tag:blogger.com,1999:blog-61694178775066981912024-03-14T06:12:21.789+01:00Upravljanje informacijskim rizicimaIT Risk, Information AssuranceUnknownnoreply@blogger.comBlogger116125tag:blogger.com,1999:blog-6169417877506698191.post-86749857319286246722023-06-09T14:25:00.000+02:002023-06-09T14:25:33.371+02:00Faktori reducirane percepcije cyber rizika<p>U <a href="https://blog.borea.hr/2023/05/ucinimo-risk-management-ponovo-znacajnim.html">prethodnom tekstu</a> sam ocrtao polazišta za redefiniciju procjene rizika u okruženju cyber prijetnji. Fokusirao sam se na moje zapažanje da su ključni nositelji odluke o rizicima veoma skloni donositi odluke rizicima koje su nešto niže od realnih, drugim riječima skloniji su umanjivati rizike. Vjerujem da i kolege koji se bave procjenom rizika i sudjeluju u procesu upravljanja rizicima dijele isto iskustvo. </p><p>Ujedno, iznio sam mišljenje da je neadekvatna ocjena rizika, koja ne uzima u obzir realne indikatore prijetnji i ranjivosti, glavni razlog za umanjivanje konačne razine rizika u tradicionalnim procjenama rizika.</p><p>Zbog čega procjena rizika nije utemeljena na realnim indikatorima?</p><h3 style="text-align: left;">Trokut prijetnje</h3><p>U nekim slučajevima se radi o trivijalnim razlozima unatoč poznavanju specifičnosti cyber rizika – na primjer o potpunom nepoznavanje specifičnosti cyber rizika ili o zadržavanju linije manjeg otpora i nastavku rada s uobičajenim, ali neadekvatnim, matricama rizika. </p><p>No, puno češća su prisutna naša uvjerenja da cyber prijetnje, unatoč njihovoj plastičnoj opipljivosti, ne predstavljanju realnu opasnost za „naše okruženje“, „Neće nas nitko!“. Ova sklonost minoriziranju problema i reduciranoj percepciji cyber rizika već je dugo vremena predmet mojeg interesa.</p><p>Prije nego što se udubimo u glavne razloge zbog kojih procjena cyber rizika nije utemeljena na realnim indikatorima, preporučio bih promjenu pogleda na komponente rizika na temelju kojih određujemo izglednost cyber napada.</p><p>Tradicionalno, izglednost napada se određuje kao umnožak ocjene visine prijetnje i ocjene prisutnih ranjivosti – poslužimo se ovim pojednostavljenim pogledom. No, da bi dobili precizniji pogled, predlažem da izglednost napada re-definiramo kroz trokut prijetnje (Threat Triangle): njega čine komponente Namjera (Intent), Sposobnost (Capability) i Prilika (Opportunity). Na taj način, tradicionalne komponente rizika pogleda (visine prijetnje i ocjene prisutnih ranjivosti) kontinuirano sagledavamo kroz njihovu među-reakciju, pri čemu se uobičajena visina ranjivosti u velikoj mjeri projicira na komponente Sposobnost (Capability) i Prilika (Opportunity). Drugim riječima, odmah u fazi analize ranjivosti na sustavu potrebno je uzeti u obzir i način na koji napadači mogu materijalizirati takve ranjivosti (sredstvo iskorištavanja ranjivosti, potrebno znanje napadača za iskorištavanje ranjivosti, uvjeti koje napadač mora pripremiti za iskorištavanje ranjivosti). </p><h3 style="text-align: left;">Cyber kill-chain i procjena rizika</h3><p>Iako slijed cyber napada („cyber kill-chain“) možemo danas opisati veoma detaljno i slojevito, kod procjene visine cyber rizika obično se najviše fokusiramo na rizike vezane za inicijalni proboj jer svijest o (ne)izglednosti inicijalnog proboja (odnosno „Neće nas nitko!“ stav) usmjerava sve naše kasnije odluke koje proizlaze iz procjene rizika (osobito one odluke koje nas lažno umiruju). Dobro provedena procjena cyber rizika će uzeti u obzir i sljedeće faze u slijedu cyber napada, osobito one koje se neposredno nadovezuju na inicijalni proboj, no upravo je minoriziranje rizika inicijalnog proboja glavni razlog nesagledavanja sljedećih koraka slijeda cyber napada.</p><p>Stoga pitanje s kojim ću se pozabaviti u nastavku ove serije tekstova glasi: koji su razlozi zbog se neadekvatno percipiraju (čitaj: umanjuju) rizici proboja cyber prijetnji? </p><h3 style="text-align: left;">Četiri glavne kategorije pogrešne procjene izglednosti cyber prijetnji </h3><p>Odgovor leži u nepoznavanju ključnih informacija relevantnih za procjenu cyber rizika, odnosno nedovoljnom upoznatosti osoba koje donose ocjenu o cyber rizicima o faktorima koji pospješuju djelovanje cyber prijetnji.</p><p>Ove razloge možemo svrstati u četiri glavne kategorije:</p><p>1. Nepoznavanje stvarne motivacije napadača (što uključuje i procjenu dobiti/gubitka za napadače)</p><p>2. Nedovoljna svijest o jednostavnosti inicijalnog proboja na mrežu žrtve</p><p>3. Prisutnost uvjerenja o svemogućnosti anti-malware zaštite</p><p>4. Zanemarivanje mjera kontrole pristupa i dodjele pristupnih prava</p><p>Naravno, ovo nisu jedine kategorije pogrešne percepcija cyber rizika. A osobito nisu zadnje tri točke i jedine slabe točke koje napadači iskorištavaju. Dapače to je tek njihov manji broj, no odluke koje donosimo u procesu procjene rizika su u velikoj mjeri utemeljen upravo na ovim pogrešnim stavovima. Stoga, njihovim dobrim poznavanjem unaprijediti će se naša argumentacija kod ocjene rizika. </p><p>U nastavku ćemo se pozabaviti svakom od ovih kategorija.</p>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-19901080126309522682023-05-23T19:02:00.000+02:002023-05-23T19:02:26.537+02:00Učinimo „risk management“ (ponovo) značajnim<p> Davne 2007 kada sam započeo pisanje ovog bloga, dodijelio sam ime „Upravljanje informacijskim rizicima“. Upravljanje rizicima sam shvaćao u svom suštinskom značenju, ne kao regulatornu obavezu. U to je vrijeme risk management još uvijek bio način razmišljanja na kojem se temeljila svaka odluka u, ne samo, informacijskoj sigurnosti. </p><p>U međuvremenu, risk management dobiva značenje regulatorne obaveze, što je naravno samo pripomoglo njegovoj promociji i unaprjeđenju značaja. Ipak, s vremenom je prevladalo regularno značenje, zanemarujući njegovu suštinsku primjenu. Risk management je postao rutinski proces a odluke najvišeg rukovodstva su ponegdje postale isključivo formalni korak.</p><p>Takav risk management je dočekao cyber prijetnje ponajprije na krilima stare slave, ali s neadekvatnim razumijevanjem novih prijetnji. Susreo sam jako puno organizacija koje kroz niz prethodnih godina nisu značajno unaprijedile osnovne mjere za sprječavanje cyber prijetnji, a da u isto vrijeme nisu povećale razinu rizika uslijed eskalacije cyber prijetnji. Glavni razlog vidim u činjenici da visine rizika nisu utvrđene temeljem realnih okolnosti. Zapravo i ne poznajem nikoga tko je adekvatno povisio razinu i pri tome povećao vlastiti apetit za rizika. To bi bilo puno poštenije.</p><p>Stoga, pitanje glasi: možemo li u vremenu cyber prijetnji risk management ponovo učiniti značajnim? Smatram da možemo, a postoje dva važna polazišta da se to postigne.</p><h3 style="text-align: left;">Tradicionalne prijetnje i cyber prijetnje</h3><p>Prvo, moramo postati svjesni da se tradicionalni risk management (opisan u uvodnom dijelu teksta, a koji je postao mainstream u proteklih desetak do petnaest godina) prije svega bavio tradicionalnim prijetnjama – tehničke nepogode, prirodne nepogode, ljudske greške i romantičarski motivirani hackeri. Ključni element u ocjeni prijetnje bila je frekvencija prethodno registriranih događaja izazvanih ovim prijetnjama. I da – to je bilo vrijeme dok je perimetar završavao na firewallu, unutarnja mreža je bila svijet za sebe.</p><p>Pojava cyber napada izaziva i promjenu prije načina procjene izglednosti prijetnje. Dok se kod tradicionalnog risk managementa nije moralo detaljnije ulaziti u svojstva prijetnji (npr. osoba koja je vodila procjenu rizika nije morala poznavati geofizičke zakonitosti da bi uzela u obzir mogućnost nastupanja potresa procjene rizika niti je trebala biti stručnjak za prijenos električne energije da bi procijenila mogućnost ispada sustava prijenosa u lokalnoj trafostanici) kod cyber prijetnji se stvari temeljito mijenjaju. Bez dobrog poznavanja i bez prethodne analize samih izvora i motiva prijetnji, načina njihove manifestacije, kao i bez dobrog poznavanja svojih slabosti povezanih s pojedinim prijetnjama nije moguću kvalificirano procijeniti izglednost nastupanja cyber prijetnji. </p><h3 style="text-align: left;">Pozicioniranje cyber rizika na strateškoj, operativnoj i taktičkoj razini</h3><p>Druga bitna točka je pozicioniranje risk managementa. Inzistirajući na regulatornom značaju, promakla nam je činjenica da se svaka odluke o provedbi neke zaštitne mjere – od vezivanja pojasa u automobilu preko konfiguracije domenskih Group Policy postavki pa do primjene najnaprednijih sigurnosnih tehnologija, temelji na procjeni rizika. Samo je dio tih odluka rezervirano za najviši management – tu govorimo o strateškoj procjeni rizika, no procjena rizika se svakodnevno primjenjuje na taktičkim i operativnim razina. </p><p>Stoga, nužno je znati da se odluke o odgovoru na cyber prijetnje koje se donose na taktičkoj i operativnoj razini temelje na procjeni rizika ali ne moramo nužno govoriti o metodologijama i standardima i ne moramo razmišljati u matricama, iako se dobar dio odluka može uvjetovati specifičnim algoritmima i kriterijima. Ovdje nam je puno važnija realna i točna informacija o motivima napadača, poznavanje anatomije cyber napada, identifikacija nedostataka i ranjivosti koji pogoduju širenju prijetnji, a procjena izglednosti se donosi u okvirima dnevnog operativnog djelovanja. Ili, slikovitije rečeno, da bi odredili realnu visinu rizika, a potom odabrali adekvatnu zaštitnu mjeru, morate razmišljati kao napadači. A kad su cyber napadači u pitanju, onda je to znanje sve drugo samo ne suhoparno.</p><p>Kada taktički i operativni procesi počnu upijati ove informacije, te kada taktičko i operativno djelovanje bude utemeljeno na ovim informacijama, onda će tako redefinirana procjena pozitivno djelovati na odluke o rizicima koje se donose na strateškim razinama u redovitim godišnjim intervalima.</p><p>Ipak, čini se da ova jednostavna preporuka za donošenje realne ocjene o cyber rizicima uglavnom ne nailazi na plodno tlo. Stoga, u sljedećim nastavcima ću se detaljnije baviti razlozima zbog kojih smo skloni umanjivati rizike uzrokovane cyber prijetnjama.</p>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-89776401018644353502022-06-08T22:31:00.003+02:002022-06-09T10:20:31.499+02:00"Vulnerability Management" - nekad i sad<p>U pripremi ovogodišnje korisničke konferencije <a href="https://www.borea.hr/vijesti-top/117-qualys-security-day-2022" target="_blank">Qualys Security Day</a>, prisjetio sam se dolaska Qualys-a na hrvatsko tržište, u čemu sam neposredno sudjelovao. Bilo je to 2006. godine, mrežno skeniranje je bila jedina dostupna tehnika otkrivanja ranjivosti. Tipično, predmet interesa su bili mrežni poslužitelji, uglavnom perimetarski, a pretplate su obuhvaćale ne više od stotinjak poslužitelja, ponekad i znatno manje. Tipični driver koji je stajao iza „Vulnerability Management“ procesa bio je „Compliance“, a tek su rijetki korisnici bili vizionarski motivirani pravilnom percepcijom sigurnosnih rizika. Cyber prijetnje nisu imale ono značenje koje imaju danas.</p><p>Nadležnost „infosec“ odjela za računalne ranjivosti, ako smo uopće mogli govoriti o „infosec“ odjelima krajem prvog desetljeća ovog stoljeća, bila je tek izvještavanje o detektiranim ranjivostima, a zadatak njihovog otklanjanja je preusmjeravan na IT operativu. Primjena popravaka i/ili instalacije novih verzija softvera smatrala se uskom odgovornošću specijaliziranih timova (od operative, razvoja, help-deska…), a strah od neuspješne primjene popravaka, od prekida rada aplikacija nakon primjene novog popravka ili nakon promjene konfiguracijske postavke bio je puno veći od straha uzrokovanog pojavom sigurnosnih prijetnji, pa je i postupak primjene bio znatno sporiji.</p><p>A u ovih 16 godina (zapravo, konferenciju smo planirali na donekle okruglu obljetnicu u 2021. ali zbog poznatih uvjeta je događaj odgođen), došlo je do izuzetnih promjena na području računalnih prijetnji.</p><p>Krenimo od promjena koje su utjecale na povećanje visine rizika:</p><p></p><ul style="text-align: left;"><li>Perimetar se preselio sa stvarnog ruba mreže na unutarnji dio mreže. Sada ga čine osobna računala, ali i nove forme obrade podataka kroz kontejnere.</li><li>Broj ranjivosti rapidno raste iz godinu u godinu, način njihove detekciji postaje sve učinkovitiji, tako da i broj detektiranih ranjivosti postaje sve veći (npr. detekcija pomoću agenata kao što je Qualys Cloud Agent) </li><li>Eksploatacija ranjivosti je postala ili dobro utemeljena industrijska djelatnost ili bogato sponzorirana državna agentura. Nekad dominantni hobisti tako su integrirani u sustav, uz redovite i obilne prihode, iako su poneki od njih prešli na svijetlu stranu.</li></ul><p></p><p>Ukratko, „cyber“ prijetnje su pružile jasan razlog svog interesa za računalne ranjivosti.</p><p>Nažalost, disciplina upravljanja računalnim ranjivostima u novo-nastaloj situaciji nije pružila adekvatan odgovor, barem ne u onom ritmu kojeg su nametnule cyber prijetnje. Nadležnost za primjenu popravaka i dalje ostaje u odjelima IT operative, uz sve njihove rezerve koje su postojale i ranije.</p><p>Promjene koje gore navodim nisu nimalo pomogle popraviti situaciju. Povećanje broja ranjivosti koje treba otkloniti samo je dodatno frustriralo timove iz IT operative. Frontalni i neselektivni pristup primjeni popravaka je pojačao uobičajenu, blago rečeno, rezervu koju IT operativa ima prema „compliance“ obavezama, kako ovi timovi primarno percipiraju proces primjene popravaka. Kombinirano s uobičajenim strahovima, to je zapravo značilo još nižu razinu učinkovitosti procesa primjene popravaka.</p><p>U isto vrijeme, „infosec“ odjeli se i dalje smatraju odgovornim u slučaju kada dođe do proboja cyber prijetnji, a s obzirom na sve veću frekvenciju cyber napada i sve veći broj ranjivosti koje ovi napadi iskorištavaju, sasvim je izvjesno da će CISO biti prva osoba čija će se glava tražiti nakon cyber incidenta. </p><p>Ukratko: „infosec“ odjeli su izloženi puno nepovoljnijim posljedicama zbog sve izglednijih proboja cyber napada, a istovremeno su lišeni mogućnosti primjene jedne od najznačajnijih preventivnih mjera: efikasnog otklanjanja ranjivosti.