5 błędów cyberbezpieczeństwa
Więcej miejsc do posłuchania:
Transkrypcja filmu:
Dzień dobry, witam serdecznie wszystkich,
Chciałem, dzisiaj w tej krótkiej prezentacji, powiedzieć o typowych problemach bezpieczeństwa, które ja spotykam w swojej praktyce i które zapewnie pojawiają się w wielu miejscach i warto o nich wiedzieć oraz jak się przed nimi zabezpieczyć.
1 typowy błąd – kosmos informacji
Pierwsza rzecz to jest kosmos informacji, zwłaszcza jak popatrzymy na to jakie informacje są dostępne dla pracownika firmy. Wiele dzisiaj firm ma takie założenie, ze dostę przewodowy z „wewnątrz” firmy jest bezpieczny. Domyślnie jest on zaufany, co oczywiście za chwilę pokażę nie jest prawdą.
Dzisiaj jak popatrzymy jaki najczęściej typy ataków występują, np ransome czy phising, to okazuje się że większość z nich jest wykonywanych z „wewnątrz” sieci. Nie jest to wielka nowość, ten trend jest widoczny od dawna, ale dla ludzi nie specjalizujących się w cyberbezpieczeństwie jest to ważna informaja.
Opowiem teraz pewną historię, która dobrze obrazuje ten aspekt. Wyobraźcie sobie inżyniera zajmującego się bezpieczeństwem baz danych, który otrzymał na pewnym etapie swojego życia zlecenie rządowe dotyczące włamania się do systemu bankowego. Cała akcja była zorganiowana w Afganistanie na etapie prowadzonej tam wojny. Kolega ten miał za zadanie dostać się do placówki banku. Jak wywiad wcześniej istalił, mógła to być dowolna placówka banku.
Wybrano taką, która będzie najbezpieczniejsza z punktu widzenia przeprowadzenia tej misji. On był jednym z członków zespołu, który uzupełniał pluton komandowsów, zabezpieczający całą misję. Komandosi mieli go przywieść do placówki, zabezpieczyć teren, a następnie dać mu możliwość pracy. Najbardziej ryzykownym elementem, nie było dostanie się do sieci i wykonanie exploita, czy innego programu. Było nim wybranie takiej lokalizacji placówki, która nie zostanie wykryta przez wrogie jednostki i pozwoli uniknąć strat w ludziach.
Jeszcze jedna ciekawa historia była z tym związana, mianowicie pierwotnie planowano akcję przeprowadzić w nocy, ze względu na mniejsze ryzyko wykrycia. Okazało się to jednak nie możliwe, ponieważ w Afganistanie brakowało energii elektrycznej i w związku z tym, prąd był wyłączany na noc w firmach, a włączany w gospodarstwach domowych. Następnie następowało przełączenie odwrotne nad ranem. W związku z tym w placówkach bankowych nie było prądu w godzinach nocnych i akcję trzeba było przeprowadzić w dzień.
Cała operacja przebiegała bardzo szybko, gdy zabezpieczono teren w danej placówce banku, specjalista od bezpieczeństwa baz danych otrzymał sygnał do działania. Mógł wybrać miejsce do połączenia swojego komputera. Patrząc na wszystkie dostępne biurka, wybrał jedno to było biurko w pokoju dyrektora. Powód wyboru tego pokoju był tylko jeden, to było jedyne pomieszczenie z klimatyzatorem.
Okazało się zgodnie z przewidywaniami, że bank był o tyle słabo zabezpieczeony, że z dowolnego gniazdka można było się wpiąć kablem i dostać bezpośrednio do centralnych systemów w tym do baz danych.
