13.10.19

Je li vrijeme za promjenu ISMS modela?

Može li tradicionalni model upravljanja sigurnošću informacijskog sustava uspješno odgovoriti na cyber prijetnje?

Postojeći model upravljanja sigurnošću informacijskog sustava inicijalno je zacrtan prije dvadesetak godina i temelji se na standardu BS7799, koji nešto kasnije preimenovanog u ISO 27001. Ovaj standard na cjelovit način definira sva ključna područja informacijske sigurnosti, uvodi procjenu rizika kao neophodan kriterij za donošenje odluka o provedbi sigurnosnih mjera i postavlja temelje upravljanja ovim sustavom. Standard je blizak nekim drugim okvirima (prije svega mislim na COBIT), a iz njih su proizašle i brojne dobre prakse te regulatorni okviri.

Zašto bi sada ovako dobro postavljen model upravljanja informacijskom sigurnošću postao odjednom manjkav? Može li se uopće nositi s cyber prijetnjama?

U vrijeme uspostave tradicionalnog modela upravljanja informacijskom sigurnošću, u informacijskim sustavima su dominirale prijetnje koje su proizlazile iz tehničkih i prirodnih nepogoda, ponajviše ugrožavajući dostupnost informacijskih servisa. Rizičnost ljudskog faktora sagledavao se kroz greške u radu, nepažnju i slučajne nezgode. Stoga su odjeli informacijske sigurnosti bili primarno fokusirani na strateška pitanja, te na proceduralne radnje vezane za prethodno nabrojene rizike.

Rizici malicioznog ljudskog djelovanja smatrali su se dobro kontroliranima. S obzirom na ograničen arsenal koji je u to vrijeme bio napadačima na raspolaganju, „firewall“ sustavi i antivirusni programi pružali su zadovoljavajuću zaštitu, a nadležnost za ove mjere su najčešće bile rutinski delegirane odjelima IT operative, dakle izvan nadležnosti odjela informacijske sigurnosti.

Pojavom cyber prijetnje (vremenski ih možemo smjestiti unutar zadnjih pet do šest godina ili čak nešto ranije), arsenal s kojim raspolažu maliciozni napadači postaje puno kompleksniji, scenariji napada sofisticirani, a realizacija izuzetno inventivna. Novi perimetar se preselio s oboda prema unutarnjem dijelu privatne mreže, na osobna računala, „browser-e“ i druge svakodnevno korištene programe, pa standardna zaštita pomoću „firewall-ova“ više nije dovoljna. Također, jedna od odlika cyber prijetnju je uspješno prikrivanje i izbjegavanje detekcije antivirusnim programima, a tržište nam za sada nije ponudio univerzalno zamjensko rješenje za ovaj problem.

Zaštita od cyber prijetnji mora se  temeljiti se na dobrom poznavanju stanja informacijske imovine koju štitimo i zatrpavanju svih poroznih točaka, na sposobnosti prepoznavanja svih elemenata specifičnih cyber napada, uspostavi učinkovitog nadzora sustava i detekcije indikatora naprednih prijetnji, te na uvježbanom odgovoru kada i ako se dođe do sigurnosnog proboja.

Ovo su zadaci koji značajno nadilaze nadležnosti kompetencije IT operative. Očigledno, loptica se vraća natrag na stranu odjela za informacijsku sigurnost.

Dakle, kad zazivam o promjenu modela upravljanja informacijskom sigurnošću, ja govorim o potrebi da CISO nadraste ulogu funkcije koja propisuje strateške smjernice i ispunjava zadatke predviđene „compliance“ križaljkom, te na potrebu njegovog prihvaćanja obaveze neposrednog suočavanja s cyber prijetnjama. CISO mora preuzeti sponzorstvo nad procesom za detekciju i ograničavanje cyber prijetnji, te nad procesima za preventivnu redukciju ranjivosti koje otvaraju vrata ovim napadima.

Treba reći da tradicionalni okviri informacijske sigurnosti predviđaju mjere nadzora i detekcije prijetnji, ali ne na način koji je dorastao cyber prijetnjama. Ja ne inzistiram na donošenju novih standarda i regulatornih okvira. Dapače, to može oduzeti dosta vremena i ponovo nas uvući u kolo ispunjavanja „compliance“ obaveza, koje, poznato nam je od ranije, ne znače nužno i veću sigurnost.  Smatram da se dobre smjernice mogu naći i u okviru postojećih inicijativa (npr. vidi MITRE ATT@CK), a izuzetno je važno da CISO krene razmišljati izvan okvira. I bude svjestan novog modela upravljanja informacijskom sigurnošću.

U protivnom, CISO bi se vrlo brzo mogao suočiti s posljedicom da sva odgovornost za proboj cyber napada padne na njegova leđa.

