Pohľad experta: Ako prebieha kybernetický útok? - DATALAN KC

Pohľad experta: Ako prebieha kybernetický útok?

Potichu. Na rozdiel od iných foriem teroristických útokov, kde samotná realizácia škodlivých plánov prebieha väčšinou za prítomnosti viditeľného ničenia majetku, stratách na životoch a veľkého strachu vydesenej verejnosti, kybernetické útoky prebiehajú v majorite prípadov v slovenských organizáciách potichu, nepovšimnuté.

A to pokojne aj mesiace od vykonania útoku – preniknutia do systémov. Dokonca aj mediálna pozornosť je kybernetickým útokom venovaná až v bode, keď sa rátajú dopady na spoločnosť či finančné škody konkrétneho útoku na organizáciu.

Čo je to kybernetický útok a kto ich vykonáva?
Predtým, než sa pozrieme na to, ako sa brániť, musíme najprv vedieť proti čomu a komu sa máme brániť. Takže, čo je to ten kybernetický útok? Je to akékoľvek úmyselné jednanie smerujúce na naše dáta, informačné systémy a ľudí, vedene jednotlivcom alebo skupinou ľudí vykonávajúcou nelegálne aktivity v prospech externého alebo interného subjektu.

Kto stojí za vykonaním kybernetického útoku, úzko súvisí s motiváciou k danému činu. V prípade externých subjektov, medzi ktoré rátame organizované kriminálne skupiny alebo kriminálnych jednotlivcov, štáty, organizácie a aktivistov, je motivácia k vykonaniu útoku najmä získanie tajných dát, ovládnutie či zničenie systémov, zverejnenie informácií, dosiahnutie rýchleho zárobku  kryptovaním dát, ale tiež nadobudnutie konkurenčnej výhody ukradnutím priemyselných dát.  A hoci sa zdá, že v prípadoch externého útoku musíte byť pre hackerov zaujímavá organizácia, pravda je taká, že mnoho úspešných kybernetických útokov je realizovaných plošne bez vopred určeného cieľa, automaticky pomocou programov využívajúcich dostupné známe zraniteľnosti, a výsledkom sú prevažne zakryptované dáta organizácie za ktoré si útočník pýta „odmenu“ v digitálnej mene.

Interní útočníci – zamestnanci, dodávatelia, klienti, partneri nemajú väčšinou za cieľ ovládnutie systémov alebo pýtanie výkupného za zakryptované dáta. Ich motiváciou je dáta získať pre osobný prospech, či pre konkurenčnú výhodu. Nachádzajú sa v priestoroch organizácie a využívajú interné prostriedky na prístup k internetu, a ako som z pozície konzultanta mal možnosť vidieť, častokrát aj do interných systémov organizácie. V prípade interných zamestnancov sa najčastejšie stretávame s nedbalosťou, alebo neznalosťou, ktorou môže daný „útočník“ spôsobiť rôzny rozsah škôd, od zmazania dát, až po nechcenú pomoc externému útočníkovi k dosiahnutiu jeho cieľov. Poslednou kategóriou sú nespokojní zamestnanci. Ich činy môžu viesť k strate dát, odneseniu know-how firmy, strate prístupov, či poškodeniu reputácie po vynesení a zverejnení interných údajov.

Máme iné priority a kto by už len nás napadol
Táto veta by sa kľudne mohla zaradiť medzi ostatné „staré známe“, kam patrí aj: „Neboj sa, ten ľad je dosť hrubý“. Možno nie ste technologický líder, ktorý si stráži svoje výrobné tajomstvá. Možno nie ste ani organizácia s obrovskými ziskami, ktorá si nemôže dovoliť byť off-line. Pravdepodobne ste bežná slovenská organizácia alebo firma, ktoré sú označované ako malé a stredné podniky. Kybernetická bezpečnosť sa však týka naozaj každej organizácie, ktorá je pripojená k internetu. Útočníkom totižto nesmrdia peniaze od nikoho.

