Zadnje čase se s strankami vse pogosteje pogovarjamo o tem, ali so si preverjanje kibernetske varnosti zamislili kot vdorni test ali Red Teaming. Med njima namreč obstaja konceptualna razlika, o kateri smo na blogu pisali že pred dobrima dvema letoma. Če želimo doseči pravi cilj, moramo uporabiti ustrezna orodja oz. v tem primeru storitve. Nikakor ne moremo trditi, da je ena boljša od druge, saj se izvajata za različen namen. V nadaljevanju preberite, katere postavke so pomembne pri tovrstnem odločanju.
Danes je povpraševanje po obeh vrstah testov neprimerno večje, kot je bilo v času našega prvega zapisa. Količina kibernetskega kriminala je neprimerno večja in tako »napad« kot »obramba« se soočata s popolnoma spremenjenim bojnim poljem:
- Zaradi razpršenosti IT sredstev je površina napada večja. Hekerjiimajo posledično več potencialnih tarč, ki jih lahko napadejo in se z njimi okoristijo. SOCcentri oz. upravljavci kibernetske varnosti v organizacijah morajo ščititi večjo površino, kar se odraža v večjem številu varnostnih naprav in večjih SOC oz. IT oddelkih.
- Varnostne naprave so vedno bolj dovršene in zajamejo vedno več škodljivega prometa. Prav tako se vedno bolj poudarja pomen ozaveščanja uporabnikov, ki so vse bolj vešči prepoznavanja potencialnih napadov. Hekerjimorajo pripravljati vedno bolj napredne in dovršene napade, kar je olajševalna okoliščina za obrambo.
Iz zgornjih dveh točk je jasno, da imajo vse ekipe v verigi kibernetske varnosti na voljo vedno več virov, iz katerih se učijo. S tem druga drugo ženejo k neprestanemu napredku in razvoju kibernetske (ne)varnosti.

Motiv in pravi trenutek za vdorni test ali Red Teaming
V grobem bi lahko rekli, da se stranke odločajo za naročilo testa kibernetske varnosti iz dveh glavnih razlogov: doseganje skladnosti z zakonodajo in preverjanje varnostnih kontrol. V tem primeru gre tipično za penetracijske teste informacijskih sistemov, ki se izvajajo enkrat letno. V organizacijah, kjer se odločijo za periodične penetracijske teste, je običajno raven zavedanja o pomenu kibernetske varnosti na razmeroma visoki ravni. Zato se neredko zgodi, da poleg periodičnih testov želijo v vmesnem času preveriti tudi varnost aplikacij in izvajati trening varnostnega ozaveščanja za uporabnike.
Vse pogosteje pa se tudi dogaja, da je naročilo testa posledica vdora. In prav ta zadnji motiv je tisti, ki pripelje naročnike do želje, da bi izvedli Red Teaming. Ker gre za simulacijo dejanskega vdora, s takšnim testom organizacija dobi realno sliko o odpornosti informacijskega sistema na hekerske napade.
Kdaj pa je pravi trenutek za test? Kadarkoli. Zagotovo pa vsaj za penetracijske teste velja, da jih je smiselno opraviti po vsaki večji spremembi v IT sistemu: ob nadgradnji aplikacije, zamenjavi strojne ali programske opreme, selitvi na drugo lokacijo ipd. Vsaka sprememba v IT okolju namreč povzroči spremembo v komunikaciji med posameznimi gradniki sistema in lahko ustvari nove ranljivosti.
Uporabnik kot orodje v hekerjevih rokah
Ne glede na tehnične spremembe v IT sistemih se moramo zavedati, da izhodiščna tarča hekerskih napadov niso več neposredno omrežja in varnostne naprave. Njihova tehnologija je že tako izpopolnjena, da jih je brez ustreznih dostopov težko zlorabiti.
So pa zato toliko bolj ranljivi uporabniki, ki jih hekerji uporabljajo kot vstopno točko v poslovna omrežja. Napredni napadalci gredo najprej »v izvidnico«. Opazujejo dejavnosti uporabnikov na spletu in na družabnih omrežjih, preučijo razmerja in vloge med zaposlenimi, zbirajo njihove osebne podatke. Na podlagi pridobljenih informacij oblikujejo t.i. spear phishing kampanje – napade z usmerjenim ribarjenjem, ki ciljajo na uporabnikove interese ali šibke točke. Dovolj je, da samo en ustrezen uporabnik klikne na škodljivo povezavo in napadalec že lahko začne prestrezati promet v omrežju in pridobivati zaupne podatke. Zato je izredno pomembno, da poskrbite za ustrezno varnostno ozaveščenost zaposlenih.

