Kibernetsko obveščanje: osnova za načrtovanje kibernetske varnosti in ukrepov (3.del)

Pridobivanje obveščevalnih informacij podjetjem omogoča pravilne odločitve pri načrtovanju dejavnosti in sistemov kibernetske varnosti kakor tudi odločanje v primeru varnostnih incidentov.

Kibernetsko obveščanje: osnova za načrtovanje kibernetske varnosti in ukrepov (3.del)

Dave Gill, vodja partnerskega kanala za regijo EMEA v podjetju KELA, je v zaključnem delu ekskluzivnega intervjuja za Kibernitje pojasnil širšo korist kibernetskega varnostnega obveščanja ter kako tovrstne informacije uporabiti pri izvajanju kibernetske varnosti in zaščite.  

Varnostnega obveščanja se v Sloveniji poslužuje malo podjetij, večinoma le iz segmenta ponudnikov kritične infrastrukture. Ali so tovrstne storitve aktualne tudi za druga podjetja?

Vsako podjetje veliko ali majhno, vsaka panoga bi v idealnem svetu morala imeti dostop do teh podatkov. Kajti še enkrat, če gremo pri vsem skupaj čisto na začetek, če nimate verodostojnih in zanesljivih obveščevalnih podatkov, na čem potem gradite varnostno strategijo? To je nekako tako, kot da bi kupil parcelo in zgradil hišo. Če ne opravim nobene raziskave, ne vem ničesar o zemljišču v smislu sestave in trdnosti tal. Ničesar ne vem o območju v smislu zaposlovanja ali nadaljnjega urbanističnega načrtovanja ali morda gradenj industrijskih objektov. V resničnem svetu bomo naredili raziskavo, pridobili podatke, si ogledali parcelo in nato v skladu s pridobljenimi informacijami zgradili svojo hišo.

Trenutno ljudje pogosto porabijo precej denarja za varnostne rešitve, na primer za požarne zidove, XDR, NDR, SIEM … Vendar dejansko nimajo nobenih obveščevalnih podatkov o tem, kdo so akterji groženj ter kakšna so njihova orodja, tehnike in postopki. Kaj uporabljajo za povzročanje škode?  Ali ciljajo na mojo panogo? Ali ciljajo na mojo dobavno verigo? Ali so usmerjeni na moje geografsko področje?

Če dobim vse te informacije, lahko grem k upravnemu odboru in rečem, da potrebujem več denarja bodisi za nakup dodatnih varnostnih rešitev bodisi za usposabljanje za ozaveščanje o varnosti ali vdorne preizkuse.

Če torej ena od naših strank opazi, da se na enem od trgov prodaja dostop do ene od njenih storitev, ga lahko kupimo v njenem imenu.

Torej svetujete, da se varnostno obveščanje uporablja že pri načrtovanju sistema kibernetske varnosti?  

Točno tako. Lahko pa gre tudi za načrtovanje odzivanja. Recimo, ko nam obveščevalni podatki z visoko stopnjo zaupanja pokažejo, da je nekdo pravkar kupil dostop do zelo občutljivega portala v našem omrežju in da je verodostojen akter, ki predstavlja resnično grožnjo. Posledično moramo sprejeti nekaj zelo odraslih odločitev o tem, kaj bomo takoj storili, ker obstaja zelo jasna in neprijetna nevarnost za našo organizacijo.

V splošnem velja, da moramo biti veliko bolj pozorni na to, kar se dogaja okoli nas. Če kateri koli vodja ali zaposlenec prejme kar koli, kar je sumljivo, naj ne klikne, naj to prijavi. V podjetju KELA imamo podatke, da lahko odkrijemo, kaj se dogaja in kar je zelo pomembno, to počnemo že vrsto let, pri čemer večina sodelavcev prihaja prav iz obveščevalnih služb.

Ali spremljate vse vire kibernetske kriminalitete?

Seveda ne. Pomembno je, da že na začetku ocenimo vire, ki jih bomo spremljali, saj vsi viri niso enaki. Tako tudi zagotovimo, da v naše podatkovno jezero vnašamo res verodostojne podatke. Poleg tega omogočamo tudi storitve izven naše standardne platforme, na primer da izvedemo interakcijo z akterji groženj. Kot sem že dejal, lahko gremo do akterja grožnje in od njega zahtevamo dodatne informacije, lahko pa tudi sodelujemo s trgom. Če torej ena od naših strank opazi, da se na enem od trgov prodaja dostop do ene od njenih storitev, ga lahko kupimo v njenem imenu. Takoj ko ga kupimo, dobimo vsa uporabniška imena in gesla, kar stranki omogoči, da odkrije čigav računalnik je bil prizadet, lahko ga ponovno vklopijo, očistijo in predajo v uporabo. Na podoben način izvejo tudi, do katerih sistemov so lahko zlonamerni akterji dostopali. Skratka izvedemo lahko tudi stvari, kot je zahteva po zelo specializiranih obveščevalnih podatkih.

Kdo so tipični uporabniki storitev kibernetskega varnostnega obveščanja?

