Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

by

Kibernetska vojna v ozadju ukrajinske vojne je premešala karte na področju upravljanja kibernetske varnosti, kjer vedno večji pomen pridobiva avtomatizirano vdorno testiranje. Zavedanje, da se v vsakem trenutku v poslovnem omrežju lahko pojavi zamaskiran napadalec in za nameček ostane skrit, je prebudila željo in nujo po trdnejši obrambi in usposobljenih odzivnih centrih.

S tem je povezano tudi preverjanje učinkovitosti odzivnega centra in stanja kibernetske varnosti v organizaciji ter njeno neprestano izboljševanje. O tem, da že dolgo ne zadoščajo več letni vdorni testi, smo pisali v blogu Kibernetska varnost 2021 – človek ali stroj? Verjetno je zdaj tudi že vsem jasno, da pri tem vprašanju ne gre za odnos »ali-ali«, temveč za »in«. Človek – pentester ali član ekipe v odzivnem centru – morata sodelovati z orodji z umetno inteligenco, če želimo uspešno odbijati dnevne poskuse napadov.

Vdorni test pokaže realno sliko na določen presečni dan – kaj pa jutri?

Naj se vrnem k predpostavki, da so podjetja tradicionalno penetracijske teste izvajala enkrat letno. Kaj to pomeni v kontekstu današnje kibernetske varnosti?

Denimo, da je bil danes v vašem podjetju zaključen dvotedenski projekt vdornega testiranja. Pentesterji so odlično opravili svoje delo. Našli so eno kritično ranljivost, dve ranljivosti z oznako visoko, tri srednje in pet informativnih. V poročilu so vam napisali tudi priporočila, kako te ranljivosti odpraviti. Specifičnih navodil za odpravo niso napisali, ker morate odpravljanje izvesti glede na specifike vaše arhitekture in v dogovoru z zunanjimi ponudniki storitev. Zaključnega sestanka je konec, jutri se začnete pogovarjati o časovnici za odpravo ranljivosti. Po naših izkušnjah se čas za odpravo ranljivosti meri v mesecih.

Poglejmo še na stran ranljivosti. V letu 2021 je bilo zabeleženih 20.168 ranljivosti z oznako CVE, kar pomeni 55 ranljivosti na dan. Letos jih je bilo v prvih petih mesecih več kot 10 tisoč, torej bomo do konca leta ponovno dosegli rekord.

Vulnerability growth year over year
Število CVE po letih (Vir: CVE Details)

Predpostavimo nerealno situacijo, da smo na isti dan, ko so bile v našem omrežju odkrite ranljivosti, vse te tudi odpravili. Super! Nič nam ne morejo. Do jutri zjutraj, ko bo zaznanih novih 55 ranljivosti in bo naš poslovni sistem spet izpostavljen tveganjem.

Ko bi bil etični heker vsak dan v hiši …

Idealno bi torej bilo, da vsak dan testirali kibernetsko varnost v treh korakih: poiskali bi ranljivosti (ang. vulnerability scan) in poskusili odkrite ranljivosti izrabiti in vdreti v sistem (ang. penetration test). V tretjem koraku pa bi ranljivosti, ki se jih dejansko da izrabiti, nemudoma odpravili.

Tak ideal ni možen iz dveh razlogov, ki smo jih tudi že večkrat omenili:

  • vsakodnevno penetracijsko testiranje bi bilo za vsako organizacijo stroškovno nesprejemljivo,
  • na trgu ni dovolj etičnih hekerjev, da bi jih podjetja lahko zaposlila za dnevno testiranje.

Poleg tega za odkrivanje ranljivosti in vdorno testiranje poleg specifičnih znanj potrebujemo tudi ustrezna orodja, ki lahko predstavljajo kar velik strošek. Tretji korak – odpravljanje ranljivosti – pa zahteva od izvajalcev izredno široko in hkrati poglobljeno znanje, ki vključuje poznavanje tehnologije, omrežja, delovanja naprav in njihove medsebojne povezanosti.

Za enega etičnega hekerja ali celo za skupino treh ali štirih je že v srednje velikem podjetju dnevno odpravljanje vseh ranljivosti, ki se jih da izrabiti, nerealno zahtevna naloga. Izvajanje takšnih testov pa v luči porasta kibernetskega kriminala postaja nuja.

Avtomatizirano vdorno testiranje je korak bližje idealu

Vodilna razvojna podjetja na področju kibernetske varnosti so prepoznala potrebo po avtomatizaciji vdornih testiranj. Na voljo so orodja, ki lahko v kratkem času opravijo za umetno inteligenco rutinsko nalogo preverjanja izrabljivosti ranljivosti.

Orodja za avtomatizirano vdorno testiranje izvajajo kontrolirane napade s surovo silo (ang. brute force attacks) in s tem delujejo kot pravi napadalci. V prvem koraku poiščejo ranljivosti, v drugem poskušajo te ranljivosti izrabiti in glede na rezultat obeh korakov ovrednotijo kritičnost ranljivosti.