</p><p>Izlaz iz takve situacije treba potražiti u sljedećoj doktrini:</p><p></p><ul style="text-align: left;"><li>„Infosec“ mora dobro poznavati cjeloviti obuhvat imovine izložene cyber prijetnjama (tradicionalni „Asset management“ procesi ne pružaju nužno adekvatnu razinu ažurnosti i detaljnosti, često su odvojeni od „infosec“ procesa, ponekad i nedostupni jer funkcioniraju po principu silosa)</li><li>Potrebno je prioritizirati detektirane ranjivosti sukladno prisutnosti Threat Intelligence faktora, kao što su prisutnost exploita, iskorištavanje ranjivosti u evidentiranim i ostvarenim prijetnjama, kumulativni potencijal detektirane ranjivosti (CVSS ipak pokazuje manjkavosti u odnosu na dosljednu primjenu ovih zahtjeva)…</li><li>Potrebno je prioritizirati ranjivosti s obzirom na značaj, smještaj te poslovni kontekst resursa na kojem je detektirana ranjivost…</li><li>Dobrodošlo je pružiti polugu (alat) „infosec“ odjelu za primjenu programskih popravaka i korekcija postavki</li></ul><p></p><p>Cilj je provući sve detektirane ranjivosti kroz ljevak prema jasno definiranim kriterijima te izvući dio ranjivosti, možda tek desetinu u odnosu na ukupni broj, na koje se IT operativa mora fokusirati. Ovo je jako liješpo ilustrirano na sljedećoj slici (prema <a href="https://blog.qualys.com/qualys-insights/2022/05/31/transitioning-to-a-risk-based-approach-to-cybersecurity" target="_blank">Transitioning to a Risk-based Approach to Cybersecurity</a>):</p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjovenu_mlp3k7bZ13fhvSVifIffG1epav0uKLCcrFRqfc9-1zVubA7DJ_WVbIcmc7PqNPRf6AO69vq_ITkJjulzqYlx7P6sNyi9oNwzjiWYmp00Q0D-T6vL_bhMrzwbboYyDPqIwFTINuYo4Km26i1zowTqnBXjit5Z8vN-UxtzGzl25urqKBmMCA16w/s1536/Vulns-vs-Threats-chart-1536x520.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="520" data-original-width="1536" height="164" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjovenu_mlp3k7bZ13fhvSVifIffG1epav0uKLCcrFRqfc9-1zVubA7DJ_WVbIcmc7PqNPRf6AO69vq_ITkJjulzqYlx7P6sNyi9oNwzjiWYmp00Q0D-T6vL_bhMrzwbboYyDPqIwFTINuYo4Km26i1zowTqnBXjit5Z8vN-UxtzGzl25urqKBmMCA16w/w486-h164/Vulns-vs-Threats-chart-1536x520.png" width="486" /></a></div><br /><p>I ne samo to: bilo bi dobro „infosec“ odjelu dati alat koji će im omogućiti da se sami obračunaju s ovim ranjivostima. Qualys je objavio zanimljiv podataka: analizom vremena otklanjanja detektiranih ranjivosti utvrđeno je da korisnici koji primjenjuju popravke kroz modul Qualys Patch Management (sustav integriran s Qualys VMDR modulom), popravke primjenjuju 60% brže u odnosu na korisnike koji upotrebljavaju suatve za primjenu popravaka koji nisu integirani s Vulnerability Management modulom.</p><p>Ova doktrina nas konačno vodi do mogućnosti stvarne kvantifikacije težine računalnih ranjivosti te do kvantifikacije rizika s obzirom na stvarno stanje ranjivosti i prisutni prijetnji. Primjenom ove doktrine, „infosec“ odjel odbacuju „compliance“ ruho, te postaje kreator odluka temeljenih na realnim rizicima. </p><p>Qualys Cloud Platform je jedan od primjera na tržištu koje ukazuje na usvajanje navedene doktrine. Ova platforma kontinuirano uključuje nove module i nove sposobnosti, a upravljanje ranjivosti na temelju rizika postaje ključan mehanizam za provedbu „workflow-a“ ojačanja informacijskih sustava. </p><p>A sve je krenulo od običnog skeniranja mreže prije dvadesetak godina…</p><div><br /></div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-36920936740924665082021-05-03T11:51:00.002+02:002021-05-03T11:58:35.943+02:00Nadogradnja okvira MITRE ATT&CK <p> Prošlog tjedna je <a href="https://medium.com/mitre-attack/attack-april-2021-release-39accaf23c81" target="_blank">objavljena </a>značajna nadogradnja – verzija 9 – okvira MITRE ATT&CK, okvira za analizu cyber napada o kojem sam ranije <a href="https://blog.borea.hr/2020/12/att-okvir-za-anatomiju-cyber-prijetnji.html" target="_blank">pisao i predstavio</a> na redovitom mjesečnom sastanku ISACA Croatia Chapter. Osim uobičajenih dopuna ili nadogradnji tehnika i sub-tehnika te podataka o napadačkim grupama, verzija 9 uvodi taktike i tehnike napada koje se odnose na tehnologiju kontejnera te značajno nadograđuje taktike i tehnike napada koji se odnose na „Cloud“ tehnologije. No, najznačajnija novost u verziji 9 je novi pristup u opisu i obradi „Data Sources“ informacija.</p><p>Prema okviru MITRE ATT&CK, „Data Sources“ su točke ishodišta podataka na temelju kojih je moguće detektirati pojedine tehnike (i sub-tehnike) napada. U pre-v9 verzijama okvira ATT&CK ovi podaci su definirani kao nestrukturirana svojstva pojedinih tehnika i sub-tehnika, a ima ih preko 60. „Data Sources“ informacije su i u takvom obliku izuzetno korisne, osobito za stručnjake i timove koji su fokusirani na tehnike detekcije cyber napada (npr. tzv. „blue team“ grupe). Pomoću ovih informacije moguće je primijeniti dodatne konfiguracijske napore i/ili arhitekturne nadogradnje kako bi se obogatila učinkovitost telemetrijskih podataka neophodnih za detekciju napada. Ipak, iako zamišljeni s dobrom namjenom, realizacija „Data Sources“ informacija u pre-v9 verzijama je zaostajala za drugim komponentama ATT&CK okvira, upravo zbog svoje nestrukturiranosti ali i mjestimične nekonzistentnosti koja je bila rezultat izostanka dobro definiranog modela ove kategorije podataka. Tako na primjer, „Data Sources“ podacima su označeni i „Process monitoring“ i „Process command-line parameters“ i „Process use of network“, iako se u suštini radi o različitim aspektima informacija koje se generiraju na temelju istih događaja - pokretanja i izvođenja Windows procesa. Drugi primjer je i „Windows event logs“ kao zasebna „Data Sources“ točka iako bi ovu kategoriju bilo bolje definirati kao kanal kroz koji se dostavljaju suštinski „Data Sources“ telemetrijski podaci a ne kao „Data Sources“.</p><p>U zajednici koja prati i surađuje na razvoju okvira ATT&CK pojavile su se stoga sugestije za modifikaciju „Data Sources“ informacija. </p><p>Verzija 9 donosi ovu dobrodošlu nadogradnju. Točnije, u ovoj verziji imamo prvu fazu nadogradnje, kroz koju su definirani „Data Sources“ te „data components“ - komponente vezane za pojedini izvor, tj. specifikacija izvora iz kojih moramo prikupljati detekcije podatke, ali sada na strukturiran i normaliziran način. Za sada još uvijek nedostaju konkretni detekcijski podaci koji bi se mapirali za pojedine tehnike napada, no to se očekuje u verziji koja je planirana za listopad. </p><p>Odnos među navedenim dijelovima ovog modela podataka su vidljivi na priloženoj slici, koju sam posudio iz <a href="https://medium.com/mitre-attack/att-ck-2021-roadmap-68bab3886fa2" target="_blank">teksta </a>na službenom ATT&CK blogu. </p><p><br /></p><div class="separator" style="clear: both; text-align: center;"><a href="https://1.bp.blogspot.com/-MNCxvnM-zng/YI_IdckEIsI/AAAAAAAAAcI/hvUEhK32OVQHckJwhM61uI88uTNI_8WwgCLcBGAsYHQ/s700/datasourcesv9.jpeg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="398" data-original-width="700" height="277" src="https://1.bp.blogspot.com/-MNCxvnM-zng/YI_IdckEIsI/AAAAAAAAAcI/hvUEhK32OVQHckJwhM61uI88uTNI_8WwgCLcBGAsYHQ/w487-h277/datasourcesv9.jpeg" width="487" /></a></div><br /><p>Također treba napomenuti da su novi „Data Sources“ podaci za sada katalogizirani kroz Github a ne kao objekt unutar ATT&CK okvira. Razlozi su opravdani razvojnim aktivnostima, a uključivanje u ravnopravne ATT&CK objekte je također planirano za listopad. No, bez obzira na prisutan “work-in-progress“ dojam, postojeće dopune mogu značajno olakšati posao svima nama koji smo fokusirani na tehnike detekcije ili na DFIR aktivnosti.</p>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-65203479398978891452021-03-08T11:46:00.004+01:002021-03-08T12:06:18.653+01:00Ranjivost koju treba shvatiti ozbiljno<p>Prošlo je šest dana od <a href="https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/" target="_blank">objave podataka</a> o veoma nezgodnoj ranjivosti na Microsoft Exchange serveru, koja zahvaća sve novije verzije ovog servera konfiguriranog tako omogućuje OWA pristup, tj. tako da omogućuju pristup elektroničkoj pošti preko Internet preglednika. Nadam se da su svi koji su takav servis omogućili za pristup iz javnog Internet prostora već primijenili popravak koji je Microsoft objavio 2. ožujka, istog dana kada je i tvrtka Volexity objavila informaciju o ovom nedostatku. Naime, tvrtka Volexity je još od početka siječnja uočila anomalije u korištenju servisa elektroničke pošte u korisnika kod kojih je upotrebi Exchange – velika količina poruka bila je eksfiltrirana na adrese koje nisu povezane s poslovanjem korisnika. Daljnja analiza problema je ukazala na prisutnost tzv. server-side request forgery (SSRF) ranjivosti koja je omogućila izvođenje proizvoljnog koda. Ukratko, mailbox odabranih osoba na mail serveru žrtve bio je kopiran na vanjske servere pod kontrolom napadača. Napadač je morao znati, ovisno od konfiguracije Exchange servera, mail adresu ciljane žrtve ili njegov Active Directory račun, što naravno nije nimalo nepremostiv zadatak. </p><p></p><p>No, to nije bilo sve. Ujedno su bile iskorištene i neke druge do tada nepoznate ranjivosti koje su omogućile daljnju eskalaciju inicijalnog proboja. U toj drugoj fazi napadač uspijeva doći u posjed dodatnih informacija o radu Active Directory sustava (u najgorem scenariju, to su podaci o domenskim računima i podacima za autentikaciju). Također, napadač uspijeva kreirati „webshell“ okolinu na Exchange serveru, tj. specifični „backdoor“ program koji mu omogućuje izvođenje proizvoljnih programa na kompromitiranom Exchange serveru. U kombinaciji s podacima s AD sustava, to predstavlja idealnu podlogu za daljnje lateralno kretanje po mreži žrtve.</p><p>Ovaj scenarij zvuči izuzetno jednostavan, što se i pokazalo u praksi. Naravno, značajan trud je uložen u otkrivanje ranjivosti i u razvoj exploita, no operativna provedba je bila praktički automatizirana i zato su forenzičke analize provedene nakon objave ranjivosti pokazale oko 30.000 žrtava (to su zadnje informacije dostupne u trenutku pisanja ovog teksta). Ova brojka obuhvaća one servere kod kojih su pronađeni tragovi djelovanja exploita, tek trebamo saznati koliko je korisnika zapravo bilo izloženo i krajnjem djelovanju, tj. krađi mail poruka ili daljnjim aktivnostima napadača na internoj mreži.</p><p>Iza napada, kako je objavljeno, stoji kineska cyber-obavještajna grupa Hafnium. Ova se grupa do sada uglavnom bavila preuzimanjem podataka s različitih istraživačkih institucija, sveučilišnih ustanova i instituta raznih profila. Također, registrirano je i djelovanje nekih drugih kineskih grupa za koje nije utvrđeno jesu li u organizacijski ili poslovno povezane. Identificiran je jako veliki broj žrtava među institucijama i agencijama američke vlade, no i među brojnim tvrtkama.</p><p>Donekle olakšavajuću okolnost predstavlja činjenica da su mnoge velike korporacije uveliko migrirale na cloud verziju Exchange-a, tj. na mail servis koji pruža Microsoft, a koji nije zahvaćen recentnom ranjivosti koju ovdje opisujem.</p><p>No, mjesta za opuštanje nema, čak i ako ste primijenili popravak. Obavezno morate provjeriti jeste li možda prethodno ipak bili kompromitirani. Prema veoma detaljnom <a href="https://us-cert.cisa.gov/ncas/alerts/aa21-062a" target="_blank">upozorenju i uputama</a> za forenzičku analizu koje je uputila važna agencija američke vlade - Cybersecurity and Infrastructure Security Agency (CISA), prava bi se analiza morala temeljiti na pouzdanom forenzičkom postupku i trijaži podataka o incidentu kroz koju bi se trebali pretražiti točke interesa te verificirati prisutnost/odsutnost karakterističnih indikatora kompromisa. Tek jednostavan uvid u sadržaj IIS foldera i vizualno pretraživanje karakterističnih podataka nije dovoljno. Također, i Microsoft je objavio skripte za otkrivanje dijela kompromitiranih podataka.</p><p>Bojim se da ovime priča oko Exchange problema nije ni približno gotova, što ponajviše temeljim na činjenici da forenzičke istrage još nisu završene te da prave informacije o opsegu ovo napada tek slijede. Nekoliko je i suštinskih razloga koji idu u prilog ovoj tvrdnji:</p><p></p><ul style="text-align: left;"><li>Tek trebamo saznati kada jesu li ovi napadi registrirani i prije siječnja 2021. i jesu li do sada možda iza napada stajale i neke druge cyber grupe koje su birale puno diskretniju taktiku napada.</li><li>Iako se trenutno spominje 30.000 žrtava, radi se o uglavnom američkim žrtvama. Tek moramo saznati koliko su zahvaćene tvrtke/organizacije iz drugih dijelova svijeta.</li><li>Ranjivost je postala dostupna javnosti prošlog tjedna. Iako su se pojavili Proof-of-Concept verzije napada, novi maliciozni „exploit-i“ u trenutku pisanja ovog teksta još nisu dostupni, no samo je pitanje vremena kada će se pojaviti.</li><li>Ranjivosti koje opisujemo u ovom tekstu imaju potencijal za iskorištavanje u slijednom lancu događaja na automatizirani način te mogu poslužiti za razvoj scenarija ransomware napada.</li><li>Tek trebamo saznati kolika je dinamika primjene popravaka, no ako za ilustraciju uzmemo neke druge slučajeve iz bliže povijesti, poznato je da neke organizacije mogu biti veoma lijene u primjeni popravaka (vidi primjer tvrtke Equifax i epohalno neuspješan popravak Struts ranjivosti).</li></ul><p></p><p>Ukoliko vam bude zatrebala pomoć oko forenzičke analize stanja potencijalnog kompromitiranog servera, pogledajte našu ponudu <a href="https://www.borea.hr/digitalna-forenzika/primjena-digitalne-forenzike" target="_blank">forenzičkih usluga</a> i javite nam se.</p><div><br /></div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-76349460702936772132021-03-02T15:28:00.005+01:002021-03-08T12:06:04.540+01:00Model zrelosti upravljanja računalnim ranjivostima<p> U tekstu koji sam objavio prije, sada već, nešto više od dvije godine (<a href="https://blog.borea.hr/search/label/Upravljanje%20ra%C4%8Dunalnim%20ranjivostima" target="_blank">Digitalna transformacija procesa upravljanja ranjivostima</a>) pisao sam o potrebi promjene paradigme procesa upravljanja računalnim ranjivostima. Trend napuštanja tehnike mrežnog skeniranja kao najčešće metode otkrivanja ranjivosti bio je već tada izražen, a razvoj tehnologije i upravljačkih procesa koji su slijedili potvrdili su najave iz teksta.