Skip to main content

8.16 Monitorowanie aktywności

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Detekcyjne, Korekcyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Wykrywanie, Reagowanie, Zarządzanie zdarzeniami bezpieczeństwa informacji
Obszary operacyjne: Obrona

Kontrola

Sieci, systemy i aplikacje powinny być monitorowane pod kątem nietypowego zachowania, a odpowiednie działania powinny być podejmowane w celu oceny potencjalnych incydentów bezpieczeństwa informacji.

Cel

Wykrywanie anomalii oraz potencjalnych incydentów bezpieczeństwa informacji.

Wytyczne

Zakres i poziom monitorowania

Zakres oraz poziom monitorowania powinny być określone zgodnie z wymaganiami biznesowymi i bezpieczeństwa informacji, z uwzględnieniem odpowiednich przepisów prawa i regulacji. Rejestrowane dane powinny być przechowywane przez ustalone okresy retencji.

Do systemu monitorowania powinny być włączone m.in.:

  • a) ruch przychodzący i wychodzący w sieciach, systemach i aplikacjach,
  • b) dostęp do systemów, serwerów, urządzeń sieciowych, systemów monitorowania i krytycznych aplikacji,
  • c) pliki konfiguracyjne systemów i sieci na poziomie administratora,
  • d) logi narzędzi bezpieczeństwa (np. antywirusów, IDS, IPS, filtrów WWW, firewalli, systemów zapobiegania wyciekom danych),
  • e) logi zdarzeń dotyczące aktywności systemowej i sieciowej,
  • f) sprawdzanie integralności i autoryzacji kodu wykonywalnego w systemach,
  • g) wykorzystanie zasobów systemowych (np. CPU, dysków twardych, pamięci, przepustowości sieci) oraz ich wydajność.

Ustalanie wzorca normalnego zachowania

Organizacja powinna ustalić bazowy poziom normalnego zachowania systemów i użytkowników, aby skutecznie wykrywać anomalie. Należy uwzględnić:

  • a) obciążenie systemów w normalnych i szczytowych okresach,
  • b) standardowe godziny dostępu, lokalizacje oraz częstotliwość logowania dla użytkowników lub grup użytkowników.

Wykrywanie nietypowych zachowań

System monitorowania powinien identyfikować anomalie względem ustalonego wzorca normalnego zachowania, takie jak:

  • a) nieplanowane zakończenia procesów lub aplikacji,
  • b) aktywność typowa dla malware lub ruch z podejrzanych adresów IP (np. serwerów botnetów),
  • c) znane charakterystyki ataków (np. ataki DoS, przepełnienie bufora),
  • d) nietypowe zachowania systemu (np. logowanie klawiszy, wstrzykiwanie procesów, odstępstwa od standardowych protokołów),
  • e) przeciążenia systemowe i wąskie gardła (np. kolejki w sieci, wysokie opóźnienia),
  • f) próby nieautoryzowanego dostępu do systemów lub danych,
  • g) skanowanie aplikacji biznesowych, systemów i sieci,
  • h) nieautoryzowane próby dostępu do zasobów (np. serwerów DNS, portali internetowych, systemów plików),
  • i) nietypowe zachowania użytkowników i systemów w stosunku do przewidywanego wzorca.

Narzędzia i metody monitorowania

Monitorowanie powinno być realizowane w sposób ciągły przy użyciu odpowiednich narzędzi, w czasie rzeczywistym lub w ustalonych interwałach, zgodnie z potrzebami organizacji. Narzędzia monitorujące powinny:

  • a) obsługiwać duże ilości danych i dostosowywać się do zmieniającego się krajobrazu zagrożeń,
  • b) umożliwiać powiadamianie w czasie rzeczywistym,
  • c) rozpoznawać określone sygnatury zagrożeń oraz wzorce ruchu sieciowego lub zachowań aplikacji.

Systemy monitorujące powinny generować alerty w oparciu o predefiniowane progi (np. poprzez konsolę zarządzania, wiadomości e-mail, komunikatory). Konfiguracja alertów powinna być dopasowana do wzorca normalnego zachowania, aby zminimalizować liczbę fałszywych alarmów.

Organizacja powinna wyznaczyć dedykowany personel do analizy i reagowania na alerty oraz zapewnić im odpowiednie szkolenia. Powinny istnieć redundantne systemy i procesy do obsługi alertów.

Reagowanie na incydenty

Nieprawidłowe zdarzenia powinny być zgłaszane odpowiednim jednostkom w organizacji w celu poprawy procesów audytowych, oceny bezpieczeństwa, skanowania podatności oraz monitorowania (zob. 5.25).

Należy wdrożyć procedury szybkiego reagowania na wykryte incydenty w celu minimalizacji ich skutków (zob. 5.26). Powinny również istnieć procedury obsługi fałszywych alarmów, w tym dostosowywania konfiguracji narzędzi monitorujących, aby ograniczyć ich występowanie w przyszłości.

Inne informacje

Monitorowanie bezpieczeństwa można ulepszyć poprzez:

  • a) wykorzystanie systemów wywiadu zagrożeń (threat intelligence, zob. 5.7),
  • b) zastosowanie uczenia maszynowego i sztucznej inteligencji,
  • c) użycie list dozwolonych i zablokowanych zasobów (allowlist, blocklist),
  • d) przeprowadzanie testów bezpieczeństwa (np. testy penetracyjne, symulacje ataków, ćwiczenia reagowania na incydenty),
  • e) analizowanie wydajności systemów w celu wykrycia anomalii,
  • f) korelację logów z systemami monitorowania.

Monitoring aktywności jest często realizowany za pomocą wyspecjalizowanego oprogramowania, np. systemów wykrywania intruzów (IDS). Mogą one być skonfigurowane na podstawie wzorca normalnej, akceptowalnej i oczekiwanej aktywności sieciowej oraz systemowej.

Monitorowanie nietypowych połączeń może pomóc w identyfikacji botnetów, które wykorzystują zainfekowane urządzenia do przeprowadzania ataków DDoS lub innych szkodliwych działań. Organizacja powinna wdrożyć technologie umożliwiające wykrywanie takich połączeń oraz podjęcie odpowiednich działań przeciwdziałających.