Ако сте мислили да талог од кафе (соц) има некакве везе са овом причом, варате се. Ми ћемо се бавити уводом у информациону безбедност, а СОЦ је само један од термина који су преузети из енглеског језика и употребљавају се у форми коју је још Вук прописао – пиши као што говориш.
Шта је СОЦ?
Да бисмо установили шта је то информациона безбедност, кренућемо полако од појмова којима нас засипају експерти из ове области.
СОЦ (или SOC, енгл. Security Operations Center) није, као што смо установили, талог од кафе, већ је један од основнијих термина за описивање одељења (тима запослених) при некој организацији која се бави информационом безбедношћу.
Такође се, мада ређе, може појавити и ISOC (енгл. information security operations center), али се то ретко употребљава због мешања са истим акронимом који означава интернет заједницу (ISOC – енгл. Internet SOCiety). Mного интересантнији би био акроним на српском језику када се преведе са енглеског – БОЦ (Безбедоносно Oперативни Центар).
Шта је ЦЕРТ?
Уколико се формира тим стручњака који не обухватају само једну организацију, већ се баве ширим интернет простором, онда се за овакав тим стручњака користи назив ЦЕРТ.
По дефиницији коју је дала ENISA, Aгенција ЕУ за мреже и информациону безбедност, ЦЕРТ (енгл. Computer Emergency Response Team) обезбеђује кључни механизам за заштиту критичне информационе инфраструктуре (енгл. CIIP – Critical Information Infrastructure Protection).
Свака земља мора да има могућност да ефективно и ефикасно одговори на информационо безбедносне инциденте, односно интернет инциденте, како се код нас каже. ЦЕРТ је, наиме, примарни безбедносни провајдер за владу и грађане неке земље. Поред тога, ЦЕРТ мора да подиже свест и едукује људе о постојању и превенцији од интернет инцидената.
Мали додатак – ознака ЦЕРТ је у недавно усвојеном Закону о информационој безбедности Републике Србије, иако енглески акроним, посрбљена и проглашена за назив који се пише ћирилицом.
Како СОЦ и ЦЕРТ функционишу у пракси?
Све ово је лепо речено, али шта то заправо значи?
Узећемо пример најобичније експозитуре неке банке.
Унутар сваке наићи ћете на особу која има обележје „Обезбеђење“ или „Security”. Често те особе имају и значке налик полицијским. Шта оне обезбеђују и зашто стоје у банкама и онако испитивачки проматрају посетиоце банке? Одговор који се сам намеће је – они штите првенствено новац, али и папире, запослене и све остало што поседује једна банка у тој експозитури. Новац се налази свуда – у фиокама иза шалтера банке, у банкоматима, сефовима, али и у вашим новчаницима. Да ли штите све или само одређене? Банка је свакако одредила приоритете, и указала људима из обезбеђења шта је примарно да се штити, шта је секундарно, а шта се ради ако је све у реду.
Вероватно сте приметили да већина њих помаже клијентима да пронађу шалтер, нуди им помоћ и одговара на питања, иако нису запослени у банци. Такође, понекад приђу некоме и поставе које питање, што чине превентивно.
Оно што ради обезбеђење у банци јесте уствари улога ЦЕРТ-а (или СОЦ-а) на интернету. ЦЕРТ има одређено поље деловања, одређене приоритете и критичну инфраструктуру коју штити, али не штити новац, већ информације, сајтове и све што се налази на делу интернета који се штити. Такође, ЦЕРТ и СОЦ делују едукативно, помажу корисницима и подижу свест људи о томе да је питање сигурности врло важно питање. Скоро све исто као и фини чика из обезбеђења у банци.
У оквиру ЦЕРТ-а ради тим ИТ експерата у области безбедности, чији је главни посао да одговарају на компјутерске безбедоносне инциденте. Тим пружа неопходне услуге да би одговорио на те инциденте и пружио подршку заинтересованим корисницима како би оспособили и превазишли тако изазване недостатке компјутерског система. Са циљем да ублаже ризик и минимализују број тражених одговора, већина ЦЕРТ-ова такође извршава превентивне и образовне услуге за кориснике интернета.
Врсте и дефиниције интернет инцидената
Када смо ово појаснили и утврдили, сада треба разјаснити шта су то заправо интернет инциденти. Обезбеђење у банци је ту због заштите од крађе новца или крађе осетљивих папира, а шта и од чега штити ЦЕРТ?