</p><p>Dapače, stvari su krenule i korak dalje. Ne samo da su senzori za detekciju ranjivosti – namjenski servisi koji se izvode na samim računalima, postali izvor jednako relevantan kao i rezultati mrežnih skeniranja, a sve češće i značajniji, nego su sustavi za prikupljanje i analizu ranjivosti prerasli ulogu daljinskog upravljača za pokretanje skenova i alata za generiranje izvještaja. </p><p>Kao ilustraciju dajem primjer sustava <a href="https://www.qualys.com/" target="_blank">Qualys</a>, koji je postao bogata analitička platforma u kojoj se bogati telemetrijski podaci sa senzora različitih profila i izvora slijevaju u svojevrsni „data lake“. Normalizirani, obogaćeni i indeksirani podaci o ranjivostima pružaju svojim korisnicima neposrednu i djelotvornu informaciju, bez obzira radi li se o izvještavanju odgovornih osoba, alarmiranju sigurnosnih timova ili pokretanju nužnih remedijacijskih aktivnosti.</p><p>Mogućnosti koje pružaju nove funkcije sustava <a href="https://www.qualys.com/" target="_blank">Qualys </a>dobile su nedavno i dobrog pratitelja. Američka organizacija SANS, čije djelovanje ne treba posebno predstavljati kolegama koji rade na području informacijske sigurnosti, objavila je sredinom prošle godine svoj edukativni poster „CISO Mind Map“ u koje središnje mjesto „Vulnerability Management Maturity Model“. To je detaljna tablica u kojoj su glavne faze procesa upravljanja računalnim ranjivostima opisane s obzirom na stupanj realizacije, pri čemu je zrelost programa klasificirana u pet razina – od „Initial“ do „Optimizing“. Na svoje će doći ne samo ljubitelji „Maturity Model“ klasifikacija, nego i svako od vas koji pokušava uvesti program upravljanja ranjivostima u svoju organizaciju.</p><p>U nastavku prilažem samu tablicu da dokument možete preuzeti na <a href="https://www.sans.org/security-resources/posters/ciso-mind-map-vulnerability-management-maturity-model/205/download" target="_blank">ovom mjestu</a>:</p><p><br /></p><div class="separator" style="clear: both; text-align: center;"><a href="https://1.bp.blogspot.com/-h5iAwoS-PC0/YD5KH9zD1dI/AAAAAAAAAao/KDPa_8GxtTUJzY_ncUYLJia-750XqqLKQCLcBGAsYHQ/s985/SANS_205.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="812" data-original-width="985" height="398" src="https://1.bp.blogspot.com/-h5iAwoS-PC0/YD5KH9zD1dI/AAAAAAAAAao/KDPa_8GxtTUJzY_ncUYLJia-750XqqLKQCLcBGAsYHQ/w482-h398/SANS_205.png" width="482" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"><br /></div><p>Dokument koji možete preuzeti je tek poster na kojem tablica s „Vulnerability Management Maturity“ modelom zauzima vidljivo mjesto, no svakako nedostaju još neke dodatne upute (ovo nije zamjerka SANS-u, već naprosto činjenica da je dokument podsjetnik ili ako hoćete poziv na pohađanje seminara koje SANS održava na temu procesa upravljanja informacijskom sigurnosti). Stoga bi tu još trebalo dodati da ranjivosti na koje se model odnosi nisu samo bugovi u operativnom sustavu ili u gotovim programskim paketima, već i ranjivosti na aplikativnim sustavima te konfiguracijske manjkavosti. </p><p>Kako krenuti u primjenu ovog modela? Za početak identificirajte gdje se zapravo nalazite unutar ovog modela. Nije isključeno da će se vaša razina zrelosti razlikovati u ovisnosti od faza procesa (imamo pet faza: Prepare, Identify, Analyze, Communicate i Treat). Budite objektivni i realni. Radi te za vlastiti napredak a ne za regulatorno ili revizijsko izvješće. Kada utvrdite svoju razinu zrelosti, postavite cilj kojem želite težiti. Neka to bude u koracima koje realno možete i napraviti.</p><p>Kada krenete u implementaciju onda ćete vidjeti da se izvješća, preporuke, dojave i odluke na bogatoj bazi podataka i na vašoj sposobnosti da iz takve baze izvučete sve djelotvorne informacije i polazišta za daljnje akcije. Dobro, ne mislim baš na vašu osobnu sposobnost, već na svojstva sustava unutar kojeg su prikupljeni podaci o ranjivostima. A tu sada dolazimo na funkcije sustava <a href="https://www.qualys.com/" target="_blank">Qualys </a>koji će vam omogućiti unaprjeđenje procesa upravljanja ranjivostima do najviših razina zrelosti predviđenih ovim modelom. </p><div><br /></div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-75335904777219743912020-12-28T14:38:00.004+01:002020-12-28T14:42:20.772+01:00SolarWinds hack - zbog čega se moramo zabrinuti (nastavak)?<p>U prethodnom tekstu sam se opisao kontekst pojave SolarWinds hacka (SUNBURST prema FireEye ili Solarigate prema Microsoft) i njegov utjecaj na informacijsku sigurnost, a kako sam najavio, u ovom se tekstu bavim tehničkim detaljima.</p><p>Odmah za početak, ova analiza ne uključuje detalje o inicijalnom proboju u tvrtku SolarWinds, s obzirom da za sada nisu objavljeni konačni zaključci analize niti načini kompromitacije aplikacije Orion, no svakako možemo zaključiti da je napadač imao dobru poziciju u procesu razvoja i upravljanja promjenama ove aplikacije.</p><p>Moja analiza je bazirana na izvješćima koja su objavila tvrtke Microsoft, FireEye, PaloAlto Networks te agencija Cybersecurity and Infrastructure Security Agency (CISA) američke vlade.</p><p>Dakle, krećemo od točke kada je tvrtka korisnik sustava SolarWinds Orion (i buduća žrtva kompromitacije ovog softvera) preuzela nadogradnju objavljenu krajem ožujka ove godine. Nadogradnja, ekstenzije msp, bila je uredno potpisana certifikatom tvrtke SolarWinds i među komprimiranim modulima je uključivala i modul SolarWinds.Orion.Core.BusinessLayer.dll.</p><p>Nakon instalacije nadogradnje, novi moduli, uključujući i prije spomenuti su bili pokrenuti u produkcijskom radu. </p><p>Modul SolarWinds.Orion.Core.BusinessLayer.dll je .NET program koji je standardni dio aplikacije Orion, sa svojim redovitim funkcijama. No, unutar ove funkcije je lukavo smješten poziv za izvođenje backdoor modula: predviđeno je paralelno izvođenje s glavnim programskim modulom, ničim narušavajući očekivane funkcije, a za izvođenje je odabrana metoda koja se redovito pokreće, čime je osigurana persistencija, tj. kontinuirani rad nakon svakog pokretanja aplikacije.</p><p>Backdoor kod je u potpunosti sadržan u klasi OrionImprovementBusinessLayer. Tijekom inicijalizacije, maliciozni program provjerava je li istekao rok od 12 do 14 dana od inicijalnog pokretanja (provjerava vrijeme zadnjeg upisa) – dakle predviđene je dvotjedni period mirovanja od inicijalne kontaminacije te provjerava postoje li neki drugi unaprijed predviđeni uvjeti uslijed kojih planirano obustavlja rad (npr. malware prekida izvođenje ako se nalazi u domeni koja uključuje stringove „solarwinds“ odnosno „test“ ili se na sustavu izvode neki procesi karakteristični za sigurnosne programe).</p><p>Ukoliko je „zrak čist“, „backdoor“ započinje stvarni život. Namjera mu je povezati se kontrolnim (C2) serverom, prijaviti svoju dostupnost, preuzeti instrukcije sa C2 servera, izvesti ih na mreži žrtve i vratiti rezultate nazad na C2. Dakle, radi se o uobičajenom slijedu akcija kakve izvode „backdoor“ programi. No, vrag je u detaljima. </p><p>Inicijalni C2 server je smješten unutar domene avsvmcloud[.]com, pri čemu je stvarni URL nadopunjen s pseudo-random i random nazivima generiranim iz jedinstvenih parametara vezanih za samu žrtvu. Također, prije povezivanja s C2 serverom, generira se i URI lokacija izborom unaprijed pre-definiranih vrijednosti na način koji neće izazvati sumnju ako bi netko pratio metapodatke o povezivanjima. </p><p>Na koncu, generira se i šalje JSON dokument s parametrima relevantnim za ostvarivanje komunikacijskog kanala.</p><p>(Važno je napomenuti: Ova adresa je iskorištena i kao slabost SUNBURST malwarea, odnosno kao „kill-switch“ poluga. Nakon ovog otkrića, Microsoft je blokirao domenu avsvmcloud[.]com, no, ipak, 8 mjeseci prekasno)</p><p>Kada je komunikacijski kanal između „backdoor“ programa i C2 servera potvrđen, započinje kontinuirana komunikacija kroz koju operateri koji rade na C2 serveru dostavljaju „backdoor“ programu niz naloga za izvođenje karakterističnih aktivnosti – od prikupljanja osnovnih informacija o operativnom sustavu, mreži datotekama, registry podacima pa do izvođenja specifičnih naredbi.</p><p>No, treba naglasiti da je operacija bila sve samo ne rutinska i predvidljiva. U analiziranim slučajevima su otkrivene i mnoge specifičnosti – od dodatnih C2 servera putem kojih su dolazili nalozi za akcije, do iskorištavanja specifičnih ranjivosti ili pokretanja novih malicioznih programa prikladnijih za lateralno kretanje. Opisat će neke od ovih specifičnosti u nastavku. </p><p><b>Novi C2 serveri:</b> Kada SUNBURST/Solarigate backdoor program pokrene aktivnosti lateralnog kretanja i druge aktivnosti u naprednoj fazi napada, onda se otvara komunikacijski kanal prema alternativnim C2 serverima. Često puta, radi se o domenama koje su registrirane nekoliko godina ranije, u međuvremenu su istekle ali nisu brisane. Na taj način napadač želi ostaviti dojam komunikacije sa domenom pouzdane dugogodišnje reputacije. I korak dalje: zabilježeno je da su napadači komunicirali sa žrtvom preko lokalnog VPS servera, smještenog u istoj zemlji gdje je i žrtva, čime napadač dodatno nastoji pojačati reputaciju. </p><p><b>TEARDROP dropper:</b> Kako sam spomenuo, u drugoj fazi napada (koja se obično naziva „post-compromise“ aktivnost) su korišteni dodatni „payload“ moduli. SUNBURST uobičajeno koristi PowerShell skripte, no tvrtka FireEye je izdvojila i specifično kreirani „payload“ modul kojeg je nazvala TEARDROP. Radi se o inventivno importiranom programskom kodu (preko lažne jpg datoteke nad kojom je primijenjena tehnika steganografije) koji su pokreće u radnoj memoriji kao „file-less malware“ a u suštini izvodi backdoor modul komercijalnog programa za penetracijska testiranja Cobalt Strike, naravno opremljenog tehnikama za osiguranje persistencije, prikupljana autentikacijskih podataka i lateralnog kretanja, ali i prilagođenog novom gazdi.</p><p><b>Privilegirane ovlasti:</b> Polazeći od činjenice da sustav Orion ima nadzorne zadaće nad ključnim komponentama informatičke infrastrukture, napadači su zauzeli nekoliko uporišta za dohvat podataka o korisničkim računima, uključujući i mogućnost lateralnog kretanja s privilegiranim ovlastima i prijave na ključne resurse (npr. AD server) s visoko privilegiranim ovlastima. Takve privilegije su omogućile i praktičnu implementaciju tehnike napada poznatu pod imenom „Golden SAML“. Ova tehnika je poznata od 2017. godine ali je ovo prvi zabilježeni slučaj u stvarnom incidentu. U SUNBURST scenarijima, napadači su time ostvarili mogućnost pristupa resursima koji prihvaćaju SAML autentikaciju (tipično „cloud“ resursi), a koji se može naknadno iskorištavati i izvan konteksta SUNBURST napada.</p><p>Svaka tema obuhvaćena ovim tekstom otvara nova područja, a osnovna tema - slučaj SUNBURST/Solarigate – daleko je od toga da je možemo smatrati apsolviranom, ni na tehničkoj niti na političkoj razini.</p>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-18052946732462606552020-12-24T11:09:00.003+01:002020-12-24T12:08:48.881+01:00SolarWinds hack - zbog čega se moramo zabrinuti?Tijekom mjeseca studenog ili samim početkom prosinca, jedan od zaposlenika američke tvrtke FireEye primio je automatsku dojavu da se nepoznata osoba pokušava prijaviti na VPN sustav tvrtke s nekog novog uređaja. Savjestan zaposlenik je alarmirao nadležnu službu svoje tvrtke, a sve što se dešavalo nakon toga polako je poprimilo razmjere najvećeg cyber napada svih vremena. Pogađate, tema ovog teksta je SolarWinds hack. <div><br /><div>Za početak, možemo li ovaj događaj zaista okarakterizirati kao najveći cyber napad svih vremena? Sjetimo se napada NotPetya iz 2017, koji je na koljena bacio jednu cijelu državu, ali i veliki broj kompanija, bolnica, ustanova različitih profila, uzrokujući gubitke, prema nekim procjenama, preko 10 milijardi dolara (usputna preporuka, svakako pročitajte odličnu knjigu <a href="https://www.amazon.com/Sandworm-Cyberwar-Kremlins-Dangerous-Hackers/dp/0525564632/ref=tmm_pap_swatch_0?_encoding=UTF8&qid=&sr=" target="_blank">Sandworm</a> o ovom događaju). Zaista, za sada izgleda da SolarWinds hack neće imati takve posljedice kao NotPetya (iako zbog profila žrtava nikad nećemo ni doznati kakav je bio stvarni učinak), no ako bi ocjenjivali "umjetnički dojam" onda je cijela operacija oko SolarWind hacka izvedena na do sada nezabilježeni način, uz dugogodišnju pripremu i angažman velikog broja stručnjaka (da, mislim da je izraz "stručnjak" primjeren), pa zaista zaslužuje oznaku jednog od najvećih napada u povijesti, barem u kategoriji "Najveći doprinos razvoju informacijske sigurnosti". Jer, nedvojbeno, nakon ovog napada se mijenjaju mnoge stvari.</div></div><div><br /></div><div>U ovom tekstu ću rezimirati glavne zaključke i pouke ovog slučaja, a u sljedećem ću tekstu opisati tehnički aspekt napada, odnosno ono što se zbivalo ispod površine. Novi detalji o tehnici napada pojavljuju se svakodnevno, tako da nije isključeno da ću o njima pisati i kasnije. </div><div><br /></div><div>Kao što znate, inicijalna vijest o napada, tada se još nije spominjao SolarWinds, došla je od tvrtke FireEye što je samo po sebi izazvalo veliku senzaciju, jer se tvrtka FireEye upravo bavi zaštitom od takvih napada u najužem mogućem smislu. Pri tome, priznali su da je napadač ukrao niz interno razvijenih alata koje ova tvrtka koristi za Red Team testiranja.</div><div><br /></div><div>Nakon nekoliko dana i analize u kojoj je uključio svojih 100 zaposlenika, FireEye je objavio da je napad vezan za softver Orion tvrtke SolarWinds. Tvrtka SolarWinds je izuzetno ugledna tvrtka s fokusom na nadzor rada sustava i mreže, a softver Orion omogućuje krovni nadzor i upravljanje različitim komponentama informacijskog sustava. Korišten je u velikom broju svjetskih tvrtki, uključujući i brojne državne institucije, ministarstva i korporativni sektor (među njima i 425 od US Fortune 500). Daljnja istraga je pokazala da je jedan od modula koji se koristi u sustavu Orion (SolarWinds.Orion.Core.BusinessLayer.dll) bio kompromitiran i neovlašteno modificiran, tako da je pored svoje osnovne funkcije, ujedno imao ulogu Trojanca. Modifikacija ovog modula je napravljena u ožujku ove godine a od tada je oko 18.000 korisnika softvera Orion nadogradilo svoj sustav s kompromitiranom verzijom.