Je zvláštne, že firmy zaoberajúce sa kybernetickou bezpečnosťou sa delia o svoje odborné znalosti počas vojenskej simulácie súčasného digitálneho bojového priestoru? Jednoznačne nie.
Napriek tomu, že tieto firmy sú civilnými organizáciami, ktoré sa nevenujú vojenským kybernetickým scenárom, pri simulácii považujú každý jeden deň za skutočný. Výskumníci malvéru, analytici monitorovania hrozieb a tímy výskumu a vývoja produktov medzi sebou spolupracujú, aby pomohli nastaviť a otestovať IT bezpečnosť klientov, monitorovať hrozby a zabrániť im. Úspech našich tímov je podmienený tím, že si dokonale osvoja agilný prístup podobný falange, aby ochránili kolektív online používateľov.
Falanga je staroveká bojová formácia podobná štvorcu, ktorá umožňovala gréckej ťažkej pechote zloženej z vojakov z radov občanov rýchlo sa zomknúť do tesnej obrannej štruktúry s prekrývajúcimi sa štítmi. Ide teda o príhodne zvolenú múzu pre Locked Shields, každoročné cvičenie kybernetickej obrany organizované Centrom výnimočnosti pre spoločnú kybernetickú obranu aliancie NATO. Cvičenie Locked Shields inšpirované falangou predstavuje dokonalé prepojenie medzi dnešným digitálnym svetom a analógovou minulosťou a dokazuje, že trójske kone a iné staroveké bojové taktiky sú stále relevantné aj v dnešnom bojovom priestore.
Naše bojové jednotky a výstroj
Viac ako 60 systémových inžinierov, analytikov monitorovania bezpečnosti, výskumníkov a analytikov malvéru či špecialistov na komunikáciu zo spoločnosti ESET sa 24. a 25. apríla postavilo do jedného šíku s obrancami zo slovenskej a maďarskej armády, ako aj zo súkromného a akademického sektora, aby spoločne bránili svoj pridelený bojový priestor vo virtuálnom štáte Berylia pred masívnymi kybernetickými útokmi, ktorých cieľom bolo ochromiť krajinu a vyvolať verejné nepokoje.
V znamení tohtoročného hesla Locked Shields „Spolupráca je naša ochrana“ a s využitím svojich zručností, skúseností a súborov nástrojov sa zmiešaný slovensko-maďarský tím umiestnil na štvrtom mieste spomedzi 18 tímov. Pre ešte lepšiu predstavu spomeňme, že na simulácii sa zúčastnilo viac ako 4 000 odborníkov z 39 krajín, čo z nej robí doteraz najväčšie cvičenie Locked Shields.
Okrem kybernetických bojovníkov a ich významných profesionálnych skúseností nasadila spoločnosť ESET v simulovanom boji aj niekoľko dôležitých nástrojov:
- ESET PROTECT: naša komplexná viacvrstvová bezpečnostná platforma využívajúca umelú inteligenciu. S aktívnymi systémami ESET LiveGrid a LiveGuard (Advanced) bol ESET PROTECT nasadený vo svojej najsilnejšej konfigurácii.
- ESET Inspect: vyspelý detekčný a reakčný modul platformy ESET PROTECT, ktorý zaisťuje rozšírenú detekciu a reakciu (XDR).
Nastavenie obranných prostriedkov
Tím Berylia dostal pred vypuknutím boja čas na preskúmanie virtuálneho bojového priestoru a kalibráciu nástrojov. To znamenalo:
- nasadenie bezpečnostných riešení ESET pre koncové zariadenia, nástroja ESET Inspect a ďalších bezpečnostných agentov,
- nastavenie a konfiguráciu IT systémov, ktoré by tím Berylia používal okrem iného na správu elektrickej siete, distribúcie plynu, protivzdušnej obrany, satelitov, 5G siete či systémov na získavanie informácií o situácii,
- kalibráciu detekcií nástroja ESET Inspect na sieť Berylia, čím sa znížil informačný šum a naši obrancovia mali čas prideliť kapacity na monitorovanie a odstraňovanie hrozieb tam, kde si to vyžadovala situácia.
Na základe našich skúseností s poskytovaním služieb detekcie a reakcie našim zákazníkom sme v kritických oblastiach zaviedli aj ďalšie osvedčené postupy a nástroje, čo nám veľmi pomohlo vo fáze realizácie.
