Neusínejte na vavřínech

Nadnárodní telekomunikační společnost v souladu s interní bezpečnostní politikou pravidelně prováděla penetrační testy a bezpečnostních audity svých jednotlivých systémů, infrastruktury i zaměstnanců. Závažné chyby detekované těmito testy a audity byly pravidelně v součinnosti s dodavateli opravovány a následně byla opětovným testem ověřována kvalita nasazených protiopatření.

Společnost začala také v nedávné době budovat vlastní Security Operations Center (SOC) tým s cílem zajistit komplexní centralizaci řízení bezpečnostních událostí a incidentů v jednom bodě za účelem minimalizace reakční doby na incident a škod z něj plynoucích.

Bylo to jednu podzimní středu na konci pracovní doby, kdy vybraným členům managementu dorazil anonymní email s tvrzením, že skupina útočníků - hackerů infiltrovala kritické systémy společnosti obsahující zákaznická data. Pokud společnost nezaplatí do 48 hodin požadovanou sumu v dané kryptoměně, budou veškerá data zveřejněna. Jako důkaz byl připojený odkaz na archiv s daty. Analýzou těchto dat se potvrdily nejhorší obavy - skutečně se jedná o výběr dat z produkčních databází.

Management už ví, že bez ohledu na zaplacení výkupného, je nutné v souladu s GDPR zjištěný incident nahlásit, jelikož zjevně došlo k narušení bezpečnosti zákaznických osobních údajů. Situace je tak dvojnásobně černá a následná medializace incidentu vede k prudkému odlivu zákazníků.

Co se ale stalo? Kde společnost udělala chybu? Vždyť nechala pravidelně své systémy testovat a auditovat. Vždyť buduje SOC tým přesně pro tyto případy detekce a prevence útoků. Na tomto místě se hodí uvést citát CEO společnost Cisco Johna Chamberse: “Existují dva typy společnostní: ty které byly hacknuty a ty, které ještě neví, že byly hacknuty”.

Analýza útoku nám dala odpověď na výše položenou otázku. Ano, jednotlivé izolované systémy byly nadstandardně zabezpečené. Avšak útočníci, kteří prvotní přístup do sítě získali prostřednictvím phishingu na nového zaměstnance helpdesku, elegantně prokličkovali interní infrastrukturou a dostali se až do chráněného segmentu sítě, kde úspěšnou eskalací privilegií získali přístup k citlivým datům. Testovaným a zabezpečeným systémům se vyhnuli a naopak své útoky vedly na starší až zapomenuté stroje, které se stále nacházely k síti. K samotným zabezpečeným systémům potom už přistupovali pod rolí administrátora, čímž obešli bezpečnostní opatření.

Výše popsaný vektor útoku, který je zcela out of scope klasické penetračního testu či bezpečnostního auditu by byl detekován prostřednictvím Red Teamingu.

Popis řešení

Srovnání s penetračními testy

Popis služby Red Teaming začněme pro lepší pochopením srovnáním s penetračními testy. O pojmu penetrační testování pravděpodobně už slyšel každý informovanější člověk pohybující se v rámci IT a hlavně v odvětví jeho bezpečnosti. Penetrační testy jsou s oblibou popisovány jako simulace útoku vůči zadané IT oblasti. Předmětem penetračního testu je vždy určitá izolovaná část IT ekosystému společnosti jako například webová aplikace, desktopová aplikace, či síťová infrastruktura. Slovo izolovaná v předchozí větě by zasloužilo dvakrát podtrhnout. Právě v této izolovanosti tkví největší slabina penetračních testů. Jako výsledek periodického provádění těchto testů můžeme mít informaci, že veškerá bezpečnostní rizika byla snížena na akceptovatelnou úroveň a testovaný systém je odolný vůči útoku.

Co nám už výsledek penetračního testu nepoví, že systém je možné kompromitovat zasláním emailu s malware v příloze jeho správci, že je možné dostat se k datům kompromitací zcela jiného systému, který však s původním sdílí stejné datové úložiště a tak dále. Penetrační testy jsou jednoduše úzkoprofilově zaměřeny na konkrétní oblast a z podstaty věci nemohou pokrýt komplexnost provázanosti celého ekosystému společnosti a z toho vyplývajících rizik.

