Može li tradicionalni model upravljanja sigurnošću informacijskog sustava uspješno odgovoriti na cyber prijetnje?
Postojeći model upravljanja sigurnošću informacijskog sustava inicijalno je zacrtan prije dvadesetak godina i temelji se na standardu BS7799, koji nešto kasnije preimenovanog u ISO 27001. Ovaj standard na cjelovit način definira sva ključna područja informacijske sigurnosti, uvodi procjenu rizika kao neophodan kriterij za donošenje odluka o provedbi sigurnosnih mjera i postavlja temelje upravljanja ovim sustavom. Standard je blizak nekim drugim okvirima (prije svega mislim na COBIT), a iz njih su proizašle i brojne dobre prakse te regulatorni okviri.
Zašto bi sada ovako dobro postavljen model upravljanja informacijskom sigurnošću postao odjednom manjkav? Može li se uopće nositi s cyber prijetnjama?
U vrijeme uspostave tradicionalnog modela upravljanja informacijskom sigurnošću, u informacijskim sustavima su dominirale prijetnje koje su proizlazile iz tehničkih i prirodnih nepogoda, ponajviše ugrožavajući dostupnost informacijskih servisa. Rizičnost ljudskog faktora sagledavao se kroz greške u radu, nepažnju i slučajne nezgode. Stoga su odjeli informacijske sigurnosti bili primarno fokusirani na strateška pitanja, te na proceduralne radnje vezane za prethodno nabrojene rizike.
Rizici malicioznog ljudskog djelovanja smatrali su se dobro kontroliranima. S obzirom na ograničen arsenal koji je u to vrijeme bio napadačima na raspolaganju, „firewall“ sustavi i antivirusni programi pružali su zadovoljavajuću zaštitu, a nadležnost za ove mjere su najčešće bile rutinski delegirane odjelima IT operative, dakle izvan nadležnosti odjela informacijske sigurnosti.
Pojavom cyber prijetnje (vremenski ih možemo smjestiti unutar zadnjih pet do šest godina ili čak nešto ranije), arsenal s kojim raspolažu maliciozni napadači postaje puno kompleksniji, scenariji napada sofisticirani, a realizacija izuzetno inventivna. Novi perimetar se preselio s oboda prema unutarnjem dijelu privatne mreže, na osobna računala, „browser-e“ i druge svakodnevno korištene programe, pa standardna zaštita pomoću „firewall-ova“ više nije dovoljna. Također, jedna od odlika cyber prijetnju je uspješno prikrivanje i izbjegavanje detekcije antivirusnim programima, a tržište nam za sada nije ponudio univerzalno zamjensko rješenje za ovaj problem.
Zaštita od cyber prijetnji mora se temeljiti se na dobrom poznavanju stanja informacijske imovine koju štitimo i zatrpavanju svih poroznih točaka, na sposobnosti prepoznavanja svih elemenata specifičnih cyber napada, uspostavi učinkovitog nadzora sustava i detekcije indikatora naprednih prijetnji, te na uvježbanom odgovoru kada i ako se dođe do sigurnosnog proboja.
Ovo su zadaci koji značajno nadilaze nadležnosti kompetencije IT operative. Očigledno, loptica se vraća natrag na stranu odjela za informacijsku sigurnost.
Dakle, kad zazivam o promjenu modela upravljanja informacijskom sigurnošću, ja govorim o potrebi da CISO nadraste ulogu funkcije koja propisuje strateške smjernice i ispunjava zadatke predviđene „compliance“ križaljkom, te na potrebu njegovog prihvaćanja obaveze neposrednog suočavanja s cyber prijetnjama. CISO mora preuzeti sponzorstvo nad procesom za detekciju i ograničavanje cyber prijetnji, te nad procesima za preventivnu redukciju ranjivosti koje otvaraju vrata ovim napadima.
