1000 hekerjev na dan… vsak dan
Danes praktično ne mine dan, ko na spletu ne bi mogli prebrati novico o kakšnem hekerskem vdoru in preštevanju poslovne škode, o kakšni novi ranljivosti v sistemih prisotnih v skoraj vsakem podjetju, pa o spet novih inovativnih tehnikah socialnega inženiringa, o bajnih zaslužkih s pomočjo hekerskega izsiljevanja, ipd.. Zagotavljanje dobre varnostne drže v današnjem času res postaja velik izziv, zato ni čudno, da si marsikateri CISO zastavlja vprašanje, kako naprej oz. kako zares učinkovito obvladovati varnostna tveganja?
Kaj vse vpliva na kibernetsko-varnostna tveganja in kako jih učinkovito obvladovati?
Glavna skrb pri varovanju informacijskih sredstev je, da bodo vedno na razpolago tistim, ki imajo za njihov dostop pravico in to v točno takšni obliki, kot morajo biti. Organizacije posedujejo informacijska sredstva v obliki podatkov, ki so večinomo shranjena na računalniških sistemih. Ti sistemi lahko vsebujejo oz. bodo vsebovali ranljivosti, te ranljivosti pa lahko izkoristi heker, kar poenostavljeno imenujemo grožnja. In ker si seveda želimo, da bi bila verjetnost realizacije grožnje čim manjša, bomo naredili vse, da bi to preprečili.
Tveganja, da bi do uresničitve groženj prišlo, lahko zmanjšujemo na tri načine:
- Sredstva varujemo z varnostnimi napravami in rešitvami – od relativno majhnega nabora osnovnih zaščit, kot so klasične požarne pregrade in protivirusni programi več kot desetletje nazaj se danes v organizaciji lahko najde tudi več kot 100 različnih varnostnih rešitev.
- Si pomagamo s sistemi za upravljanje z ranljivostmi – na ta način praktično vsak dan vemo, kateri sistemi nimajo nameščenih varnostnih popravkov ter katere popravke bi bilo bolj nujno namestiti kot druge.
- Spremljamo grožnje s pomočjo t.i. TI (angl. Threat Intelligence) orodij – namen tega je, da zadosti zgodaj izvemo, ali se nekje dogajajo napadi, specifični za določeno industrijo, ki se lahko zgodijo tudi meni.
Ker pa je informacijski sistem »živ organizem«, pomeni, da se vse troje neprestano spreminja:
- Dodajanje novih sistemov, prenavljanje delov omrežij, povezovanje z oblačnimi storitvami, vpeljevanje novih storitev
- Ranljivosti se spreminjajo. Že samo pogled na CVE bazo nam pove, da se le ta neprestano povečuje
- Grožnje se spreminjajo, pa naj gre za nove hekerske skupine ali pa nove kampanje s še nikoli videnimi tehnikami napada.
Eden izmed najboljših načinov preverjanja, kje dejansko smo, je stari dobri vdorni test, ali pa celo Red Teaming (v čem so razlike med prvim in drugim sem zapisal v blog zapisu: Kaj je to Red Teaming? Pentest?).
Kljub priljubljenosti pa tovrstna testiranja varnosti vendarle imajo nekaj pomanjkljivosti:
- Trajanje testa do končnega poročila je vsaj dva tedna, lahko pa tudi precej več
- Pomanjkanje ekspertov za tovrstne aktivnosti pomeni relativno visoko ceno
- Rezultat je praviloma odvisen od izkušenosti in talenta pentesterja, včasih celo dnevne forme ali počutja
Zaradi omenjenega se vdorna testiranja največkrat izvajajo enkrat letno in imajo pravo vrednost le na dan zaključka z »rokom trajanja« do prve spremembe.
Rešitev
Kakšna bi bila torej rešitev? V idealnem svetu bi bil vdorni test hitrejši, cenejši in popolnejši, torej neodvisen od ekspertize posameznika. Če se nekoliko pošalim lahko rečem, da bi potemtakem potrebovali 1000 popolnih pentesterjev v škatlici in vedno na voljo, po možnosti s pritiskom na gumb. Sanje ali resničnost?
Dame in gospodje! Predstavljam vam prvo in ta trenutek edino orodje za avtomatizirano, strojno gnano penetracijsko testiranje infrastrukture, PcySys PenTera. Da bo neznano končno postalo znano, če bo potrebno vsak dan in le s preprostim pritiskom na gumb.
P.S.
Ker vsak penetracijski test pokaže na pomanjkljivosti, ki jih je treba odpraviti, kar sploh v večjih sistemih velikokrat ni enostavno, se včasih zdi, kot da bi bilo bolje ne vedeti, kje vse obstaja problem.
Ali je res bolje ne vedeti kot vedeti?