</div><div><br /></div><div>Trojanac, koji je dobio ime SUNBURST, mirovao je dva tjedna a nakon toga je ostvario vezu sa svojim komandnim centrom, evoluirao u novi malware koji je dobio ime TEARDROP pa započeo sofisticirano djelovanje, koje je uključivalo, među ostalim, različite tehnike proširenja privilegija, persistencije, lateralnog kretanja i prikrivene povratne veze s komandnim centrom. Zanimljivo, sve korištene tehnike nisu do sada bile registrirane u okviru MITRE ATT&CK koji se upravo ažurira kako bi obuhvatio i ovaj napad. </div><div><br /></div><div>Broj žrtava je za sada teško odrediti, spominje se stotinjak organizacija/tvrtki za koje potvrđena kompromitacije, a u opticaju je brojka i od nekoliko stotina žrtava. Većina žrtava je iz Sjedinjenih država, no ne zaostaju ni druga područja.</div><div><br /></div><div>Pored broja žrtava, za sada nema ni službene potvrde o izvoru napada. Po mnogim indikatorima, radi se o ruskom rukopisu, najvjerojatnije agencije SVR, iako se do sada smatralo da je GRU - vojna obavještajna agencija - sposobnija provesti operaciju ovakvih razmjera.</div><div><br /></div><div>Za potencijalne žrtve je posebno zabrinjavajuće da hitnom nadogradnjom softvera Orion na korigiranu verziju iz koje je izbačen trojanac, oni neće biti riješeni briga. Pored nadogradnje, moraju provesti forenzičku istragu kroz koju će nastojati dobiti potvrdu da nije bilo kompromisa, odnosno u lošijem scenariju, odrediti u kojem je opsegu i trajanju trojanac djelovao. </div><div><br /></div><div>Na ruku, pak, žrtvama ide činjenica da SUNBURST/TEARDROP nisu osmišljeni tako da djeluju serijski i pandemijski poput "crva" (kao u slučaju NotPetya), već se radi o sofisticiranom napadu kojeg mora voditi uvježbani operater. A znamo da ni najorganiziranije cyber grupe nisu dovoljno ekipirane za operaciju nad svih 18.000 kandidata (nedostatak stručnog kadra pogađa i njih). Stoga se pokretač napada fokusirao samo na one od posebnog interesa. </div><div><br /></div><div>Ovo je možda definitivna potvrda da tradicionalni antivirsni sustavi ali ni napredni antimalware sustavi nove generacije kao ni EDR sustavi nisu rješenja kojima u potpunosti možete prepustiti brigu o sigurnosti svoje mreže. U slučaju SolarWinds hacka su primijenjene i neke antiforenzičke tehnike i tehnike izbjegavanja sustava detekcije, tako da ćemo svakako morati obogatiti i tehnike neposredne neautomatizirane ("ručne") detekcije.</div><div><br /></div><div>Događaj je pokazao i potrebu za dosljednom primjenom procesa za odgovaranje na sigurnosne incidente u svakoj organizaciji/tvrtki. U ovom slučaju, već od pojave prvih izvještaja u javnom prostoru ili indikatora na svojim sustavima, korisnici kompromitiranog softvera su morali provesti inicijalnu istragu koja je trebala obuhvatiti cyber trijažu, analizu ključnih indikatora na postavkama operativnog sustava i pretragu radne memorije (TEARDROP je "fileless malware" tako da njegove tragove nećemo pronaći na čvrstim diskovima). U okviru incident management procesa svakako treba proraditi na mjerama forenzičke pripremljenosti za prikupljanje prije spomenutih podataka, za inicijalnu trijažu ovih podataka, ali i na uvođenju učinkovitih mjera nadzora, naročito nad aktivnostima računalne mreže.</div><div><br /></div><div>Na koncu, na sve nas će posebno djelovati ključni uzrok ovog incidenta. </div><div><br /></div><div>Koliko god smo bili dosljedni na primjeni svih preventivnih mjera cyber higijene, ovom napadu nismo mogli izbjeći jer ključni sudionik, tvrtka SolarWinds, očigledno nije bila dosljedna u cyber higijeni (iako još ne znamo sve detalje kako je došlo do inicijalnog prodora u njihovu tvrtku). Podsjetimo se slučaja NotPetya: i tada je jedan od ključnih uzroka bio kompromitiran komercijalni softver, ipak ne takvo ime kao SolarWinds pa to, izgleda, nije izazvalo potrebnu pozornost. Ovaj događaj svakako ukazuje da će lanac opskrbe ("supply chain") softverskih (ali i hardverskih) komponenti biti već od danas pod povećalom. A kompromitacija lanca opskrbe je i kompromitacija lanca povjerenja.</div><div><br /></div><div>U sljedećem nastavku ću nešto više pisati o tehničkom aspektu ovog napada.</div>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-60179338295020005572020-12-03T08:48:00.001+01:002020-12-03T09:28:44.372+01:00ATT&CK: okvir za anatomiju cyber prijetnji<p>Početkom listopada ove godine sam održao predavanje za hrvatski ogranak organizacije ISACA u kojoj sam predstavio okvir MITRE ATT&CK.</p><p>Okvir MITRE ATT&CK nije nepoznat među našim stručnjacima. Ranije su se pojavili radovi o tom okviru a polako se nazire primjena i u našem okruženju. Ipak, čini mi se svijest o značenju ovog okvira još uvijek nije dovoljno prisutna među najvećem brojem naših kolega na području informacijske sigurnosti i revizije. A da o managementu IT službi i ne govorimo…</p><p>Kako je nastao okvir MITRE ATT&CK i zbog čega je značajan?</p><p>Kada je početkom desetljeća koje upravo završava postalo jasno da ondašnji antivirusni sustavi ne mogu djelotvorno odgovoriti na novu generaciju računalnih prijetnji (napredne prijetnje, sa svojstvima persistencije i ciljano motivirani prema specifičnoj žrtvi), strategija sprječavanja ovih prijetnji prebacila je težište na područje detekcije napada i prepoznavanja indikatora o proboju napadača, ali i na sve značajnije sudjelovanje ljudskog faktora u provedbi nove strategije. Suradnja među stručnjacima i timovima, unutar pojedine organizacije ili, još češće, među različitim i raznovrsnim organizacijama postala je neophodna. Osim stručnosti i iskrenosti u namjerama, značajan preduvjet za uspješnu suradnju je standardizacija terminologije i zajednička taksonomija ključnih pojmova na ovom području.</p><p>Nakon nekoliko dobrih poticajnih koraka (npr. „The Cyber Kill Chain” tvrtke Lockheed Martin iz 2011.), organizacija MITRE je pristupila razvoju strukturiranog opisa cyber prijetnji, kategorizaciji taktika i tehnika napada i bogatom opisu pojedinih elemenata ove strukture (od katalogiziranja organiziranih izvora cyber prijetnji pa do opisa izvora indikatora unutar operativnog sustava).</p><p>Lavina se pokrenula negdje oko 2015. i danas je ATT&CK ne samo okvir za opis i komuniciranje podataka cyber prijetnjama, nego i djelotvorna baza znanja koja posredno pokreće niz drugih mehanizama za zaštitu informacijskih sustava, dodajući im novu razinu značenja - „Threat-Informed Defense”.</p><p>U svojoj prezentaciji sam opisao glavne točke u evoluciji okvira ATT&CK, značajke ovog okvire i načine primjene u praksi.</p><p>U nastavku možete pogledati video zapis prezentacije.</p><p><br /></p><div class="separator" style="clear: both; text-align: center;"><iframe allowfullscreen="" class="YOUTUBE-iframe-video" height="266" src="https://www.youtube.com/embed/hINILixvFXM" width="320" youtube-src-id="hINILixvFXM"></iframe></div><br /><div class="separator" style="clear: both; text-align: center;"><br /></div><br /><p><br /></p>Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-20893265083010119162019-10-13T16:36:00.000+02:002019-10-13T16:46:49.583+02:00Je li vrijeme za promjenu ISMS modela?Može li tradicionalni model upravljanja sigurnošću informacijskog sustava uspješno odgovoriti na cyber prijetnje?<br />
<br />
Postojeći model upravljanja sigurnošću informacijskog sustava inicijalno je zacrtan prije dvadesetak godina i temelji se na standardu BS7799, koji nešto kasnije preimenovanog u ISO 27001. Ovaj standard na cjelovit način definira sva ključna područja informacijske sigurnosti, uvodi procjenu rizika kao neophodan kriterij za donošenje odluka o provedbi sigurnosnih mjera i postavlja temelje upravljanja ovim sustavom. Standard je blizak nekim drugim okvirima (prije svega mislim na COBIT), a iz njih su proizašle i brojne dobre prakse te regulatorni okviri.<br />
<br />
Zašto bi sada ovako dobro postavljen model upravljanja informacijskom sigurnošću postao odjednom manjkav? Može li se uopće nositi s cyber prijetnjama?<br />
<br />
U vrijeme uspostave tradicionalnog modela upravljanja informacijskom sigurnošću, u informacijskim sustavima su dominirale prijetnje koje su proizlazile iz tehničkih i prirodnih nepogoda, ponajviše ugrožavajući dostupnost informacijskih servisa. Rizičnost ljudskog faktora sagledavao se kroz greške u radu, nepažnju i slučajne nezgode. Stoga su odjeli informacijske sigurnosti bili primarno fokusirani na strateška pitanja, te na proceduralne radnje vezane za prethodno nabrojene rizike.<br />
<br />
Rizici malicioznog ljudskog djelovanja smatrali su se dobro kontroliranima. S obzirom na ograničen arsenal koji je u to vrijeme bio napadačima na raspolaganju, „firewall“ sustavi i antivirusni programi pružali su zadovoljavajuću zaštitu, a nadležnost za ove mjere su najčešće bile rutinski delegirane odjelima IT operative, dakle izvan nadležnosti odjela informacijske sigurnosti.<br />
<br />
Pojavom cyber prijetnje (vremenski ih možemo smjestiti unutar zadnjih pet do šest godina ili čak nešto ranije), arsenal s kojim raspolažu maliciozni napadači postaje puno kompleksniji, scenariji napada sofisticirani, a realizacija izuzetno inventivna. Novi perimetar se preselio s oboda prema unutarnjem dijelu privatne mreže, na osobna računala, „browser-e“ i druge svakodnevno korištene programe, pa standardna zaštita pomoću „firewall-ova“ više nije dovoljna. Također, jedna od odlika cyber prijetnju je uspješno prikrivanje i izbjegavanje detekcije antivirusnim programima, a tržište nam za sada nije ponudio univerzalno zamjensko rješenje za ovaj problem.<br />
<br />
Zaštita od cyber prijetnji mora se temeljiti se na dobrom poznavanju stanja informacijske imovine koju štitimo i zatrpavanju svih poroznih točaka, na sposobnosti prepoznavanja svih elemenata specifičnih cyber napada, uspostavi učinkovitog nadzora sustava i detekcije indikatora naprednih prijetnji, te na uvježbanom odgovoru kada i ako se dođe do sigurnosnog proboja.<br />
<br />
Ovo su zadaci koji značajno nadilaze nadležnosti kompetencije IT operative. Očigledno, loptica se vraća natrag na stranu odjela za informacijsku sigurnost.<br />
<br />
Dakle, kad zazivam o promjenu modela upravljanja informacijskom sigurnošću, ja govorim o potrebi da CISO nadraste ulogu funkcije koja propisuje strateške smjernice i ispunjava zadatke predviđene „compliance“ križaljkom, te na potrebu njegovog prihvaćanja obaveze neposrednog suočavanja s cyber prijetnjama. CISO mora preuzeti sponzorstvo nad procesom za detekciju i ograničavanje cyber prijetnji, te nad procesima za preventivnu redukciju ranjivosti koje otvaraju vrata ovim napadima.<br />
<br />
Treba reći da tradicionalni okviri informacijske sigurnosti predviđaju mjere nadzora i detekcije prijetnji, ali ne na način koji je dorastao cyber prijetnjama. Ja ne inzistiram na donošenju novih standarda i regulatornih okvira. Dapače, to može oduzeti dosta vremena i ponovo nas uvući u kolo ispunjavanja „compliance“ obaveza, koje, poznato nam je od ranije, ne znače nužno i veću sigurnost. Smatram da se dobre smjernice mogu naći i u okviru postojećih inicijativa (npr. vidi <a href="https://attack.mitre.org/" target="_blank">MITRE ATT@CK</a>), a izuzetno je važno da CISO krene razmišljati izvan okvira. I bude svjestan novog modela upravljanja informacijskom sigurnošću.<br />
<br />
U protivnom, CISO bi se vrlo brzo mogao suočiti s posljedicom da sva odgovornost za proboj cyber napada padne na njegova leđa.<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-69246043097818623682019-04-10T13:34:00.001+02:002019-04-10T13:34:30.455+02:00Prezentacije u travnjuOvaj mjesec sudjelujem u radu dviju stručnih konferencija u Hrvatskoj, gdje ću i održati prezentacije.<br />
<br />
Od 11. do 13.4.2019. sudjelujem na konferencije Hrvatskog instituta internih revizora u Lovranu. Tamo ću 12.4. održati prezentaciju "Kako nam analitički alati mogu pomoći u otkrivanju i sprečavanju prijevara?". Govoriti ću o analitičkim tehnikama koje se koriste u detekciji fraud-a, a prezentaciju ću ilustrirati primjerima korištenja alata CaseWare IDEA u takvim scenarijima.<br />
<br />
Više o samoj konferenciji možete doznati na <a href="https://hiir-konferencija.com/" target="_blank">službenoj stranici</a>.<br />
<div>
<br /></div>
U utorak, 30.4.2019. sudjelujem u radu konferencije DataFocus 2019, koju organizira tvrtka INSig2. Ova, sada već tradicionalna konferencija, bavi se računalnom forenzikom. Naslov moje prezentacije je "Forenzička analiza cyber incidenata", a govoriti ću o metodologiji forenzičke istrage cyber/kibernetičkih incidenata, s osobitim naglaskom na napredne tehnike napada.<br />
<br />
Više o samoj konferenciji možete doznati na <a href="https://www.insig2.com/data-focus2018-f22" target="_blank">stranici tvrtke INSig2</a>.<br />
<br />
Pozivam sve one koji još imaju otvorene termine u kalendaru neka se pridruže ovim konferencijama. Također, sudionici prezentacija se mogu javiti i nakon vremenskog okvira predviđenog za prezentaciju kako bi nastavili diskusiju o otvorenim temama. Oni koji nisu u mogućnosti sudjelovati na ovim konferencijama mogu zatražiti materijal mailom.<br />
<br />
Radujem se našem susretu.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-28298979247414027722019-01-25T19:16:00.000+01:002019-01-25T19:16:02.956+01:00Digitalna transformacija procesa upravljanja ranjivostima<br />
<div class="MsoNormal">
Upravljanje ranjivostima je u povijesnoj perspektivi (ako
razdoblje od dvadesetak godina možemo nazvati poviješću) bilo ograničeno na
postupak mrežnog skeniranja, s mogućnošću otkrivanja ranjivosti uglavnom do
razine mrežnih servisa. Iako se skeniranje može provesti i putem autenticiranog
kanala i time otkriti puno više ranjivosti (<a href="https://blog.borea.hr/2013/12/vulnerability-assessment-ili.html" target="_blank">pogledajte raniji tekst</a>), takva se tehnika provodi razmjerno rijetko.
