Kibernetička sigurnost danas se ne mjeri alatima, nego brzinom otkrivanja napada

Kibernetički napadi odavno nisu rezervirani za financijske institucije, kritičnu infrastrukturu ili globalne korporacije. Svaka organizacija s mrežom, podacima i korisnicima potencijalna je meta – a to u praksi znači gotovo sve. Za ICTbusiness Media – ICTbusiness.info Dragan Bednarčuk, Business Development Manager u KING ICT-u, tu realnost ne opisuje kao alarm nego kao polaznu točku za razgovor o tome što zapravo znači biti spreman.

Hrvatska i regionalna tržišta bilježe rast svijesti o sigurnosnim rizicima, ali Bednarčuk upozorava da svijest i operativna spremnost nisu isto. Organizacija može imati firewall, antivirus i višefaktorsku autentifikaciju i još uvijek ne biti u stanju primijetiti napad koji je već u tijeku danima. Upravo ta razlika između posjedovanja alata i posjedovanja vidljivosti nad infrastrukturom središnja je tema ovog razgovora. KING ICT u tom kontekstu nije samo dobavljač sigurnosnih rješenja nego kompanija s referentnim projektima koji uključuju i višegodišnju suradnju s NATO organizacijom na implementaciji naprednih sigurnosnih arhitektura.

Koliko su danas hrvatske i regionalne tvrtke zapravo spremne na kibernetičke napade?
Dobra vijest je da je svijest o kibernetičkoj sigurnosti danas puno veća nego prije pet ili deset godina. Većina organizacija razumije da kibernetički napad nije samo IT problem, nego nešto što može ozbiljno utjecati na poslovanje, reputaciju i povjerenje klijenata. S druge strane, često vidimo da svijest raste brže od stvarne spremnosti. Tvrtke imaju firewall, antivirus, možda i višefaktorsku autentifikaciju, ali nemaju kontinuirani nadzor nad sustavima niti ljude koji aktivno prate što se događa u mreži. To u praksi znači da napad može trajati danima, ponekad i tjednima, prije nego što ga netko primijeti. Upravo zbog toga sve više organizacija uvodi CSOC (Cyber Security Operations Center) ili barem neki oblik stalnog sigurnosnog nadzora. Kad jednom počnete pratiti što se stvarno događa u mreži, često otkrijete stvari koje prije uopće nisu bile vidljive.

Koji vas je kibernetički napad iz prakse najviše iznenadio ili vam se posebno urezao u sjećanje?

Jedan primjer koji se često spominje u sigurnosnoj zajednici dogodio se u kasinu u Las Vegasu. Napadači nisu krenuli na financijske sustave ili serversku infrastrukturu, nego na akvarij. Točnije, radilo se o pametnom termostatu koji je regulirao temperaturu vode u akvariju u predvorju hotela. Taj uređaj bio je spojen na internu mrežu i imao je slabu sigurnosnu konfiguraciju. Napadači su preko tog malog IoT uređaja dobili pristup mreži i zatim se postupno kretali kroz infrastrukturu dok nisu došli do sustava s poslovnim podacima. To je odličan primjer koliko danas IT okruženja mogu biti složena i kako ponekad napad dolazi s mjesta s kojeg ga najmanje očekujete. Danas praktički svaki uređaj koji je spojen na mrežu, od kamera do senzora, može postati ulazna točka ako nije pravilno konfiguriran.

Kako zapravo izgleda jedan tipičan kibernetički napad danas, npr. od prve phishing poruke do kompromitacije sustava?

U velikom broju slučajeva sve počinje vrlo jednostavno, phishing porukom. Netko klikne na link, otvori dokument ili upiše svoje pristupne podatke na lažnoj stranici. Kad napadač dobije pristup jednom korisničkom računu, počinje istraživati infrastrukturu. Gleda koje sustave korisnik može vidjeti, pokušava pronaći servere, dijeljene resurse ili administratorske račune. Nakon toga slijedi ono što zovemo lateral movement, odnosno kretanje kroz mrežu. Napadači često koriste legitimne alate poput PowerShella ili Remote Desktopa, pa njihova aktivnost može izgledati kao normalan rad administratora. Tek kad dođu do kritičnih sustava ili osjetljivih podataka, pokreće se završna faza napada, primjerice krađa podataka ili aktivacija ransomwarea.

