fb
IT Systems 1/2020 IT Security 17. 3. 2020 6:00

Jak se připravit na kybernetický útok

Od penetračních testů k Red Team Operations

Cyber RangersV posledních letech se neustále množí počty úspěšných kybernetických útoků, které zneužívají systémové, ale hlavně lidské chyby. Každá organizace na světě je totiž do jisté míry zranitelná. Hackeři identifikují za pomoci svých robotů zranitelnosti organizací bez rozdílu velikosti a odvětví. Následně se odhalené zranitelnosti pokoušejí zneužít, aby získali to, co požadují, ať už je to výkupné, data a informace nebo také osobní údaje (jména, e-mailové adresy, kreditní karty atd.). Pokud si říkáte, že se vás tato situace nemůže týkat, pak se do značné míry pletete.

Hackeři hledají slabá místa organizací díky jednoznačným ukazatelům, tzv. signaturám, a díky tomu nepoznají rozdíl, zda se jedná o nemocnici, ministerstvo nebo společnost vyrábějící knoflíky, či prodejnu zeleniny. Identifikace takové zranitelnosti přitom může být pro hackera velmi snadná. Můžeme se tedy efektivně bránit proti těmto hrozbám? A má vůbec smysl se bránit, pokud je stejně každá organizace zranitelná? Rozhodně má, protože rizika kyberútoku a zejména jeho dopadu na organizaci lze výrazně snížit. Je ovšem nutné si uvědomit svá slabá místa, tedy najít ta místa, která mohou být pro společnost slabinou, a snažit se tato místa ošetřit.

Právě z tohoto důvodu bychom měli pravidelně zabezpečení naší organizace testovat. Procesem testování je myšlen způsob, kdy dokážeme odhalit slabá místa ještě dříve, než je bude moci zneužít hacker. Je důležité si také uvědomit, kdy a kde mohou tato slabá místa vznikat, a každé jednotlivě „opancéřovat“. Nesmíme však zapomínat, že nám bude cestu křižovat jedna podstatná fyzikální veličina. Čas! Každá slabina i každá silná stránka je relativní v čase a postupně se vyvíjí. Hackeři se učí hledat nové a nové zranitelnosti a stejně tak i obránci, aby si udrželi krok, tak se musí neustále zdokonalovat ve svém snažení. A i zde tedy platí „těžko na cvičišti, lehko na bojišti“. Na tomto principu je zapotřebí, aby se organizace orientovaly více na „cvičiště“ a šetřily svoje síly na řízenou obranu, před pouhým odrážením útoků nepřítele.

U každé organizace slabiny vznikají jinak a v jiný čas. Pokud budete firma, která vyrábí software, nebo například e-shop, pak chyba v systému může vzniknout s novou verzí nebo s úpravou zdrojového kódu. Pokud jsme organizace, která vyrábí knoflíky, a naše IT slouží jen pro vystavování faktur, pak změn v IT tolik nemáme a díry v systému přijdou pravděpodobně, až když bude odhalena nějaká zranitelnost aplikace, či operačního systému. Tedy i náročnost a četnost testování může být různá.

Penetrační testy obecně

Testování lze provádět mnohými způsoby, ať jsou to simulované phishingové útoky, trénování reakce na bezpečnostní události nebo také pravidelné provádění řízených testů, které hledají slabiny aplikací a infrastruktur společností. Těmto testům říkáme penetrační testy. Penetrační testy mají množství standardů a předepsaných postupů od renomovaných společností, což nám pomáhá určit jednoznačný rámec a také zajistit, že osoba provádějící penetrační testy na nic nezapomene. Jako příklad můžeme uvést například standardy jako OWASP (Open Web Application Security Project), který řeší zabezpečení a způsoby testování webových aplikací, tedy aplikací dostupných skrze vaše internetové prohlížeče, nebo také PTES (Penetration Testing Execution Standard), či PTF (Penetration Testing Framework), který pomáhá správně testovat infrastruktury a infrastrukturní služby a částečně říká, jak testovat lidský faktor a fyzickou bezpečnost. Tyto standardy a postupy však neřeší do detailu jednu z podstatných částí, a to jsou interní procedury, tedy procesy a lidský faktor, který hraje ve světě kybernetické bezpečnosti podstatnou roli.

buscadorOS

Podstatnou částí kybernetické bezpečnosti je fyzická bezpečnost, která může pro některé organizace představovat jen turniket, ochranku u vstupu do prostor společnosti a kamery hlídající vstupní místa, ale pro některé firmy je to mnohem komplexnější úkol, jelikož odcizení notebooku zaměstnance může představovat opravdovou hrozbu odcizení citlivých dat z organizace bez narušení IT systémů. Proto bychom se měli při testování zaměřit i na tyto vertikály a k tomu nám může pomoci standard OSSTMM (Open Source Security Testing Methodology Manual) nebo také ISSAF (Information System Security Assessment Framework). Tyto standardy jsou velice komplexní a můžeme v nich najít mnohé oblasti, na základě kterých lze provádět testování.