Stoga, ranjivosti se otkrivaju tek na površini računalnih resursa, eventualno, nakon
laganog grebanja, tek malo ispod površine. Neotkrivene ostaju brojne neugodne
sigurnosne rupe. Niti se o njima puno znalo, a još maje pričalo.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Napadači su do pojave naprednih prijetnji koristili iste
tehnike za kompromitaciju sustava, dakle tek one površinski vidljive
ranjivosti. No, priča se temeljito mijenja s pojavama naprednih računalnih
prijetnji. U novoj konstelaciji sukoba, žrtve idu napadačima a ne više napadači
na računala žrtve. Privlačne ali lažne mail poruke, zavodljivi Internet
servisi, malo neopreznije surfanje – jako malo je potrebno za preuzimanje
malicioznog implantata…<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Napadači znaju da se sada moraju jače potruditi, nema više
lakih meta. No, potencijalni dobitak nije zanemariv, mogućnosti za daljnju
propagaciju su postaju gotovo neograničene. Osim toga, ekonomski model
kibernetičkog kriminala je izuzetno održiv, dodatno pojačan činjenicom da se
žrtve moraju puno više potruditi kako bi zatvorili sve rupe.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Ovakva promjena napadačke doktrine bila je znak da se mora
promijeniti i doktrina ojačanja sustava, pa je tako to bio i signal za promjenu
paradigme upravljanje računalnim ranjivostima kakvu smo poznavali godinama.
Umjesto periodičkog ali nisko frekventnog mrežnog skeniranja i tek rutinskog
izvještavanja, nastupilo je vrijeme za kontinuiranu (ili barem visokofrekventnu)
provjeru prisutnosti propusta, ali ne više samo onih površinskih. Umjesto
rutinskog izvještavanja i neučinkovitog "patchiranja", sada se nalazi
moraju rangirati prema realnim prijetnjama koje proizlaze iz utvrđenih
nedostataka. Umjesto kompleksnog procesa totalnog "patchiranja" za
koji smo nalazili sto razloga za odgađanje, sada se bez izuzetka moramo, ali i
možemo, fokusirati barem na one ključne ranjivosti, čije nam povezane prijetnje
kucaju na vrata. <o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Upravo je ovo tehnološki okvir unutar kojeg je Qualys prošle
godine uveo značajne inovacije u servisu za upravljanje ranjivostima
QualysGuard. Korištenje agenata za prikupljanje ranjivosti, uvedenih nekoliko
godina ranije (o čemu sam pisao <a href="https://blog.borea.hr/2015/10/agenti-u-akciji.html" target="_blank">ovdje</a>), a naglasak
se sada daje na kvalitetnoj obradi i prezentaciji bogatih informacija koje su
agenti u stanju prikupiti, te na pružanju informacija koje omogućuju operativno
djelovanje. Upravljanje ranjivostima sada mora uključivati indikatore iz „cloud“
infrastrukture i kontejnerskih entiteta, a rezultati moraju biti primjenjivi
kako u upravljanju rizicima tako i u <span style="mso-spacerun: yes;"> </span>DevOps
procedure… <span style="mso-spacerun: yes;"> </span>Ove godine očekujte digitalnu
transformaciju procesa upravljanja ranjivostima.<o:p></o:p></div>
<br />Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-6169417877506698191.post-42961762921818734842019-01-11T10:52:00.000+01:002019-01-11T11:58:49.654+01:00DoxxingPojam „doxxing“ (ili „doxing“, ako to smatrate ispravnijim pojmom) je u prvim danima ove godine bio nadprosječno prisutan u medijima svih vrsta. Neposredni povod je informacija o objavi osobnih podataka njemačkih političara i drugih javnih osoba putem Twittera. Tako smo doznali da su objavljene informacije Angele Merkel, njemačkih parlamentaraca i nekih osoba izvan svijeta politike.<br />
<br />
Takav događaj se u žargonu novih medija naziva „doxxing“. „Doxxing“ je naziv za javnu objavu osobnih podataka neke osobe bez pristanka same osobe a u cilju stvaranja neugodne situacije za žrtvu. Objavljuju se brojevi telefona ili kućne adrese, što implicira neposredni pritisak prema žrtvi, objavljuju se neugodne fotografije, pisma ili dokumenti, financijski podaci... Iako se „doxxing“ povezuje s hakiranjem, podrazumijevajući da se u posjed ovim informacijama može doći tek nakon uspješnog hakerskog napada, hakeri u scenarijima „doxxing-a“ nisu nužni. „Doxxing“ može obuhvatiti objavu informacija do kojih se dolazi strpljivim kopanjem po dostupnim izvorima podataka, često i onim klasičnim, ne-digitalnim. Moramo biti svjesni da ostavljamo jako puno tragova, treba se samo sagnuti i pažljivo prikupiti ih.<br />
<br />
Ako pak govorimo o hakerskom porijeklu informacija, ponekad se radi tek o pogađanju jednostavno postavljenih zaporki za cloud mail servise, a najčešće lukavo skrojenom ciljanom „phishing“ napadu kroz koji će žrtva neoprezno otkriti zaporku za pristup mail servisu. Za tako nešto, danas više ne treba previše truda niti ekspertize. A kad se dođe do pretinaca elektroničke pošte, svašta se može pronaći. Važno je reći da objava podataka o jednoj osobi ne znači nužno da je kompromitiran mail račun sam žrtve. Ponekad je dovoljno kompromitirati mail tajnika/tajnice uglednog političara ili bliskih prijatelja nekog celebrity-a. Tamo se onda mogu naći zahvalne informacije, od adresa, brojeva telefona pa do osjetljivih fotografija. Omiljena forma „doxxinga“ je objava stvarnog identiteta neke osobe koja na društvenim mrežama koristi anonimni profil.<br />
<br />
Jako je puno primjera „doxxing-a“, a objava podataka njemačkih političara je tek zadnji u nizu. Prisjetimo se nekih ranijih. U političkom svijetu smo imali objavu elektroničke pošte Hillary Clinton, bivšeg direktora CIA-e, „doxxing“ javnih osoba čiji su stavovi suprotni jednom od „mi ili oni“ grupacija… U show business svijetu su ovi slučajevi još češći: Ashton Kutcher, Paris Hilton, Jay-Z , Britney Spears, Beyonce, Kim Kardashian, Scarlett Johansson… Popis je veoma dug.<br />
<br />
Žrtve „doxxing-a" mogu biti i organizacije ili tvrtke. Sjetimo se slučajeva Sony, Hacking Team, pa čak i NSA u slučaju Edwarda Snowden-a.<br />
<br />
Očigledno, glavni motivi osoba koje stoje iza „doxxing“ akcije su osveta, poniženje, politički ili svjetonazorski obračun… Ponekad je „doxxing“ i sredstvo ucjene. Naravno, kao i druge navodne istine koje se objavljuju na društvenim mrežama, tako i „doxxing“ može sadržavati potpuno lažnu informaciju koja će žrtvi dodatno naškoditi, a da zapravo i ne postoje mehanizmi učinkovitog ispravka ove informacije.<br />
<br />
Podataka o svima nama je sve više pa možemo očekivati porast doxxing napada ali i njihovu sve maštovitiju upotrebu. No, kako se zaštiti od „doxxing“ napada? Ako govorimo o osobnim podacima pojedinaca, najizloženija točka je servis elektroničke pošte pa se dosta visoka razina zaštite može postići korištenjem dvo-faktorske autentikacije ili barem dovoljno jake zaporke. Naravno, i sve uobičajene mjere osnovne higijene računala i mobitela su neophodne. Svakako treba reducirati broj osobnih podataka koje svjesno ostavljate u Internet prostoru.<br />
<br />
Ipak, kao i za druge oblike računalnih zloupotreba ili kibernetičkog kriminala, na snazi je pravilo da je lakše izvesti napade nego obraniti se od njih.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-20613787432644732542018-02-25T16:55:00.002+01:002018-02-25T16:55:39.871+01:00Izvješće o stanju računalnih ranjivostiTvrtka Risk Based Security je prije prije desetak dana objavila zanimljivo <a href="https://pages.riskbasedsecurity.com/2017-ye-vulnerability-quickview-report" target="_blank">istraživanje </a>o stanju računalnih ranjivosti u 2017. godini. Spomenuta tvrtka održava bazu podataka o računalnim ranjivostima VulnDB (komercijalna verzija nekad slobodno dostupne OSVDB baze podataka o računalnim ranjivostima). Preporučujemo pročitati izvješće, a ovdje ću izdvojiti nekoliko indikativnih podataka o još uvijek podcijenjenoj komponenti informacijskih rizika.<br />
<br />
<ul>
<li>Prvi podatak - u 2017. godini je formalno evidentirano 20.832 ranjivosti, što je porast od 31% u odnosu na 2016. godinu - čak i ne smatram ključnim. Na taj broj su mogli utjecati i neki drugi faktori osim pada kvalitete softverskih proizvoda - od unaprjeđenja prakse traganja za računalnim ranjivostima, proširenja platformi obuhvaćene istraživanjem ranjivosti, promjena prakse prijave ranjivosti... Zanimljive su, zapravo, druge informacije o svojstvima samih ranjivosti.</li>
</ul>
<ul>
<li>Što se tiče ocjena ranjivosti prema CVSSv2 standardu ocjenjivanja, zadržana je raspodjela koja je zacrtana i u ranijim godinama: oko 40% ranjivosti ima CVSS ocjene 7 ili više, a gotovo 20% ocjene 9 ili 10 (točnije, 17,2% u 2017.).</li>
</ul>
<ul>
<li>Analizirajući podatke o scenarijima iskorištavanja ("exploit"), izvješće pokazuje da za 39,5% ranjivosti postoje "exploit" scenariji, a za 6.569 ranjivosti postoje javno objavljeni "exploit" scenariji. Preostali scenariji su prisutni u komercijalnim paketima ili za njih postoji dovoljna količina informacija za uspješno iskorištavanje u praksi. Za širu sliku, treba uzeti u obzir da se u svakoj tekućoj godini pojavljuju "exploit" scenariji za ranjivosti iz prethodnih godina koji nisu obuhvaćeni ovim brojkama.</li>
</ul>
<ul>
<li>Osobito je zanimljiv podatak o vektoru iskorištavanja određenog "exploit-a", tj. točke s koje napadač pokreće scenarij napada. Gotovo pola utvrđenih ranjivosti (točnije 49,9%) može biti pokrenuto s udaljenih lokacija odnosno preko mreže, što se smatra najkritičnijim vektorom napada. Ako ovom broju pribrojimo oko 7.000 ranjivosti čije iskorištavanje ovisi o lokalnom kontekstu, dolazimo do preko 17.000 ranjivosti koji se sasvim sigurno ili prilično izvjesno mogu iskoristiti mrežnim putem, što za napadača predstavlja ležerniju i poticajniju priliku za ostvarivanje ciljeva.</li>
</ul>
<ul>
<li>Za 23,2% ranjivosti iz 2017. godine nije bilo odgovarajućih popravaka (programskih zakrpi ili softverskih nadogradnji). Ako uzmemo u obzir uobičajeno neučinkovit proces primjene ovih popravaka onda možemo zaključiti da značajni opseg resursa ostaje ranjiv.</li>
</ul>
<ul>
<li>Nedovoljna, neispravna ili čak nepostojeća kontrola aplikativnih ulaznih vrijednosti predstavlja uzrok za 66,7% ranjivosti. Ova činjenica govori o nekvalitetno provedenom procesu razvoja i testiranja aplikacija i potvrđuje nam da je upravo ovo područje ključ za ograničavanje računalnih ranjivosti.</li>
</ul>
<ul>
<li>Sigurnosni softver sudjeluje s gotovo 1000 ranjivosti u ukupnom broju ranjivosti u 2017. godini, a dodatnu ozbiljnost ovoj činjenici daje i podatak da je proizvođačima trebalo prosječno 195 dana za otklanjanje ovih nedostataka.</li>
</ul>
<ul>
<li>Među zanimljivim podacima iz prošlogodišnjeg izvješća možemo istaknuti one o ranjivostima u SCADA sustavima i programima vezanim za kriptovalute. U SCADA sustavima (računalnim sustavima kojima se kontrolira kritična infrastruktura - od nadzora industrijske infrastrukture, proizvodnje i distribucije energetskih resursa pa do upravljanja industrijskim procesima) izbrojeno je 692 ranjivosti - broj koji izgleda nizak u odnosu na ukupan broj ranjivosti ali nikako nije zanemariv s obzirom na značaj ili s obzirom da je dvije trećine nalaza visoke kritičnosti (CVSSv2 ocjena 7 ili više). Što se tiče kriptovaluta, imamo, za sada, simbolički broj od 60 ranjivosti no koji ukazuje na prisutnost slabih točaka u ovoj tehnologiji koja je u 2017. doživjela značajnu afirmaciju.</li>
</ul>
Pored indikatora opisanih u dokumentu, moramo biti svjesni i činjenice da smo u 2017. godini imali <a href="http://blog.borea.hr/2017/05/wanacrypt-je-li-ovo-tek-prvo-poluvrijeme.html" target="_blank">eskalaciju ranjivosti</a> koja je bila poznata godinama ranije ali koja nije bila javno objavljena niti obuhvaćena VulnDB, OSVDB ili NVD/CVE bazom podataka i to iz jednostavnog razloga što podaci o ovim ranjivostima nisu bili objavljeni. Možemo biti sigurni da i danas postoji negdje arsenal takvih ranjivosti.<div>
<br /><br />
Ipak, zaključit ću u pozitivnom tonu: računalne ranjivosti su izuzetno značajna komponenta ukupnih informacijskih rizika, no, srećom, jedina kojom možemo koliko-toliko upravljati. </div>
Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-6169417877506698191.post-17358939524372232922018-01-20T12:00:00.001+01:002018-01-20T12:00:51.715+01:00Prognoza za Hrvatsku: Cybersecurity u području niskog tlaka "Allianz Risk Barometer 2018" je naziv publikacije koju Allianz objavljuje niz godina (možete je preuzeti <a href="http://www.agcs.allianz.com/insights/white-papers-and-case-studies/allianz-risk-barometer-2018/" target="_blank">ovdje</a>), a sadrži procjene specifičnih rizika prisutnih u svjetskom gospodarstvu. Publikacija je rezultat anketa koje su obuhvatile 1911 stručnjaka na području upravljanja rizicima iz 80 zemalja, a odgovori su obrađeni posebnom metodologijom. Ukratko, publikacija donosi popis 10 glavnih rizika koji su identificirani ovom anketom, pri čemu su rizici rangirani sukladno procijenjenom značaju. Pored glavnog popisa koji se odnosi na svjetsko gospodarstvo u cjelini, publikacija donosi rezultate po pojedinim regijama i za uzorak država, te za glavne gospodarske grane.<br />
<br />
