4 minute read
IT sigurnost
SIMULACIJE CYBER NAPADA: IZMEĐU IGRE I VOJNE VJEŽBE
“SPREMAN, SPAŠEN” PAROLA JE MODERNOG PRISTUPA ZAŠTITI POSLOVNIH
RESURSA U KOJU SE SAVRŠENO UKLAPA I SVE POPULARNIJA PRAKSA SIMULACIJA PROBOJA VIRTUELNOG PERIMETRA, SVE SA PRIPADAJUĆIM TIMOVIMA, NAUČENIM LEKCIJAMA I GUBITNIČKIM MENTALITETOM
n Piše: Mirza Bahić redakcija@asadria.com
Stolne ratne igre već decenijama plešu na granici između zabave i autentične simulacije planiranja u operativnim štabovima. Kada figure zamijene tenkovi, a simbole avioni i jedinice na terenu, hobi postaje “vojna vježba” i prestaje biti zabava. No, važi li isto za vježbe u oblasti cyber sigurnosti? Insajderi tvrde da će ova praksa postati poslovna svakodnevnica u svjetlu individualizacije cyber prijetnji.
Provjera sigurnosne gotovosti
Cyber zaštita svake kompanije je priča za sebe. Što joj se detaljnije pristupi kao takvoj, manje je prostora za propuste. Ipak, gotova rješenja i općeprihvaćene prakse i danas dominiraju svijetom cyber sigurnosnog planiranja. To dovodi do proboja odbrambenih sistema zbog manje fleksibilnosti i neprimjenjivosti svake najbolje prakse na svaki pojedinačni slučaj. Odgovor dolazi u vidu spoja simulacije napada na sigurnosne resurse svake organizacije u formi igre, odnosno vježbe koja se redovno provodi u svrhu detekcije slabih tačaka i zadržavanja borbene gotovosti. Iako nije u pitanju nov koncept,
Nemilosrdnost je poželjna
Fingirani cyber napadi ne tiču se samo napada i odbrane – oni su prava simulacija krizne situacije na nivou organizacije čiji hijerarhijski obuhvat ide sve do nivoa direktora i izvršnih rukovodilaca. Trajanje vježbe zavisi od željene temeljitosti, u rasponu od mjesec dana do šest sedmica. Po okončanju, radi se izvještaj čiji su rezultati obavezujući za sigurnosne timove. Kako bi se došlo do željenih rezultata, “igra” mora biti dovoljno realistična u pogledu taktike, tehnika i postupaka koje napadači mogu koristiti. Važno je znati i da simulacije ne moraju imati jedinstven cilj u odnosu na generalnu namjenu ovih procedura. Neke kompanije mogu poželjeti provesti simulaciju da testiraju svoje nove sigurnosne sisteme. Druge mogu raditi isto s ciljem provjere i zamjene postojeće sigurnosne platforme. Kako god, od oba tima, napadačkog i odbrambenog, očekuje se da budu kreativni i dovoljno uživljeni u igru kako bi ova vježba imala i dovoljno autentičnu i korisnu komponentu nemilosrdnosti kao i sam napad.
tek se u posljednje vrijeme više govori o njegovoj široj primjeni. Razlog je prost: loš odgovor na napad često je opasniji od samog napada.
Kako izgleda simulacija cyber napada?