Treba reći da tradicionalni okviri informacijske sigurnosti predviđaju mjere nadzora i detekcije prijetnji, ali ne na način koji je dorastao cyber prijetnjama. Ja ne inzistiram na donošenju novih standarda i regulatornih okvira. Dapače, to može oduzeti dosta vremena i ponovo nas uvući u kolo ispunjavanja „compliance“ obaveza, koje, poznato nam je od ranije, ne znače nužno i veću sigurnost. Smatram da se dobre smjernice mogu naći i u okviru postojećih inicijativa (npr. vidi MITRE ATT@CK), a izuzetno je važno da CISO krene razmišljati izvan okvira. I bude svjestan novog modela upravljanja informacijskom sigurnošću.
U protivnom, CISO bi se vrlo brzo mogao suočiti s posljedicom da sva odgovornost za proboj cyber napada padne na njegova leđa.
10.4.19
Prezentacije u travnju
Ovaj mjesec sudjelujem u radu dviju stručnih konferencija u Hrvatskoj, gdje ću i održati prezentacije.
Od 11. do 13.4.2019. sudjelujem na konferencije Hrvatskog instituta internih revizora u Lovranu. Tamo ću 12.4. održati prezentaciju "Kako nam analitički alati mogu pomoći u otkrivanju i sprečavanju prijevara?". Govoriti ću o analitičkim tehnikama koje se koriste u detekciji fraud-a, a prezentaciju ću ilustrirati primjerima korištenja alata CaseWare IDEA u takvim scenarijima.
Više o samoj konferenciji možete doznati na službenoj stranici.
U utorak, 30.4.2019. sudjelujem u radu konferencije DataFocus 2019, koju organizira tvrtka INSig2. Ova, sada već tradicionalna konferencija, bavi se računalnom forenzikom. Naslov moje prezentacije je "Forenzička analiza cyber incidenata", a govoriti ću o metodologiji forenzičke istrage cyber/kibernetičkih incidenata, s osobitim naglaskom na napredne tehnike napada.
Više o samoj konferenciji možete doznati na stranici tvrtke INSig2.
Pozivam sve one koji još imaju otvorene termine u kalendaru neka se pridruže ovim konferencijama. Također, sudionici prezentacija se mogu javiti i nakon vremenskog okvira predviđenog za prezentaciju kako bi nastavili diskusiju o otvorenim temama. Oni koji nisu u mogućnosti sudjelovati na ovim konferencijama mogu zatražiti materijal mailom.
Radujem se našem susretu.
Od 11. do 13.4.2019. sudjelujem na konferencije Hrvatskog instituta internih revizora u Lovranu. Tamo ću 12.4. održati prezentaciju "Kako nam analitički alati mogu pomoći u otkrivanju i sprečavanju prijevara?". Govoriti ću o analitičkim tehnikama koje se koriste u detekciji fraud-a, a prezentaciju ću ilustrirati primjerima korištenja alata CaseWare IDEA u takvim scenarijima.
Više o samoj konferenciji možete doznati na službenoj stranici.
Više o samoj konferenciji možete doznati na stranici tvrtke INSig2.
Pozivam sve one koji još imaju otvorene termine u kalendaru neka se pridruže ovim konferencijama. Također, sudionici prezentacija se mogu javiti i nakon vremenskog okvira predviđenog za prezentaciju kako bi nastavili diskusiju o otvorenim temama. Oni koji nisu u mogućnosti sudjelovati na ovim konferencijama mogu zatražiti materijal mailom.
Radujem se našem susretu.
25.1.19
Digitalna transformacija procesa upravljanja ranjivostima
Upravljanje ranjivostima je u povijesnoj perspektivi (ako
razdoblje od dvadesetak godina možemo nazvati poviješću) bilo ograničeno na
postupak mrežnog skeniranja, s mogućnošću otkrivanja ranjivosti uglavnom do
razine mrežnih servisa. Iako se skeniranje može provesti i putem autenticiranog
kanala i time otkriti puno više ranjivosti (pogledajte raniji tekst), takva se tehnika provodi razmjerno rijetko.
Stoga, ranjivosti se otkrivaju tek na površini računalnih resursa, eventualno, nakon
laganog grebanja, tek malo ispod površine. Neotkrivene ostaju brojne neugodne
sigurnosne rupe. Niti se o njima puno znalo, a još maje pričalo.