Glavni rezultati nisu iznenađujući. Na globalnoj razini, kao i vodećim svjetskim gospodarstvima, glavnim rizikom je identificiran "Business interruption", a odmah iza njega slijedi rizik "Cyber incidents" (u nastavku vidimo prvih 5 rizika)<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://1.bp.blogspot.com/-UsM2F7uwW9E/WmL7hdJzi1I/AAAAAAAAAQg/8rVxX236qckBzYUhzppQPHTVd7SoJc-zQCLcBGAs/s1600/Allianz_Risk_Barometer_2018_top5.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="396" data-original-width="889" height="142" src="https://1.bp.blogspot.com/-UsM2F7uwW9E/WmL7hdJzi1I/AAAAAAAAAQg/8rVxX236qckBzYUhzppQPHTVd7SoJc-zQCLcBGAs/s320/Allianz_Risk_Barometer_2018_top5.png" width="320" /></a></div>
<br />
<br />
<br />
"Business interruption" obuhvaća sve posljedice uslijed prekida poslovnog procesa koji dolaze od djelovanja iz njegovog vanjskog okruženja - cyber incidenti, tehnički prekidi, požari, prirodne katastrofe, požara, prekidi rada dobavljača...<br />
<br />
"Cyber incidents" rizik, pozicioniran na drugo mjesto, obuhvaća sve direktne posljedice djelovanja cyber prijetnji na poslovanje - krađe informacije, ugrožavanje reputacije, operativne posljedice. Treba naglasiti da djelovanje cyber prijetnji čini i komponentu prvo-pozicioniranog rizika i to kroz rizik izazivanja prekida poslovnog procesa.<br />
<br />
Gledajući popise po pojedinim razvijenim gospodarstvima, rizici "Business interruption" i "Cyber incidents" po pojedinim državama drže prva dva mjesta (rotirajući ove pozicije), pa možemo definitivno zaključiti da su cyber prijetnje izrazito prepoznate kao značajan rizik svjetskog gospodarstva. <br />
<br />
No sad dolazimo na zanimljiviju točku ovog istraživanja. Publikacija sadrži popise rizika po državama. U europskom dijelu istraživanja obuhvaćeno je 10 EU država (uključujući Hrvatsku) te Švicarska.<br />
<br />
Pogledajte popis 10 najvažnijih rizika u Hrvatskoj - "Cyber incidents" je percipiran tek kao umjeren rizik i nalazi se na šestom mjestu ovog popisa:<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://4.bp.blogspot.com/-X6d6xB3FggA/WmL8ecOMIGI/AAAAAAAAAQo/-lOUPFtv8-AKpmJ33zl2eOMJLkFWzoSjgCLcBGAs/s1600/Allianz_Risk_Barometer_2018_Croatia.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="744" data-original-width="895" height="266" src="https://4.bp.blogspot.com/-X6d6xB3FggA/WmL8ecOMIGI/AAAAAAAAAQo/-lOUPFtv8-AKpmJ33zl2eOMJLkFWzoSjgCLcBGAs/s320/Allianz_Risk_Barometer_2018_Croatia.png" width="320" /></a></div>
<br />
<br />
Najprisutnijim rizikom za Hrvatsku predviđa se utjecaj zakonodavnih i regulatornih promjena, promjena državne administracije i sličnih sustavnih događaja (pretpostavljam da nećemo biti toliko pogođeni Brexitom).<br />
<br />
Ako pogledamo druge članice Europske unije s ovog popisa, u većini ovih država imamo isti uzorak kao i na globalnoj razini. Rizik "Business interruption" i "Cyber incidents" zauzimaju prva dva mjesta (uz uglavnom neznatnu razliku u visini procjene), no meni su zanimljivija odstupanja od ovog uzorka: u Grčkoj se "Cyber incidents" ne nalazi uopće na Top 10 popisu, a u Španjolskoj dijeli tek četvrto i peto mjesto (istina, procjena iznosi 32% što je znatno više od 20% za Hrvatsku). Podsjeća li vas ovo na razdoblje ekonomske krize iz proteklih desetak godina? Nažalost, Allianzovo istraživanje ne obuhvaća druge tranzicijske EU države s kojima bismo se mogli usporediti, no ipak se upitajmo možemo li izvući neke zaključke iz rezultata ovog istraživanja?<br />
<br />
Prije nego što pokušam dati odgovor, želio bih naglasiti da je ovakva procjena rizika za Hrvatsku prilično realna. Govorim iz vlastitog iskustva i smatram da se među velikim dijelom gospodarstvenika cyber prijetnje ne percipiraju kao realna i prisutna opasnost. Je li baš realnija prijetnja prirodnih katastrofa od cyber napada kako nam sugerira gornja tablica - to je za diskusiju, no to ne utječe značajno na Allianzov popis.<br />
<br />
Prema rezultatima ovog istraživanja možemo zaključiti da je visina cyber rizika direktno proporcionalna stupnjem razvoja i snagom gospodarstva. U slabije razvijenim gospodarstvima kakva je Hrvatska (a, složiti ćete se, i Grčka) manje je vrijednosti izloženo cyber prijetnjama i manje se može izgubiti. No, ne radi se samo ograničenoj snagi gospodarstva. Možemo govoriti i o (ne)disciplini korporativnog upravljanja, izostanku poslovne odgovornosti i ukupno problematičnoj gospodarskoj klimi. U situaciji kada tržišni mehanizmi nisu presudni kriterij poslovnog uspjeha i kad značajan dio gospodarstva još uvijek čine politički upravljani te politici podložni sustavi, za naš management zaista veća prijetnja dolazi od nekontrolirane promjene sustava u kojem se pokušava poslovati nego od cyber prijetnji.<br />
<br />
Nemojte me krivo shvatiti: ovime nikako ne obezvrjeđujem napore koje moje kolege, uključujući i mene, provodimo na osvješćivanju glavnih dionika na tržištu i u promociji mjera informacijske sigurnosti, niti pokušavam defetistički zaključiti da radimo nepotreban posao. Radi se ipak o poremećaju percepcije rizika, na koji svi možemo utjecati.<br />
<br />
Moj prijedlog za unaprjeđenje stupnja osviještenosti o cyber rizicima: mislim da treba pojačati napore na dijeljenu informacija o cyber prijetnjama i unaprijediti mjere aktivnog praćenja pojave prijetnji. Nekako tradicionalno, mi nismo skloni dugoročno sagledavati niti rizike ali niti doprinose bilo kakvih procesa pa tako ni poslovnih, no iščekivane promjene gospodarskog okruženja moraju unaprijediti percepciju i cyber rizika.<br />
<br />
Zaključujem u meteorološkom žargonu iz naslova ovog teksta. Područje niskog tlaka u kojem su danas nalaze cyber rizici stvaraju uvjete za skoro pogoršanje vremena. Možemo predvidjeti da će se i kod nas pojaviti prvi epohalni cyber incidenti kakvi su u 2017. na globalnoj razini bili, npr. krađe podataka u Equifaxu i Uberu. Za prve žrtve će biti prekasno, no na Allianzovom barometru će cyber rizici preći u područje visokog tlaka. To neće značiti nužno bezbrižan vremenski ugođaj, ali bi mogao biti pokazatelj da se cyber rizicima zna i želi upravljati.<br />
<br />Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-73058871338537127422017-12-31T17:02:00.000+01:002017-12-31T17:13:48.844+01:00Bauk GDPR-a kruži Europom (a i šire)<div class="MsoNormal">
Gledajući na događanja u informacijskoj sigurnosti s aspekta
tematike ovog bloga, onda možemo reći da je uvođenje GDPR obilježio 2017.
godinu u Hrvatskoj. Barem u zadnjih 4-5 mjeseci jer smo uvođenje GDPR još
početkom godine vidjeli kao jednu veoma daleku obavezu koja se, k tomu, možda
nas i ne tiče.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Pretpostavljam da se niste mogli oduprijeti stalnom
podsjećanju na drastične novčane kazne kojim GDPR prijeti, niti pozivima na
brojne seminare i konferencije na ovu temu, a nadam se da je to ostavilo
pozitivan trag na vaš stav o GDPR-u. Ja ću se na ovim stranicama baviti GDPR-om
iz druge vizure: primarno ću govoriti o ulozi CISO u provedbi zahtjeva GDPR-a. Iznijeti ću razmišljanja koje učestalo
dijelim s kolegama, kao i pitanja/odgovore iz konzultantskih projekata o
uvođenju GDPR u kojima sudjelujem. Napominjem da pod pojmom CISO, u ovim
tekstovima, obuhvaćam ne samo osobe formalno nadležne za sigurnost
informacijskog sustava već sve informatičke stručnjake uključene u sigurnosne
procese.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Je li primjena GDPR zahtjeva uopće dio odgovornosti CISO
funkcije?<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Primjena GDPR-a je primarno odgovornost poslovnih funkcija i
pravne službe, iako značajna uloga mora biti dodijeljena i informatičkim
službama a posebno osoba nadležnim za informacijsku sigurnost. Ipak, iz
višestrukih razloga, u mnogim se organizacijama smatra da je uvođenje GDPR
primarno problem informatike i informacijske sigurnosti. Stoga, pokušati ću
definirati crtu razgraničenja između poslovno/pravne i informatičko/sigurnosne
funkcije kod uvođenja GDPR-a, pri čemu razmatranja o ulozi DPO i o naporima za
očuvanje sukladnosti sa zahtjevima GDPR-a po okončanju procesa njegovog
uvođenja ostavljam za drugu priliku.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Proces uvođenja GDPR-a podjelo sam, ne samo radi ovog
teksta, na četiri glavne faze, a u svakoj od ovih faza moguće je identificirati
ulogu CISO funkcije.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
U prvoj fazi potrebno je uspostaviti okvir za uvođenje i
upravljanje sukladnošću s GDPR-om, a naročito identificirati sve osobne podatke
u poslovnom procesu i informacijskom sustavu. Krunski moment ove faze je
procjena učinka na zaštitu podataka te specifikacija neophodnih mjera zaštite
ovih podataka. Ključnu ulogu mora imati poslovna funkcija, no osobe iz redova
informacijske sigurnosti koje imaju iskustvo na uvođenju regulatornih okvira
ili sigurnosnih standarda (npr. PCI DSS, ISO 27001, pa, zašto ne, i Odluka
HNB-a o primjerenom upravljanju informacijskim sustavom) mogu pružiti značajan
doprinos uspješnoj provedbi ove faze, koja mora rezultirati, minimalno,
kvalitetnom inventurom osobnih podataka i popisom mjera koje se nužno moraju
provesti).<o:p></o:p><br />
<br /></div>
<div class="MsoNormal">
Druga faza mora rezultirati formalnom dokumentacijom
(privole, ugovori s klijentima, interni pravilnici..) koji su u funkciji
upoznavanja ispitanika o postupanju s osobnim podacima te pribavljanje njihove
suglasnosti. U ovoj su fazi neophodni poznavanje poslovnog procesa i pravna
kompetencija, a tehnički detalji će biti u drugom planu, iako ne i potpuno
zanemarivi. Stoga smatram da sudjelovanje CISO u ovoj fazi nije nužno.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Treća faza uvođenja GDPR-a obuhvaća uvođenje “Data
protection by design” mjera. Ove mjere se temelje na rezultatima procjene
utjecaja na privatnost i procjenu rizika, no ne očekujem da će se nužno
provoditi u svakoj organizaciji, a opseg primjene svakako će se razlikovati
među organizacijama. Ova faza uglavnom obuhvaća primjenu različitih kontrolnih
mjera, gotovo isključivo unutar aplikativnih sustava u kojima se obrađuju
osobni podaci. Stoga, ključnu ulogu imati će razvojni timovi u informatičkim
odjelima, a poslovne funkcije će sudjelovati u fazi dizajna i testiranja, kao
što je praksa i u drugim razvojnim projektima. CISO neće nužno sudjelovati u
ovoj fazi, no svakako predlažemo da bude konzultiran u postupku planiranja i
testiranja predviđenih sigurnosnih mjera.
<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Uloga CISO-a bit će ključna u četvrtoj fazi, a to je
primjena općih sigurnosnih mjera koje ojačavaju otpornost informacijskog
sustava i onemogućuju kompromitaciju osobnih podataka. Nažalost, GDPR je u
svojem osnovnom tekstu veoma škrt oko specifikacije ovih mjera, no sadrži možda
najznačajniji doprinos u promišljanju kvalitete sigurnosnih mjera: obavezu
objave podataka o sigurnosnih proboja i to u roku od 72 sata od trenutka kada
organizacija detektira takav događaj. Ovaj zahtjev povlači obavezu detaljne
razrade plana odgovora na sigurnosne incidente i to će svakako biti tema jednog
od sljedećih tekstova na ovim stranicama.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
GDPR ne sadrži detaljnu specifikaciju općih kontrolnih
mjera, no predviđena je mogućnost naknadne specifikacije ovih standarda koji bi
mogli biti i podloga za certifikaciju. Iako bi se lako moglo zaključiti da je
izostanak ovih mjera manjkavost GDPR-a, ja ne mislim tako. Sigurnosnim
stručnjacima stoji na raspolaganju nekoliko veoma detaljnih sigurnosnih okvira,
a moja preferencija su CIS Critical Security Controls. Također, uz malo truda, možete napraviti i
derivaciju PCI DSS standarda i prilagoditi ga okruženju osobnih podataka.<o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<div class="MsoNormal">
Bez obzira što ovu fazu proglašavamo glavnim područjem
odgovornosti CISO-a, treba jasno reći da završnu riječ u pravilu ima
management. Naime, ove mjere često podrazumijevaju dodatan budžet kao i nova
ograničenja za poslovne procese, što će se moći provesti isključivo uz
autoritet managementa. Stoga, glavni rizik kojem CISO može biti izložen je
eventualni pristup managementa koji bi se temeljio na principu zadovoljavanja
tek nužnih zahtjeva GDPR-a. U tom slučaju kompetencija i iskustvo CISO-a bi se
fokusirali na traženju rupa u GDPR uredbi, a ne u kreiranju sveobuhvatnog i
učinkovitog sigurnosnog okvira, čime CISO nezasluženo preuzima značajnu
odgovornost. Iz tog razloga svakako ohrabrujemo CISO-e i sve druge informatičke
stručnjake da inzistiraju na punoj primjeni zahtjeva GDPR i da ovu uredbu
iskoriste kao priliku za argumentiranu traženje suglasnosti managementa za
primjenu sigurnosnih mjera. <o:p></o:p></div>
<div class="MsoNormal">
<br /></div>
<br />
<div class="MsoNormal">
Na koncu, nemojte zaboraviti na činjenicu da usklađenost s
regulatornim standardima ne znači nužno i sigurnost sustava. To je tek prva
postaja na složenom putu na kojem morate očekivati transformaciju GDPR od
pravnih formulacija i strateških rezolucija ka dubinskim mjerama i
kontinuiranom nadzoru ovih mjera.
