Dastlabki 90 soniya: ilk qarorlar hodisaga javob berishni qanday shakllantiradi?
1
45
0
Ko‘plab hodisaga javob berishdagi (incident response) muvaffaqiyatsizliklar asbob-uskunalar, razvedka yoki texnik ko‘nikmalar yetishmasligidan kelib chiqmaydi. Ular aniqlashdan keyin darhol nima sodir bo‘lishi bilan bog‘liq — bosim yuqori bo‘lgan, ma’lumot esa to‘liq bo‘lmagan paytda.
Men cheklangan telemetriyaga ega bo‘la turib ham murakkab hujumlardan muvaffaqiyatli chiqqan IR jamoalarni ko‘rganman. Shuningdek, boshqarishi mumkin bo‘lgan tekshiruvni nazoratdan chiqargan jamoalarni ham ko‘rganman. Noodatiylik odatda juda erta paydo bo‘ladi. Vaqt jadvallari tuzilganda yoki hisobotlar yozilganda emas, balki javob beruvchi biror narsa noto‘g‘ri ekanini anglagan ilk lahzalarda.
Bu dastlabki lahzalar ko‘pincha “ilk 90 soniya” deb ataladi. Ammo buni haddan tashqari so‘zma-so‘z qabul qilish asl mazmunni yo‘qqa chiqaradi. Gap hujumchidan tezroq reaksiya qilish yoki shoshma-shosharlik bilan harakatga o‘tishda emas. Gap taxminlar qotib qolmasidan va variantlar yo‘qolmasidan oldin yo‘nalishni belgilab olishda.
Javob beruvchilar darhol qaror qabul qilishadi: nimani birinchi ko‘rish, nimani saqlab qolish, va bu hodisani bitta tizim muammosi sifatida ko‘rish yoki kattaroq zanjirning boshlanishi deb baholash. Bu dastlabki qarorlar qabul qilingach, undan keyingi hamma narsa aynan shular asosida shakllanadi. Nega bu tanlovlar muhimligini tushunish (va ularni to‘g‘ri qilish) “ilk 90 soniya” real tekshiruvda nimani anglatishini qayta o‘ylab chiqishni talab qiladi.
Ilk 90 soniya - bu lahza emas, balki zanjir
Men eng ko‘p uchratadigan xatolardan biri — tekshiruvning boshlang‘ich bosqichini yagona, dramatik hodisa sifatida ko‘rishdir. Signal ishga tushadi, soat yuradi va javob beruvchilar yoki to‘g‘ri harakat qiladi, yoki yo‘q. Ammo real hodisalar bunday rivojlanmaydi.
“Ilk 90 soniya” hujum doirasi o‘zgargan har safar qayta yuz beradi.
Siz hujum bilan bog‘liq deb taxmin qilinayotgan tizim haqida xabar olasiz. Unga kirasiz. Nima muhimligini, nimani saqlash kerakligini va bu tizim muhitning qolgan qismi haqida nimani ochib berishi mumkinligini hal qilasiz. Ikkinchi tizim aniqlanganda ham xuddi shu qaror oynasi ochiladi, keyin uchinchisi topilganda ham. Har safar soat qayta “nol”dan boshlanadi.
Aynan shu yerda jamoalar ko‘pincha bosimni his qiladi. Ular infratuzilma hajmiga qarab, birdaniga yuzlab yoki minglab mashinalar bilan yuzma-yuz kelgandek xis qilishadi. Aslida esa, ular bir vaqtning o‘zida juda kam sonli tizimlar bilan ishlaydi. Doira asta-sekin kengayadi: bitta mashina boshqasiga olib boradi, keyin yana boshqasiga, va oxir-oqibat bir zanjir paydo bo‘la boshlaydi.
Kuchli javob beruvchilar har safar yangi tizimga duch kelganda yondashuvni qayta ixtiro qilishmaydi. Ular bir xil dastlabki intizomni har doim qo‘llaydi: bu yerda nima bajarildi? Qachon bajarildi? Atrofida yana nimalar sodir bo‘ldi? Kim yoki nima bilan o‘zaro ta’sir bo‘ldi? Aynan shu izchillik doira kengaygan sari nazoratni yo‘qotmaslikka yordam beradi.