Квалитетна дефиниција шта је „инцидент“ не постоји, јер се врсте инцидената мењају и прате технолошки напредак компјутера. Можда је боље навести врсте инцидената, које саме по себи објашњавају шта спада у задатак једног ЦЕРТ-а:
- Напад – појединачни покушај неовлашћеног уласка у компјутерски систем или невлашћени покушај коришћења компјутерског система, без обзира на исход.
- Агрегација података – комбиновање наизглед безопасних упита да се прикупе поверљиве информације.
- Denial of Service (DoS) – намерна деградација или блокирање рада компјутерског или мрежног система слањем велике количине захтева на обраду, чиме се нападнути систем преоптерећује.
- Login spoofing – лажна процедура уласка у систем како би се неовлашћено добили подаци за улазак (корисничко име и лозинка).
- IP spoofing – метод којим се мења заглавље поруке у комуникацији да би изгледало да она долази са друге IP адресе, како би компјутери у комуникацији дозволили приступ тој поруци.
- Mail spam – неовлашћено слање поште чији садржај омогућава да се циљани компјутер зарази, преузме или постигне престанак његовог рада.
- Салама техника – узимање врло мале количине новца у новчаним трансакцијама, како се крађа не би приметила, а да се стекне велика новчана добит кроз понављање.
- Sniffer – програм који неовлашћено надгледа и снима податке на компјутерском или мрежном систему.
- Тројански коњ – програм који ради оно што би и требало да ради, али истовремено извршава и нежељене операције.
- Rootkit – програм који има особине и sniffer-а и Тројанског коња, а служи да на циљаном компјутерском систему отвори „задња врата“ (енгл. Backdoor) кроз која онда нападачи приступају систему.
- Ботнет – компјутери умрежени путем интернета који извршавају низ команди са или без знања власника. Типичан пример су P2P (торенти), али се ботнет најчешће користи за дистрибуцију email спама и за DoS нападе дистрибуиране путем интернета (скраћено DDoS (дистрибуирани DoS)).
- Дифејсовање сајтова – упад на сајт, најчешће крађом лозинке, и промена насловне странице (некада и других страница) сајта.
Постоји још много врста напада, јер су нападачи изузетно маштовити, прате развој технологије и користе све могуће рупе у софтверу (или хардверу) како би направили неки напад и остварили неку корист.
Као и код финог чике који ради у обезбеђењу банке коме је назначено шта мора да брани по сваку цену, и овде институција која организује прву линију интернет одбране (ЦЕРТ) у својој организацији, према својим проценама, дефинише шта је критична инфраструктура – део мреже и компјутерских ресурса или сервиса, који не сме да престане да ради ко год и како год га нападао, како би се осигурао минималан нормалан рад те организације.
Уколико се организује ЦЕРТ на нивоу државе (најчешће се зове национални ЦЕРТ), држава мора да пропише шта је критична инфраструктура, где спадају сви интернет ресурси који се бране „по сваку цену“.
Карике у ланцу деловања ЦЕРТ-а
За крај је остало да се појасни како ЦЕРТ заправо ради.
Прво и основно питање јесте како он сазнаје да постоје интернет инциденти. Постоји више начина – повременим или сталним надгледањем критичне инфраструктуре, дојавом самих корисника (од појединачног корисника, до државних служби), дојавом провајдера (било хостинг или уопште интернет провајдера) или дојавом других ЦЕРТ-ова.
Како би било који ЦЕРТ добио овакве информације, основно је међусобно поверење свих побројаних, поверење у тај конкретни ЦЕРТ да ће преузети да се бори и одбрани од напада. Веома добра паралела се у овом делу може повући између IXP-ова (Internet eXchange Point) и ЦЕРТ-а, јер се основни задатак ЦЕРТ-а (да прими дојаву и обавести технички контакт нападнутог ресурса) може представити и као Incident eXchange Point (IXP).
Стицање поверења је подједнако важно као и саме технике борбе, што је следеће питање: како ЦЕРТ организује одбрану? У зависности од напада или само најаве напада, ЦЕРТ одговара на различите начине.
Технике које се користе су разне, баш као и врсте инцидената. А о томе неком другом приликом.