Možemo, stoga, i zaključiti da uloga CISO u fazi uvođenja GDPR-a nije
ključna (tek u četvrtoj gore opisanoj fazi), ali kad budu zaživjele mjere
zaštite osobnih podataka, uloga CISO-a će biti ključna u održavanju ovih mjera.<o:p></o:p></div>
Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-6169417877506698191.post-35914133957281233912017-06-05T12:35:00.000+02:002017-06-05T12:35:01.291+02:00Teorije o WannaCrypt napaduNakon nepunih mjesec dana od pojave malicioznog programa WannaCrypt došlo je vrijeme za rezimiranje viđenoga.<br />
<br />
WannaCrypt nije bio pucanj iz praznog pištolja, mnoge tvrtke su ga osjetile na vlastitoj koži. Uzmimo u obzir i da su informatičari u brojnim tvrtkama potrošili najmanje vikend za krpanje Windows zakrpi na svojim računalima, tako da su troškovi savjesnim organizacijama ipak bili podnošljivi. U <a href="http://blog.borea.hr/2017/05/wanacrypt-je-li-ovo-tek-prvo-poluvrijeme.html" target="_blank">prošlom zapisu</a> sam najavio da je onaj udarni vikend bio tek prvo poluvrijeme a većina nas se pribojavala ponedjeljka i onog što slijedi nakon tog ponedjeljka.<br />
<br />
Ipak, događaji koji su uslijedili su, srećom, demantirali pesimiste među nama. Ključnu ulogu je odigralo ne toliko hitno krpanje sustava koliko misteriozno ugrađen “kill switch” u programskom kodu WannaCrypt-a koji je spriječio njegovo širenje. Strah i iščekivanje su nakon toga zamijenile teorije o porijeklu WannaCrypt-a i stvarnim motivima njegovih autora.<br />
<br />
Je li se zaista radilo o amaterski i brzopleto napisanom programu koji je propustio predvidjeti vlastiti bug? Je li moguće da tako kataklizmičan program zarađuje tek 130.000 USD u nepunih mjesec dana (iznos na dan pisanja ovog teksta).<br />
<br />
Vjerujem da ste čuli teorije o sjeverno-korejskom porijeklu, no meni je zanimljiva i teorija koju je iznio Joseph Carson, stručnjak iz tvrtke <a href="https://thycotic.com/" target="_blank">Thycotic</a>. On <a href="http://www.securityweek.com/latest-wannacry-theory-currency-manipulation" target="_blank">smatra</a> da je WannaCrypt zapravo manipulacija vrijednošću valute Bitcoin koja rezultira nečime što najbliže možemo usporediti s insiderskom trgovinom. Naime, prema postojećim ekonomskim teorijama, vrijednost Bitcoina se povećava proporcionalno s kvadratom broja korisnika, slijedeći zakonitosti koje općenito vrijede za telekomunikacijske mreže.<br />
<br />
Što se dogodilo? Pojavom WannaCrypt-a, porastao je broj osoba koje se otvorili vlastiti digitalni novčanik, što je rezultiralo i porastom vrijednosti Bitcoin-a (tečaj Bitcoina je 1.5.2017. iznosio 1.379 USD, a nakon manjih fluktuacija oko 12.5.2017. (dana pojave WannyCrypt-a), na dan 20.5.2017. tečaj je iznosio 2.158 USD). Prema iznesenom scenariju, kriminalci su se prethodno opskrbili dovoljnom količinom Bitcoina koju su prodavali u tjednu nakon njegove pojave, kreirajući tipičnu “pump and dump” shemu.<br />
<br />
No, ovo nije jedina veza između ranjivosti EthernalBlue i kripto valuta. Desetak dana prije WannaCrypt-a <a href="https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar" target="_blank">pojavio se malware</a> koji iskorištava iste NSA ranjivosti (EthernalBlue/DoublePulsar) da bi instalirao softver Adylkuzz koji na računalu korisnika prikriveno rudari kriptovalutu Monero. Dakle, ovaj malware nije destruktivan kao WannaCrypt, a za napadače ostvaruje jednako značajnu dobit. Dapače, tamo gdje se pojavio napravio je promjene na sustavu i spriječio prodor WannaCrypta. Gledajući sa strane korisnika to je bio možda i dobar deal: dajete nešto performansi i procesorskog vremena napadačima a zauzvrat ste zaštićeni od WannyCrypta.<br />
<br />
Očigledno, ovi događaji reflektiraju promjene u razmišljanju cyber-kriminalaca i ponovo nas uče da treba očekivati neočekivano, a pravo pitanje zapravo ostaje zbog čega je EthernalBlue ranjivost ostala prikrivena nekoliko godina?Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-90398249629166625462017-05-14T19:37:00.002+02:002017-05-14T19:49:05.682+02:00WanaCrypt: je li ovo tek prvo poluvrijeme?Ovaj tekst pišem u nedjelju poslijepodne, dva dana nakon globalne pojave jednog od najagresivnijih malicioznih programa u posljednih godinu/dvije. Premijera je bila u petak, pa epidemija malicioznog programa WanaCrypt nije još stigla zahvatiti većinu naših tvrtki i organizacija. Erupcija bi se mogla očekivati sutra, kada se u jutarnjim satima budu uključila računala. Ipak, vikend je, izgleda, imao spasonosno djelovanje, zahvaljujući zagonetnoj funkciji koja je pronađena u kodu malicioznog programa WanaCrypt.<br />
<br />
Naime, timovi koji su analizirali tijek instrukcija ovog programa utvrdili su da ovaj program iz nekog, za sada nepotvrđenog, razloga pokušava dohvatiti URL fabriciranog sadržaja iza kojeg ne stoji realni poslužitelj. Postoji nekoliko objašnjenja za ovakvo ponašanje - o njima pišem u nastavku, no za slijed događaja je važno reći da je ovo svojstvo iskorišteno za obuzdavanje djelovanja programa WanaCrypt. Naime, ukoliko se pokaže da program ne može dohvatiti fabriciranu domenu onda nastavlja posao do kraja i preuzima zaraženo računalo. Ukoliko bi, kojim slučajem, pokušaj dohvata fabricirane domene bio uspješan onda program prekida akciju. Znači, ako bi dakle fabricirana domena zaista postojala - što inače nije intencija autora, onda bi to obustavilo djelovanje programa WanaCrypt. To je i napravljeno - tvrtka MalwareTech je registrirala domenu prilično kriptičnog naziva i invazija je obustavljena. Barem za sada.<br />
<br />
Ostaje pitanje kako to da program WanaCrypt koristi ovu naizgled naivnu funkciju koja značajno ograničava njegovo djelovanje? Zasigurno se ne radi se o propustu no motivi su, izgleda, dvojaki. Prema jednoj teoriji, napadači se poigravaju s nama te su nam ostavili dostupan "kill switch" koji će nas zaštiti ali kojima će nam dati do znanja da oni drže stvar pod kontrolom. Prema drugoj teoriji, ovakva reakcija je rezultat kontrole u programskom kodu koja ima funkciju prepoznavanja okruženja forenzičke analiza malicioznih programa. Ova kontrola nije nova, pojavljivala se i u nekim drugim slučajevima.<br />
<br />
No bilo kako bilo, za očekivati je pojavu podvarijanti malicioznog programa WanaCrypt koje će isključiti ovakvu kontrolu ili koji će URL ime generirati primjenom generatora slučajnih vrijednosti. U svakom slučaju, nemojte se zavarati trenutnim zatišjem. Primijenite popravke koji su opisani u MS17-010 (<a href="https://technet.microsoft.com/en-us/library/security/ms17-010.aspx">https://technet.microsoft.com/en-us/library/security/ms17-010.aspx</a>), ali i inače održite ažurnu razinu patcheva operativnog sustava. Razmotrite i ukidanje protokola SMBv1, uglavnom nije neophodan (pogledajte <a href="https://support.microsoft.com/en-us/help/2696547">https://support.microsoft.com/en-us/help/2696547</a>).<br />
<br />
Korisnici sustava QualysGuard mogu provjeriti zdravlje sustava modulom ThreatPROTECT ili provjerom prisutnosti ranjivosti QID 91345, QID 1029, QID 91360 i QID 70077. Napominjemo da se provjere ranjivosti QID 91345, 1029 i 91360 mogu provesti samo autenticiranim skenom ili korištenjem QualysGuard agenata. QID 70077 omogućuje detekciju "backdoor" programa DOUBLEPULSAR koja se koristi u scenariju WanaCrypt a koji nam takođe dolazi u istoj pošiljci iz NSA.<br />
<br />
Kada se stvari oko ovog napada budu slegle onda će biti vremena za neke konačne zaključke, no dobro su mi je poznata raširena percepcija da nije nužno pre-ažurno primjenjivati programske popravke jer naše tvrtke "nisu zanimljive napadačima", naročito ne onima koji koriste napade iz NSA aresenala. Ovaj slučaj je možda trenutak otrežnjenja. Naročito ako ponedjeljak bude jače "stormy" nego obično.Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-6169417877506698191.post-81241217004119824122015-11-06T12:08:00.000+01:002015-11-06T12:08:18.033+01:00Upravljanje ranjivostima u vremenima ciljanih prijetnjiU ponedjeljak, 2.11.2015. održao sam prezentaciju na redovitom mjesečnom sastanku hrvatskog ogranka organizacije ISACA.<br />
<br />
Tema prezentacije je bila upravljanje računalnim ranjivostima u vremenima sve opasnijih ciljanih prijetnji ("targeted threats")<br />
<br />
<iframe allowfullscreen="" frameborder="0" height="355" marginheight="0" marginwidth="0" scrolling="no" src="//www.slideshare.net/slideshow/embed_code/key/gfJUmOxFRuahbL" style="border-width: 1px; border: 1px solid #CCC; margin-bottom: 5px; max-width: 100%;" width="425"> </iframe> <br />
<div style="margin-bottom: 5px;">
<b> <a href="https://www.slideshare.net/damir-p/upravljanje-ranjivostima-u-vremenima-ciljanih-prijetnji-54815755" target="_blank" title="Upravljanje ranjivostima u vremenima ciljanih prijetnji">Upravljanje ranjivostima u vremenima ciljanih prijetnji</a> </b> from <b><a href="https://www.slideshare.net/damir-p" target="_blank">Damir Paladin</a></b><br />
<b></b><br />
<a name='more'></a>Ciljani napadi su kibernetičke prijetnje kojima napadači neprimjetno ostvaruju pristup na unutarnje mreže kompromitacijom krajnjih korisnika informacijskog sustava. U ovim situacijama ni antivirusni sustavi nisu učinkoviti. Upravljanje ranjivostima je u ovom trenutku možda najučinkovitija preventivna mjera.za sprječavanje ciljanih napada, iako naravno nije svemoguća.<br />
<br />
Na prezentaciji su predstavljeni novi momenti u procesu upravljanja računalnim ranjivostima koje donose ciljane prijetnje, te su razmotreni nedostaci u konvencionalnom pristupu upravljanja računalnim ranjivostima koje treba ukloniti kako bi proces postao učinkovit. Značajan problem predstavlja činjenica da u mnogim okruženjima ni bazična praksa upravljanja ranjivostima nije prisutna.</div>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-85055775033868667532015-10-26T11:59:00.001+01:002015-10-26T12:40:00.424+01:00Sudjelovanje u emisiji Hrvatskog radijaU subotu, 24.10.2015. sudjelovao sam u emisiji Hrvatskog radija na temu kriminala i ratovanja u cyber prostoru. U emisiji je sudjelovao i Božo Kovačević, a emisiju je vodio Željko Ivanković.<br />
<br />
U nastavku se nalazi link na kojem možete poslušati ovu emisiju.<br />
<a name='more'></a><br /><a href="http://radio.hrt.hr/aod/kriminal-i-rat-na-internetu/133248/" target="_blank">Hrvatski radio - Treći program: Kriminal i rat na Internetu</a><br />
<h1 class="page-title">
</h1>
Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-23988479538010803082015-10-17T22:44:00.002+02:002015-10-17T22:50:38.169+02:00Agenti u akcijiQualysGuard, "cloud" servis za upravljanje računalnim ranjivostima, nedavno je uveo u rad agente za prikupljanje podataka o računalnim ranjivostima. Ova inovacija predstavlja promjenu paradigme pregleda računalnih ranjivosti. Uobičajeno je da se podaci o računalnim ranjivostima prikupljaju tehnikom mrežnog skeniranja, no agenti će omogućiti znatno dublji pogled u stanje računalnih ranjivosti.<br />
<a name='more'></a><br />
Iako tehnika korištenja agenata predstavlja značajnu inovaciju među rješenjima za upravljanje ranjivostima, uvođenje agenata nas na neki način vraća na izvore ovih sustava kada su agenti bili redovito korišteni. Ipak, zbog kompleksnosti implementacija i upravljanja, agenti su bili napušteni. Arhitektura rješenja QualysGuard znatno olakšava njihov rad i administraciju, pa možemo reći da su se agenti vratili na velika vrata.<br />
<br />
Primjena agenata u upravljanju ranjivostima ima nekoliko jasnih primjena, s vidljivim doprinosima. Agenti će napraviti najbolji posao kod pregleda ranjivosti na radnim stanicama. Naime, tehnika skeniranja nije sasvima učinkovita kod radnih stanica. Skenovi se, naime, uobičajeno provode izvan radnog vremena što je učinkovito kod serverskih platformi, no radne stanica tada uglavnom nisu dostupne, pa rezultata o skenovima uglavnom i nema. Nadalje, ostaje problem prijenosnih računala koji su zbog prirode svoje primjene većim dijelom odspojene od korporativne računalne mreže. Na kraju, agenti omogućuju dubinski pogled u stanje ranjivosti koji nije moguć standardnim skenom već isključivo u autenticiranom skenu, što predstavlja dodatnu razinu kompleksnosti.<br />
<br />
Otkrivanje ranjivosti na "endpoint" platformama predstavlja značajnu komponentu zaštite ove platforme od naprednih prijetnji kojom se značajno reducira područje izloženosti ovim prijetnjama.<br />
<br />
U nastavku možete pogledati video prezentaciju implementacije agenata u rješenju QuqlysGuard:<br />
<br />
<iframe allowfullscreen="" frameborder="0" height="281" mozallowfullscreen="" src="https://player.vimeo.com/video/140103156" webkitallowfullscreen="" width="500"></iframe> <br />
<a href="https://vimeo.com/140103156">Qualys Cloud Agent</a> from <a href="https://vimeo.com/qualys">Qualys, Inc.</a> on <a href="https://vimeo.com/">Vimeo</a>.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-1296702225818704282015-06-18T22:00:00.001+02:002015-10-17T21:58:08.143+02:00Top 30 ranjivosti u ciljanim napadimaAmerički CERT je objavio upozorenje koje sadrži popis 30 najčešćih ranjivosti korištenih u ciljanim napadima. Upozorenje je sastavljeno na temelju sudjelovanja stručnjaka US-CERT-a u brojnim istragama nakon pojave ciljanih napada, pa tako možemo biti sigurni da je ovaj popis rezultat neposrednog iskustva.<br />
<a name='more'></a><br />
<br />
Vjerujem da ste već dobro upoznati o ciljanim napadima na računalne resurse. Ovi napadi su poznati i kao Advanced Persistant Threat napadi ili ih jednostavno nazivamo ciljanim napadima (no, ciljani napadi, bez obzira na svoju uspješnost ne moraju nužno biti jako napredni). Jednom drugom prilikom ću opisati strategiju izvršenja ovih napada, no nema dvojbe da je iskorištavanje računalnih ranjivosti njihov glavni motor. Ništa novo, reći ćete, oduvijek su napadači iskorištavali upravo računalne ranjivosti. Ipak, ovdje se suočavamo sa situacijom u kojoj se napredne/ciljane prijetnje usmjeravaju preko ranjivosti na radnim stanicama u računalnoj mreži žrtve. Napredne/ciljane prijetnje nemaju potrebe probijati firewall, javne dostupne servise ili ranjivosti web aplikacija. Napadi kreću socijalnim inženjeringom na zaposlenike tvrtke prema kojoj je usmjeren napad (uglavnom kroz dobro skrojene phishing poruke) da bi odmah nakon toga uslijedila kompromitacija osobnih računala ovih zaposlenika. O svemu ovome sam u više navrata pisao na ovim stranicama.<br />
<br />
Iz korisnog <a href="https://www.us-cert.gov/ncas/alerts/TA15-119A">upozorenja </a>koje je objavio američki CERT i popisa čestih ranjivosti možemo izvući nekoliko zanimljivih zaključaka.<br />
<br />
Prvi – koji zapravo i nije neočekivan – većina ranjivosti se odnosi na klijentske komponente na osobnim računalima. Dakle, scenarij njihovog iskorištavanja se prirodnim putem nadovezuje na socijalni inženjering.<br />
<br />
Iz popisa možemo vidjeti da većina ranjivosti proizlazi iz ranijih godina – tek šest ranjivosti je iz 2014. (ni jedna iz 2015.) a ostale iz prethodnih godina (uključujući i po jednu ranjivost iz 2006. i 2008.). Dakle, primjerena primjena programskih popravaka definitivno se pokazuje kao jedan od najboljih savjeta za preventivnu obranu od naprednih/ciljanih napada.<br />
<br />
