Existuje verzia vašej spoločnosti, ktorú vidia len útočníci. Je čas, aby ste ju spoznali a posilnili svoju bezpečnosť.
Manažéri kybernetickej bezpečnosti často vnímajú svoje prostredie zo širokej perspektívy, pričom „celok“ považujú za objekt ochrany, a nie za samostatné časti, ktoré ho tvoria.
To však neplatí pre útočníkov. Každá sieť, zariadenie, systém alebo aplikácia predstavuje samostatnú príležitosť na zneužitie. Navyše, vo svete s hlboko prepojenými technologickými a obchodnými partnerstvami, ktoré prinášajú obrovskú efektívnosť v oblasti návratnosti investícií, môžu najslabšie články v týchto výrobných reťazcoch veľmi ľahko spôsobiť, že obrazný „celok“ sa rozpadne zvnútra.
Vedenie firmy by preto malo na svoju bezpečnosť nazerať očami útočníka a zaujať ofenzívnu pozíciu voči svojmu vlastnému prostrediu.
Vcítenie sa do postavy
Upozorňujeme, že ofenzívna bezpečnosť (OffSec) nie je nový pojem. Ofenzívne postupy, ako sú red teaming, penetračné testovanie a kontroly zraniteľnosti, sú štandardnými prístupmi, ktoré by nemali byť cudzie žiadnemu manažérovi kybernetickej bezpečnosti.
Hoci ofenzívny prístup môže bezpečne otestovať prostredie proti reálnym útokom, tento prístup nemusí zohľadňovať konkrétny pohľad útočníka ani jeho skutočné taktiky, techniky a postupy. Je zrejmé, že interná bezpečnosť nebude mať k dispozícii rovnaké nástroje či skúsenosti ako kyberzločinci.
Aby túto medzeru vyplnili a zamysleli sa nad tým, čo zločinci robia najlepšie, musia manažéri bezpečnosti prijať spôsob myslenia svojich nepriateľov.
Pozrite sa na to očami útočníka
Útočníci sa v prvom rade snažia čo najdlhšie vyhnúť odhaleniu. Najskôr môžu vyhľadávať slabé miesta v sieti, nezabezpečené VPN, SQL servery, alebo môžu jednoducho vytvoriť špeciálnu spear-phishingovú správu, aby získali prihlasovacie údaje.
Nech už zvolia akýkoľvek spôsob, jedno je jasné: útočníci stavili na to, že bezpečnostní pracovníci neodhalia počiatočné ohrozenie. K tomu často dochádza, pretože interné bezpečnostné tímy nemajú dostatok personálu.
Niekedy je to otázka zručností. Inokedy je to otázka rozsahu, keď firmy nedokážu úplne pokryť celú sieť. V oboch prípadoch je skutočným problémom viditeľnosť. Nemôžete chrániť to, čo nevidíte. Útočníci to vedia, a preto majú tendenciu útočiť počas najrušnejších pracovných hodín (podľa telemetrie ESET MDR).
Vytvorte stratégiu ako útočník
Po druhé, útočníci sú neustále v pohybe. Skupiny ako Warlock používajúe ransomvér majú síce len niekoľko verejne komunikovaných obetí, ale výrazne zdokonalili svoju technológiu a zaviedli inovatívne a nebezpečné techniky unikaniu bezpečnostným systémom.
Výskumníci spoločnosti ESET predpokladajú 40 % medziročný nárast počtu obetí ransomvéru, pri ktorých útočníci využívajú EDR killery a malvér schopný kompromitovať UEFI. Bezpečnostné opatrenia musia preto odrážať meniacu sa situáciu v oblasti hrozieb.
Ako? Prehodnoťte svoju súčasnú stratégiu. Je to príliš vágne? Poďte hlbšie. Odráža vaša bezpečnostná platforma a jej ochranné moduly aktivitu vašej spoločnosti? Sú detekčné pravidlá vo vašom riešení EDR/XDR aktuálne? Dokážu detegovať techniky typu „bring your own vulnerable driver“? Vaša firma dokáže prežiť v nasledujúcich rokoch, iba ak zostanete dynamický.