Być może dziwi to część z Państwa, bo jak sobie popatrzymy na nasz system bankowy i systemy jak są zabezpieczone i zorganiowane w tym obszarze to jest to nie do pomyślenia. Wystarczy jednak że przeniesiemy się z tą analizą do przedsiębiorstw, do instytucji publicznych i okazuje się że opisywany scenariusz jest identyczny. Wystarczy się podpiąć do dowolnego gniazdka „wewnątrz” firmy i mamy dostęp do wielu systemów centralnych. Jest tak jak na tym obrazku, mamy dostęp do ogromnej ilości informacji. Wystarczy posiadać odpowiednie narzędzia, które pozwolą nam insteresujące nas informacje pobrać.
Co można zrobić żeby tego typu sytuacjom, zapobiec? Wystarczy że mamy dobrze przemyślany i zorganizowany sytem, który ogranicza dostęp danego pracownika/urządzenia do pewnego wycinka informacji, potrzebnego do wykonania danego zadania.
Jest to w szczególności istotne w kontekście urządzeń IoT, które mają swój specyficzny element w sieci, z którym się komunikują. Najczęściej jest to bardzo wąski profil komunikacji, tak żeby nie dało się zamiast tego sensora wpiąć innego urządzenia i mieć dostęp, np. do bazy danych.
To nam bardzo obniża ryzyko, bo jeżeli nastąpi incydent bezpieczeństwa związany z sensorem, dostęp do potencjalnych informacji będzie bardzo ograniczony.
Drugi typowy błąd – zaufanie do oprogramowania
Jeżeli popatrzymy sobie na drugi najczęstrzy błąd, to jest nim zaufanie do oprogramowania. Wiara że oprogramowanie, które jest na urządzeniach nie ma błędów. Oprogramowanie otrzymywane w ramach zakupionego rozwiązania IoT, czy rozwiązenia software’owego dla naszych pracowników, że ono jest bezpieczne.
Większość z nas jak tutaj jesteśmy, ma poczucie że pewnie tak nie jest, no ale cóż z tym można zrobić? To jest drugi argument, wspierający wcześniej przedstawioną tezę o ograniczaniu dostępu do jedynie wymaganych informacji dla danego typu urządzenia, czy profilu pracownika.
Jeżeli popatrzycie sobie na to jakie mogą być takie typowe błędy w oprogramowaniu, to polecam tę książkę „Człowiek vs Komputer” Gajko Adzic, jest to książka dla zwykłych ludzi zaciekawionych tematem błędów w oprogramowaniu. Takie drobne rzeczy, wydające się z pozoru nieistotne, okazuje się że mogą być dość kluczowe. Dla przykładu synchronizacja czasu pomiędzy urządzeniami, czy poszczególnymi aplikacjami.
Większość z nas nie wie, że czas w oprogramowaniu musi być ograniczoną skończoną wartością. Nie tak jak dla zwykłego człowieka, że czas jest po prostu i płynie. W komputerze musi on mieć początek i koniec. Dla większośc oprogramowania jest to rok 2038. Ten koniec wynika z tego, że czas jest zapisywany zazwyczaj w licznikach o długości 32 bitów. Więcej takich ciekawostej jest w tej książce, zachęcam do przeczytania, jeżeli ktoś jest ciekawy.
Trzeci typowy błąd – brak widoczności
Jak popatrzymy sobie na nasze sieci, na ruch jaki tam funkcjonuje. To jest to tak jak miasto, w którym patrzymy z wysokiej perspektywy i mieli powiedzieć, a gdzie jest nasz pan Kowalski? Nie jesteśmy tego w stanie zrobić, chyba że mamy specjalne narzędzia, które nam to umożliwiają.
Mamy monitoring, mamy systemy analityczne, które są nam w stanie automatycznie skorelować pewne dane, a następnie pokazać w którym miejscu ten człowiek może przebywać. Taki system, jak rozpoznawanie tablic rejestracyjnych w miastach. Dzięki niemu możemy dostać automatycznie informację na temat poszukiwanego samochodu, że przemieścił się on przez konkretne wskazane skrzyżowania, oraz jest w stanie wykreślić przyszłą przewidywaną trasę przejazdu tego samochodu.
