Simulacije kibernetskih napadov, osnovane na najnovejših grožnjah

V SIQ Ljubljana se lahko pohvalijo s ciljno usmerjeno ekipo strokovnjakov, ki na dnevni ravni spremljajo najaktualnejše kibernetske grožnje in hekerske tehnike, identične tistim, ki jih uporabljajo motivirani hekerji. V takšni zasedbi so v letu 2019 varnostno preverili več kot 150 organizacij doma in po svetu.

Po hitrem pregledu vašega storitvenega portfelja ne moremo mimo ponujenih »RED« in »PURPLE teaming« storitev. Ali ti »obarvani« pristopi ponujajo kaj več kot klasični varnostni pregledi?

Oba pristopa klasični varnostni pregled dopolnjujeta in ga v več dimenzijah tudi nadgradita. Podjetja imajo (že dlje časa) možnost neodvisno in nadzorovano preveriti zmogljivost obrambe pred najbolj sofisticiranimi kibernetskimi napadi. Na drugi strani pa varnostni pregledi preventivnih kontrol niso (nujno) dovolj oz. ne podajajo celostne ocene varnostnega stanja organizacije. Odgovarjajo zgolj na vprašanje o njihovi učinkovitosti z vidika preprečevanja napadov, ne pa tudi o sposobnosti zaznavanja in odzivanja na varnostne incidente. Motivirani hekerji se namreč za dosego svojih ciljev vse pogosteje poslužujejo ustaljenih poslovnih komunikacijskih kanalov (kot sta e-pošta in splet), kjer pa je za podjetja »ločevanje semena od plevela« po principu »črno ali belo« težavno in neučinkovito, še manj pa dopustno.

Pa so simulacije pravih hekerskih napadov zares potrebne?

S tako imenovanimi kibernetskimi vajami ali »Red / Purple teaming« varnostnimi testi dodajamo konvencionalnim pristopom preverjanja informacijskih tehnologij dodatni komponenti; to sta preizkušanje sposobnosti zaznavanja (angl. Incident Detection) in odzivanja (angl. Incident Response). Za razliko od tradicionalnega penetracijskega testa, katerega namen je opozoriti na čim več varnostnih pomanjkljivosti, je cilj »red team« preizkusa dejanski vdor v informacijski sistem organizacije. Specializirana »red team« ekipa SIQ Ljubljana želi prodreti čim globlje v informacijsko okolje organizacije, pri tem pa ostati neopazna.

Vodstva podjetij vse pogosteje povprašujejo tudi po storitvah t.i. »purple teaming-a«. Posredna in hkrati merljiva kazalnika »purple teaming« preizkusa sta:

• pretečeni čas do uspešnega vdora v okolje organizacije (angl. Initial Compromise) in
• pretečeni čas do morebitne zaznave in zajezitve s strani usposobljenega osebja organizacije.

Podjetja torej vaše strokovnjake najamejo, da v njihove sisteme (ne)napovedano vdrejo, vzporedno pa preverijo, ali so takšen vdor sposobne preprečiti ali vsaj zaznati ter se nanj ustrezno odzvati?

Tako je. Vzemimo za primerjavo nadzorni alarmni sistem. Skrben gospodar želi varnostni sistem po opravljenem nakupu, montaži in/ali rednem vzdrževanju tudi »samostojno« preizkusiti. Namesto, da slepo zaupa v produkt, ga zanima njegova brezhibnost ter uporabnost v ciljnem okolju (poslovni objekt, nepremičnina, avto). Seveda mora biti cilj takšnega preizkusa, da so testi karseda realni, ne pa tudi destruktivni. Če se ob tem pošalimo; lastnik avtomobila želi svojega konjička bolj pomirjeno voziti, ne pa s ponesrečeno gasilsko vajo uničiti.

SIQ-jevi strokovnjaki preizkušamo odpornost informacijskih in varnostnih sistemov organizacij na najbolj napredne in aktualne kibernetske napade. Praksa je, da izvedbo – usklajeno z odgovorno kontaktno osebo na strani naročnika – planiramo čez daljše časovno obdobje, kar naredi simulacije enakovredne realnim, hkrati pa težje prepoznavne na namenskih varnostnih in nadzornih sistemih.

Kakšno korist imajo od tega podjetja?

Podjetja se lahko na podlagi varnostnih priporočil osredotočajo na dejanske izzive digitalnega poslovanja, predvsem pa oblikujejo strategijo kibernetske varnosti, ki je naravnana ciljno in po meri organizacije. Na zaključnih predstavitvah rezultatov preizkusov nas direktorji ali vodje informacijske varnosti pogosto izzovejo z vprašanji, kot so:

• »Kje nas vidite na lestvici od 1-10 v primerjavi z ostalimi podjetji sorodne branže?«
• »Kako varni smo?«
• »Ali se nas lahko nekdo loti?«
• »Kaj pa se nam lahko v najslabšem primeru zgodi?«

Po izvedeni »kibernetski vaji« lahko takšno vprašanje strokovno in povsem merljivo argumentiramo, pri tem pa seveda ne razkrivamo odkritih pomanjkljivosti drugih strank.

Ključne prednosti storitve:

• Preizkusimo pripravljenost organizacije na kibernetski napad
• Določimo stopnjo varnosti in izpostavljenosti kritičnih informacijskih sredstev
• Ovrednotimo pripravljenost organizacije na zaznavanje in preprečevanje napadov
• Opredelimo smiselnost investicij glede na odkrite pomanjkljivosti

Zakaj SIQ:

• Neodvisni in vrhunski strokovnjaki
• Največji v regiji na področju preverjanja informacijskih tehnologij
• Več kot 150 varnostno preverjenih organizacij v letu 2019, doma in v tujini

Kaj dobi naročnik:

• Vodstveni povzetek
• Ocena tveganja
• Tehnične podrobnosti o možnih vektorjih napadov
• Tehnična priporočila (kratkoročno)
• Strateška priporočila (dolgoročno)

Več na www.siq.si