10.4.19

Prezentacije u travnju

Ovaj mjesec sudjelujem u radu dviju stručnih konferencija u Hrvatskoj, gdje ću i održati prezentacije.

Od 11. do 13.4.2019. sudjelujem na konferencije Hrvatskog instituta internih revizora u Lovranu. Tamo ću 12.4. održati prezentaciju "Kako nam analitički alati mogu pomoći u otkrivanju i sprečavanju prijevara?". Govoriti ću o analitičkim tehnikama koje se koriste u detekciji fraud-a, a prezentaciju ću ilustrirati primjerima korištenja alata CaseWare IDEA u takvim scenarijima.

Više o samoj konferenciji možete doznati na službenoj stranici.

U utorak, 30.4.2019. sudjelujem u radu konferencije DataFocus 2019, koju organizira tvrtka INSig2. Ova, sada već tradicionalna konferencija, bavi se računalnom forenzikom. Naslov moje prezentacije je  "Forenzička analiza cyber incidenata", a govoriti ću o metodologiji forenzičke istrage cyber/kibernetičkih incidenata, s osobitim naglaskom na napredne tehnike napada.

Više o samoj konferenciji možete doznati na stranici tvrtke INSig2.

Pozivam sve one koji još imaju otvorene termine u kalendaru neka se pridruže ovim konferencijama. Također, sudionici prezentacija se mogu javiti i nakon vremenskog okvira predviđenog za prezentaciju kako bi nastavili diskusiju o otvorenim temama. Oni koji nisu u mogućnosti sudjelovati na ovim konferencijama mogu zatražiti materijal mailom.

Radujem se našem susretu.

25.1.19

Digitalna transformacija procesa upravljanja ranjivostima


Upravljanje ranjivostima je u povijesnoj perspektivi (ako razdoblje od dvadesetak godina možemo nazvati poviješću) bilo ograničeno na postupak mrežnog skeniranja, s mogućnošću otkrivanja ranjivosti uglavnom do razine mrežnih servisa. Iako se skeniranje može provesti i putem autenticiranog kanala i time otkriti puno više ranjivosti (pogledajte raniji tekst), takva se tehnika provodi razmjerno rijetko. Stoga, ranjivosti se otkrivaju tek na površini računalnih resursa, eventualno, nakon laganog grebanja, tek malo ispod površine. Neotkrivene ostaju brojne neugodne sigurnosne rupe. Niti se o njima puno znalo, a još maje pričalo.

Napadači su do pojave naprednih prijetnji koristili iste tehnike za kompromitaciju sustava, dakle tek one površinski vidljive ranjivosti. No, priča se temeljito mijenja s pojavama naprednih računalnih prijetnji. U novoj konstelaciji sukoba, žrtve idu napadačima a ne više napadači na računala žrtve. Privlačne ali lažne mail poruke, zavodljivi Internet servisi, malo neopreznije surfanje – jako malo je potrebno za preuzimanje malicioznog implantata…

Napadači znaju da se sada moraju jače potruditi, nema više lakih meta. No, potencijalni dobitak nije zanemariv, mogućnosti za daljnju propagaciju su postaju gotovo neograničene. Osim toga, ekonomski model kibernetičkog kriminala je izuzetno održiv, dodatno pojačan činjenicom da se žrtve moraju puno više potruditi kako bi zatvorili sve rupe.

Ovakva promjena napadačke doktrine bila je znak da se mora promijeniti i doktrina ojačanja sustava, pa je tako to bio i signal za promjenu paradigme upravljanje računalnim ranjivostima kakvu smo poznavali godinama. Umjesto periodičkog ali nisko frekventnog mrežnog skeniranja i tek rutinskog izvještavanja, nastupilo je vrijeme za kontinuiranu (ili barem visokofrekventnu) provjeru prisutnosti propusta, ali ne više samo onih površinskih. Umjesto rutinskog izvještavanja i neučinkovitog "patchiranja", sada se nalazi moraju rangirati prema realnim prijetnjama koje proizlaze iz utvrđenih nedostataka. Umjesto kompleksnog procesa totalnog "patchiranja" za koji smo nalazili sto razloga za odgađanje, sada se bez izuzetka moramo, ali i možemo, fokusirati barem na one ključne ranjivosti, čije nam povezane prijetnje kucaju na vrata.

Upravo je ovo tehnološki okvir unutar kojeg je Qualys prošle godine uveo značajne inovacije u servisu za upravljanje ranjivostima QualysGuard. Korištenje agenata za prikupljanje ranjivosti, uvedenih nekoliko godina ranije (o čemu sam pisao ovdje), a naglasak se sada daje na kvalitetnoj obradi i prezentaciji bogatih informacija koje su agenti u stanju prikupiti, te na pružanju informacija koje omogućuju operativno djelovanje. Upravljanje ranjivostima sada mora uključivati indikatore iz „cloud“ infrastrukture i kontejnerskih entiteta, a rezultati moraju biti primjenjivi kako u upravljanju rizicima tako i u  DevOps procedure…  Ove godine očekujte digitalnu transformaciju procesa upravljanja ranjivostima.