Napadači su do pojave naprednih prijetnji koristili iste
tehnike za kompromitaciju sustava, dakle tek one površinski vidljive
ranjivosti. No, priča se temeljito mijenja s pojavama naprednih računalnih
prijetnji. U novoj konstelaciji sukoba, žrtve idu napadačima a ne više napadači
na računala žrtve. Privlačne ali lažne mail poruke, zavodljivi Internet
servisi, malo neopreznije surfanje – jako malo je potrebno za preuzimanje
malicioznog implantata…
Napadači znaju da se sada moraju jače potruditi, nema više
lakih meta. No, potencijalni dobitak nije zanemariv, mogućnosti za daljnju
propagaciju su postaju gotovo neograničene. Osim toga, ekonomski model
kibernetičkog kriminala je izuzetno održiv, dodatno pojačan činjenicom da se
žrtve moraju puno više potruditi kako bi zatvorili sve rupe.
Ovakva promjena napadačke doktrine bila je znak da se mora
promijeniti i doktrina ojačanja sustava, pa je tako to bio i signal za promjenu
paradigme upravljanje računalnim ranjivostima kakvu smo poznavali godinama.
Umjesto periodičkog ali nisko frekventnog mrežnog skeniranja i tek rutinskog
izvještavanja, nastupilo je vrijeme za kontinuiranu (ili barem visokofrekventnu)
provjeru prisutnosti propusta, ali ne više samo onih površinskih. Umjesto
rutinskog izvještavanja i neučinkovitog "patchiranja", sada se nalazi
moraju rangirati prema realnim prijetnjama koje proizlaze iz utvrđenih
nedostataka. Umjesto kompleksnog procesa totalnog "patchiranja" za
koji smo nalazili sto razloga za odgađanje, sada se bez izuzetka moramo, ali i
možemo, fokusirati barem na one ključne ranjivosti, čije nam povezane prijetnje
kucaju na vrata.
Upravo je ovo tehnološki okvir unutar kojeg je Qualys prošle
godine uveo značajne inovacije u servisu za upravljanje ranjivostima
QualysGuard. Korištenje agenata za prikupljanje ranjivosti, uvedenih nekoliko
godina ranije (o čemu sam pisao ovdje), a naglasak
se sada daje na kvalitetnoj obradi i prezentaciji bogatih informacija koje su
agenti u stanju prikupiti, te na pružanju informacija koje omogućuju operativno
djelovanje. Upravljanje ranjivostima sada mora uključivati indikatore iz „cloud“
infrastrukture i kontejnerskih entiteta, a rezultati moraju biti primjenjivi
kako u upravljanju rizicima tako i u DevOps
procedure… Ove godine očekujte digitalnu
transformaciju procesa upravljanja ranjivostima.
11.1.19
Doxxing
Pojam „doxxing“ (ili „doxing“, ako to smatrate ispravnijim pojmom) je u prvim danima ove godine bio nadprosječno prisutan u medijima svih vrsta. Neposredni povod je informacija o objavi osobnih podataka njemačkih političara i drugih javnih osoba putem Twittera. Tako smo doznali da su objavljene informacije Angele Merkel, njemačkih parlamentaraca i nekih osoba izvan svijeta politike.
Takav događaj se u žargonu novih medija naziva „doxxing“. „Doxxing“ je naziv za javnu objavu osobnih podataka neke osobe bez pristanka same osobe a u cilju stvaranja neugodne situacije za žrtvu. Objavljuju se brojevi telefona ili kućne adrese, što implicira neposredni pritisak prema žrtvi, objavljuju se neugodne fotografije, pisma ili dokumenti, financijski podaci... Iako se „doxxing“ povezuje s hakiranjem, podrazumijevajući da se u posjed ovim informacijama može doći tek nakon uspješnog hakerskog napada, hakeri u scenarijima „doxxing-a“ nisu nužni. „Doxxing“ može obuhvatiti objavu informacija do kojih se dolazi strpljivim kopanjem po dostupnim izvorima podataka, često i onim klasičnim, ne-digitalnim. Moramo biti svjesni da ostavljamo jako puno tragova, treba se samo sagnuti i pažljivo prikupiti ih.
