Technický a lidský rozměr kybernetické obrany

Kontinuita činností organizace (Business Continuity) je strategická a taktická způsobilost organizace být připraven a reagovat na incidenty a narušení činností organizace za účelem pokračování na předem stanovené přijatelné úrovni. Úkolem profesionálů v informační bezpečnosti je pak identifikace rizik (rizikových faktorů), která hrozí kritickým aktivům (informace, HW, zařízení…) a implementace protiopatření, která rizika snižují na potřebnou (akceptovatelnou) míru. To jsou základní poučky, které každý profesionál zná nazpaměť. Problém se ovšem jako vždy skrývá v detailech.

Spoléhání na bezpečnostní technologie

Již mnoho let dochází ve firmách a organizacích k hromadění různých bezpečnostních technologií mnohdy bez vnímání jejich užitečnosti, možnosti pokrytí v rámci protiopatření, vzájemného ovlivňování apod. Přitom bezpečnostní technologie a jejich cyklus od návrhu po údržbu podléhají stejným slabinám a zranitelnostem, jako technologie, které mají chránit. Zkušení útočníci velmi dobře znají slabiny bezpečnostních technologií a dovedou je využít. Bohužel nejen výběr a implementace bezpečnostních technologií je ve velké míře diktován jejich výrobci – diktován je i technocentrický pohled na bezpečnost. Každým rokem vznikají nějaké „zásadní inovace“ v bezpečnostních technologiích, vyžadující neustálé „překopávání“ stávajícího stavu, což ale vnáší do bezpečnostního prostředí inkonzistence a v podstatě nedovoluje přejít od implementace do produkce. Následkem je pak nejen děravé řízení přístupů jako základního protiopatření, ale i nemožnost využít detekčních schopností bezpečnostních technologií k detekci možného útoku.

Dnešní stav kybernetické obrany spoléhá zejména na správné nastavení bezpečnostních technologií a také na jejich automatické možnosti rozpoznat kyberneticky útok. Toto je mnohdy, vzhledem ke komplexitě systémů a rychlosti vývoje v kybernetickém prostoru, chybný předpoklad. V případě, že tato automatizovaná kaskáda selže (a v praxi se ukazuje, že selhává velice často), má netrénovaný IT personál velice omezené možnosti rozpoznání útoku a nedostačující zkušenosti pro adekvátní reakci. Natrénování postupů detekce a následné reakce, vedoucí k odvrácení útoku, je ale na produkčních systémech nemožné.

Podceňování lidského faktoru

Pro zajištění kybernetické bezpečnosti dnes již nestačí spoléhat pouze na implementaci bezpečnostních technologií, standardů, na soulad s předpisy a jinými regulativy (compliance). Jednak se standardy a předpisy týkají většinou pouze známých hrozeb (a navíc hodně pokulhávají za rychlým vývojem v kybernetickém prostoru), zároveň téměř vůbec neberou v potaz připravenost bezpečnostních pracovníků v IT detekovat útoky a správně na ně reagovat. Většinou se omezují na požadavek formálního zvyšování bezpečnostního povědomí – informovanost běžných uživatelů o bezpečném chování. Bezpečnostní pracovníci IT se pak většinou zabývají samotným provozem technologií a nejsou připraveni detekovat kybernetický útok, natož mu pak čelit. Lidský faktor je nesmírně důležitý i u hrozeb netechnického charakteru, jako je například sociální inženýrství.

Prevence je dobrá, reakce je lepší

Dnešní protiopatření bývají většinou preventivní, tedy snaží se zabránit zneužití určité zranitelnosti a tím zabránit možnému dopadu. Obrazně řečeno, bezpečnostní pracovníci se snaží ohradit vícevrstvou bariérou správně nastavených technologií a doufají, že útočník tuto bariéru nepřekoná. Budování takového statického „opevnění“, které nezohledňuje dynamiku informačních a neinformačních aktiv a jejich vzájemné vztahy, je častou chybou. Bohužel, doposud zažité způsoby budování kybernetické obrany proti novodobým útočníkům již nefungují. Preventivní opatření neberou a nejsou schopny brát v potaz některá důležitá fakta, která jsou pro úspěšnou bezpečnost rozhodující.

