Bezpečnost organizací je možné testovat pomocí mnoha různých typů simulovaných útoků – včetně těch, které jsou inspirovány prací ozbrojených sil

Kybernetické útoky se staly součástí naší každodenní reality a žádná společnost si nemůže být jistá, že se nestane jejich terčem. Proto je pro organizace mnohem lepší připravit se na tuto možnost tím, že nechají etické hackery otestovat své systémy dříve, než na ně zaútočí reálný škodlivý aktér. Umožní jim to připravit se na budoucí pokusy o skutečné ohrožení, které by jim jinak mohly způsobit značnou škodu. Expert, který pomáhá organizacím chránit jejich nejcennější digitální aktiva, popisuje aktuální trendy v testování kybernetické bezpečnosti. Jan Kopřiva, vedoucí týmu Incident Response and Offensive Security ze společnosti ALEF, jednoho z největších dodavatelů IT ve střední Evropě, tvrdí, že je užitečné, aby si byl každý vědom možných rizik kybernetické bezpečnosti.

Média pravidelně zveřejňují články o rostoucích počtech kybernetických útoků během pandemie. Vidíte tento problém také ve vaší společnosti?

Ano. Viděli jsme – a někdy stále ještě vidíme – výrazný růst celkového počtu útoků v prostředích našich zákazníků. Typy útoků se však velmi liší v závislosti na typu zákazníka. Útočníci zvýšili své úsilí v některých oblastech, zatímco v jiných polevili.

Můžete zmínit několik příkladů, kde (v jakých oblastech) se počet útoků zvýšil?

Nárůst některých typů útoků zaznamenala téměř každá organizace na světě, protože se citelně zvýšily počty některých „necílených“ útoků – zejména phishingů určitých typů a útoků zaměřených na VPN a další mechanismy vzdáleného přístupu.  Některá průmyslová odvětví a obchodní vertikály ale byly zasaženy citelněji než jiné – v globálním měřítku se útočníci zaměřovali například na vzdělávací sektor, zdravotnictví a některé poskytovatele IT služeb více než na většinu ostatních.

Jaké jsou běžné typy hodnocení nebo testů zabezpečení a za jakých okolností by měly být použity?

Pomineme-li audity, které jsou do jisté míry také nástrojem prohodnocení bezpečnosti, pak tři základní typy „technických“ bezpečnostních testů, které se v průběhu let do jisté míry standardizovaly, jsou skeny zranitelností, penetrační testy a red team testy/cvičení. Základním typem testů jsou skeny zranitelností – automatizované testy, které umožňují identifikovat nebezpečně nakonfigurované nebo nezáplatované systémy. Skeny zranitelností jsou poměrně levně a snadno proveditelné. Prakticky každá společnost je může periodicky provádět s pomocí svých interních zdrojů a velký počet organizací to tak skutečně dělá. Ve chvíli, kdy jsou organizace dostatečně „zralé“, mohou přejít ke druhému typu testů, který jim umožní mj. zmírnit některé nevýhody skenů zranitelností, například časté falešné/nekorektní detekce. Jde o penetrační testy. Penetrační testy jsou založeny na manuálních i automatizovaných pokusech o průnik do cílových systémů ze strany takzvaných etických hackerů nebo penetračních testerů. Organizace si při nich najme tým kvalifikovaných bezpečnostních specialistů a tito lidé se poté pokusí „zaútočit“ na jakýkoli cílový systém a najít v něm co nejvíce zranitelností. Snaží se při tom zároveň eliminovat jakékoli falešné či chybné detekce zranitelností ze strany automatizovaných nástrojů. Třetím typem bezpečnostních testů, který v dnešní době vidíme stále více, je takzvaný red teaming. Tento typ testu vychází z koncepce emulace aktivit protivníka, který původně pochází z prostředí ozbrojených sil.

Jak funguje red teaming?

Pro tento typ testů daná organizace zpravidla opět najme tým bezpečnostních specialistů, podobně jako u penetračních testů. Při red teamingu se však tito testeři nepokoušejí proniknout do všech cílových systémů a najít v nich maximální množství zranitelností. Místo toho nejprve vytvoří model hrozeb relevantních pro danou organizaci a určí, kteří reální škodliví aktéři by se na cílovou organizaci potenciálně mohli zaměřit. Poté identifikují taktiky, techniky a postupy, které tito útočníci používají, a pokusí se je aplikovat v cílovém prostředí. To znamená, že se pokusí „zaútočit“na konkrétní společnost s pomocí stejných postupů a nástrojů, jaké by s největší pravděpodobností použil skutečný škodlivý aktér. To může cílové organizaci poskytnout docela dobrou představu o tom, zda/jak by reálný útočník mohl proniknout do jejího prostředí a co by poté mohl dělat.

Jaké jsou nejnovější trendy v bezpečnostním testování?