Ako pak govorimo o hakerskom porijeklu informacija, ponekad se radi tek o pogađanju jednostavno postavljenih zaporki za cloud mail servise, a najčešće lukavo skrojenom ciljanom „phishing“ napadu kroz koji će žrtva neoprezno otkriti zaporku za pristup mail servisu. Za tako nešto, danas više ne treba previše truda niti ekspertize. A kad se dođe do pretinaca elektroničke pošte, svašta se može pronaći. Važno je reći da objava podataka o jednoj osobi ne znači nužno da je kompromitiran mail račun sam žrtve. Ponekad je dovoljno kompromitirati mail tajnika/tajnice uglednog političara ili bliskih prijatelja nekog celebrity-a. Tamo se onda mogu naći zahvalne informacije, od adresa, brojeva telefona pa do osjetljivih fotografija. Omiljena forma „doxxinga“ je objava stvarnog identiteta neke osobe koja na društvenim mrežama koristi anonimni profil.
Jako je puno primjera „doxxing-a“, a objava podataka njemačkih političara je tek zadnji u nizu. Prisjetimo se nekih ranijih. U političkom svijetu smo imali objavu elektroničke pošte Hillary Clinton, bivšeg direktora CIA-e, „doxxing“ javnih osoba čiji su stavovi suprotni jednom od „mi ili oni“ grupacija… U show business svijetu su ovi slučajevi još češći: Ashton Kutcher, Paris Hilton, Jay-Z , Britney Spears, Beyonce, Kim Kardashian, Scarlett Johansson… Popis je veoma dug.
Žrtve „doxxing-a" mogu biti i organizacije ili tvrtke. Sjetimo se slučajeva Sony, Hacking Team, pa čak i NSA u slučaju Edwarda Snowden-a.
Očigledno, glavni motivi osoba koje stoje iza „doxxing“ akcije su osveta, poniženje, politički ili svjetonazorski obračun… Ponekad je „doxxing“ i sredstvo ucjene. Naravno, kao i druge navodne istine koje se objavljuju na društvenim mrežama, tako i „doxxing“ može sadržavati potpuno lažnu informaciju koja će žrtvi dodatno naškoditi, a da zapravo i ne postoje mehanizmi učinkovitog ispravka ove informacije.
Podataka o svima nama je sve više pa možemo očekivati porast doxxing napada ali i njihovu sve maštovitiju upotrebu. No, kako se zaštiti od „doxxing“ napada? Ako govorimo o osobnim podacima pojedinaca, najizloženija točka je servis elektroničke pošte pa se dosta visoka razina zaštite može postići korištenjem dvo-faktorske autentikacije ili barem dovoljno jake zaporke. Naravno, i sve uobičajene mjere osnovne higijene računala i mobitela su neophodne. Svakako treba reducirati broj osobnih podataka koje svjesno ostavljate u Internet prostoru.
Ipak, kao i za druge oblike računalnih zloupotreba ili kibernetičkog kriminala, na snazi je pravilo da je lakše izvesti napade nego obraniti se od njih.
Takav događaj se u žargonu novih medija naziva „doxxing“. „Doxxing“ je naziv za javnu objavu osobnih podataka neke osobe bez pristanka same osobe a u cilju stvaranja neugodne situacije za žrtvu. Objavljuju se brojevi telefona ili kućne adrese, što implicira neposredni pritisak prema žrtvi, objavljuju se neugodne fotografije, pisma ili dokumenti, financijski podaci... Iako se „doxxing“ povezuje s hakiranjem, podrazumijevajući da se u posjed ovim informacijama može doći tek nakon uspješnog hakerskog napada, hakeri u scenarijima „doxxing-a“ nisu nužni. „Doxxing“ može obuhvatiti objavu informacija do kojih se dolazi strpljivim kopanjem po dostupnim izvorima podataka, često i onim klasičnim, ne-digitalnim. Moramo biti svjesni da ostavljamo jako puno tragova, treba se samo sagnuti i pažljivo prikupiti ih.