Shu sababli dastlabki qarorlar juda muhim. Agar javob beruvchilar birinchi zararlangan tizimni alohida muammo deb qabul qilib, uni tezda “tuzatishga” shoshilsa, ular hujumni tergov qilish o‘rniga faqat bitta tiketni yopib qo‘yadi. Agar boshida muhim topilmalar saqlab olinmasa, butun tekshiruv davomida taxminlar bilan ishlashga to‘g‘ri keladi. Doira kengaygani sayin bu xatolar bir-biriga qo‘shilib boradi.
Tekshiruvlarga nima xalaqit beradi?
Dastlabki tekshiruvlar noto‘g‘ri ketganda, aybni tayyorlov yetishmasligi, ikkilanib qolish yoki yomon "bordi-keldi"ga yuklash oson. Bu muammolar chindan ham uchraydi, lekin ular odatda sabab emas, alomat hisoblanadi. Eng barqaror muammo shundaki, jamoalar hodisa boshlanganda o‘z muhitini yetarlicha yaxshi tushunmaydi.
Javob beruvchilar bosim ostida eng oddiy savollarga javob berishga majbur bo‘ladi: ma’lumotlar tarmoqdan qayerdan chiqadi? Muhim tizimlarda qanday loglar mavjud? Ma’lumotlar qanchalik uzoq davrni qamrab oladi? Ular saqlanganmi yoki ustiga yozib yuborilganmi? Bu savollarning javobi allaqachon tayyor bo‘lishi kerak. Agar bo‘lmasa, javob beruvchilar muhitning eng muhim qismlarini juda kech - imkoniyatlar allaqachon yo‘qolgach o‘rganishni boshlaydi.
Shu bois aniqlashdan keyingina yo‘lga qo‘yilgan loglash juda zararli. Oldda ko‘rinish bor, ammo orqaga qarash uchun tarkib yo‘q bo‘lsa, isbotlash imkoniyatlari keskin kamayadi. Hujumning ayrim qismlarini tiklash mumkin bo‘lishi mumkin, lekin har bir xulosa yanada zaiflashadi. Bo‘shliqlar taxminlarga aylanadi, taxminlar esa xatolarga olib keladi.
Yana bir keng tarqalgan muammo - dalillarni ustuvorlashtira olmaslik. Dastlab hamma narsa muhimdek tuyuladi va jamoalar aniq tayanchsiz topilmadan topilmaga sakraydi. Natijada harakat ko‘p bo‘ladi, lekin oldinga siljish bo‘lmaydi. Aksariyat tekshiruvlarda aniqlikni tez tiklashning eng samarali yo‘li - bajarilish (execution) dalillariga e’tibor qaratishdir. Tizimda hech qanday mazmunli hodisa nimadir ishga tushmasdan sodir bo‘lmaydi. Zararli dastur bajariladi. PowerShell ishlaydi. Mahalliy vositalar suiiste’mol qilinadi. “Living off the land” yondashuvi ham iz qoldiradi. Agar nima bajarilganini va qachon bajarilganini tushunsangiz, niyat, kirish va harakatni anglashni boshlaysiz.
Shundan keyin tarkib muhim bo‘ladi. Bu o‘sha paytda qaysi tizimlarga kirilganini, tizimga kim ulanganini yoki faoliyat keyin qayerga ko‘chganini anglatishi mumkin. Bu javoblar alohida-alohida mavjud bo‘lmaydi. Ular zanjir hosil qiladi va bu zanjir muhit bo‘ylab tashqariga qarab ishora qiladi.
Oxirgi katta xato — tekshiruvni erta yopish. Vaqtni tejash maqsadida jamoalar ko‘pincha tizimni qayta o‘rnatadi, xizmatlarni tiklaydi va oldinga yuradi. Ammo to‘liq bo‘lmagan tekshiruvlar ortda sezilmay qolgan kichik kirish nuqtalarini qoldirishi mumkin: ikkilamchi "ekilgan" zararli dasturlar, muqobil hisob ma’lumotlari, sokin "qarshilik" ko'rsatuvchi skriptlar. Ba’zan buzilganlik belgilari darhol qayta paydo bo‘lmaydi va bu muvaffaqiyat illyuziyasini yaratadi. Agar u keyinroq qaytib chiqsa, hodisa yangidek ko‘rinadi. Aslida esa u yangi emas — u hech qachon to‘liq bartaraf etilmagan o‘sha eski hodisaning o‘zidir.
Ushbu maqola SANS Institutining yetakchi muallimi Eric Zimmerman tomonidan kasbiy darajada yozilgan va o'zbek tiliga o'girilgan.
