Ste vedeli, da heker v povprečju potrebuje le deset ur, da v vašem sistemu izrabi ranljivost, torej pridobi dostop? Če je pri svojem delu dovolj taktičen in prikrit, bo v 24 urah pridobil podatke, ki jih lahko prodaja na črnem trgu ali vas zanje izsiljuje.* Zaradi takšnih aktivnosti sredstva organizacij po vsem svetu polnijo mošnjičke hekerskih korporacij. Toda varnostni test lahko trend obrne v drugo smer.
V oktobru, mesecu kibernetske varnosti, lahko najdete ogromno pozivov k odgovornemu ravnanju na spletu, pomenu ozaveščanja in tudi testiranja kibernetske varnosti sistemov. A en mesec intenzivnega ozaveščanja na leto ni dovolj, da se v organizaciji vzpostavi zadovoljiva ali želena raven kibernetske varnosti. Kibernetski kriminalci vsak dan razvijajo nove tehnike napadov in izpopolnjujejo svoje znanje. Če s svojimi aktivnostmi ne sledimo razvoju, ne testiramo varnosti in se ne izobražujemo, se lahko hitro ujamemo v njihovo zanko.
Kaj organizacije motivira, da začnejo strateško upravljati kibernetsko varnost?
- Zagotavljanje skladnosti z zakoni in standardi
Temu so podvržene predvsem organizacije, opredeljene kot »kritična infrastruktura«. Na tem področju se obetajo spremembe, saj Evropska komisija pripravlja prenovljeno uredbo NIS, ki bo razširila nabor panog, vključenih v kritično infrastrukturo. - Odziv na poskus napada ali uspešen napad
Drugi razlog, zakaj se organizacije odločilo za testiranje in utrjevanje kibernetske varnosti so zaznani poskusi napadov ali uspešni napadi. V tem primeru je škoda sicer že storjena, je pa pristop organizacije običajno močno angažiran in rezultat temu primerno utrjena kibernetska varnost. - Konkurenčna prednost
Predvsem na področju varnosti aplikacij in drugih uporabniških rešitev je postala kibernetska varnost tudi konkurenčna prednost. Takšen trend opažamo zlasti na področju razvoja rešitev, ki so namenjene zaščiti osebnih ali poslovnih podatkov in sredstev.
Tri komponente kibernetske varnosti: zaščita, testiranje, odziv
Upravljanje kibernetske varnosti tipično poteka na treh ravneh:
- zaščita sredstev pred kibernetskimi vdori z varnostnimi rešitvami (npr. FWNG, SIEM, DLP) in politikami (npr. standardi in regulative),
- testiranje učinkovitosti delovanja implementiranih rešitev in politik ter
- odziv na zaznane poskuse vdorov, ki ga izvaja notranja ali zunanja ekipa strokovnjakov (SOC).
Varnostne naprave so vedno bolj dovršene in sposobne zaznavati napredne napade. Premišljena izbira teh naprav lahko bistveno doprinese k zaščiti omrežja in olajša zaznavanje varnostnih incidentov. Tu se dotaknemo tretje komponente – odziva – ki mora biti čim hitrejši, saj s tem skrajšamo čas, ki ga ima napadalec na voljo za uspešen vdor v sistem.
Testiranje lahko umestimo med zaščito in odziv, saj je ključno za učinkovito delovanje obeh robnih komponent. Implementirane varnostne rešitve imajo namreč v vsakem informacijskem sistemu drugačen vpliv na odnose med posameznimi komponentami v celotni arhitekturi. Tako kot ob priključitvi alarmne naprave izvedemo test delovanja, je smiselno testirati tudi delovanje požarne pregrade ali sistema SIEM. Šele po izvedenem testu in poročilu o delovanju lahko vemo, ali rešitev deluje v skladu z našimi pričakovanji in potrebami.
Na ravni odziva pa je varnostni test gonilo za izboljševanje učinkovitosti odzivnega centra. Vsak dan se pojavljajo nove ranljivosti, ki povzročajo vrzeli v kibernetski varnosti sistema. Odzivni center se mora neprestano prilagajati novim razmeram na kibernetskem bojnem polju, trdnost obrambe pa lahko preveri le s testnim napadom.
Vsak varnostni test ima svoj namen in cilj
Ključno pri načrtovanju varnostnega testiranja je, da ima podjetje jasno izoblikovan namen in cilj testa. Izvajanje varnostnih testov namreč ni »hekanje vsepovprek«, temveč aktivnost z jasnim ciljem, ki se običajno izvaja po vnaprej določeni metodologiji. S tem sta zagotovljeni transparentnost in ponovljivost testa.
