Volt szerencsém a napokban résztvenni a Mandiant "Enterprise Incident Rensponse" három napos tréningjén, és ha voltak is illúzióim arról, hogy a hazai vállalatok nyomokban rendelkeznek megfelelő képeségekkel a malware (vagy egyéb biztonsági) események feltárásának és kezelésének a területén, a tréning alatt ez az illúzió kissé elkopott.

És nem műszaki területen van a baj, persze a képesség alapjába véve műszaki területhez tartozik, de magával a hozzáállással van a gond:

És akkor még nem is beszéltünk arról, hogy szervezet legyen a talpán, akinek egyáltalán van megfelelő eljárásrendje arról, kinek és pontosan mit kellene csinálnia ilyen esetben? Én még nem láttam, de persze lehet, hogy nagyon nagy szervezetnél, ahol kivételesen elkötelezett IBIR menedzsment van, ott erre léteznek a megfelelő eljárásrendek – és a végrehajtáshoz szükséges képesség.

A mögöttem ülő tapasztalt SOC-os kollégával, illetve más résztvevőkkel arról beszélgettünk, hogy mit szólna a vállalat, ha a módszertannak megfelelően kezdenénk el eseményt kivizsgálni? – Alighanem egy óra után jönne a felülíró parancs: formázzátok le, nincs ere idő/pénz!

A tréningen az egyik gyakorlati feladat háttérsztorijában volt ennek azért nyoma, nem akármilyen felhasználó gépén, hanem „C-level” – azaz CEO, CIO, stb. felhasználó munkaállomásán kellett feltárni és elemezni a történteket.

Mindenképpen szükséges tehát a megfelelő szabályozás: nem mindegy, hogy Sanyi – a jómunkásembör, vagy Sándor - az ügyvezető kerül bajba. Ahogyan (elvileg) adatosztályozásnak is lennie kell, ugyanúgy létre kell hozni az ezközök/felhasználók besorolását, és a besorolásnak megfelelő IR és remediációs eljárásnak kell életbe lépnie egy biztonsági esemény bekövetkezésekor.

Á, a francba az egésszel, egyszerűbb, ha leformázzuk!