11.1.19

Doxxing

Pojam „doxxing“ (ili „doxing“, ako to smatrate ispravnijim pojmom) je u prvim danima ove godine bio nadprosječno prisutan u medijima svih vrsta. Neposredni povod je informacija o objavi osobnih podataka njemačkih političara i drugih javnih osoba putem Twittera. Tako smo doznali da su objavljene informacije Angele Merkel, njemačkih parlamentaraca i nekih osoba izvan svijeta politike.

Takav događaj se u žargonu novih medija naziva „doxxing“. „Doxxing“ je naziv za javnu objavu osobnih podataka neke osobe bez pristanka same osobe a u cilju stvaranja neugodne situacije za žrtvu. Objavljuju se brojevi telefona ili kućne adrese, što implicira neposredni pritisak prema žrtvi, objavljuju se neugodne fotografije, pisma ili dokumenti, financijski podaci... Iako se „doxxing“ povezuje s hakiranjem, podrazumijevajući da se u posjed ovim informacijama može doći tek nakon uspješnog hakerskog napada, hakeri u scenarijima „doxxing-a“ nisu nužni. „Doxxing“ može obuhvatiti objavu informacija do kojih se dolazi strpljivim kopanjem po dostupnim izvorima podataka, često i onim klasičnim, ne-digitalnim. Moramo biti svjesni da ostavljamo jako puno tragova, treba se samo sagnuti i pažljivo prikupiti ih.

Ako pak govorimo o hakerskom porijeklu informacija, ponekad se radi tek o pogađanju jednostavno postavljenih zaporki za cloud mail servise, a najčešće lukavo skrojenom ciljanom „phishing“ napadu kroz koji će žrtva neoprezno otkriti zaporku za pristup mail servisu. Za tako nešto, danas više ne treba previše truda niti ekspertize. A kad se dođe do pretinaca elektroničke pošte, svašta se može pronaći. Važno je reći da objava podataka o jednoj osobi ne znači nužno da je kompromitiran mail račun sam žrtve. Ponekad je dovoljno kompromitirati mail tajnika/tajnice uglednog političara ili bliskih prijatelja nekog celebrity-a. Tamo se onda mogu naći zahvalne informacije, od adresa, brojeva telefona pa do osjetljivih fotografija. Omiljena forma „doxxinga“ je objava stvarnog identiteta neke osobe koja na društvenim mrežama koristi anonimni profil.

Jako je puno primjera „doxxing-a“, a objava podataka njemačkih političara je tek zadnji u nizu. Prisjetimo se nekih ranijih. U političkom svijetu smo imali objavu elektroničke pošte Hillary Clinton, bivšeg direktora CIA-e, „doxxing“ javnih osoba čiji su stavovi suprotni jednom od „mi ili oni“ grupacija… U show business svijetu su ovi slučajevi još češći: Ashton Kutcher, Paris Hilton, Jay-Z , Britney Spears, Beyonce, Kim Kardashian, Scarlett Johansson… Popis je veoma dug.

Žrtve „doxxing-a" mogu biti i organizacije ili tvrtke. Sjetimo se slučajeva Sony, Hacking Team, pa čak i NSA u slučaju Edwarda Snowden-a.

Očigledno, glavni motivi osoba koje stoje iza „doxxing“ akcije su osveta, poniženje, politički ili svjetonazorski obračun… Ponekad je „doxxing“ i sredstvo ucjene. Naravno, kao i druge navodne istine koje se objavljuju na društvenim mrežama, tako i „doxxing“ može sadržavati potpuno lažnu informaciju koja će žrtvi dodatno naškoditi, a da zapravo i ne postoje mehanizmi učinkovitog ispravka ove informacije.

Podataka o svima nama je sve više pa možemo očekivati porast doxxing napada ali i njihovu sve maštovitiju upotrebu. No, kako se zaštiti od „doxxing“ napada? Ako govorimo o osobnim podacima pojedinaca, najizloženija točka je servis elektroničke pošte pa se dosta visoka razina zaštite može postići korištenjem dvo-faktorske autentikacije ili barem dovoljno jake zaporke. Naravno, i sve uobičajene mjere osnovne higijene računala i mobitela su neophodne. Svakako treba reducirati broj osobnih podataka koje svjesno ostavljate u Internet prostoru.

Ipak, kao i za druge oblike računalnih zloupotreba ili kibernetičkog kriminala, na snazi je pravilo da je lakše izvesti napade nego obraniti se od njih.