Socijalnom inteligencijom protiv socijalnog inženjeringa

Svi moraju znati što trebaju raditi u slučaju sigurnosnog incidenta, svi moraju znati što je njihov odgovor na sigurnosni incident. O tome smo razgovarali s Nevenom Zitekom, Incident Response Managerom u informatičkoj tvrtki Span.

Zvonko Pavić srijeda, 1. prosinca 2021. u 06:00

Današnji svijet ubrzano postaje sve više digitaliziran. Moderne tehnologije i digitalno poslovanje očekujemo gotovo u svakoj industriji, bilo da govorimo o bankama, trgovini, javnim institucijama. Kibernetički napadi prate taj trend - digitalizirani su i globalni. U svijetu kontinuirane evolucije prijetnji, sve veće mobilnosti i digitalizacije, nemoguće je blokirati svaki napad oslanjajući se isključivo na tehnologiju i sigurnosne politike.

O tome govore i noviji podaci: broj ciljanih ransomware napada porastao je za 83 posto, u razdoblju od siječnja 2020. godine do lipnja 2021. godine (izvor: Symantec, The Ransomware Threat Whitepaper, 2021). Ako radite u marketingu, financijama, ili u bilo kojem odjelu tvrtke koji se ne bavi tehnologijom - pitate se kakve veze kibernetički napadi imaju s vama? Pa vaša tvrtka ima svoje ljude za to! I to je točno. Kibernetički stručnjaci važan su dio upravljanja sigurnosnim incidentima. No, podjednako važan dio su i svi ostali. Svi moraju biti svjesni opasnosti koje nam danas dolaze s interneta. Svi moraju znati što trebaju raditi u slučaju sigurnosnog incidenta, svi moraju znati što je njihov odgovor na sigurnosni incident. O tome smo razgovarali s Nevenom Zitekom, Incident Response Managerom u informatičkoj tvrtki Span.

Za uvod, možete li nam razjasniti pojmove: incident response i incident response management te po čemu je Span poseban u obavljanju tih djelatnosti u kibernetičkoj zaštiti?

Već samo ime kaže, incident response je glavni odgovor na incident, u trenutku kada se on događa. Incident response management je širi pojam, i opet, sve je jasno iz imena, to je upravljanje odgovorom na incidente.

Ono po čemu je Span poseban jest to da svoje iskustvo u kibernetičkoj zaštiti vuče iz najboljih praksi stečenih iz višedesetljetnog vođenja IT operative i IT usluga kod velikog broja korisnika te iz pravila kriznog menadžmenta. Sigurnosne incidente pratimo kroz faze njihova odvijanja – prije, za vrijeme i poslije incidenta - s time da se prvo fokusiramo na što ranije ovladavanje situacijom. Kad je riječ o onome što treba napraviti poslije incidenta, cilj je poboljšati stanje koje je dovelo do ranjivosti – brzo obaviti imunizaciju i osnažiti sustav kako se napad koji se dogodio ne bi ponovio. Najveći problem kod internetskih sigurnosnih incidenata jest to što se oni najčešće ne otkriju u trenutku u kojem se dogode, već danima i tjednima pa i mjesecima poslije. Riječ je o dugo i pomno planiranom organiziranom zločinačkom pothvatu u kojem često sudjeluje više aktera. Hakeri međusobno surađuju i razmjenjuju informacije, upadaju u sustave, mapiraju tko s kime razgovara, kradu vjerodajnice, analiziraju sve čime se tvrtka bavi i procjenjuju koliko bi velik mogao biti plijen, to jest, koliko će napadnuta tvrtka biti spremna platiti. U drugoj fazi, kad je incident otkriven, treba odmah, u što je moguće kraćem roku, provesti proceduru prikladnu za konkretan slučaj. To dosta ovisi o vrsti napada koji se dogodio, no sve počinje izolacijom napadnutih računala i mreže koja je ugrožena, i smanjivanjem šteta.

Priprema je 80% rješenja

Ako to odradi dobro uigrana ekipa, s dobrim tehnološkim rješenjima, tada incident ne prerasta u krizu i rješava se kao bilo koja druga dnevna zadaća. Ako napadnuta tvrtka nema definiranu proceduru odgovora na incidente - radi se ono što se može napraviti. Drugim riječima, sposobnost odgovora na internetski sigurnosni incident ovisi isključivo o tome što se radilo u pred incidentnoj fazi. Ako tvrtka nije kupila dobru tehnologiju, ako nije educirala i uvježbala ljude, tada se snalazimo s onim što imamo i nastojimo odgovoriti na incident najbolje što možemo. Kvaliteta odgovora na sigurnosni incident jako ovisi o tome koliko je organizacijski i tehnološki zrela ekipa koja radi kod korisnika. Dosta česta i ne baš dobra situacija je da tvrtka nema sredstava i ljudi, pa za kibernetičku zaštitu zaduži svoj IT odjel.