Sodelujemo z nekaterimi največjimi podjetji po vsem svetu v avtomobilski industriji, v maloprodaji, s ponudniki finančnih in pravnih storitev … Sodelujemo tudi z organi pregona, s policijami in podobno ter z vojaškimi službami. Vedno več sodelujemo s ponudniki upravljanih storitev kibernetske varnosti, ki želijo svojim strankam zagotoviti tovrstne storitve spremljanja stranskega dogajanja. Ti ponudniki z uporabo naše platforme svojim strankam zagotavljajo varnostno obveščanje, pri čemer gre bolj za srednja in velika podjetja.

Z uporabo naše platforme zelo hitro spoznate, ali je akter groženj dobro znan in verodostojen, ali že mesece in leta izsiljuje podjetja, ali ima ugled, je bil opažen prvič ...

Ali se kibernetske kriminalne organizacije zavedajo, da jih spremljate in preprečujete njihov uspeh?

Dobro je videti, da imate dve strani partnerjev. Na eni strani so vaše stranke, ki si želijo informacij, na drugi pa kibernetske kriminalne organizacije. Te vedo, da jih opazujete. Vedo, da se organi pregona in varnostni raziskovalci poskušajo infiltrirati vanje in narediti to, kar počnemo mi.  Pri tem kar počnemo smo med najboljšimi, vendar nismo sami. Zato so kibernetski kriminalcu uvedli lastne varnostne ukrepe. Če sumijo, da bot kliče njihov vir, ga izločijo in mu onemogočijo dostop. Zato govorimo o tem, da lahko traja več mesecev, da dobimo dostop do vira in če vas razkrijejo, vas lahko izločijo v nekaj minutah. Zato moramo biti zelo previdni in poskrbeti, da z uporabo naše tehnologije pri brskanju po teh spletnih mestih obidemo njihove varnostne ukrepe. Prav tako skrbimo, da ne izgledamo kot da smo pomembni. Kako to počnemo je zelo, zelo zapleteno, zato nam posredujejo vse kar želimo. Vendar to spet pomeni, da lahko zelo enostavno vstopimo in neopaženo ostanemo v teh okoljih. Tako smo na primer dobili dostop do nekaterih trgov več let pred drugimi ponudniki v panogi. Vse skupaj je zelo podobno kot v filmih. Pazijo na ljudi, kot smo mi, mi pa ostajamo v senci in skrbimo, da dobro prisluškujemo, da lahko vse te informacije vnesemo v naše podatkovno jezero.

Omenili ste, da obstaja nekaj zrelih etičnih hekerskih skupin. Kaj pa tisti, posamezniki, ki nimajo znanja, da bi vaše sisteme spravili v začetno stanje potem, ko so ga zašifrirali?

Tu gre za to, da ocenimo verodostojnost akterjev groženj. Zavedamo se, da obstajajo različne ravni akterjev groženj. Če ste nesrečno podjetje, ki prejme zahtevo po odkupnino, je zelo pomembno razumeti, da potrebujete več informacij o akterju grožnje. Z uporabo naše platforme zelo hitro spoznate, ali je akter groženj dobro znan in verodostojen, ali že mesece in leta izsiljuje podjetja, ali ima ugled, je bil opažen prvič ... Ne morem omenjati imen, vendar je lani ena od naših strank prejela zahtevo za odkupnino in postalo je zelo jasno, da je bil akter groženj zelo nezrel. To je bilo prvič, da smo jih videli. Niso bili aktivni na nobenem forumu. Niso upoštevali običajnih postopkov – niti najbolj enostavnih stvari, kot je na primer navedba zahtev v zahtevi za odkupnino. V obvestilu ni bilo podatkov, niti tega, do kdaj je rok plačila in kaj se bo potem zgodilo. Uporaba določenih informacij torej vpliva na to, kako se boste odzvali na takšen dogodek.

Ker, kot pravim, največkrat ne gre za hekerje ampak za kriminalce. In kriminalci pogosto pravijo, da imajo dostop, čeprav ga nimajo. Rekli bodo, da imajo podatke, čeprav jih nimajo. Torej gre ponovno za sposobnost presoje, katere akterje groženj je treba jemati zelo resno in kateri akterji groženj morda niso tako resni in zato njihove zahteve za vas nimajo teže.

Imate morda za konec kakšen hiter varnostni nasvet naše bralce?

Izpostavil bo kreativnost pri geslih. Vedno znova opažamo primere, ko je službena e-pošta več let izpostavljena številnim vdorom vendar zaposleni še vedno uporabljajo isto ali podobno geslo. Čeprav je morda vaša politika podjetja takšna, da zaposleni vsakih 30 dni prisilno zamenjajo geslo, akterji groženj vedo, da ima nek posameznik rad geslo 123 in da ga že več let uporablja v različnih sistemih. To informacijo lahko hitro izkoristijo za povzročitev škode. V primeru, da najdejo nek drug sistem, ki ga ta oseba uporablja, predvidijo tudi kakšno je njeno geslo. Zato je to zelo pomembno.

Preberite še:

Kibernetsko obveščanje: pozabite na mladce v kapucah! (1.del)

Kibernetsko obveščanje: vsako podjetje je lahko tarča! (2.del)