Poskrbite za ustrezno konfiguracijo varnostnih naprav
Čeprav pogosto izpostavljamo uporabnike kot prvo bojno vrsto pri zagotavljanju kibernetske varnosti, niso varnostne naprave nič manj pomembne. Z njimi poskrbite za ustrezen odziv na poskuse napadov. Predpogoj za učinkovito delovanje varnostnih naprav je njihova ustrezna konfiguracija. Pri tem ne mislimo le nastavitev posamezne naprave, temveč napravo v kontekstu celotnega IT sistema. V nekaterih okoljih namreč povezovanje skupine naprav v sistem lahko sproži ranljivost, ki v drugem sistemu zaradi drugačne kombinacije naprav ni možna. Prav zato je pomembno, da pri penetracijskem testu sistema pogledamo na ranljivost celostno, s stališča sistema.
Do zdaj smo govorili o izpostavljenosti sistema različnim vektorjem napada: bodisi preko socialnega inženiringa in uporabnikov bodisi preko ranljivosti v napravah ali povezavah med njimi. Kako pa se odločiti, ali naročiti »le« vdorni test ali Red Teaming? Odvisno od tega, kaj je cilj našega projekta.
Vzemimo primer zlatarne. Če izvajamo penetracijski test, ja naš cilj vdreti v zlatarno oz. preveriti, ali je to glede na varnostne mehanizme sploh možno. Ko gre za Red Teaming, pa je cilj vdreti v zlatarno in iz nje neopaženo odnesti diamantno ogrlico. V prvem primeru torej preverjamo varnostne naprave, aplikacije, sisteme, lahko tudi fizično varnost – a vse to usmerjeno in v omejenem obsegu. V drugem primeru pa želimo z metodami socialnega inženiringa in vdiranja dejansko pridobiti podatek z visoko vrednostjo in s tem organizacijo simulirano oškodovati.
Penetracijsko testiranje ali simulacija hekerskega napada?
Za penetracijski test se odločite, kadar preverjate skladnost z zakonodajo ali ustreznost varnostnih kontrol. Izvaja se na vnaprej določenem omejenem segmentu omrežja, pogosto tudi v testnem oz. razvojnem okolju, da ne ogrozimo delovanja storitve. Vdorni testi so terminsko zelo omejeni – običajno se izvajajo največ dva tedna. Na strani naročnika je o izvajanju testa praviloma obveščena celotna IT ekipa, ki v času izvajanja spremlja dogajanje na omrežju. Vdorno testiranje je torej usmerjeno v preverjanje nastavitev in delovanja varnostnih naprav oz. tehnične odpornosti omrežja na vdore, ne preverja pa odziva varnostne ekipe.
Po drugi strani Red Teaming seže globlje kot vdorni test. Trajanje merimo v mesecih, obsežnejši testi pa lahko trajajo tudi več kot leto dni. Gre za simulacijo pravega hekerskega napada, zato vključuje različne metode zlorabljanja uporabnikov in podatkov. Za razliko od pentesta, ki targetira varnostne naprave, se Red Teaming običajno začne s socialnim inženiringom in pridobivanjem dostopa do notranjega omrežja preko uporabnikov: lahko s phishingom, podtikanjem škodljive kode fizično v poslovnih prostorih ali kakšno drugo kreativno metodo. Pomembno je, da smo kot napadalci »čim tišji« in varnostnih naprav ne opozarjamo nase. Konec koncev nas na drugi strani običajno opazuje izurjen Blue Team – SOC center ali IT oddelek. Tudi ko pridobimo dostop, moramo vse akcije izvajati počasi in postopoma prodirati čim globlje v omrežje. Izvajalci za ta namen razvijajo svojo škodljivo kodo in uporabljajo napredna hekerska orodja.

Čeprav pri Red Teamingu ni omejitev na določen segment omrežja, ne moremo reči, da gre za hekanje vsepovprek. Vse akcije morajo biti skrbno načrtovane in usmerjene v točno določen cilj. Ker se test izvaja v produkcijskem okolju, morajo biti izvajalci še toliko bolj previdni, da ne pride do motenj v delovanju sistema. SOC center ali IT oddelek pri izvajanju tega testa o njem ni obveščen, saj je smisel Red Teaminga, da zanj ve čim manj oseb – idealno le CISO.
Vdorni test ali Red Teaming?
Kako se torej odločiti, katero vrsto testa naročiti pri izvajalcu? Na podlagi dolgoletnih izkušenj prepoznavamo Red Teaming kot nadgradnjo penetracijskega testa. Organizacije, ki že izvajajo vdorna testiranja in trenirajo svoje uporabnike v prepoznavanju napadov s socialnim inženiringom, so kibernetskovarnostno dovolj zrele, da lahko na svojem omrežju izvajajo tudi Red Teaming. V okolju, ki na takšno testiranje še ni pripravljeno, priporočamo v prvi vrsti nekaj rednih penetracijskih testov in utrditev treh stebrov kibernetske varnosti: zaupnosti, integritete in razpoložljivosti.
Penetracijski test
Penetracijski test omogoča odkrivanje ranljivosti IT sistema in je podlaga za določanje njihove kritičnosti in podajanje priporočil.
Red Teaming
Testirajte svojo IT ekipo, zaposlene in postopke. Cilj storitve Red Teaming je vdreti v sistem tako, da se vi tega sploh ne zavedate.
Ozaveščanje uporabnikov
Ozaveščanje uporabnikov ustvarja živi požarni zid in je ključno za preprečevanje vdorov v poslovne informacijske sisteme.