To samo dotyczy systemów IT, to samo dotyczy sieci komputerowej. Jeżeli mamy takie narzędzie jak Network Behaviour Analytics, czyli narzędzia profilujące nam zachowania w sieci. One są w stanie dać nam więcej informacji, tak samo jak monitoring w mieście, co się tam w środku dzieje.
Czwarty typowy błąd – bezpieczeństwo wyspowe
Jeżeli sobie popatrzymy, że bezpieczeństwo często jest rozumiane infrastrukturalnie. To większość firm wie, że należy mieć firewall’a, uwierzytelnianie do sieci, systemy MDM. Czyli są takie poszczególne elementy, które są nam znane. Jednak jeżeli skupiamy się jedynie na tym wyspowym elemencie, dajmy na to firewall’u, to pewne zdarzenia bezpieczeństwa mogą nam po prostu umknąć.
Warto mieć integrację, pomiędzy tymi poszczególnymi komponentami, tak żeby informacje pomiędzy poszczególnymi systemami, bezpieczeństwa były wymieniane. Dzięki temu mamy możliwość otrzymania badziej spójnego obrazu tego co się dzieje w danym środowisku i wykrycie większej ilości zdarzeń.
Piąty typowy błąd – Człowiek
Człowiek, czyli najsłabsze ogniwo w stosunku do technologii. O ile mówimy o specjalistach, mających styczność z technologią z bezpieczeństwem, to ich poziom świadomości jest zazwyczaj wysoki.
Wyobraźmy sobie jednak tego człowieka, Pan pracujący w magazynie, mający swoje zadania. Mający swoje narzędzia w postaci tabletu i oprogramowania na nim. On wie jak korzystać z tych kilku konkretnych narzędzi, które ma na tym urządzeniu.
Teraz pytanie, jak ten człowiek zareaguje otrzymując maila typu phishing, zawierającego spreparowany do przeprowadzenia aktaku link do strony? Jak on zareaguje na telefon, gdzie go ktoś poprosi o podanie hasła do weryfikacji? Takie typowe techniki socjotechniczne. Jest niestety duża szansa że taki atak będzie skuteczny.
Pojawia się pytanie, czy my możemy wyedukować tego człowieka i każdego innego, tak żeby był odporny na ataki socjotechniczne? Jest to bardzo mało prawdopodobne, bo ludzie nie techniczny mają zupełnie inny kontekst oceny takich zdarzeń niż my. To bezpośrednio wpływa na ocenę, co może być zagrożeniem i atakiem, a co nim nie jest.
To co możemy z tym zrobić, to zaopatrzyć się w narzędzia, profilujące użytkowników, rozwiązania z kategorii User Behaviour Analitycs. Umożliwiające nam automatyczne korelowanie danych, tak trochę jak w tym mieście pokazywanym wcześniej i pokazywanie profili użytkowników. Kolejnym krokiej jest wskazywanie alarmów jeżeli te profile są zakłócone, np. dany pracownik, korzystał z tabletu i kilklu narzędzi zainstalowanych na nim. Zakłóceniem tego profilu będzie ściąganie dużej ilości danych z serwera, z którym wcześniej się nie komunikował.
Mając tego typu narzędzie jesteśmy w stanie, wykryć tego typu sytuacje i zablokować tego typu ataki automatycznie. Jak sobie popatrzymy na etapy realizacji ataków, to jest to najczęściej kilka kroków koniecznych do wyprowadzenia danych z firmy. W tego typu oprogramowaniu, profilowania użytkowników, mamy tzw. scoring, czyli każde zdarzenie bezpieczeństwa jest zapisywane wraz z wagą. Każdy kolejny krok ataku, dokłada wartość do profilu ataku i podwyższa jego ważność. Jeżeli ten scoring jest wystarczająco wysoki, pojawia się alarm, wymagający interwencji człowieka z zespołu SOC.
Inaczej nie jesteśmy w stanie z tej całej masy informacji wyłowić tych najważniejszych na które wymagana jest reakcja człowieka.
Dziękuję za uwagę i życzę miłego dnia.
