemljopisnim regijama, državama, korporacijama ili privatnim osobama. Kako bi se ograničilo djelovanje i širenje sigurnosnih incidenata utvrđeni su postupci za rješavanje sigurnosnih incidenata. Sigurnosni incidenti su neizbježni i prema tome treba ih prihvatiti kao takve. Primjenom utvrđenih postupaka za rješavanje sigurnosnih incidenata moguće je u većini slučajeva ukloniti nastalu štetu i poboljšati sigurnost napadnutog sustava.

---

Literatura

• http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2009-06-266.pdf
• http://www.cert.hr/sites/default/files/NCERT-PUBDOC-2010-05-301.pdf
• https://security.foi.hr/wiki/index.php/Odgovaranje_na_incidente_-_Incident_response#CERT_organizacije