Što sigurnosni timovi najčešće primijete prvo kada je napad već u tijeku?
Zanimljivo je da prvi znak napada rijetko djeluje dramatično. Najčešće se radi o nekoj sitnoj nepravilnosti. Primjerice, korisnik se prijavi iz države iz koje se nikada ranije nije spajao. Ili neki račun iznenada počne pristupati resursima za koje inače nema nikakvu poslovnu potrebu. Nekad se pojave i prijave u neuobičajeno doba noći. U drugim slučajevima radi se o atipičnom mrežnom prometu ili sumnjivoj komunikaciji prema vanjskim poslužiteljima. CSOC timovi nastoje povezati takve naizgled nebitne tragove. Pojedinačan događaj možda ne znači ništa, ali kada se nekoliko njih složi, počinje se formirati obrazac koji može upućivati na napad. U praksi smo više puta vidjeli situacije kod korisnika gdje je kombinacija tih malih, gotovo neprimjetnih odstupanja otkrila napad koji je već bio u tijeku. Upravo zahvaljujući CSOC nadzoru i korelaciji podataka uspjeli smo prepoznati pokušaje lateralnog kretanja i kompromitacije sustava u vrlo ranoj fazi. Takvi primjeri jasno pokazuju koliko je ključno imati kontinuirani nadzor, jer bi bez njega ovakve aktivnosti vrlo lako ostale ispod radara.

Kada organizacija shvati da joj treba CSOC, je li to obično već kasno?
Iskreno, dosta organizacija počne razmišljati o CSOC-u tek nakon incidenta. Kad se nešto dogodi, odjednom postane jasno koliko je teško razumjeti što se zapravo dogodilo u sustavu. No prava vrijednost CSOC-a upravo je u ranom otkrivanju. Ako imate kontinuirani nadzor nad infrastrukturom, puno je veća šansa da ćete sumnjivu aktivnost primijetiti dok je napad još u ranoj fazi. Drugim riječima, CSOC vam ne garantira da napada neće biti, ali značajno povećava šansu da ćete ga otkriti prije nego što napravi ozbiljnu štetu.

Što CSOC tim zapravo radi tijekom jednog dana ili noćne smjene?
Velik dio posla CSOC tima zapravo je analiza događaja i upozorenja koja dolaze iz različitih sigurnosnih sustava. To mogu biti logovi s mrežne opreme, servera, aplikacija ili krajnjih uređaja. Analitičari provjeravaju je li riječ o stvarnoj prijetnji ili o nečemu benignom. Ponekad je to brza provjera, a ponekad zahtijeva ozbiljniju analizu. Osim toga, CSOC timovi često rade i threat hunting, odnosno proaktivno traženje znakova kompromitacije u sustavu. Kada se potvrdi incident, pokreće se proces reagiranja koji uključuje izolaciju sustava i daljnju analizu napada.

Umjetna inteligencija (AI) sve više ulazi u područje kibernetičke sigurnosti. Koriste li je danas više napadači ili obrana?

Umjetna inteligencija danas se koristi s obje strane. Napadači je koriste za automatizaciju phishing kampanja, generiranje uvjerljivijih poruka ili analizu ranjivosti u sustavima. Ono što je prije zahtijevalo dosta vremena i tehničkog znanja, danas se može automatizirati uz pomoć AI alata. S druge strane, sigurnosni timovi također koriste umjetnu inteligenciju kako bi lakše analizirali ogromne količine sigurnosnih podataka. CSOC sustavi svakodnevno generiraju milijune događaja i bez određene razine automatizacije bilo bi gotovo nemoguće uočiti anomalije koje mogu ukazivati na napad. AI može pomoći u prepoznavanju neobičnog ponašanja korisnika, sumnjivog mrežnog prometa ili pokušaja eskalacije privilegija. Međutim, ona još uvijek nije zamjena za sigurnosne analitičare. Ljudska ekspertiza ključna je kako bi se razumio kontekst i procijenilo je li riječ o stvarnom napadu ili o legitimnoj aktivnosti koja samo izgleda neuobičajeno. U praksi se pokazuje da su najuspješniji modeli obrane oni koji kombiniraju automatizaciju i iskustvo sigurnosnih stručnjaka. AI može značajno ubrzati analizu i detekciju, ali konačne odluke i dalje donose ljudi.

Koliko često organizacije misle da su sigurne dok penetracijski test ne pokaže suprotno?

To se događa češće nego što bi mnogi očekivali. Organizacija može imati moderne sigurnosne alate, ali kombinacija manjih konfiguracijskih pogrešaka ponekad otvara put napadaču. Penetracijski testovi pokušavaju razmišljati poput napadača. Cilj nije samo pronaći ranjivost, nego pokazati kako se ona može iskoristiti u stvarnom scenariju. Često se pokaže da nekoliko manjih slabosti zajedno može omogućiti pristup sustavu. Takvi testovi su zato vrlo vrijedni jer organizaciji daju realnu sliku vlastite sigurnosti.

Sve češće se spominju tabletop vježbe u kibernetičkoj sigurnosti. Što su one i zašto su važne za organizacije?