Neven Zitek će 8.12.2021. održati stručni besplatni webinar pod nazivom "How to respond to cyber security incidents" - prijavite se

To je bolje nego nemati nikoga, no čak i kad oni dobro rade svoj posao – redovno održavaju infrastrukturu, imaju dobar asset management, sve dokumentiraju – mana im je to što nisu specijalizirani za kibernetičku zaštitu. Kad je informatička sigurnost u pitanju, svaka tvrtka bi morala bar škicnuti na standarde, ISO 20000 i ISO 27000, i vidjeti što može sama iz tih preporuka primijeniti, ako im je još preskupo provesti audit i za to se certificirati.  Kao što sam naglasio u početku, Span Incident Response Management temelji se na praksama kriznog menadžmenta, što znači da u njemu zajednički sudjeluju sve strane (IT operativa, stručnjaci za kibernetičku zaštitu, poslovni dio tvrtke), incident response tim upravlja svim fazama i svim elementima kriznog događaja, ne samo nekim od njegovih dijelova. Cilj je osigurati normalan (ili, što je moguće normalniji) rad organizacije u nenormalnim uvjetima.

Opišite nam, ukratko, osnovni incident response plan, koji preporučujete svojim korisnicima?

Svaki incident response plan je individualan i pokriva specifičnosti i mogućnosti organizacije kod koje se primjenjuje. Međutim, postoje i neka osnovna pravila koje treba poštovati. Prvo, mora biti dobro promišljen, a ne napisan samo zato da se udovolji internom ili regulatornom zahtjevu. Drugo, za plan moraju znati svi koji trebaju sudjelovati u njegovoj provedbi. Treće, mora biti provediv. Ima na internetu sasvim solidnih planova za incident response, koje možete kopirati, no nužno ih je prilagoditi mogućnostima tvrtke koja će ga koristiti. Četvrto, svaki plan treba isprobati u praksi, i na temelju tog iskustva, treba ga nadograditi i poboljšati. Uvježban plan smanjuje vrijeme reakcije, vjerojatnost pogreške i razinu stresa kod svih uključenih. Peto, posljednje i najvažnije, svaki incident response plan treba redovno osvježavati i nakon toga ponovno uvježbati.

Prema vašim spoznajama, koliko, godišnje, u Hrvatskoj ima sigurnosnih internetskih događaja gdje je potreban incident response management, na način kako ga pruža Span?

Mnogo više nego što se javno spominje, jer je riječ o događajima koji imaju snažan utjecaj na reputaciju tvrtki koje su proživjele kibernetički napad. Tajnovitost o tome je razumljiva, iako, gledano šire, nije dobra praksa, jer informacije o takvim događajima mogu pomoći ostalima. U Americi su napravili neke korake ka većoj transparentnosti, posebno kad su u pitanju ransomware napadi. Uveli su propis prema kojem se, bar za ustanove u javnom sektoru, objava takvog događaja uzima kao olakotna okolnost u eventualnoj parnici na sudu.

Koliko u našoj zemlji ima tvrtki koje imaju dovoljno zrelu internu informatičku ekipu specijaliziranu za kibernetičku zaštitu – bar toliko kompetentnu da može konstruktivno surađivati s vanjskim stručnjacima, kao što je Spanov tim?

Nezahvalno je davati takve procjene. Ono što mogu reći jest da u Hrvatskoj imamo solidan broj dobrih kibernetičkih stručnjaka i ekipa. Mnoge od njih počivaju na zrelim IT operacijama, no njihov doseg i snaga, pojednostavljeno rečeno, počiva na količini novca i količini vremena koji je dotična kompanija spremna investirati u kibernetičku zaštitu. S tim da novac nije najveći problem. Puno je teže naći ljude koji su dovoljno stručni da bi se mogli nositi s današnjim prijetnjama. Tu je Span u prednosti. Naša mogućnost istovremene augmentacije IT operacija uslugama podrške i kibernetičke zaštite temelj je za uspješan incident response management.