Treći zaključak se implicitno nameće iz prethodnih: tehnika mrežnog scana i otkrivanja – svakako važan korak u otkrivanju nedostataka i primjeni popravaka – mora biti provedena na razini dubinskog skena, ulazeći do razine konfiguracijskih postavke. Takav scan se u pravilu provodi korištenjem privilegiranih prava pristupa (o tome sam pisao na <a href="http://blog.borea.hr/2013/12/vulnerability-assessment-ili.html">ovom mjestu</a>).<br />
<br />
Možemo izvesti zaključak i o prirodi procesa ocjene računalnih ranjivosti i tehnika mrežnog skeniranja: iako se sken izvodi putem mreže, računalna mreža je samo medij prijenosa testnih uzoraka i čitanja rezultat. Sami indikatori o sigurnosnim prijetnjama dolaze iz sadržaja postavki operativnih sustava i korisničkih aplikacija, a ne više iz karaktera TCP/IP zaglavlja ili mrežne aplikativne razine. <br />
<br />
Na kraju, korisnicima sustava QualysGuard predlažem da kreiraju statičku listu s popisom indikatora ranjivosti (signatures) te da naprave ciljani sken svih računalnih resursa, a naročito radnih stanica. Kako bi provjera bila efikasna predlažem izradu statičke liste indikatora ranjivosti koja će obuhvatiti Top 30 ranjivosti. Ova lista može biti korištena ili u fazi pregleda (scana) ili u fazi izvještavanja. Detaljniju uputu možete naći na<a href="https://community.qualys.com/thread/15076"> ovoj stranici</a> QualysGuard Community portala (potreba prijava), a tu navodim listu QID signature-a koje treba uključiti u listu: 110082, 110096, 90570, 100083, 110102, 110132, 90793, 90828, 100134, 90870, 100146, 100180, 121860, 100191, 90979, 120274, 121279, 121381, 116768, 116893, 118486, 119144, 119145, 119768, 120771, 120771, 121176, 12681, 121581, 122742, 42430.<br />
<br />
Također, uzmite u obzir da većina navedenih provjera zahtjeva autenticirani scan.<br />
<br />
Na kraju, budite svjesni da je otklanjanje ranjivosti samo jedna od faza u obrani od naprednih/ciljanih napada. Po svemu sudeći efikasnija od antivirusne zaštite ali to ne znači da ćete nakon toga moći sasvim mirno spavati.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-16345614552287606162015-04-10T21:31:00.000+02:002015-10-17T21:58:25.759+02:00Sudjelovanje na konferenciji DataFocus 2015Prošli tjedan sam sudjelovao na međunarodnoj konferenciji <a href="http://www.insig2.hr/agenda-f22-16">DataFocus 2015</a>, koja se već četvrtu godinu održava u Zagrebu. Tema konferencije je digitalna forenzika, odnosno digitalni dokazi koji predstavljaju jednu od suštinskih komponenti digitalne forenzike. Na konferenciji je sudjelovalo oko 250 polaznika. I ove godine, kao i u prethodni dvije, održao sam prezentaciju iz područja digitalne forenzike. Tema ovogodišnje prezentacije je bila digitalna forenzika i "cloud computing".<br />
<a name='more'></a><br />
<br />
"Cloud computing" unosi novi moment u digitalnu forenziku i savim je izvjesno da će se pristup digitalnoj forenzici, izdvajanje digitalnih dokaza te proces digitalne forenzike svakako promijeniti širenjem "Cloud computing" usluga. Ovdje se ne radi samo o tome da je dostup podacima smještenim u oblaku značajno ograničen, uspoređujući sa klasičnim forenzičkim postupcima preuzimanja podataka s npr. osobnih računala. Tehnologija "cloud" svakako ograničava provedbu principa slijednosti i ponovljivosit dokaza u postupku digitalne forenzike.<br />
<br />
Moja prezentacija je stavila naglasak na akviziciju digitalnih dokaza koji su dostupni na klijentskim računalima, dakle bez pokretanja najčešće prekogranične pravne procedure isporuke podataka prema pružateljima cloud usluga. Akvizicija i analiza podataka na klijentskim računalima svakako ne zadovoljava princip kompletnosti podataka (naravno, nemojte očekivati da će se na klijentskim računalima pronaći svi relevantni podaci), ali može pružiti niz korisnih tragova. Kvaliteta dokaza ovisi naravno o timu i motivu digitalne istrage.<br />
<br />
Izazovi forenzike "cloud aplikacija" otežavaju i provedbu mjere forenzičke pripravnosti. Organizaciji koja želi pripremiti "incident management" proceduru u "cloud" okruženju, preporučujem u fazi ugovaranja usluge definirati sve aspekte ove usluge koje su relevantne za digitalnu forenziku. Ovdje prije svega mislim na osiguranje što je moguće kompletnijih log podataka iz "cloud" servisa. Također, od pružatelja usluga treba dobiti jamstvo o punoj suradnji, tj. pružanju svih bitnih informacija o radu servisa, u slučaju incidenata.<br />
<br />
Forenzika "cloud" aplikacija za sada postoji kao koliko-toliko postavljen okvir, a sadržaj je još uvijek definiran samo djelomično. Do rješenja će se doći kroz kombinaciju tehničkih i proceduralnih mjera, pri čemu bi i jedna i druga komponenta mogle biti kompleksnije klasičnih forenzičkih postupaka.Unknownnoreply@blogger.com0tag:blogger.com,1999:blog-6169417877506698191.post-64032164837310593672015-02-15T23:02:00.001+01:002015-10-17T22:00:44.569+02:00Nestalo najmanje 300 milijuna dolara?New York Times je jučer <a href="http://www.nytimes.com/2015/02/15/world/bank-hackers-steal-millions-via-malware.html?_r=1">objavio </a>vijest o operaciji cyber kriminalaca koja je trajala tijekom 2013. i 2014. godine u velikom broju banaka iz cijelog svijeta, a ponajviše ruskih. Trenutno se govori o 100 banaka u 30 zemalja. Operacija je rezultirala krađom najmanje 300 milijuna dolara, a procjenjuje se da bi šteta mogla biti i tri puta veća. New York Times se poziva na, za sada neobjavljeno, izvješće ruske tvrtke Kaspersky Lab koja je vodila istragu u jednom od registriranih slučajeva. Članak iz NYT približava nam glavne elemente same operacije. Scenarij je sličan svim scenarijima ciljanih napada koji se pojavljuju u zadnjih nekoliko godina, a o kojima smo pisali na ovim stranicama.<br />
<a name='more'></a><br />
Nakon što odaberu banku žrtvu, kriminalci šalju dobro iskrojene mail poruke izabranoj grupi zaposlenika. Poruka, naravno, sadržava malware – treba li reći da antivirusni sustav ne reagira? – a na računalo žrtve se instalira program koji predstavlja uporište za glavnu fazu napada. Prema dostupnim informacijama, instalira se maliciozni program naziva Carbanak. Preko ovakvog uporišta, u sljedećem se koraku na računala se instalira ključni program iz tzv. RAT kategorije (Remote Access Tool) koji potom bilježi podatke unesene tipkovnicom i snimke ekrana koje kompromitirana osoba koristi. Sve se naravno dešava unutar privatne mreže napadnute banke. Napadači ovime pribavljaju detaljnu informaciju o aplikacijama banke i načinu njihovog korištenja. To znači da, ako su npr. kompromitirali djelatnika koji radi u odjelu platnog prometa, napadači upoznaju rad samih aplikacija, pribavljaju potrebne zaporke i, nakon svega, u stanju su ponoviti cijeli proces. To su, kako nam govori NYT, zaista učinili i kroz niz prijevarnih transakcija izvukli oko 300 milijuna dolara – dio su usmjerili na lažne račune i izvukli uobičajenim tehnikama, a u nekim su slučajevima čak kompromitirali i sustav bankomata te novac povukli na ulici. Zabilježeno je da je dio prijevarnih transakcija čak prenesen putem Swift mreže.<br />
<br />
Za poznavatelje prilika u kibernetičkoj sigurnosti ovaj slučaj ne bi trebao biti iznenađenje. Ne bi nas trebalo iznenaditi što su se banke našle na nišanu, a još manje to da je korištena tehnika naprednih ciljanih napada. Nedavno sam u nekim razgovorima najavljivao da bi sustav plaćanja u bankama mogao postati sljedeća žrtva kibernetičkog kriminala. Zadatak je naravno teži nego kompromitacija Internet bankarstva u manjoj tvrtki (čega smo imali i kod nas), no plijen je znatno bogatiji. <br />
<br />
Mene iznenađuje da je napad ostao nezapažen u dugom vremenskom razdoblju, ali možda ipak treba pričekati detaljan izvještaj kako bi upoznali cijeli kontekst napada. Detaljan izvještaj koji će, nadam se, Kaspersky Lab uskoro objaviti moglo bi biti veoma traženo štivo.Unknownnoreply@blogger.com1tag:blogger.com,1999:blog-6169417877506698191.post-68719427828207679962015-02-10T21:57:00.000+01:002015-10-17T21:59:01.373+02:00Zbog čega su male/srednje tvrtke atraktivne cyber napadačima?Nedavni <a href="http://www.csoonline.com/article/2866911/cyber-attacks-espionage/why-criminals-pick-on-small-business.html?phint=newt%3Dcomputerworld_dailynews&phint=idg_eid%3D8bcc1c762069177bcebba97f44ad3f88#tk.CTWNLE_nlt_pm_2015-01-12&siteid=&phint=tpcs%3D&phint=idg_eid%3D8bcc1c762069177bcebba97f44ad3f88"><span id="goog_1365035532"></span>članak </a>objavljen<span id="goog_1365035533"></span> na portalu <a href="http://www.csoonline.com/">CSOonline </a>bavi se kibernetičkim napadima na tržišni segment malih i srednjih tvrtki. Suprotno uobičajenoj percepciji, kibernetički napadi nisu rezervirani samo na velike multinacionalne tvrtke, financijske institucije ili sektor vladinih agencija. Napadači imaju niz motiva za usmjeravanje svojeg oružja na male i srednje tvrtke, a radi se o kombinaciji lakih meta i bogatog ulova što ih očekuje u malim tvrtkama. <br />
<a name='more'></a><br />
Doista, male i srednje tvrtke u svom poslovanju sve češće akumuliraju atraktivan kapital koji će napadačima svakako opravdati trud, vrijeme i sredstva za realizaciju napada. U isto vrijeme, sredstava koja malim tvrtkama stoje na raspolaganju za informatičke zaštitne mjere su i proporcionalno znatno niža nego kod velikih organizacija/tvrtki što mjere zaštite čini neučinkovitima. <br />
<br />
O ovoj temi sam <a href="http://blog.borea.hr/2014/05/dionici-i-razmjena-informacija-u.html">govorio </a>na prošlogodišnjoj konferenciji MIPRO, a posebno sam se osvrnuo na naše domaću poslovnu okolinu i izgledima takvih napada na segment malih/srednjih tvrtki u našem okruženju, što ću ponoviti i na ovom mjestu. <br />
<br />
Iz dostupnih statističkih podataka zaključujemo da mala/srednja poduzeća pružaju značajan doprinos našem gospodarstvu, a stručnjaci su suglasni u razmišljanju da će (nadamo se) budući i očekivani rast gospodarstva u velikoj mjeri biti utemeljen upravo na ovim tvrtkama. Eventualni kibernetički napadi mogu ostaviti značajne i trajne posljedice ne samo na male/srednje tvrtke nego i na gospodarstvo u cjelini.<br />
<br />
Zbog čega bi napadači mogli biti zainteresirani na male/srednje tvrtke?<br />
<br />
Neposredni motiv leži u činjenici da male/srednje tvrtke, u usporedbi s većim organizacijama, već sada predstavljaju laku metu. Ne idealiziram, naravno, stanje sigurnosti u velim tvrtkama, no sasvim je izvjesno da dugogodišnje investicije u, makar, bazične mjere i sigurnosnu higijenu daju ploda i otežavaju (nažalost, ne i onemogućuju) posao napadačima na velike tvrtke. Stoga, napadači se sve više okreću manjim tvrtkama uzdajući se u manjkavosti njihove zaštite. No, osim lake mete, male/srednje tvrtke postaju i plodonosna meta, bez obzira što se ne radi uvijek „high-tech“ tvrtkama ili o globalnim igračima.<br />
<br />
Analiza motivacije napadača na male/srednje tvrtke je i dobar primjer za jedan česti previd koji se pojavljuju u procesu procjene rizika. Naime, u procjeni rizika se redovito analizira vrijednost informacijske imovine, a u cilju davanja prioriteta kod odlučivanja o sigurnosnim mjerama. No, uglavnom se propušta napraviti inverzna procjena vrijednosti: koliko moja imovina vrijedi potencijalnim napadačima? Postojanje takve informacije znatno će olakšati procjenu izglednosti napada.<br />
<br />
Koje su, dakle, potencijalne vrijednosti atraktivne napadačima na male i srednje tvrtke – ostanimo u domaćem okruženju? <br />
<br />
Možda najznačajniji motiv, a ujedno i najsvježiji, je atraktivnost sustava Internet bankarstva, tj. njegove klijentske komponente. Niz prošlogodišnjih primjera iz naše okoline govori da je upravo Internet bankarstvo prepoznato kao glavni pokretač napada s, ujedno, najvećim posljedicama, Ostavimo sada po strani diskusije o raspodjeli odgovornosti između banaka i klijenta, no klijentske komponente Internet bankarstva su najranjivije točke ovog sustava. Naravno, i drugi sustavi on-line plaćanja i trgovanja su isto tako zanimljiva meta napadača.<br />
<br />
Drugi motiv su podaci o platnim karticama i krađa podataka koje će napadači se kasnije iskoristiti na brojen načine. Kod nas su ovi oblici napada još uvijek ograničeni zato što domaće tvrtke rijetko čuvaju podatke o platnim karticama kod sebe već ih obrađuju specijalizirani servis za obradu internetskog plaćanja, no nemojte zanemariti da će se trendovi mijenjati (ili se već mijenjaju trendovi mijenjaju). Strpljivim prikupljanjem podataka i upoznavanjem tržišta napadači će prepoznati ove promjene i spremno reagirati.<br />
<br />
Atraktivna meta biti će i osobni podaci, ne samo oni vezani za platne kartice. I dalje smatram da je latentna vrijednost OIB-a još neotkrivena, više i ne možemo govoriti o tajnosti ili povjerljivosti OIB-a. OIB može postati ključ do puno vrjednijih osobnih informacija i to bi upravo mogao biti motiv napadača. Ovakvi scenariji su provedivi u nizu djelatnosti – od financijskih, zdravstvenih, osiguravateljskih… Bolje da i ne nabrajamo dalje. <br />
<br />
Jedan od tipičnih ciljeva napadača je intelektualni kapital i poslovne tajne. Već čujem komentare koji govore da naše tvrtke nemaju ovdje što pružiti, no ovi su komentari promašeni. Svaki poslovni sustav koji svoju djelatnost bazira na informacijskim tehnologijama ima barem dio povjerljivih i poslovno značajnih informacija ugrađenih u ovaj sustav. Takvim poslovno osjetljivim informacijama možemo pribrojiti i druge informacije koje su atraktivne npr. medijima ili politički angažiranom dijelu javnosti.<br />
<br />
Značajnim rizicima su izložene i tvrtke koje pružaju eksternalizirane usluge. I to svih profila – od pružanja usluga čišćenja prostora ili servisiranja klima uređaja pa do informatičkih usluga, a posebno u situacijama kada su korisnici njihovih usluga velike tvrtke. Pružatelji usluga su korisne napadačima na nekoliko načina. U nekim slučajevima može iskoristiti njihova fizička ili logička (korištenjem udaljenog pristupa) prisutnost kod značajnijih klijenata kako bi se kompromitirali upravo ovi značajni klijenti. U drugim slučajevima, a vezano za prethodni scenarij krađe informacija, iskorištava se činjenica da pružatelji usluga u svojem informacijskom sustavu imaju značajne informacije koje mogu poslužiti kompromitaciji njihovih klijenata. Ponekad su to lozinke za udaljeni pristup, podaci o informatičkoj infrastrukturi ili vrijedne informacije iz Office dokumenata. <br />
<br />
Na koncu, nemojmo zaboraviti scenarij iskorištavanje malih tvrtki za formiranje i operativni rad botnet infrastrukturu. Napadači mogu, uz niske troškove, realizirati veoma iskoristivu mrežu botnet računala za najrazličitije namjere.<br />
<br />
Vjerujem da sam vam približio način razmišljanja napadača i prikazao argumente koji će ih ohrabriti za napada i na tvrtke manjih proporcija. Naravno, pojam male/srednje tvrtke može se proširiti i na sve državne institucije i agencije srednjih veličina. Napadači će veoma lako naći motivaciju i u ovim slučajevima.<br />
<br />
Iz ovdje opisanih primjera može se vidjeti da nestaju granice unutar kriteriji atraktivnosti napada na male/srednje tvrtke i na velike tvrtke. Obje kategorije žrtava postaju jednako zanimljive, no nažalost, male tvrtke su lakše mete. Unknownnoreply@blogger.com0