Penetracijsko testiranje posameznih komponent sistema z namenom odkrivanja varnostnih pomanjkljivosti
S penetracijskim oz. vdornim testom lahko testiramo zunanje omrežje, notranje omrežje, spletne in mobilne aplikacije ali specializirane sisteme, kot so industrijski (SCADA) sistemi ali rešitve, ki vključujejo strojno in programsko opremo. Cilj penetracijskega testiranja je izboljšanje kibernetske varnosti preverjanega sistema ali rešitve, zato mora naročnik testa jasno opredeliti, katera sredstva želi testirati in na kakšen način (black-box, grey-box, white-box).
Testiranje odpornosti uporabnikov s simulacijami napadov s socialnim inženiringom
Simulacije socialnega inženiringa ali ribarjenja (ang. phishing) so hkrati test in izobraževalni program. Namen takšnega testa je prepoznati, kako ranljiv je IT sistem zaradi človeškega faktorja in na katerih segmentih je treba stanje izboljšati. Ob simulacijah napadov se uporabniki učijo prepoznavati kazalnike za kibernetski napad (ang. red flag) in se opremijo z znanji, kako lahko napad preprečijo. Pri tem je zelo pomembno, da simulacije izvajate pogosto (npr. tedensko ali mesečno) in uporabnikom pošiljate različne tipe vsebin. Cilj takšnega testiranja je zmanjšati možnost za vstop hekerja v podjetje preko uporabnika in izobraziti varnostno ozaveščenega zaposlenega.
Testiranje odziva na napad – Red Teaming
Namen vaje z Red Teamingom je preveriti, kako dobro se IT ekipa ali varnostno-odzivni center (SOC) odzove na poskus napada. Interna IT ekipa o tem testu ni obveščena, saj gre za simulacijo hekerskega napada. Takšen test se običajno izvaja več mesecev. Napadi morajo potekati pritajeno, izvajalci želijo čim dlje ostati neopazni. Cilj vaje Red Teaming je izboljšanje odziva na poskus napada, zato je po izvedeni vaji priporočljivo, da se izvajalci testa in interni informatiki pogovorijo o možnostih za izboljšave. Prav tako je pri takšnem testu ključna dobra interna komunikacija, ki IT ekipi pojasni, da je bil cilj testa izboljšanje delovanja sistema, in ne iskanje krivca za uspešno opravljen vdor.
Izberite varnostni test glede na potencialnega napadalca
To je le kratek vpogled v širok spekter varnostnih testov, s katerimi lahko preverite delovanje zaščite in obrambe svojega informacijskega sistema. Kateri varnostni test boste vključili v svojo strategijo kibernetske varnosti je odvisno od vaših potreb in ciljev.
Pri oblikovanju strategije pa ne pozabite še na eno ključno točko: za kibernetsko varnost sistema lahko največ storite, če razumete, kdo so vaši sovražniki in kaj so njihovi motivi in cilji. Če še niste naredili analize svojega potencialnega napadalca, je to lahko eden od ciljev za naslednje obdobje. V ta postopek vključite čim več deležnikov v organizaciji. Zelo verjetno je, da bo zaposleni v IT oddelku izpostavil druge motive za napad kot zaposleni v prodaji ali operativni službi. Več informacij, kot boste pridobili, bolj jasno sliko boste lahko ustvarili. Le z dobrim poznavanjem potencialnega napadalca lahko pridete do odgovora, kateri scenariji napada so pri vas najverjetnejši in se nanje tudi ustrezno pripravite.
Pri tem se je dobro zavedati še nečesa: tako kot imate vi omejena sredstva za investicije v kibernetsko varnost, ima tudi napadalec omejena sredstva za izvedbo napada. Z optimizacijo vzpostavljenih varnostnih rešitev lahko bistveno podaljšate čas, ki ga napadalec potrebuje za vstop v sistem. Njemu pa po drugi strani s tem povečate stroške za raziskovanje, razvoj in pripravo napada.
Z rednim varnostnim testiranjem in optimizacijo poskrbite, da se napadalcu ne bo izplačalo vlagati v razvoj ali nakup 0-day ranljivosti, da bi prebil vašo obrambno linijo. Če mu uporabniki ne bodo odprli vrat s klikom na škodljivo povezavo ali datoteko, bo morda obrnil že na pragu vašega IT sistema.
Želite nasvet glede pametnih investicij v kibernetsko varnost v vaši organizaciji?
** Ponudba velja do 31. oktobra 2022. Ponudba velja za končne uporabnike, ne za ponudnike IT storitev.