Hakeri, dobavljači, zaposlenici

Dajte nam jedan primjer iz prakse općenito, i recimo, kako bi se borili protiv supply chain napada gdje je akter zaposlenik firme? Kako biste spriječili takav napad?

Uz ransomware, dva velika rizika za svaku organizaciju su upravo napadi kroz lanac dobavljača te unutarnje prijetnje. Kada govorimo o napadu na lanac dobavljača, razlika je u tome jeste li vi dobavljač ili korisnik proizvoda ili usluga. Propust u sigurnosnom proizvodu ili platformi može biti iskorišten za širenje i distribuciju zloćudnog softvera (malwarea) krajnjim korisnicima (kao u primjeru SolarWindsa), a meta mogu biti i sami zaposlenici dobavljača zbog činjenice da imaju računalni (najčešće udaljeni) pristup vašoj okolini ili aplikacijama unutar vaše okoline. Tehnike i poduzete mjere ovisiti će o tome s koje se strane nalazite, no, iznimno je važno da su kompanije u kojima se dogodio incident u partnerskom odnosu i po mogućnosti  s timovima na sličnim razinama zrelosti. Kad govorimo o riziku kojeg predstavljaju zaposlenici, prouzročena šteta za organizaciju može biti namjerna ili nenamjerna. Osobno sam svjedočio situaciji kada je u jednoj organizaciji zaposlenik promijenio administratorske lozinke na svim serverima i držao organizaciju u pat-poziciji. Sljedeću rizičnu situaciju predstavlja kopiranje dokumenta u kategoriji poslovne tajne te napuštanje kompanije, što za razliku od prvog slučaja može proći neopaženo dok ne bude prekasno. Ti rizici se smanjuju kombiniranom primjenom određenih tehnologija  (DLP, AIP, Compliance, itd.), pravila i edukacije zaposlenika. U slučaju nenamjerno prouzročene štete, poput gubitka računalne opreme, uspješnog socijalnog inženjeringa i phishinga, loših praksi u upravljanju identitetom (npr. dijeljenje lozinki),  korištenja poslovne računalne opreme u privatne svrhe i obrnuto, rizik se smanjuje slično: kombinacijom tehnologija (npr. EDR, MFA, Mobile Device Management, itd. ), primjene pravila i kontinuiranog rada na edukaciji zaposlenika.

Možete li, ukratko, opisati nekoliko incidenata koji su se istakli svojom težinom, na kojima ste do sada radili?

Ilustrirati ću vam to s tri standardna primjera prijetnji na internetu. Prva je prijetnja tzv.  BEC (Business Email Compromise) – u tom slučaju napadači su iskoristili lozinku privatne adrese e-pošte jednog menadžera, koju su nabavili na tamnoj strani interneta (dark web) i s njom su uspjeli upasti na poslovnu adresu e-pošte te osobe. Prateći korespondenciju, uočili su da se bliži veća novčana transakcija te su tehnikama socijalnog inženjeringa, naslanjajući se na postojeću poruke, uspjeli uvjeriti žrtvu kako su potrebne promjene u načinu plaćanja. Financijska šteta u tom slučaju, bila je iznimno velika. U drugom slučaju, došlo je do propusta interne ekipe zadužene za računalnu sigurnost: ranjivosti koje su ostavili omogućile su napadačima udaljeni pristup do virtualizacijske platforme farme poslužitelja te je aktivacijom kriptolockera gotovo sva serverska infrastruktura, smještena na toj virtualizacijskoj platformi, prestala s radom. Za kakav-takav oporavak bilo je potrebno više od mjesec dana intenzivnog rada.

Država i... tko još?

Treća novija prijetnja dolazi od kriminalne uporabe komercijalnog alata kojim se koriste države i državne sigurnosne agencije, a javnosti je poznat pod nazivom Pegasus. Softver je izradila izraelska tvrtka „NSO Group“, a softver se služi tzv. zero-day i zero-click ranjivostima za proboj i preuzimanje potpune kontrole nad Android i Apple mobilnim uređajima. Glavne mete tih napada su novinari, aktivisti, odvjetnici, političari ali i poduzetnici. Kažem, deklarativno, koriste ga samo državne i sigurnosne organizacije, a tko ga još koristi, zna samo proizvođač tog softvera. Taj vektor je iznimno opasan jer može mobitel kompromitirati tako da to korisnik uopće ne zna, a niti mora učiniti nešto kako bi ga aktivirao. Sve počinje jednom porukom, koja se poslije izbriše, a omogućava napadaču potpunu kontrolu nad uređajem: pali i gasi kameru i mikrofon na mobitelu, snima razgovore, ulazi u aplikacije, itd., napadač može sve što i korisnik. Dodatno, tako provaljen mobitel, tablet, računalo, na internetu mogu uočiti i drugi napadači koji će se tako domoći podataka kojima će pokušati ostvariti neku korist. Zaštita od takvog napada provodi se standardno, sukladno najboljim forenzičkim praksama  – uređaj se makne s mreže, podaci se kopiraju na računalo koje nije spojeno na internet, sve se očisti, a  proceduru prate najmanje dvije stručne osobe u koje vlasnik uređaja ima povjerenja.