Ako pak govorimo o hakerskom porijeklu informacija, ponekad se radi tek o pogađanju jednostavno postavljenih zaporki za cloud mail servise, a najčešće lukavo skrojenom ciljanom „phishing“ napadu kroz koji će žrtva neoprezno otkriti zaporku za pristup mail servisu. Za tako nešto, danas više ne treba previše truda niti ekspertize. A kad se dođe do pretinaca elektroničke pošte, svašta se može pronaći. Važno je reći da objava podataka o jednoj osobi ne znači nužno da je kompromitiran mail račun sam žrtve. Ponekad je dovoljno kompromitirati mail tajnika/tajnice uglednog političara ili bliskih prijatelja nekog celebrity-a. Tamo se onda mogu naći zahvalne informacije, od adresa, brojeva telefona pa do osjetljivih fotografija. Omiljena forma „doxxinga“ je objava stvarnog identiteta neke osobe koja na društvenim mrežama koristi anonimni profil.
Jako je puno primjera „doxxing-a“, a objava podataka njemačkih političara je tek zadnji u nizu. Prisjetimo se nekih ranijih. U političkom svijetu smo imali objavu elektroničke pošte Hillary Clinton, bivšeg direktora CIA-e, „doxxing“ javnih osoba čiji su stavovi suprotni jednom od „mi ili oni“ grupacija… U show business svijetu su ovi slučajevi još češći: Ashton Kutcher, Paris Hilton, Jay-Z , Britney Spears, Beyonce, Kim Kardashian, Scarlett Johansson… Popis je veoma dug.
Žrtve „doxxing-a" mogu biti i organizacije ili tvrtke. Sjetimo se slučajeva Sony, Hacking Team, pa čak i NSA u slučaju Edwarda Snowden-a.
Očigledno, glavni motivi osoba koje stoje iza „doxxing“ akcije su osveta, poniženje, politički ili svjetonazorski obračun… Ponekad je „doxxing“ i sredstvo ucjene. Naravno, kao i druge navodne istine koje se objavljuju na društvenim mrežama, tako i „doxxing“ može sadržavati potpuno lažnu informaciju koja će žrtvi dodatno naškoditi, a da zapravo i ne postoje mehanizmi učinkovitog ispravka ove informacije.
Podataka o svima nama je sve više pa možemo očekivati porast doxxing napada ali i njihovu sve maštovitiju upotrebu. No, kako se zaštiti od „doxxing“ napada? Ako govorimo o osobnim podacima pojedinaca, najizloženija točka je servis elektroničke pošte pa se dosta visoka razina zaštite može postići korištenjem dvo-faktorske autentikacije ili barem dovoljno jake zaporke. Naravno, i sve uobičajene mjere osnovne higijene računala i mobitela su neophodne. Svakako treba reducirati broj osobnih podataka koje svjesno ostavljate u Internet prostoru.
Ipak, kao i za druge oblike računalnih zloupotreba ili kibernetičkog kriminala, na snazi je pravilo da je lakše izvesti napade nego obraniti se od njih.
25.2.18
Izvješće o stanju računalnih ranjivosti
Tvrtka Risk Based Security je prije prije desetak dana objavila zanimljivo istraživanje o stanju računalnih ranjivosti u 2017. godini. Spomenuta tvrtka održava bazu podataka o računalnim ranjivostima VulnDB (komercijalna verzija nekad slobodno dostupne OSVDB baze podataka o računalnim ranjivostima). Preporučujemo pročitati izvješće, a ovdje ću izdvojiti nekoliko indikativnih podataka o još uvijek podcijenjenoj komponenti informacijskih rizika.
Ipak, zaključit ću u pozitivnom tonu: računalne ranjivosti su izuzetno značajna komponenta ukupnih informacijskih rizika, no, srećom, jedina kojom možemo koliko-toliko upravljati.
