Banky, energetika a ďalšie organizácie kritickej infraštruktúry povinne a pravidelne testujú systémy na bezpečnostné riziká. Skratka OffSec – offensive security, je profesionálom známa už desiatky rokov a tí zvyknú hovoriť že ten, kto chce dobre brániť, musí vedieť, ako sa útočí.

Nový kyberzákon však vyžaduje používanie praktík ofenzívnej bezpečnosti aj od ďalších, menej skúsených subjektov

Šokujúce výsledky

„Pri teste stredne veľkej spoločnosti v sektore služieb sme nedávno odhalili kritické zraniteľnosti, ktoré mohli viesť k úplnému narušeniu bezpečnosti webového servera,“ hovorí Tomáš Ležovič zo spoločnosti ESET. Citlivé údaje zákazníkov, vrátane osobných informácií a histórie objednávok, boli voľne prístupné. „Je každodennou realitou, že pri testoch spoločností od najmenších až po medzinárodné korporácie odhalíme kritické zraniteľnosti,“ dodáva Ležovič.

Ak by sa tieto bezpečnostné chyby stali terčom útoku, neoprávnené osoby by mohli prevziať kontrolu nad zákazníckymi účtami. Spoločnosť by čelila nielen finančným stratám, možným sankciám zo strany regulátorov aj vážnemu poškodeniu reputácie a strate dôvery zákazníkov.

Piliere digitálneho sveta

Označenie etický hacker prvýkrát použila spoločnosť IBM pred tridsiatimi rokmi. Proces etického hackingu má rôzne podoby. Môže ísť o testovanie konkrétnej aplikácie, napríklad internetového bankovníctva či e-shopu. „Niekedy preverujeme serverovú infraštruktúru alebo dokonca celé interné systémy firiem,“ vysvetľuje Tomáš Zaťko zo spoločnosti Citadelo.

Na otázku, či sa im vždy podarí preniknúť do systémov, odpovedá Tomáš Zaťko jednoznačne: „V drvivej väčšine prípadov áno.“ Dĺžka testov závisí od veľkosti cieľa. Bežný penetračný test trvá jeden až tri týždne. Pri veľkých bankách, kde sú testy už povinné, môže ísť aj o niekoľkomesačný proces.

Zdravotníctvo v hľadáčiku

V Univerzitnej nemocnici v Martine testujú a skenujú infraštruktúru na prítomnosť zraniteľností už vyše päť rokov a viackrát už urobili aj phishingové testy. „Prvý test som inicioval hneď, ako som sa stal manažér kybernetickej bezpečnosti,“ hovorí  Pavol Vrabec. „Presvedčiť vedenie nebolo ťažké. Detailne som im vysvetlil prínosy a nevyhnutnosť testu a samozrejme aj zákonnú povinnosť.“

V nemocnici pribudlo aj penetračné testovanie, keďže z časového hľadiska výraznú zmenu zaznamenali práve v prístupe k službám a systémom dostupným z internetu. „Dnes platí zásada, že ak má byť nejaká služba vystavená do verejného prostredia, musí najprv prejsť dôkladnou analýzou a bezpečnostným testovaním,“ rezolútne uzatvára Pavol Vrabec.

Extra nároky

Telekomunikácie sú súčasťou kritickej infraštruktúry, ktorá má zásadný význam pre chod štátu a spoločnosti.

Tomáš Masný, riaditeľ informačnej bezpečnosti Slovak Telekom a T-Mobile CZ má desiatku rokov skúseností s offsec praktikami.  Aj tu začínali základnými penetračnými testami a postupne pridávali sofistikovanejšie techniky ako simulácie útokov, red teaming a testovanie odolnosti voči sociálnemu inžinierstvu.

Skúsenosti treba zdieľať

Roky priniesli cennú skúsenosť, že téma ani konkrétne výsledky testov by sa nemali prezentovať manažmentu ako strašenie. Dôležité je kvantifikovať riziko a ukázať, ako pentesty môžu pomôcť k udržateľnosti biznisu a dôvery zákazníkov. Pomáha aj benchmark s konkurenciou a zdôraznenie regulačných požiadaviek.

„Testy ukážu, kde je slabý článok kyberbezpečnosti a najčastejšie je to človek a jeho chybovosť, zlé návyky z predchádzajúcej práce, či zlá architektúra,“ zhŕňa Tomáš Masný. Top príčina je nedostatočný manažment záplat a zastaralé systémy, kde sa už záplaty nedajú aplikovať.

Spojené nádoby

Ofenzívna bezpečnosť testuje ľudí a technológie. Aj tu hrá významnú úlohu automatizácia. Produkty na správu útočnej plochy identifikujú potenciálne vektory útoku, ktoré by mohli využiť kyberzločinci. Nepretržite sa skenuje sieť organizácie vrátane domén, IP adries, webových stránok, e-mailových systémov, cloudových služieb, nástrojov SaaS, zariadení IoT a dátových úložísk.

Hneď v druhom kroku sa automatizovane aplikujú záplaty, následne sa preveruje ich účinnosť a opravujú sa chybné konfigurácie. K tomu odporúča Tomáš Vobruba zo spoločnosti Check Point aj integráciu spravodajstva o hrozbách v reálnom čase  - Threat Intelligence.

Nároky na profesionálov

Vstup do elitnej spoločnosti etických hackerov umožňujú až náročné certifikácie. Na najnovší kurz a jeho nevyhnutnosť upozorňuje Jozef Bálint zo spoločnosti Alison Slovakia. Kľúčovou inováciou od minulého roku je tu integrácia umelej inteligencie do výučby aj praktických cvičení.

AI umožňuje automatizovanú identifikáciu zraniteľností a predikciu potenciálnych kybernetických hrozieb. Malvérová analýza v reálnom čase pomáha expertom rýchlejšie reagovať na nové hrozby. AI je aj súčasťou penetračných testov, kde automatizovane prehľadáva cloudové riešenia, IoT zariadenia či webové aplikácie. V interaktívnych útokoch zas umelá inteligencia napodobňuje reálne hackerské techniky.

Nástrahy boomu

Áno, od januára sa dramaticky zvýšil dopyt po praktikách ofenzívnej bezpečnosti. A trh reaguje.

Cena penetračných testov sa líši, no príliš lacné ponuky často znamenajú povrchné testovanie založené len na automatizovaných skenoch. Preto treba porovnať rozsah testu, metodológiu a kvalitu výstupov. Dôležité je venovať pozornosť odbornosti a skúsenostiam tímu. Kvalitný dodávateľ ponúkne aj konzultácie, pomoc pri opravách zistených chýb a možnosť re-testu, aby sa overila účinnosť opráv.

Nekvalitný test môže vytvoriť falošný pocit bezpečia, zatiaľ čo ten dobre vykonaný odhalí skutočné slabiny. V ideálnom prípade by malo byť testovanie pravidelné, pretože bezpečnostné hrozby sa neustále vyvíjajú.