Piše: Tomislav Pongrac
U prvom nastavku smo započeli temu automatizacije i problema s kojima se susrela primjena. U ovom postu ćemo nastaviti s primjerom jedne primjene koja nam je jako draga u CS-u. IT sigurnost.
Kad komentiramo tu temu, draga mi je usporedba s robotskim usisavačima. Imam ih 2 u kući i vrlo sam zadovoljan. Iz proizvođačkih reklama se možda može zaključiti da će ti roboti sve napraviti samostalno, a mi samo trebamo sjesti na kauč i uživati. Činjenica je da oni odrađuju popriličnu količinu posla i značajno smanjuju količinu usisavanja koju je potrebno ručno napraviti. No, i dalje jednom tjedno treba očistiti nedostupne dijelove, stropove i, što je najvažnije, same robotske usisavače! Glavni zaključak: uz jednaku ili malo manju količinu mog rada kuća je mnogo čistija!
Sigurnost je slična. Od gomile alata ili korisnika nam dolazi velika količina prijava:
- Advanced malware protection: zaustavio sam veći broj mailova s malicioznim sadržajem. Možda je u tijeku ciljana kampanja!
- SIEM: Za jednog usera imam ponovljene neuspješne pokušaje prijave. Možda je pokušaj kompromitacije.
- UEBA: Imam neobično ponašanje jednog usera. Možda je kompromitiran.
- Educirani korisnik: dobio sam ovaj mail. Mislim da je phishing.
By the book, kao što trebam redovito usisavati, trebam i obraditi svaki taj događaj. Trebam:
- Provjeriti izvor tih malicioznih mailova. Ako je povezan s nekim opasnim igračima – možda trebam napraviti širu provjeru po cijeloj mreži.
- Pogledati s korisnikom je li možda imao upaljen Caps Lock dok je upisivao lozinku i zapravo je sve ok. Resetirati password i ići dalje.
- Provjeriti s kojim adresama komunicira potencijalno kompromitirani korisnik. Možda ga isključiti s mreže, zabraniti mu VPN, inicirati proceduru za forenziku i remedijaciju?
- Provjeriti linkove u phishing mailu i pobrisati mail ako je stvarno maliciozan. Provjeriti jesu li drugi dobili takav mail.
U stvarnosti vjerojatno obradim samo dio tih prijava jer ne stignem. (Koristim normalni usisavač i proći ću to kad stignem – jednom tjedno ako sam doma za vikend.) I što se zapravo događa? Povećavam vjerojatnost da će neki od prijavljenih događaja biti stvarna kompromitacija i uzrok ozbiljnog problema, jer nije obrađena kako treba.
Ako upogonim automatske provjere i aktivne radnje (koristim robot-usisavač) osiguravam da će se dio alarma sigurno obraditi i počistiti mimo moje intervencije. Imam i dva važna dodatna benefita: (1) pametniji način za izdvajanje alarma koji zahtijevaju ručnu obradu i (2) više vremena i resursa koje mogu izdvojiti za pažljivije analize.
I puuno je manja vjerojatnost da će mi promaknuti potencijalno opasna aktivnost koja bi mogla upućivati na ozbiljnu kompromitaciju.
Vraćam se na pitanje iz naslova – vrijedi li truda. U sigurnosti – apsolutno da!