Naj na tem mestu izpostavimo ključno razliko med orodjem za odkrivanjem ranljivosti (vulnerability scanner) in orodjem za avtomatizirano penetracijsko testiranje in potrjevanje varnosti (penetration testing and security validation). Orodje za odkrivanje ranljivosti izvede statični pregled z namenom odkrivanja varnostnih lukenj, ki jih rangira po metodologiji CVSS. Ta orodja so primarno namenjena nameščanju varnostnih popravkov za odkrite ranljivosti (ang. patching) in ne merijo vpliva posamezne ranljivosti na posamezen sistem (lažno pozitivne ranljivosti) niti jih ne obravnavajo dinamično (lažno negativne ranljivosti).

Orodja za avtomatizirano penetracijsko testiranje gredo korak dlje in so primarno namenjena potrjevanju kibernetske varnosti. To pomeni, da odkrite ranljivosti poskuša v danem sistemu izrabiti in njihovo kritičnost ocenijo glede na možen vpliv na poslovanje oz. potencialno poslovno škodo. Dodana vrednost takšnega orodja se odraža v informaciji, katere ranljivosti so dejansko nevarne za organizacijo in jih je potrebno prioritetno obravnavati in odpraviti.

Vzemimo za primer eno od ranljivosti ranljivost Log4j, ki so dobro začinile konec leta 2021. Ranljivost je po metriki CVE označena kot srednje kritična z oceno 5,1.

Vulnerability classification by CVE methodology
Klasifikacija ranljivosti (Vir: CVE Details)

Po metriki CVE sklepamo, da je ta ranljivost sicer vredna pozornosti, ni pa je treba nemudoma odpraviti. Zelo verjetno je res tako. Lahko pa se zgodi, da je konfiguracija našega sistema taka, bo v povezavi z drugimi ranljivostmi v sistemu izvorna ranljivost eskalirala do kritične stopnje in omogočila napadalcu vdor v sistem. Tega ne moremo vedeti, dokler ne izvedemo simulacije izrabe ranljivosti.

Primer ranljivosti z oznako srednje kritično, ki se je na koncu izkazal za močno kritičnega, prikazuje spodnji shematski prikaz razvoja ranljivosti iz orodja Pentera.

Pentera vulnerability kill chain
Analiza vektorja napada s Pentero (Vir: Pentera)

Iz kritičnosti z oceno 5,5 se je ob simulaciji izrabe razvila ranljivosti z oceno 10, ki napadalcu omogoča prevzem administratorskega računa. Nasprotno se lahko ranljivost z oceno 9 izkaže v konkretnem sistemu kot neškodljiva, npr. s končno oceno 2.

Vzporedno z grafičnim prikazom izrabe ranljivosti nam orodje dostavi tudi navodila, kako konkretno ranljivost odpraviti. Navodila so zbrana v obliki enciklopedičnih zapisov, ki uporabniku hitro ponudijo prave informacije in ga usmerjajo v postopku odprave.

Končnica je na strani IT strokovnjakov

Zadnji korak v postopku validacije kibernetske varnosti je odpravljanje ranljivosti. Ta del je še vedno na plečih IT strokovnjakov v organizacijah in terja precej časa. V podjetjih, ki že uporabljajo orodja za avtomatizirano penetracijsko testiranje navajajo, da odpravljanje ranljivosti traja tudi več tednov. Pogojeno je s tem, koliko časa lahko temu namenijo IT oddelki.

Kljub temu pa ima tudi na tej stopnji uporaba orodja dodano vrednost v obliki prej omenjenih enciklopedičnih oz. wiki zapisov, ki lahko izvajalcem prihranijo ure brskanja po internetu in iskanja pravih rešitev. To je tudi faza, v kateri podjetje presodi, ali je določeno ranljivost glede na vložek smiselno odpravljati ali sprejmemo tveganje in jo morda odpravimo v nekem drugem trenutku.

Ključne prednosti orodij za avtomatizirano penetracijsko testiranje

  • Podatek o ranljivostih, ki jih je dejansko mogoče izrabiti, in baza znanja z navodili za odpravo.
  • Možnost pogostejšega opravljanja vdornih testov, npr. na tedenski ali mesečni ravni.
  • Hitreje opravljeni vdorni testi z natančnimi navodili za odpravo ranljivosti.
  • Z opravljenimi testi preverja tudi učinkovitost delovanja varnostnih naprav.
  • Pokažejo objektivno sliko stanja kibernetske varnosti in lahko služijo tudi za izhodišče pri investicijah v nove varnostne naprave.

Kljub prednostim avtomatiziranih orodij se je treba zavedati dveh pomembnih faktorjev:

  • Preden organizacija vpelje avtomatizirano preverjanje in potrjevanje varnosti, mora dosegati dovolj visoko raven kibernetske varnosti in kulture. Za svetovanje na tem področju smo vam z veseljem na voljo.
  • Avtomatizirano vdorno testiranje ne more v celoti nadomestiti ročnega vdornega testa, zato priporočamo, da enkrat letno v vsakem primeru izvedete klasični penetracijski test. Etični hekerji lažje prilagajajo izvedbo glede na sproti odkrite ranljivosti in ob dogovoru z naročnikom natančneje pogledajo v globino na segmentih, ki so za organizacijo pomembnejši.
Želim več informacij o avtomatiziranih penetracijskih testih.