- Prvi podatak - u 2017. godini je formalno evidentirano 20.832 ranjivosti, što je porast od 31% u odnosu na 2016. godinu - čak i ne smatram ključnim. Na taj broj su mogli utjecati i neki drugi faktori osim pada kvalitete softverskih proizvoda - od unaprjeđenja prakse traganja za računalnim ranjivostima, proširenja platformi obuhvaćene istraživanjem ranjivosti, promjena prakse prijave ranjivosti... Zanimljive su, zapravo, druge informacije o svojstvima samih ranjivosti.
- Što se tiče ocjena ranjivosti prema CVSSv2 standardu ocjenjivanja, zadržana je raspodjela koja je zacrtana i u ranijim godinama: oko 40% ranjivosti ima CVSS ocjene 7 ili više, a gotovo 20% ocjene 9 ili 10 (točnije, 17,2% u 2017.).
- Analizirajući podatke o scenarijima iskorištavanja ("exploit"), izvješće pokazuje da za 39,5% ranjivosti postoje "exploit" scenariji, a za 6.569 ranjivosti postoje javno objavljeni "exploit" scenariji. Preostali scenariji su prisutni u komercijalnim paketima ili za njih postoji dovoljna količina informacija za uspješno iskorištavanje u praksi. Za širu sliku, treba uzeti u obzir da se u svakoj tekućoj godini pojavljuju "exploit" scenariji za ranjivosti iz prethodnih godina koji nisu obuhvaćeni ovim brojkama.
- Osobito je zanimljiv podatak o vektoru iskorištavanja određenog "exploit-a", tj. točke s koje napadač pokreće scenarij napada. Gotovo pola utvrđenih ranjivosti (točnije 49,9%) može biti pokrenuto s udaljenih lokacija odnosno preko mreže, što se smatra najkritičnijim vektorom napada. Ako ovom broju pribrojimo oko 7.000 ranjivosti čije iskorištavanje ovisi o lokalnom kontekstu, dolazimo do preko 17.000 ranjivosti koji se sasvim sigurno ili prilično izvjesno mogu iskoristiti mrežnim putem, što za napadača predstavlja ležerniju i poticajniju priliku za ostvarivanje ciljeva.
- Za 23,2% ranjivosti iz 2017. godine nije bilo odgovarajućih popravaka (programskih zakrpi ili softverskih nadogradnji). Ako uzmemo u obzir uobičajeno neučinkovit proces primjene ovih popravaka onda možemo zaključiti da značajni opseg resursa ostaje ranjiv.
- Nedovoljna, neispravna ili čak nepostojeća kontrola aplikativnih ulaznih vrijednosti predstavlja uzrok za 66,7% ranjivosti. Ova činjenica govori o nekvalitetno provedenom procesu razvoja i testiranja aplikacija i potvrđuje nam da je upravo ovo područje ključ za ograničavanje računalnih ranjivosti.
- Sigurnosni softver sudjeluje s gotovo 1000 ranjivosti u ukupnom broju ranjivosti u 2017. godini, a dodatnu ozbiljnost ovoj činjenici daje i podatak da je proizvođačima trebalo prosječno 195 dana za otklanjanje ovih nedostataka.
- Među zanimljivim podacima iz prošlogodišnjeg izvješća možemo istaknuti one o ranjivostima u SCADA sustavima i programima vezanim za kriptovalute. U SCADA sustavima (računalnim sustavima kojima se kontrolira kritična infrastruktura - od nadzora industrijske infrastrukture, proizvodnje i distribucije energetskih resursa pa do upravljanja industrijskim procesima) izbrojeno je 692 ranjivosti - broj koji izgleda nizak u odnosu na ukupan broj ranjivosti ali nikako nije zanemariv s obzirom na značaj ili s obzirom da je dvije trećine nalaza visoke kritičnosti (CVSSv2 ocjena 7 ili više). Što se tiče kriptovaluta, imamo, za sada, simbolički broj od 60 ranjivosti no koji ukazuje na prisutnost slabih točaka u ovoj tehnologiji koja je u 2017. doživjela značajnu afirmaciju.
Ipak, zaključit ću u pozitivnom tonu: računalne ranjivosti su izuzetno značajna komponenta ukupnih informacijskih rizika, no, srećom, jedina kojom možemo koliko-toliko upravljati.
Pretplati se na:
Postovi (Atom)