Kako se bavite ransomware incidentima? Uključujete li se u pregovore s napadačima, ako korisnik to zahtjeva ili to prepuštate nekom drugom?

Pregovorima s napadačima se ne bavimo - ne samo zato što to ne želimo raditi, i što je to, najčešće, uzaludan posao, već i zato što imamo previše posla u rješavanju incidenta. Ransomware napadi imaju snažan utjecaj na napadnutu organizaciju s mogućim reputacijskim, regulatornim i financijskim posljedicama. Na strani žrtve emocije su tada velike, a timovima treba mir kako bi ustanovili što se dogodilo, kako bi se utvrdio način, opseg i doseg lateralnog kretanja napadača jer je u protivnom jedina alternativa proglasiti cjelokupnu infrastrukturu napadnute tvrtke potencijalno kompromitiranom. Osobno smatram kako se na našim prostorima rijetko ili gotovo nikad ne radi o pregovorima već o instrukcijama žrtvama kako i na koji način da transferiraju novac otmičarima podataka, u obliku kriptovaluta na njihov račun.


WAR ROOM TABLETOP EXCERCISE – ili ništa nas ne smije iznenaditi u 21. stoljeću

Što je vaša usluga koju ste nazvali War Room TabeTop Excercise?

Vježba upravljanja sigurnosnim incidentom, War Room TabeTop Excercise, metoda je koja se premalo koristi, a nije skupa i vrlo je učinkovita. Riječ je o provedbi određenih kriznih scenarija iz sfere kibernetičke zaštite u koju je uključen najviši menadžment kompanije. TableTop vježbe posebno se prilagođavaju organizaciji u kojoj se koriste, a u tim scenarijima svatko igra svoju ulogu, u funkciji koju inače obnaša. War Room TabeTop Excercise je vježba koja pokazuje što bi organizacija napravila da joj se dogodi neka kibernetička kriza. Usto, menadžmentu daje prigodu za međusobno upoznavanje reakcija u kriznim situacijama. Preciznije rečeno: senzibilizira ih na krize. Možete imati u tvrtki ljude koji su u svom poslu fantastični operativci i ljudi od maksimalnog povjerenja, no u kriznoj situaciji mogu reagirati neadekvatno. WarRoom TableTop vježba je metoda koja će ih naučiti kako adekvatno reagirati u kriznoj situaciji, a nama služi i kao provjera razine kibernetičke zrelosti korisnika.

Evo što smo, primjerice, zamijetili u praksi: jako malo organizacija u Hrvatskoj ima definirane načine komunikacije u slučaju kibernetičkog napada. Kad se incident dogodi, najčešće se pribjegava aplikacijama za trenutno dopisivanje (Viber, Whatsapp, Signal) jer su brze i gotovo svi ih koriste. Ne znam je li to dobro ili loše. Najveći problem s time je da se koriste samo tada, kada nastane kriza. Dakle, ako stalno komuniciramo e-poštom, Teams ili nekim drugim alatom za video konferencije unutar korporativnog okruženja, i onda se odjednom prebacimo na Whatsapp - to nije "normlano" – nije normalno u smislu da to nije naš uobičajeni način komunikacije. Štoviše, to se dodatno komplicira kada je u tu komunikaciju uključen veći broj ljudi. Drugim riječima, alternativni način komunikacije ne smije biti neki potpuno novi način komunikacije, već dio svakodnevne komunikacije, to jest, unaprijed dogovoreni način komunikacije. To je jedan detalj kojim se bavimo tijekom primjene vježbe War Room TabeTop Excercise.


