Ondřej Nekovář a Jan Pohl

Image

Adversary emulation v rámci Šedé zóny aktivní obrany

V dnešní době se obrana infrastruktury až překvapivě stále spoléhá především na reaktivní prvky obrany, tedy ty, které čekají na spuštění. Tyto spouštěče (triggery) jsou založeny na krocích provedených protivníkem v minulosti, takže pro efektivní obranu jsou v „přírodě“ k ničemu. Jen si položte snadnou otázku: Odkud tato pravidla pro spouštěče pocházejí? Jsou nalezeny proaktivními akcemi, jako jsou honeypoty, threat-huntingem, hloubkovou kontrolou paketů etc., nikoli samotnými reaktivními produkty.

A právě to je důvod, proč musíme všichni změnit postoj k obraně a také hlavní důvod, proč jsme se touto cestou vydali my. To neznamená, že bychom měli zapomenout na to, co už máme a používáme, jako firewally, antiviry, SIEM atd. Vůbec ne, ale musíme přehodnotit, kde leží jádro naší obrany a jak přerozdělit naše zdroje.

Naše prezentace účastníkům ukáže, jak přistupujeme k obraně, a to formou aktivní kybernetické obrany. Rádi bychom se podělili o výsledky našeho výzkumu a naše zkušenosti. Od začátku, tedy pasivního čekání na katastrofu přes získávání nástrojů až po okamžik „přijaté výzvy“ a souboje s protivníkem, který již není o krok před námi. A to cestou našeho pojetí Šedé zóny aktivní obrany (Active defense’s Gray Zone).

Jednou z kategorií Šedé zóny aktivní obrany (Active defense’s Gray Zone) je pak simulace akcí útočníka (Adversary emulation). Samotná exekuce útoku je pouze zlomkem aktivit, které musí útočník dokončit, aby získal foothold (noha ve dveřích) v cílovém prostředí. Daleko větší výzvou je jeho infrastruktura, tak aby byla co nejméně odhalitelná a co nejvíce opakovatelná.

Jaké možnosti útočník má a jak je využije se pokusíme přiblížit v další přednášce ze série Šedé zóny aktivní obrany (Active defense’s Gray Zone).

Prezentace je založena na vlastním výzkumu a praktických zkušenostech přednášejících při aplikování jednotlivých kategorií z Šedé zóny aktivní obrany.

Ondřej Nekovář

V současnosti pracuje jako CISO ve Státní pokladně Centrum sdílených služeb, s. p., kde se svým týmem zajišťuje kybernetickou a informační bezpečnost pro národní datové centrum resortu Ministerstva financí, prvek kritické informační infrastruktury. Další jeho rolí je Chief deception officer, kdy má na starosti strategický rozvoj prvků aktivní kybernetické bezpečnosti. Dále se specializuje na problematiku legislativy v oblasti kybernetické bezpečnosti a aktivní obrany.

Jan Pohl

Aktuálně zastává funkci threat hunter ve Státní pokladně Centrum sdílených služeb, s. p. Jeho specializací jsou techniky, procedury a taktiky APT útočníků v kontextu nasazení aktivní obrany. Několik let také strávil jako člen Red teamu v nadnárodní korporaci.


Vytisknout