Samodejno vdorno preizkušanje z izkušenim kadrom je prihodnost

Na slovenskem trgu se povečuje ponudba programov za samodejno vdorno preizkušanje, ki bodo po pričakovanjih omogočili večjo dostopnost vdornih preizkusov in s tem v splošnem močnejšo odpornost organizacij na kibernetske napade, vendar lahko skrivajo tudi pasti in podajo lažen občutek varnosti.

Samodejno vdorno preizkušanje z izkušenim kadrom je prihodnost

Varnostni pregled in vdorni preizkus ali penetracijski test sta edina načina za preverjanje odpornosti IKT-sistema na kibernetske napade. Organizacija z njima pridobi vpogled v ranljivosti in škodo, ki bi jo lahko povzročil dejanski napad. Na osnovi vdornega preizkusa strokovnjaki za kibernetsko varnost običajno pripravijo obsežno poročilo, ki zajema analizo tveganj, poročilo o stanju varnosti preizkušenih sistemov za vodstvo ter tehnični predlog operativnih in strateških ukrepov, tako glede nastavitve uporabljenih varnostnih rešitev kot tudi morebitnih dodatnih naložb.

»Največji izziv je v tem času, da ljudje investirajo v rešitve za kibernetsko varnost, kot so XDR, požarni zid naslednje generacije, SIEM, ne vedo pa ali so odporni na naslednji kibernetski napad, dokler do njega ne pride,« je izpostavil Miha Lavrič, tehnični direktor v podjetju CREAPLUS.

Podjetja, ki se odločijo za vdorno preizkušanje, to izvajajo običajno enkrat letno, nekatera to izvajajo zaradi zakonodaje, druga na zahtevo poslovnih partnerjev. Tista, ki se bolj zavedajo pomena kibernetske varnosti pa lahko tudi ob vsaki spremembi sistema ali aplikacij, kot je recimo mehanizem za overjanje uporabnikov. Vsekakor se je v zadnjem letu povečalo število podjetij, ki so izvedla vdorni preizkus predvsem na račun podpore države, vendar se je ta dejavnost močno zmanjšala takoj, ko vavčerskih sredstev ni bilo več na voljo.

»Problem je, da je informacijski sistem živ in se neprestano spreminja. Organizacije ugotavljajo, da je enkraten vdorni preizkus premalo in da je treba stalno preverjati stanje sistema, ali je odporen na napade, ki se v tem trenutku dogajajo po vsem svetu.« Miha Lavrič, tehnični direktor CREAPLUS in certificirani etični heker

Vse več podjetij, predvsem ponudnikov kritične infrastrukture in izvajalcev bistvenih storitev pa tudi ponudnikov upravljanih storitev kibernetske varnosti, zato uvaja rešitve za samodejno vdorno preizkušanje informacijskih sistemov, kot sta na slovenskem trgu Picus, ki ga kot distributer ponudnikom kibernetske varnosti zagotavlja CREAPLUS, in Pentera, ki ga prodaja podjetje Carbonsec.

»Organizacije se ob trenutnem stanju njihove kibernetske zaščite ne morejo soočiti z vsemi grožnjami, ki se stalno dogajajo in jim pretijo v kibernetskem prostoru. Kriminalni hekerji ne spijo, delajo 24/7. Enostavno nimaš časa, da bi spremljal nove trende, saj imaš delo s svojim poslovanjem. Rešitev za samodejno vdorno preizkušanje ti omogoči, da imaš čas za ukvarjanje s svojim informacijskim sistemom, da popravljaš vrzeli, ko jih najdeš, in ne pustiš hekerjem, da so korak pred tabo,« je povedal Lavrič.

Dostopnejše storitve vdornega preizkušanja

Tovrstne rešitve so idealne za ponudnike upravljanih storitev kibernetske varnosti ter izvajalce storitev vdornega preizkušanja, ki želijo svojim strankam ponuditi cenovno ugodne in predvsem pogostejše preizkuse kibernetske zaščite glede na trenutne grožnje in ob spremembah v informacijskem sistemu.

»Vsaka organizacija prenese to ceno, še posebej tista, ki si prej ni mogla privoščiti vdornega preizkusa. Lahko kupiš enkratno validacijo, ki stane od dva do tri tisoč evrov, in si privoščiš preizkus večkrat letno. Vdorni preizkusi sicer stanejo nekje od šest do petnajst tisoč evrov. Trenutno za kibernetsko varnost ni vavčerjev, zato so se številne organizacije odpovedala vdornemu preizkušanju. S takšnim orodjem pa je vdorno preizkušanje dostopno tako rekoč vsakemu, tudi brez vavčerja,« je opozoril Lavrič.

Med največjimi koristmi rešitev za samodejno preizkušanje je hkraten preizkus odpornosti na več tisoč znanih napadov.

Po drugi strani lahko namesto enega vdornega preizkusa na leto izvedejo štiri, kar pripomore k boljši usklajenosti njihovega sistema kibernetske varnosti z dejanskimi grožnjami. Tiste organizacije, ki se odločijo za lastništvo takšne rešitve in imajo tudi ustrezno ekipo, ki rezultate preizkusov razume in takoj uporabi, pa seveda lahko svoje sisteme preizkušajo neprestano in so zato vedno v koraku z aktualnimi napadi, ki jih izvajajo kriminalne hekerske skupine, kot so APT10, APT35, C10p in številne druge. Po podatkih podjetja MITRE Corporation, ki obvladuje najbolj uporabljeno referenčno ogrodje za kibernetske grožnje MITRE ATT&CK, je recimo trenutno aktualnih kar 138 kriminalnih hekerskih skupin, med katerimi so številne državno sponzorirane, pri čemer je trenutno 22 aktivnih kampanj.

