Trend používania techník ofenzívnej bezpečnosti však pomaly preniká do širšieho povedomia firiem. A je to len dobre. Týmto prístupom zvyšujú svoju bezpečnostnú odolnosť a minimalizujú riziká.Niečo z vojenského žargónu
Dobre známe porekadlo “ťažko na cvičisku, ľahko na bojisku” sa dá v prenesenom význame použiť aj pri využívaní prvkov ofenzívnej bezpečnosti. Reálnou simuláciou útokov získame komplexný obraz a danom systéme a nespoliehame sa len na nastavené politiky, či správne napísaný softvér, ale jednotlivé komponenty podrobíme reálnej skúške.
Samozrejme, táto skúška musí byť dostatočne reálna no na druhej strane nemôže ohroziť našu prevádzku, či spôsobiť firemné straty. Dôležité je však simulované útoky správne vyhodnotiť a potom spätne reflektovať výsledky do procesov a do bezpečnostných nastavení. Vždy sa oplatí mať tieto znalosti skorej ako útočník.
Skúste pentest
Prvky ofenzívnej bezpečnosti sa dajú použiť na takmer akúkoľvek súčasť bezpečnostných nastavení, či už sa jedná o zabezpečenie siete, aplikácií, procesov či dokonca na obozretnosť používateľov. Výber jednotlivých prvkov sa bude líšiť podľa profilu spoločnosti, no takmer každá spoločnosť môže využiť najmä penetračné testovanie a interné phishingové kampane.
Penetračné testovanie môže odhaliť dôležité slabiny v kľúčových systémoch spoločnosti a tým predchádzať zneužitím týchto zraniteľností útočníkmi. Penetračné testovanie sa však nelimituje len na softvér či webové aplikácie. Pentesty vieme využiť aj testovanie dodávateľských reťazcov.
Hlavne začať
Dáta a poznatky, ktoré získame takýmito cvičeniami sú nesmierne relevantné a poskytujú reálny obraz o bezpečnosti v danej spoločnosti. Takéto dáta nevieme nijako inak dostať a preto by hlavnou otázkou nemalo byť, či s prvkami ofenzívnej bezpečnosti začať, ale kedy a ako ich správne integrovať do procesov riadenia informačnej bezpečnosti.
Stáva sa, že techniky ofenzívnej bezpečnosti vníma manažmentom spoločnosti s odstupom, alebo nedôverou. Výsledky však majú zásadný vplyv na celú oblasť informačnej bezpečnosti.
Strategická úroveň
Ofenzívne techniky poskytujú pre vrcholový manažment dôkazy o reálnych rizikách a slabinách jednotlivých systémov a procesov. Dáta sú základom pre strategické rozhodnutia a alokáciu zdrojov, čiže vedia prioritizovať investície do bezpečnosti na základe reálnych, de facto potvrdených hrozieb.
Pre finančných alebo generálnych manažérov prinesú testy porozumenia rizikám na úrovni ich povinností a zodpovednosti. Dokážu tak účinnejšie začleniť bezpečnostnú kultúru a súlad s reguláciami do stratégie firmy.
Taktická úroveň
Stredný manažment, často bezpečnostní a IT manažéri využívajú výsledky testov na zlepšenie interných procesov, politík a bezpečnostných architektúr.
Výstupom sú pre nich informácie o reálne zneužiteľných zraniteľnostiach z hľadiska závažnosti aj dosahu na biznis operácie. Následne tak navrhujú bezpečnostné kontroly a opatrenia. Výsledky im pomáhajú pri tvorbe plánov reakcie na incidenty, v zlepšení SOC operácií a v zladení technických a biznis cieľov v bezpečnostných projektoch.
Operatívna úroveň
Kyberbezpečnostní špecialisti, admini, analytici samotné ofenzívne techniky často realizujú alebo reagujú okamžite na ich výstupy.
K dispozícii tak majú reálne prípady pre ladenie detekcie v monitoringu, alebo bezpečnosti koncových zariadení. Riešia konkrétne zraniteľnosti a nasadzujú bezpečnostné záplaty, optimalizujú pravidlá firewallov, manažment prístupov a oprávnení. Ak bolo cvičenie realizované interným red tímom, tak samozrejme aj pre nich prináša takéto cvičenie personálny prínos v podobe osvojovania si taktík, techník a procedúr v “skoro reálnom” cvičení.
Michal Srnec vedúci oddelenia informačnej bezpečnosti