Operativne vježbe u oblasti cyber sigurnosti igre se uveliko razlikuju od tradicionalnog penetracijskog testiranja, odnosno ispitivanja proboja u IT sisteme. Kod testiranja kompanije često angažiraju hakere kako bi identificirale tehničke propuste, kao što su nesigurni mrežni portovi ili eksterni programi koji, naprimjer, dijele previše informacija preko pretraživača. S druge strane, cyber ratne igre organiziraju se oko koncepta scenarija za izvođenje napada i odbrane za koje se zadužuju tzv. crveni i plavi tim. Scenarij je, pri tome, organiziran da simulira iskustvo pravog napada. Radi veće autentičnosti, učesnici često dobijaju nepotpune informacije, a i njihovi ciljevi ne moraju biti potpuno usklađeni. Simulacije cyber napada pokrivaju više sigurnosnih funkcija i aktera, ne samo iz sfere informatičke sigurnosti, nego i osoblja koje se bavi tehničkom infrastrukturom, aplikacijama, korisničkom podrškom, marketingom, pa čak i pravnim poslovima i odnosima s javnošću. Sami scenariji traju i po nekoliko dana, uz prethodnu detaljnu analizu dostupnih resursa, alata i potencijalnih slabih tačaka kako bi simulacija zadržala relevantnost i realističnost. Mnoge kompanije ne mogu priuštiti cjelodnevne simulacije cyber napada, zbog čega se ove vježbe često organiziraju i u “stolnom” formatu nalik na strateške igre.
Bezbolni odgovori na bolna pitanja
Pitanja na koje ove “vojne vježbe” mogu ponuditi odgovore su brojna, a većina se odnosi na prepoznavanje sposobnosti kompanije da odgovori na cyber prijetnje u svakom trenutku. Za početak, tu je pitanje kapaciteta sigurnosnog odjela da prepozna i reagira na ugrožavanje sigurnosti. Prema istraživanju kompanije McKinsey, jedna organizacija je tokom simulacije otkrila da su procesi koje je njen sigurnosni tim pokretao u kriznim situacijama u potpunosti zavisili od e-maila i slanja trenutnih poruka. To je pokazalo da organizacija ima ograničenu sposobnost da odgovori na napade koji bi doveli do rušenja navedenih sistema. S druge strane, vježba ovog profila može ukazati na slabosti u sistemu donošenja odluka u vrijeme dok se napad još odvija. Druga je korporacija otkrila da ne posjeduje funkcionalne smjernice za odlučivanje o vremenu gašenja svojih tehnoloških resursa u momentu napada. Utvrđeno je da su menadžeri, do tada, u slučaju napada naređivali tehnološkom timu da bez potrebe prekine eksterne mrežne veze, zbog čega su klijenti gubili pristup korisničkim računima.
Nepredvidivost se ne isplati?
Višednevne simulacije cyber napada nisu univerzalni lijek za savremene boljke u oblasti sigurnosti. Za početak, njihova realizacija može biti skupa. Pored novca, za nju je potrebno i vrijeme i ekspertiza za osmišljavanje situacije, određivanje krajnjeg cilja i izvođenje. Zapravo, uvijek postoji rizik da test neće biti vrijedan uloženog jer, ako je pravi, vi nikada ne možete znati njegov ishod. Ako i vaš odbrambeni tim odbije napad, samo ćete saznati da ste dovoljno dobri, barem do sljedeće prijetnje. Neki zagovaraju i uvođenje tzv. ljubičastih, eksternih timova u odnosu na ponešto ograničavajući format napadača i branitelja. U ovom slučaju napadač bi došao izvana, dok bi vaši timovi bili spojeni u ljubičastu ekipu koja brani boje lokalnog cyber sigurnosnog sistema. U cijelu priču se miješaju ekonomija i psihologija – praksa je pokazala da bi specijalizirane kompanije za simulaciju/vježbe iz oblasti cyber napada ovaj vid testiranja mogle učiniti pristupačnijim i za manje organizacije. A šta je s psihologijom? Riječ je, zapravo, o tipičnom ljudskom ponašanju poznatom svakom ko je iole studirao tzv. teoriju igara. Kod timova koji su češće gubili u ovakvim simulacijama (pre)lako se javljalo pretjerano takmičarsko i rivalsko ponašanje koje, kažu eksperti, ima veliki potencijal da optereti buduću saradnju na zajedničkom cilju. To je, za sada, jedna veoma ljudska komponenta sigurnosnih simulacija koju nijedan tehnološki sistem neće moći zamijeniti u dogledno vrijeme. t