Komunikácia a právna podpora
Cvičenie zahŕňalo prvky, ktoré silne korelovali s bežnou činnosťou dodávateľa bezpečnostných riešení. Napríklad ESET a ďalšie spoločnosti dodali komunikačných expertov, ktorí mali za úlohu pripraviť správy, ako je SITREP (situačná správa), ktorá má obrancom pomôcť zachovať si prehľad o kybernetickej situácii a stave všetkých spôsobilostí, a CTIREP (správa o kybernetických hrozbách), ktorá poskytuje analýzu nových hrozieb založenú na dôkazoch.
Zároveň právny tím riadil dohody o spolupráci medzi prevádzkovateľmi infraštruktúry v Berylii a ich cezhraničnými spojencami na účely zdieľania elektrickej energie a poskytoval poradenstvo s cieľom zabezpečiť, aby boli obranné operácie v súlade s medzinárodným právom.
Čo sme sa dozvedeli o nás a našich nástrojoch?
Úspešne sme odrazili sieťové útoky na firewall a na tieto systémy: protivzdušná obrana, distribúcia plynu a elektrická sieť. Okrem toho obrancovia rýchlo odhalili väčšinu vopred nasadených backdoorov (známych aj prispôsobených), čím výrazne obmedzili silu tohto vektora útoku pre červený tím Locked Shields (agresora). Žiaľ, simulovaná prudká vlna útokov vyradila našu elektrickú sieť.
Šťastie však praje pripraveným. Naše komunikačné a právne tímy spolu s prevádzkovateľmi elektrickej siete dokázali zmierniť následky útokov, čo bolo skvelou ukážkou tímovej práce a koordinovaných operácií viacerých (obranných) modrých tímov. Bol to dôkaz, že falanga nachádza svoje uplatnenie aj v modernom hybridnom bojovom priestore. Spolupráca so spriatelenými susednými tímami prebiehala dvoma kľúčovými spôsobmi:
- Najprv sa podarilo obnoviť dodávky elektrickej energie vďaka rýchlej komunikácii, právnej analýze a dohodám so susednými dodávateľmi energie.
- Následne sme týmto susedom poskytli informácie o hrozbách, ktoré sme získali po tejto vlne útokov.
Prevencia na prvom mieste
Prístup k obrane založený na spolupráci bol podporený zdieľaním indikátorov narušenia bezpečnosti (IoC) prostredníctvom servera Malware Information Sharing Platform (MISP), ktorý obsahoval užitočné údaje potrebné na vyhľadávanie hrozieb od všetkých modrých tímov.
Táto simulácia kybernetického boja bola skrátka intenzívnym zážitkom pre všetkých zúčastnených technológov, či už išlo o analytikov hrozieb snažiacich sa pochopiť taktiku útočníkov, aby dokázali predvídať ďalšie fázy útoku, alebo o inžinierov konfigurujúcich kybernetickú obranu. Cvičenie Locked Shields je dôkazom toho, že naši odborníci, ktorí sa dobre vyznajú v operáciách na digitálnom fronte, v prípade potreby dokážu ísť za hranice bežného poskytovania kybernetického zabezpečenia pre firmy a spolupracovať s národnými aj európskymi obrannými štruktúrami.
Ohliadnutie sa za cvičením Locked Shields 2024
Keďže hlavnou témou 15. ročníka cvičenia bola spolupráca v znamení hesla „Collaboratio tutela nostra est“ alebo „Spolupráca je naša ochrana“, ESET zabezpečil pre slovensko‑maďarský tím obranné kapacity, ktoré prispeli k jeho umiestneniu na prvých troch miestach v kategóriách:
- informácie o kybernetických hrozbách,
- ochrana klientov,
- forenzná analýza,
- strategická komunikácia.
Slovensko‑maďarský tím, ktorý obsadil štvrté miesto spomedzi 18 zúčastnených tímov s podobnou skladbou účastníkov z rôznych krajín, úspešne dosiahol svoje strategické ciele, pričom staval nielen na odborných znalostiach a najmodernejších bezpečnostných technológiách, ale predovšetkým na komunikácii a intenzívnej spolupráci medzi účastníkmi.