Konajte ako útočník
Rozdiel medzi kompromisom a prevenciou môže byť len šesť minút. Ak ste spoločnosťou pôsobiacou v odvetví s vysokými rizikami, ako je výroba, pravdepodobne nechcete na niekoľko mesiacov zastaviť výrobu, čo by niektorých stálo doslova milióny eur. Útočníci to tiež nechcú; v skutočnosti by radšej unikli pozornosti a potichu sa pohybovali po sieti, aby počkali na správnu príležitosť.
Myslenie je teória. Konanie je prax. Ak nedokážete prijať rozhodnutia v priebehu niekoľkých minút, ba dokonca sekúnd, prehrávate boj o bezpečnosť. Okrem toho nechcete, aby dochádzalo k treniciam medzi bezpečnostnou konzolou, jej modulmi a dodatočným ľudským zásahom. Útočníci sa vo veľkej miere spoliehajú na to, že veľkú časť práce za nich urobí škodlivý softvér.
Prispôsobivosť je preto pre obrancov rovnako dôležitá ako pre útočníkov. Dosiahnete ju agilnou reakciou, ktorá si vyžaduje kombináciu automatizácie a ľudskej expertízy.
Otestujte svoju bezpečnosť
Je ľahké podľahnúť falošnému pocitu bezpečia. Z pohľadu vedenia spoločnosti stačí zaškrtnúť niekoľko políčok týkajúcich sa kybernetickej bezpečnosti a potenciálne to nechať tak. Svet sa však zmenil. Zaškrtnuté políčka neuspokoja poisťovateľov kybernetickej bezpečnosti ani nepresvedčia regulačné orgány o vašej pripravenosti a takisto nezastavia APT skupiny.
To však neznamená, že sú zbytočné — naopak, môžu byť užitočné, ak ich dokážete využiť vo svoj prospech. Keď sa pokúšate pozrieť na svoju organizáciu očami útočníka, vnímajte tieto checklisty ako súbor schopností, ktoré nechcete len formálne splniť, ale aj reálne otestovať. Staňte sa útočníkom, vyrazte „na lov“ a overte svoje vlastné predpoklady tým, že:
- Poznáte svojho nepriateľa: Jedna vec je používať konkrétnu bezpečnostnú platformu na obranu proti útokom, ale úplne iná vec je pochopiť nástroje, ktoré používajú skutoční útočníci. Na útok na vás nemusia používať produkt XDR, ale môžu veľmi dobre využiť legitímne RMM alebo podpísané ovládače, aby sa vyhli detekcii, spolu so svojím vlastným proprietárnym alebo MaaS kódom.
- Hráte rolu útočníka: Venujte sa tomu naplno a odrážajte reálne útoky podobne ako pri podnikových testoch. Overte, či vaši zamestnanci a systémy dokážu odolať pokročilým útokom pomocou scenárov z databázy MITRE ATT&CK a externých informácií o hrozbách šitých na mieru vašim systémom. Ak máte pocit, že na to nemáte dostatočné kapacity interne, zvážte profesionálne externé hodnotenie poskytovateľom služieb red team.
- Poskytnete spätnú väzbu: Premeňte útočnú skúsenosť na konkrétnu spätnú väzbu. Otestujte reakčný čas vášho SOC tímu a úzke miesta pri riešení incidentov a cielene zneužite slabiny na overenie vašej stratégie kybernetickej odolnosti. Veľkou výhodou takýchto simulácií je aj to, že dokážu identifikovať nevyužívané časti siete, zefektívniť prevádzku a znížiť zbytočné IT náklady.
Všetko je otázkou perspektívy
Ak sa na svoje systémy pozeráte očami útočníka a zároveň sa ním (aspoň v simulovanom prostredí) skutočne stanete, získané poznatky vám môžu pomôcť zásadne prehodnotiť zaužívané predpoklady organizácie o kybernetickej bezpečnosti. Zároveň sa tým testuje aj schopnosť CISO alebo bezpečnostného manažéra dynamicky prispôsobovať bezpečnostnú pozíciu prostredia najnovším trendom v oblasti hrozieb.
Hoci by ste sa mohli spoliehať výlučne na zvolenú bezpečnostnú platformu a analytikov, ktorí s ňou pracujú, takýto prístup vám poskytne len jednu stranu príbehu. Ako varovanie je dobré pripomenúť, že s kritickým myslením nemožno vytvoriť kvalifikovaný názor bez overenia oboch strán.