Red Teaming

V tomto bodě přichází na řadu právě Red Teaming. Tento pojem je odvozen od výrazu Red Team, jenž označuje tým zkušených etických hackerů, který simulovaný útok realizuje a využívá při tom stejně sofistikované prostředky jako reální útočníci. Red Teaming pokrývá velice široký rozsah vektorů útoků a cílí lidi, technologie i fyzická aktiva. Kromě pokusu o průnik zneužitím zranitelnosti v dané technologii využívá i prostředků sociálního inženýrství, sběru informací z otevřených zdrojů (OSINT, dumpster diving) či fyzického průniku.

Proti Red Teamu stojí na straně cílové společnosti tzv. Blue Team, což je tým odborníků, který se stará o prevenci, detekci a řešení kybernetických incidentů. Jeho cílem je udělat vše pro to, aby útok nebyl úspěšný a pokud už útok úspěšný je, potom ho co nejrychleji odhalit, zadržet a zabránit jeho opakování. V dnešní době se u větších společností jedná o oddělení Security Operations (SOC) či Cyber Defense Centra (CDC).

Red Team vs Blue Team

Role Red Teamu a Blue Teamu jsou asymetrické. V prvotní fázi, kdy se útočící tým pokouší proniknout do interní sítě chráněné obraným týmem, má navrch Red Team. Blue Team musí zabezpečit každý z mnoha potenciálních vektorů útoků a že je toto pole velice široké. Útočícímu týmu stačí najít jednu zranitelnost, jedno pochybení, zneužít důvěry jednoho ze zaměstnanců a získá tak přístup dovnitř sítě.

V tomto momentě se však situace obrací. Výhoda se překlápí do rukou obranného týmu. Útočící tým se dostává na neznámou půdu interní sítě, kterou má pevně pod kontrolou Blue Team. Jakmile zde udělá Red Team jedinou chybu, začne se chovat příliš “hlučně”, aktivuje honeypot či na svoji aktivitu upozorní jiným způsobem, je z vnitřní sítě nemilosrdně Blue Teamem vystrnaděn a jeho práce začíná nanovo. Přirovnání s pomyslnou hrou na kočku a myš je zde tak více než na místě.

Pokud už se Red Team dostane na hřiště Blue Teamu, co je vlastně jeho cílem? Cílem je nepozorovaně získat tzv. Flag neboli vlajku, která je definována spolu se zadavatelem za začátku Red Teaming cvičení. Může se například jednat o přístup do určitého segmentu interní sítě, přístup ke konkrétnímu serveru či předem nachystaným datům v databázi, fyzický přístup do serverovny, odcizení notebooku či instalace HW backdooru. Principem je definovat Flag způsobem, aby po jeho dosažení Red Teamem bylo možné konstatovat, že zabezpečení na úrovni technické, fyzické a procesní není dostatečné pro zabránění cílené infiltrace zvenčí. V rámci výsledného reportu je pak celý útok včetně slepých cest či nezdařených infiltrací detailně analyzován a popsán a jsou navrženy doporučení pro úspěšnou obranu napříč různými oblastmi.

Z výše uvedeného vyplývá, že pro dosažení co nejvěrnějších výsledků je nezbytné, aby o provádění Red Teamingu nebyli informování zaměstnanci, především pak lidé z IT jednotek (IT Operations, SOC, CDC) cílové společnosti. Na straně zadavatele ví o provádění Red Teamingu pouze úzká skupina lidí, tzv. White Team, který se stará o součinnost během procesu dodání služby. Dle dohody mohou útoky probíhat i mimo pracovní dobu, je tak nezbytné, aby byla kontaktní osoba neustále dostupná. V případě fyzických průniků dostávají členové Red teamu tzv. Get Out of Jail Free kartu, kterou se prokáží v případě, že jsou úspěšně odhaleni.

Přínosy našeho řešení

Naše řešení má smysl, protože:

• Věrně nasimulujeme útoky způsobem, kterým je provádějí skuteční útočníci
• Odhalíme vektory útoku, které byly mimo rozsah penetračních testů a auditů
• Prováděním Red Teamingu se testuje a zároveň školí Blue Team (SOC)
• Otestujeme odolnost celého prostředí společnosti, ne jen izolovaného systému
• Otestujeme fyzický, psychologický i kybernetický aspekt zabezpečení

Reference

Dlouhodobě spolupracujeme s firmami a organizacemi napříč celým trhem. Mezi našimi zákazníky najdete nadnárodní společnosti, ale také malé firmy a drobné podnikatele. Všem vycházíme maximálně vstříc a poskytujeme služby na míru s ohledem na jejich velikost i oblast působení. Konkrétní reference rádi předložíme na vyžádání.