Asi nejvýznamnějším trendem je v současnosti širší využívání tzv. purple teamingu – kooperativní aktivity, na níž se společně podílí jak modré týmy (týmy zodpovědné za zajištění organizační bezpečnosti a její obranu), tak červené týmy. Purple teaming pomáhá zlepšovat schopnosti modrých týmů tím, že jim umožňuje učit se z postupů a technik užívaných červenými týmy a naopak. Červený tým při něm zkusí nějaký útok a koordinátor ověří, zda jej modrý tým detekoval. Pokud tomu tak není, modrý tým se pokusí provést vylepšení, která by mu v budoucnu umožnila stejný útok detekovat. Pokud útok detekován byl, červený tým se může poučit z toho, jak funguje odpovídající detekční postup, a následně se může pokusit jej obejít. Zavedení pravidelného purple teamingu může být díky tomuto všestrannému přínosu velmi výhodné pro jakoukoli organizaci, která je dostatečně zralá na implementaci tohoto druhu „testování“.

Spolupracujete s jinými bezpečnostními institucemi nebo komunitami?

Ano, to děláme. Jako firma nabízíme mimo jiné služby reakce na incidenty a týmy pro reakci na kybernetické bezpečnostní incidenty – tzv. CSIRT nebo CERT – se sdružují v rámci vlastních mezinárodních komunit. V zásadě existuje nějaká taková komunita v každém koutě světa. Pro nás jsou podstatné zejména dvě, z nichž jedna sídlí v Evropě a sdružuje převážně evropské týmy a druhá, která má globální působnost, sídlí v USA. Jsme součástí těchto komunit a v rámci nich si mohou týmy, jako je ten náš, vyměňovat informace. Mohou také spolupracovat při řešení incidentů nebo při sdílení indikátorů kompromitace souvisejících s incidenty.

Jak může širší veřejnost zlepšit své znalosti v oblasti bezpečnosti?

Existuje mnoho volně dostupných internetových zdrojů, které mohou komukoli pomoci získat základní znalosti o klíčových konceptech kybernetické bezpečnosti. Většina profesionálů, kteří takové volně dostupné materiály vytvářejí, se snaží, aby bylo jmenované téma co nejpřístupnější širšímu publiku. Dalším způsobem, jak se učit, může být účast na specializovaných vzdělávacích aktivitách. Cyber ​​Security Challenge je toho skvělým příkladem, protože nám umožňuje oslovit studenty ze středních a vysokých škol i širší veřejnost a ukázat jim, že na kybernetické bezpečnosti skutečně záleží. Bez ohledu na to, zda se v budoucnu rozhodnou být specialisty na kybernetickou bezpečnost nebo chtějí být „jen“ bezpečnými uživateli moderních informačních systémů.

Pomáháte také vzdělávat studenty. Jak dlouho se tomu věnujete?

Formální program pro vysokoškoláky máme již mnoho let – po pravdě už ani nevím, před kolika lety jsme s ním začali – a se středními školami spolupracujeme zhruba čtyři roky. Organizujeme také workshopy a prezentace pro širší studentské publikum, ale i odbornou a širokou veřejnost.

Přilákaly už workshopy některé mladé lidi natolik, že se začali více zajímat o kybernetickou bezpečnost nebo s vámi dokonce absolvovali stáž?

Ano. Na našich seminářích k nám studenti často přicházejí s otázkami typu: „Jak se mohu dál učit?“, „Jak mohu získat práci, jako je ta vaše?“, „Co mám studovat?“, „Nabízíte stáže?“ nebo „Může naše škola nějak spolupracovat s vaší společností?“.

Snažíme se udělat maximum pro to, abychom takové studenty podpořili, včetně poskytování stáží. Sám jsem navíc začátkem roku začal na YouTube publikovat sérii vzdělávacích videí pro mladé lidi, kteří mají o bezpečnost zájem. My, i mnoho dalších organizací, také již zaměstnáváme řadu bývalých studentů, kteří přišli do styku s kybernetickou bezpečností poprvé během nějakého z našich seminářů. Někteří z nich začali jako bezpečnostní specialisté pracovat již během vysokoškolského studia na částečné úvazky a po skončení studia tak měli přechod do každodenní praxe velmi jednoduchý.

Proč je kybernetická bezpečnost pro vás osobně zajímavá?

Má práce je relativně neobvyklá. Umožňuje mi získávat dost hluboké znalosti na to, abych byl schopný s většinou úzce specializovaných odborníků na kybernetickou bezpečnost poměrně podrobně rozebírat jejich vlastní práci, ať už je jejich specializace jakákoli, i když bych danou práci sám zpravidla dělat nemohl. Líbí se mi, že moje práce není nikdy stejná a každý den si mohu vyzkoušet nějaký nový aspekt kybernetické bezpečnosti a něco nového se přiučit.