Tabletop vježbe zapravo su simulacije sigurnosnog incidenta. Timovi prolaze kroz unaprijed pripremljeni scenarij napada i pokušavaju reagirati kao da se incident u tom trenutku doista događa. To može biti, primjerice, ransomware napad, kompromitacija korisničkih računa ili curenje podataka. U takvim vježbama ne sudjeluje samo IT ili sigurnosni tim. Često su uključeni i uprava, pravni odjel, komunikacijski tim, pa čak i odjeli za odnose s javnošću, jer kibernetički incident vrlo brzo može postati i poslovna ili reputacijska kriza. Takve vježbe su izuzetno korisne jer otkriju stvari koje u teoriji često izgledaju jednostavno, ali u praksi mogu biti problem. Ponekad se pokaže da tehnički dio funkcionira dobro, ali da nije jasno tko donosi odluke, tko komunicira s korisnicima ili kada se uključuju regulatorna tijela. Upravo zato tabletop vježbe pomažu organizacijama da prije stvarnog incidenta uvježbaju koordinaciju i donošenje odluka.

Koliko je ljudski faktor i dalje najslabija karika sigurnosti?

Nažalost, još uvijek u velikoj mjeri. Tehnologija je danas prilično napredna, ali napadači često ciljaju ljude, a ne sustave. Phishing kampanje i dalje su među najuspješnijim metodama napada upravo zato što koriste psihologiju, a to u pravilu znači osjećaj hitnosti, straha ili znatiželje. Zato je edukacija zaposlenika izuzetno važna. Organizacije koje redovito provode sigurnosne edukacije i simulirane phishing kampanje obično imaju znatno manje uspješnih napada.

Koju najveću pogrešku organizacije čine nakon što implementiraju sigurnosne alate?

Najveća pogreška je vjerovanje da će alat sam riješiti problem. Sigurnosni alati generiraju puno upozorenja, ali netko ih mora analizirati. Ako nema tima koji prati te događaje, mnogi signali napada mogu proći potpuno nezapaženo. Sigurnost nije proizvod koji kupite jednom i time je posao završen. To je proces koji zahtijeva stalno praćenje, prilagodbu i unapređenje.

Ako biste morali izdvojiti jednu stvar koju bi svaka organizacija trebala napraviti već danas kako bi bila sigurnija, što bi to bilo?

Ako bih morao izdvojiti jednu stvar, to bi bila vidljivost onoga što se događa u sustavu. U kibernetičkoj sigurnosti vrlo često vrijedi pravilo: ako ne vidite što se događa u mreži, vrlo je teško na vrijeme primijetiti napad. To znači da organizacije moraju prikupljati i analizirati sigurnosne događaje iz različitih sustava: od mrežne infrastrukture i servera do aplikacija i krajnjih uređaja.

Upravo tu dolazi do izražaja uloga CSOC-a, odnosno sigurnosnog operativnog centra, koji omogućuje kontinuirano praćenje i analizu tih podataka. CSOC timovi koriste različite alate za korelaciju događaja i prepoznavanje anomalija koje mogu ukazivati na potencijalni napad. Često se radi o malim signalima poput neuobičajenih prijava korisnika, neobičnog mrežnog prometa ili pokušaja pristupa osjetljivim sustavima koji pojedinačno možda ne izgledaju alarmantno, ali zajedno mogu ukazivati na sigurnosni incident. Organizacije koje imaju takvu razinu vidljivosti nad svojom infrastrukturom obično puno brže prepoznaju sumnjive aktivnosti i reagiraju prije nego što napad napravi ozbiljnu štetu. Drugim riječima, cilj nije samo spriječiti napade, jer će pokušaja uvijek biti, nego ih otkriti što ranije i reagirati na vrijeme. Upravo u tome leži najveća vrijednost CSOC pristupa kibernetičkoj sigurnosti.

Iz našeg iskustva, posebno u radu s većim i reguliranim organizacijama, ta vidljivost i integracija sustava čine najveću razliku. Već nekoliko godina surađujemo s NATO organizacijom, gdje smo kroz nekoliko projekata radili na dizajnu, implementaciji i integraciji naprednih sigurnosnih rješenja u kompleksnom okruženju. Ključ je bio u povezivanju tih rješenja s postojećim CSOC kapacitetima i uspostavi centraliziranog nadzora, ali i u koordinaciji različitih timova unutar organizacije. Takvi projekti jesu dugoročni i temelje se na povjerenju, a upravo je to danas jedan od najvažnijih elemenata u kibernetičkoj sigurnosti.

Koliko bi prosječna organizacija izdržala kada bi napad započeo danas?

To jako ovisi o razini sigurnosne zrelosti organizacije. U okruženjima bez kontinuiranog nadzora napadači često mogu ostati u sustavu danima ili čak tjednima prije nego što ih netko primijeti. U tom vremenu mogu istražiti infrastrukturu, kompromitirati dodatne sustave i pripremiti završnu fazu napada. Organizacije koje imaju CSOC ili barem dobar sustav nadzora obično puno brže otkriju takve aktivnosti. A u kibernetičkoj sigurnosti brzina otkrivanja odnosno detekcije često je ono što odlučuje hoće li incident biti mali problem ili velika kriza.