Ak patríte medzi zodpovedné organizácie, ktoré pravidelne zálohujú a testujú obnovy, poviete si, že my platiť nič nebudeme, dáta a systémy obnovíme a ideme ďalej. Ale treba počítať s nákladmi spojenými s obnovou a časom potrebným na obnovu, overenie dát a doplnenie chýbajúcich dát od poslednej zálohy. A to vám stále nikto nezaručil, či vaše dáta neopustili priestory organizácie. Tým ste sa však dostali len na začiatok cyklu, tesne pred vykonanie útoku. Útočník už vo vašich systémoch mohol byť veľmi dlho predtým. Raz kompromitovaný systém už nie je bezpečný. Budete buď riskovať a vystavíte sa opätovnej možnosti útoku, alebo sa rozhodnete vybudovať systémy nanovo. Žiadna z týchto variant nie je v konečnom dôsledku finančne výhodná. Vaša reputácia tiež dostane poriadne zabrať a stanete sa na dlhú dobu príkladom, ako to nerobiť.

Čo môžete robiť a mali by ste
Prvým a základným krokom je zistiť, ako na tom vlastne so zabezpečením ste. Pozvite k sebe odborného konzultanta a spravte interný audit informačných systémov. Zistite, čo prevádzkujete, kde a ako. Spíšte zoznam „aktív“, ako sa vo svete kybernetickej bezpečnosti označuje informácia, systém, aplikácia alebo majetok používaný na prevádzkovanie vašej činnosti. Zatrieďte a kategorizujte vaše aktíva. Spíšte zoznam rizík a možnosti ich nápravy. Nechajte si spraviť test zraniteľností.
Zverte sa do rúk odbornej a profesionálnej firmy venujúcej sa kybernetickej bezpečnosti a spravte si plán. Nielen ten finančný. Bude to chcieť čas, súčinnosť, investície a vzdelávanie. Na poli kybernetickej bezpečnosti nie je nič natrvalo. Ako sa vyvíjajú nové spôsoby ochrany, objavujú sa aj nové bezpečnostné diery a spôsoby prienikov do systémov.

Aké sú na trhu možnosti?
V prípade, že disponujete dostatočným množstvom špecialistov na rôzne oblasti kybernetickej bezpečnosti, môžete so zvoleným partnerom začať budovať vlastné centrum správy bezpečnosti, v skratke SOC (Security Operation Center). To vám umožní získať kompletný prehľad nad bezpečnostným dianím vo vašej organizácii pomocou technických, procesných a znalostných prostriedkov. Všetci si však uvedomujeme, že tento model je len pre špičku ľadovca v slovenskom podnikateľskom prostredí. Zohnať dostatočný počet odborne znalých ľudí je problém väčší ako naplánovanie a schválenie takejto investície. Ako teda ďalej? Môžete zvoliť čiastočnú implementáciu, kde si ponecháte časť správy na vlastných pleciach. Alebo, ako odporúčame my a aj Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky (MIRRI), prenajať si SOC ako službu.

Čo to je SOC a na čo to potrebujem?
SOC je centrálna správa bezpečnostných incidentov s prevádzkou 24×7, 365 dní v roku. Je to súhrn technológií a procesov riadených pravidlami a monitorovaných operátormi, nasadený na potreby konkrétneho zákazníka a jeho riadených aktív. Sledované hrozby sú interné aj externé, dohľadované a vyhodnocované ľudským operátorom.

Z pohľadu technológií je SOC založený a závislý na správne implementovanom systéme pre správu incidentov a udalostí – SIEM (Security Incident and Event Management). SIEM je technologickou základňou pre SOC. Zbiera dáta zo všetkých systémov, koreluje, parsuje a vyhodnocuje zozbierané údaje na základe definovaných potrieb sledovania kybernetických hrozieb. Vytvára úlohy, zobrazuje upozornenia, môže obsahovať systém na automatizáciu a orchestráciu prednastavených parametrov hrozieb (SOAR) a vykonávať automatické nápravy.

Teraz už mám všetko?
Z pohľadu technológie a procesov áno. Ostáva pravidelne vzdelávať všetkých pracovníkov v organizácii, ukazovať im ako sa brániť proti osobným formám kybernetických útokov ako je phishing alebo smishing a nikdy nezaspať na vavrínoch.

Daniel Novotný

security senior konzultant, DATALAN

Máte záujem o viac informácií?

Spoločne nájdeme to správne riešenie pre vás.