metasploit

Černá, šedá a bílá

Penetrační testování má několik základních typů a správný typ testování si volíme vždy na základě potřeby a požadavku. Pokud chceme simulovat chování „hackera robota“, pak pro náš účel nejlépe poslouží tzv. Black Box testování, tedy testování černé skříňky, kdy penetrační tester zná pouze IP adresu cíle, ale o aplikaci nebo části infrastruktury neví v zásadě nic, a vše je tedy předmětem testování. Jak lze jistě odvodit, tak toto testování může být časově náročné, a proto se často volí tzv. Gray box testy, tedy testy, u kterých zná tester infrastrukturu, skladbu aplikace, či platformu, na které je systém provozován. Poslední z obecných typů penetračních testů jsou tzv. White Box testy. Při těchto testech zná tester veškeré informace a má k dispozici zdrojový kód aplikace, či služby a musí provádět i tzv. Code review, tedy hledá zranitelnosti přímo ve zdrojovém kódu. Obecně penetrační testy mají však jednu velkou slabinu nebo limitu, a tou je fakt, že společnost často vybírá jen aplikace, které jsou pro společnost důležité. Tedy tester kontroluje vlastní aplikaci, ale už se nezaměří na testování okolního světa a sousedících aplikací, dodavatelů a správců aplikace. Výsledky poté mohou dát organizaci falešný pocit bezpečí.

Red Team Operations

Abychom předešli těmto problémům, máme zde další možnost testování, a tou je tzv. „Red Team Operations“, kdy se většinou skupina útočníků, kdy každý má rozdílné kompetence, stane etickými hackery a útočí na společnost v rámci vymezeného rozsahu. Podstatným rozdílem mezi penetračním testováním a Red Teamem je způsob testování. Při penetračním testu se snaží tester najít všechny slabiny jedné aplikace, služby nebo části infrastruktury, ale u Red Teamu se identifikuje hloubka narušení bezpečnosti v organizaci, tedy zjednodušeně řečeno „Je možné odcizit data z USB Flash disku pana ředitele?“.

red team

Pro testování pomocí Red Teamu nejsou stanoveny jednoznačné rámce a standardy, ale využívá se podobných jako při penetračním testování. Red Team dostane informace, jaké cíle jsou nedotknutelné, jaké techniky a taktiky budou používány, a za pomoci tichého průzkumu provádí identifikaci cíle a jeho slabin. Po plném zjištění všech potřebných informací provede Red Team své ozbrojení, tedy připraví si všechny potřebné nástroje a stanoví si různé vektory útoku, kudy se do společnosti může dostat. Jako například:

  • kompromitaci serveru s webovou aplikací a získání privilegovaného přístupu,
  • kompromitaci koncové stanice s využitím phishingu,
  • rozmístění USB Flash disků s malwarem,
  • nasazení zařízení pro monitoring stisku kláves,
  • zarušení wifi, gsm a dalších bezdrátových sítí, či přerušení varovných hlášení z EZS,
  • nasazení odposlechu na klíčové zaměstnance,
  • průzkumy odpadkových košů a kontejnerů u společnosti.

Cíl mají všichni stejný a tím mohou být informace ve společnosti nebo na konkrétním zařízení jedné osoby, či nějaká jiná důležitá místa v organizaci, jako jsou například kartotéky. Red Team vždy připravuje celý scénář útoku nanečisto a ve svém simulovaném prostředí, aby ověřil, že se na místě nic nepokazí, protože při vlastním průniku hrozí velké riziko prozrazení. Pokud má Red Team vše ověřeno, pak přichází den, kdy se útočníci dostanou do organizace a infiltrují se do organizace, tak hluboko, jak jen to je možné.

Organizace má často svůj vlastní interní IT tým, kterému se někdy také říká „Blue Team“, a ten chrání organizaci před kybernetickými útoky. Tento Blue Team se snaží identifikovat útočníka a zamezit jeho dalšímu postupu, jenže stejně jako v reálném životě neví, kdy přijde a co může napáchat, nebo zda už v prostředí není infiltrován. Pozice Blue Teamu je mnohem náročnější, protože se musí vypořádat s ochranou a operativou běžných činností.

Harvester

Vše musí být dokumentováno. Každý z Red Teamu má vlastní kameru a identifikační kartu, jelikož může být zadržen ochrankou společnosti, či policií a musí vždy prokázat, že se jednalo o řízenou aktivitu společnosti, a nikoliv o trestný čin. Kamerový záznam následně slouží jako důkaz o provedení tohoto testu a pro další identifikaci opatření. Během testování Red Teamem dochází ke zneužívání lidského faktoru, zarušení provozu, identifikace nefunkčních nebo neexistujících procesů, dezinformacím, zneužitím slabin ve fyzické bezpečnosti a častokrát jsou využívány zejména metody sociálního inženýrství.

Red Team Operations je mnohem důmyslnější test, který lépe identifikuje cesty nepřátelského hackera a nelze jej nikdy srovnávat s testem penetračním, protože při tomto testu jsou testovány všechny aspekty (fyzický, digitální i lidský) a úroveň znalostí Red Teamu musí v mnohém přesahovat znalosti a zkušenosti penetračních testerů. Testování Red Teamem vám pomůže „opancéřovat“ vaši organizaci a připravit se na nejhorší, tedy reálný kybernetický útok!

Daniel Hejda Daniel Hejda
Autor článku je etický hacker (Red Team Member) a majitel společnosti Cyber Rangers, s. r. o.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1