Še vedno veliko dela za etične hekerje

Osnovni namen informacijskih rešitev za samodejno vdorno preizkušanje je ocenjevanje in nadzor varnostnih rešitev. »Lahko imaš najboljši požarni zid, ampak ti nič ne pomaga, če je napačno nastavljen. Orodje Picus recimo to preveri in tako lahko prepreči dejanski kibernetski napad. Za organizacije je najbolj pomembno, da gre za preprost proces, ki se izvede na klik,« je pojasnil Lavrič.

bostjan spehonja 2»Orodje za samodejno vdorno preizkušanje sicer pohitri in poenostavi preverjanje obstoječega varnostnega sistema, vendar zahteva strokovnjaka, ki razume rezultate in dodatno opravi tista testiranja, ki jih avtomatizirana orodja ne zmorejo.« Boštjan Špehonja, direktor podjetja Go-Lix in priznan etični heker

Med največjimi koristmi rešitev za samodejno preizkušanje je hkraten preizkus odpornosti na več tisoč znanih napadov. Takšno orodje po validaciji varnostnih kontrol predlaga, kako se lahko uporabnik najbolje zaščiti pred napadi s trenutno uporabljenimi rešitvami, kar navsezadnje pomeni, da ohranja naložbe in optimizira obstoječo kibernetsko zaščito.

Seveda pa se še vedno potrebuje storitve etičnih hekerjev. »S pristopi, ki jih ponuja simulacijsko orodje, se preizkuša trenutno stanje v IT-sistemu, pri čemer orodje najde vrzeli, ki bi jih zlonamerni heker potencialno izkoristil. Etični hekerji pa te ranljivosti v preizkusu dejansko zlorabijo in ti povedo, prišli smo noter tukaj in tukaj. Lahko delujejo bolj ciljno in pomagajo odkriti ranljivosti v posameznih aplikacijah, sistemih in IT-sredstvih. Poleg tega ne smemo pozabiti, da etični hekerji sodelujejo tudi pri razvoju kibernetskih varnostnih načrtov,« je zaključil Lavrič.

Orodja za samodejno preizkušanje so tako etičnim hekerjem oziroma ponudnikom storitev vdornega preizkušanja tudi odličen pripomoček, da se lahko bolj poglobijo v analizo rezultatov.

S tem se strinja tudi Boštjan Špehonja, eden najbolj vidnih slovenskih etičnih hekerjev in direktor podjetja Go-Lix, ki pravi, da orodje za samodejno vdorno preizkušanje sicer pohitri in poenostavi preverjanje obstoječega varnostnega sistema, vendar zahteva strokovnjaka, ki razume rezultate in dodatno opravi tista testiranja, ki jih avtomatizirana orodja ne zmorejo.

»Ti programi lahko zelo optimizirajo čas za izvedbo varnostnega pregleda, vendar je treba vse pridobljene informacije preveriti, jih podkrepiti z dokazi ter izločiti lažno pozitivne. Tega noben program ne naredi samostojno. Poleg tega se pri ročnem vdornem preizkusu izvedejo tudi kompleksnejši ter agresivnejši testi, ki lahko potencialno povzročijo motnje v delovanju sistemov in jih je potrebno predhodno podrobno doreči z naročnikom. Izraba posamezne ranljivosti nam velikokrat odpre vrata do novih informacij, sistemov in s tem možnosti odkrivanja novih varnostnih ranljivosti,« je razložil Špehonja.

Orodja za samodejno preizkušanje so tako etičnim hekerjem oziroma ponudnikom storitev vdornega preizkušanja tudi odličen pripomoček, da se lahko bolj poglobijo v analizo rezultatov. »Odkritja lahko izkoristimo za nadaljnje delo, predvsem pri preverjanju informacijske infrastrukture v notranjem omrežju organizacije. Razlika je tudi v tem, ali se IKT-okolje preverja po metodologiji black box ali grey box. Pri prvem nimamo nikakršnih informacij o sami postavitvi in delovanju IKT-okolja ter njegovih gradnikih, medtem ko imamo pri metodologiji gray-box vsaj veljavno uporabniško ime ter shemo omrežja,« je dejal Špehonja.

Enostavno izvajanje preizkusov glede na ogromno število groženj, v ključno z najnovejšimi grožnjami, je torej glavna pridobitev programov za samodejno vdorno preizkušanje. In kakor je sistemizacija preizkusov ter prihranek časa pomembna pridobitev, je istočasno lahko velika past. S programi za avtomatsko vdorno preizkušnje mora še vedno upravljati kompetentna oseba, ki povratne informacije razume in jih zna izkoristiti. Sicer se kaj lahko zgodi, da naložba ne bo imela učinka in kar je še slabše, skrbniki za kibernetsko varnost in poslovni uporabniki bodo imeli lažen občutek, da je za varnost dobro poskrbljeno.