Konkurencija, rad u hibridnim okruženjima

Span je glavni partner Microsofta u Hrvatskoj - kako to da niste incident response prepustili profesionalcima iz te kompanije, nego ste i to preuzeli na sebe? Zašto mislite da je Spanov incident response tim bolji od Microsoftovog (ili bilo kojeg drugog svjetskog, za kojeg se zna da su dobri)?

Pitanje nije tko je bolji, nego tko koju ulogu ima u lancu vrijednosti za krajnjeg korisnika. Mi koristimo, održavamo i upravljamo proizvodima i uslugama iz gotovo cijelog Microsoftovog portfelja, uključujući i one sigurnosne; AntiMalware, AntiSpam, AntiPhishing, Business Email Compromise, SIEM, Compliance, DLP, Information Protection, itd. U svakodnevnom se radu naslanjamo na njih, na njima gradimo uspjeh za naše korisnike i s njima doslovno živimo svaki dan. Mi jesmo Microsoftov partner, no tehnološki smo agnostični i bavimo se onime za što imamo kompetencije. Od drugih pružatelja incident response managementa razlikujemo se po pristupu. Mi to radimo sveobuhvatno, no s većim fokusom na pred incidentnu fazu. Imamo veliku bazu korisnika koju smo stekli tijekom tri desetljeća postojanja, kroz održavanje infrastrukture, IT usluge i druge sfere našeg poslovanja. Svima smo ponudili i kibernetičku zaštitu, a mnogi od njih su je i sami zatražili. Dobro se poznajemo i to je ono što je naša najveća konkurentska prednost u odnosu na one koje ste naveli u svom pitanju.

Kako radite incident management kod hibridnih implementacija (multi cloud i on premise servisa)? Što su tu najveći izazovi?

Svaka je poslovna organizacija kompleksna na svoj način, a toj kompleksnosti pridonose hibridna i multi-cloud okruženja koja se danas sve više koriste. No, koliko nam zakompliciraju posao, toliko ga mogu i olakšati. Primjerice, ako je kompromitirana on premise infrastruktura, posao se može nastaviti u cloudu. Ako su ugroženi servisi unutar jednog servisa u cloudu, plan oporavka obično uključuje nastavak poslovanja u drugom cloudu. Međutim, događaju se i napadi koji organizacije potpuno izbacuju iz stroja. Kako se to ne bi dogodilo, važno je stalno pratiti najbolje prakse u upravljanju IT uslugama, u upravljanju rizicima te u sigurnosnim operacijama. U to mora biti uključena i poslovna strana tvrtke. U kibernetičkoj zaštiti, poznavanje poslovnih operacija podjednako je važno kao i poznavanje arhitekture korporativne IT infrastrukture.

Neven Zitek, Incident Response Manager, Span
Neven Zitek, Incident Response Manager, Span

Koje tehnologije koristite ili, koje tehnologije smatrate dobrim dodatnim alatima za incident response i incident management?

Primjena određene tehnologije ovisi o fazi incidenta.  Ovisi o tome da li pripremamo organizaciju, odnosno uspostavljamo incident response sposobnost ili smo već u incidentnoj fazi. Ako se nas pita, priča o incident responsu počinje puno prije neželjenog događaja;  implementacijom dobrih politika i praksi, primjenom dobrih načina upravljanja identitetom i lozinkama, instalacijom centralnih infrastrukturnih menadžment alata i osnovnih sigurnosnih alata poput AV/EDR-a, upravljanjem ranjivostima (poput redovitih instalacija zakrpa i skeniranje ranjivosti te njihova mitigacija), centraliziranima prikupljanjem logova (SIEM), implementacijom pristupa sustavima ovisno o ulogama u kompaniji, itd. Primjerice, SOAR alate koristimo za automatizaciju odgovora na incidente, čime skraćujemo vrijeme reakcije, osiguravamo uniformni pristup rješavanju bez devijacija i posljedično možemo umanjiti štete od incidenta. Dodatno, takvi alati omogućuju lakši pregled prošlih incidenata, analizu reakcija i stvaranje naučenih lekcija čija saznanja koristimo kao pripremu za sljedeći incident. Kad smo u fazi punog razvoja incidenta, članovi našeg tima koriste svoje preferirane setove alata za analizu mrežnog prometa, network discovery, log analysis, backup, data capture & forensics,  itd. I naravno –  informacije o TTP-ovima napadača i IOC-ima napada.

--

Neven Zitek će 8.12.2021. održati stručni besplatni webinar pod nazivom "How to respond to cyber security incidents" - prijavite se

Mreza 1 / 2022 siječanj 2022.