Cynický pohľad na štandardný prístup k budovaniu odolnosti infraštruktúr voči kybernetickým útokom
Napriek existujúcim reguláciám, implementovaným (alebo minimálne deklarovaným) bezpečnostným opatreniam v organizáciách je stále väčší počet organizácií obeťou kybernetického útoku. Tieto útoky prichádzajú vo všetkých „tvaroch“ a „farbách“. Od kompromitácií verejnej dostupných služieb, cez business email compromise, exfiltráciu citlivých údajov až po ransomware a kybernetickú špionáž alebo sabotáž kritickej infraštruktúry. Vektory úspešných útokov sú širokého rozptylu: od jednoduchého „password stuffingu“, cez exploitáciu verejne dostupnej služby prostredníctvom známej zraniteľnosti, phishingový alebo spearphishingový email až po reťazovú exploitáciu zero-day zraniteľnosti v rôznych technológiách pri aktuálnej úrovne záplat.
Naivným očakávaním je, že útoky s najväčším dopadom sú vykonávané prostredníctvom najsofistikovanejších metód a za použitia elitného APT tímu s využitím veľkého množstva škodlivého kódu a nástrojov a exploitov zo sna nadšenca hollywoodskych filmov. V skutočnosti mnohé aj verejnosti známe (či už priamo alebo prostredníctvom ich sekundárnych dôsledkov) kybernetické útoky boli vykonané a sú vykonávané prostredníctvom triviálnych techník, ktoré sú známe principiálne aj absolventovi takmer ktoréhokoľvek kurzu alebo tréningu penetračného testovania a etického hackingu.
V rámci našej prezentácie demonštrujeme najčastejšie triviálne zraniteľnosti, ktoré viedli ku kompromitácií organizácií a infraštruktúr nezanedbateľného významu, poukážeme na najčastejšie reálne nedostatky, ktoré spôsobujú kompromitáciu infraštruktúr, pričom častokrát vôbec nie sú uvádzané v správach z penetračných testov či auditov, alebo majú strednú, nízku, alebo informačnú závažnosť.
Súčasne sa pozrieme na kybernetické útoky z pohľadu organizácie a poukážeme na logické chyby v uvažovaní bezpečnostných architektov pri návrhu bezpečnosti infraštruktúr najmä v kontexte zachovania súladu s reguláciami a integrácie infraštruktúr s verejným cloudom.
V závere príspevku si dovolíme navrhnúť metódy, postupy a mementá, ktoré sme počas našej praxe identifikovali ako rozdielové opatrenia na štatisticky významnej vzorke našich riešených prípadov.
Lukáš Hlavička
Lukáš Hlavička, CISSP, GCFA, GXPN v súčasnosti pôsobí ako CTO spoločnosti IstroSec. Predtým pôsobil ako riaditeľ oddelenia DFIR, riaditeľ vládneho CSIRT a súdny znalec. Lukáš má viac ako 15 rokov skúseností v oblasti kybernetickej bezpečnosti vrátane skúseností s riadením vládneho analytického tímu v CSIRT v Európe. Pôsobil ako riaditeľ vládneho tímu CSIRT európskej krajiny. Je orientovaný na cieľ a vždy na ceste, aby pomohol zákazníkom byť v bezpečí. Jeho profesionálnymi záujmami sú digitálna forenzná analýza so špecializáciou na cielené kybernetické útoky, reakcie na incidenty a penetračné testy infraštruktúry a Red team aktivity. Je držiteľom rôznych certifikátov vrátane CISSP, GCFA, GCFE, GXPN, CFR a mnohých ďalších.