Vohun v informacijskem sistemu ali kaj je to lateralno gibanje

Hekerji so se v nekaterih nemških vladnih institucijah neovirano gibali vsaj 1 leto in tako dobili veliko priložnosti za nepooblaščen dostop do kritičnih informacij. O razsežnosti škode lahko le sklepamo, drži pa, da sta zaznava in odziv na varnostne incidente odpovedala. Zakaj organizacije lateralnega gibanja kibernetskih kriminalcev ne uspejo (prej) omejiti in ali je to res tako zahtevno?

Nedavni primer hekerskega napada na nemške vladne institucije mi je dal misliti. V prvi vrsti že zaradi medijske odmevnosti dogodka. Napadena je le bila svetovna velesila s pomembno in aktivno vlogo v boju proti kibernetskemu kriminalu. Z mešanimi občutki sem zato spremljal s strokovnega vidika skromno poročanje varnostnih agencij o verjetnih vektorjih napada, domnevnih storilcih in morebitnih škodnih posledicah odtekanja podatkov. Preveč neznank za končni epilog o varnostnem incidentu.

To lahko pripišem svoji poklicni (de)formaciji, a vendar me je v poročanjih širši javnosti najbolj pritegnil podatek o vztrajnosti napadalcev, ki naj bi pri konkretnem vdoru ostali neopazni skorajda leto dni. Leto dni! Ogromno časovno okno (ang. window of opportunity) priložnosti za neovirano lateralno gibanje v omrežjih vladnih institucij in za izvajanje škodljivih aktivnosti. Čeprav ne poznam vseh okoliščin napada, pa vse kaže na pomanjkanje procesov zaznavanja in odzivanja na varnostne dogodke, ki so v zadnjem letu vendarle morali kar »šumeti, a jim ni nihče prisluhnil«.

Mojim idealom navkljub ta statistika ne odstopa od splošnih statistik, ki v zadnjih letih veljajo v poslovnih okoljih: vsiljivci v povprečju ostajajo neopaženi tudi več kot 100 dni Lateralno gibanje v kontekstu kibernetskega napada pomeni opravljeno pot hekerja, škodljive programske kode ali zlonamerne tehnike do končnega ciljaCilj napadalca je navadno odtujitev občutljivih podatkov, namerna povzročitev poslovne škode ali drugačno okoriščanje na račun žrtve. Pomembno je poudariti, da se usmerjen kibernetski napad navadno ne konča na kompromitiranem računalniku žrtve socialnega inženiringa, okuženem računalniku zaposlenega ali ranljivem in posledično zlorabljenem spletnem strežniku. Omenjeni sistemi so le najbolj enostavna in naravna odskočna deska za nadaljnje »pivotiranje napadalca do končnega cilja.

Stalna pripravljenost je predpogoj

V tem kontekstu je zato za podjetja, ki ste potencialne tarče napadov, bistvena pravočasna zaznava hekerskih poskusov. Nujno je, preprosto povedano, stalno prežanje nad odstopanji znotraj informacijskega sistema, ki nakazujejo potencialno lateralno gibanje v sistemu. Mogoče se bo komu zdelo paranoično, ampak obnašajte se, kot da je napadalec že uspešno zaobšel vaše varnostne kontrole in da ga pravzaprav ves čas lovite. Konkretneje to pomeni identificiranje ter omejevanje površine napada in pravočasno onemogočanje nadaljnjih poskusov lateracije.

Ko (in ne če) pade preventiva, pa postane ključna sposobnoststalne zaznave očitnih zlonamernih tehnik, kot so omrežno poizvedovanje ali skeniranje (ang. reconnaissance) ter poskusi tuneliranj ali vzvratnih povezovanj do nadzornih centrov napadalcev (ang. C&C – Command and Control). Z enako vnemo morate biti pozorni na uspešne ali neuspešne poskuse skrbniških prijav, poskuse eskalacij in drugih zlorab uporabniških pravic ter poskuse tvorjenj perzistentnih procesov v končnih sistemih.

Kako najti iglo v kopici sena?

Omenjene tehnike same po sebi nujno ne sporočajo bistvenih varnostnih odstopanj. Nasprotno, enostavno jih je mogoče zamenjati za redne aktivnosti in ravnanja legitimnih uporabnikov. Varnostni inženirji in skrbniki samostojnih varnostnih sistemov zato le stežka sestavijo celostno sliko varnostnega stanja in morebitnih potencialno nevarnih odstopanj. Med vsemi zadolžitvami – in vse so po pravilu prioritetne – namreč stalnega varnostnega nadzora, forenzične analize in posledično tudi proaktivnega odziva ne (z)morejo zagotavljati.
Zakaj je tako, če pa imamo vsi polna usta kibernetske varnosti in vsak dan beremo o incidentih v organizacijah vseh velikosti?Zato, ker varnostni strokovnjaki nimajo časa za proaktivno »branjenje« pred hekerji. Ker z ekipo (velikokrat pa so v » ekipi « celo sami) gasijo druge akutne probleme uporabnikov. Ali pa so sredi izvajanja nujnih sprememb v konfiguracijah varnostnih gradnikov informacijskega sistema. Ali pa so aktivno udeleženi tudi v ostalih povezanih pobudah, kot so sestanki projektnih skupin, odgovornih za skladnost z uredbo GDPR (angl. General Data Protection Regulation). Prav omenjena regulativa ima v številnih slovenskih podjetjih vsaj tja do poletja absolutno prioriteto pred ostalimi operativnimi aktivnostmi. Naj na tem mestu izrazim le spoštovanje in priznanje svojim stanovskim kolegom, ki uspejo ob vseh obremenitvah kvaliteten čas nameniti še pregledu najbolj osnovnih in dnevnih varnostnih dogodkov.

Primer dobre prakse: specializirana ekipa

Hkrati želim z vami deliti izkušnjo in tudi širše ozavestiti, da je poskuse lateralnega gibanja vendar mogoče povsem učinkovito in pravočasno zajeziti. V naši ekipi varnostno operativnega centra (SOC) se na poskuse lateralnega gibanja vsiljivcev pripravljamo vnaprej, to je s stalnim modeliranjem realnih vektorjev groženj in simulacij aktualnih škodljivih tehnik. Sam trdim, da je ta proces lahko učinkovit le zaradi nenehnega cikla izboljševanja in prilagajanja novim grožnjam, v katerem ima ključno vlogo varnostni analitik. Z ustaljenimi požarnimi vajami v obliki t.i. »red/blue teaming« preizkusov testiramo na eni strani poznavanje najaktualnejših hekerskih tehnik ter – kar je pomembneje – na drugi strani merljivo sposobnost našega SOC-a za pravočasno zaznavo in odziv na najbolj kompleksne varnostne incidente. Pozitivna tekmovalnost analitikov in njihova naravnanost k izboljšavam nam pomagata, da smo na dejanske poskuse lateracij vsiljivcev pripravljeni, predvsem pa, da se jih pravočasno zavemo.

Prav slednje sem pogrešil v primeru »aktualnega« napada na nemško trdnjavo. Aktualnega – ker morda pa še traja?