Jde zejména o neodhalené chyby v architektuře a neznámé hrozby. Je nutné si uvědomit, že kromě známých hrozeb a zranitelností, proti kterým lze implementovat známá protiopatření, existuje neidentifikovatelné množství hrozeb a zranitelností neznámých, proti kterým prevence pomůže jen do určité míry. I u známých zranitelností je obvyklé vyčkat na vydání záplat ze strany výrobce a pak naplánovat jejich implementaci. Pojem „neznámá zranitelnost“ znamená pouze to, že (ještě) není veřejně známá – to ale neznamená, že ji neznají útočníci. Hackeři samozřejmě aktivně vyhledávají slabiny a zranitelnosti a pravidelně je nacházejí – je to jen otázka času. Čas mezi objevením zranitelnosti hackerem a okamžikem, kdy se stane známou na veřejnosti, je útočníkem zpravidla využíván pro její zneužití – kybernetický útok. Mnoho zranitelností je nalezeno právě následkem takového útoku až v průběhu forenzní analýzy. Dalšími zdroji neznámých zranitelností jsou lidské chyby, kterým se nikdy nedá zcela vyhnout. Z toho logicky plyne závěr, že ani při největší opatrnosti a péči nelze spoléhat na to, že naše IT prostředí nemá zranitelnosti.

Reakce na kybernetický útok

Z výše uvedeného vyplývá, že v bezpečnosti se nelze spoléhat pouze na prevenci. Jak tedy řešit případ, kdy útočník naši ochranu prolomí? Je nutné si uvědomit, že moderní kybernetický útok je celým řetězcem událostí, počínaje vyhledáváním informací o oběti, „oťukáváním“ bezpečnostních bariér a zjišťováním zranitelností až po úspěšný průlom. Úspěšný průlom je ale jen jedním z prvních krůčků a v převážné většině případů ještě neznamená žádný dopad na aktiva (zničení, znehodnocení apod.) – je pouze „nohou útočníka ve dveřích“. Útočník se pak snaží dostat z místa, kudy pronikl, k aktivu, což téměř vždy znamená několik dalších kroků (např. laterální pohyb, eskalaci privilegií) před zahájením konečného útoku na aktivum.

V téměř každé fázi útoku lze činnost útočníka detekovat, pokud jsou toho bezpečnostní pracovníci IT schopni. Již v první fázi (vyhledávání informací o oběti) je možná detekce (např. pomocí pastí – tzv. honeypotů). Předpokladem jsou samozřejmě i správně nastavené technologie, ale nejdůležitější jsou schopnosti lidí správně vyhodnotit všechny technické informace, které bezpečnostní technologie poskytují. Dalším krokem je využití schopností bezpečnostních pracovníků zamezit útočníkovi provést další krok směrem k aktivu. Bez takových lidských dovedností jsou detekční schopnosti k ničemu – umožní pouze sledovat pohyb útočníka až do doby, kdy nastane dopad. Jde o schopnost vést dynamickou obranu.

Jak se naučit bránit?

Lidský faktor je při obraně před kybernetickými útoky nejdůležitější: může být nejslabším nebo nejsilnějším článkem bezpečnosti. Neexistuje produkt nebo kombinace produktů, které by dávaly záruku bezpečnosti bez zapojení lidského faktoru. Technologie samotné nemohou poskytnout vysoký stupeň ochrany – pouze trénovaný, zkušený a vysoce motivovaný tým lidí je klíčem ke správnému využití technologií.

Základem jsou samozřejmě kvalifikační a kompetenční předpoklady a zkušenosti týmu bezpečnostních pracovníků IT, administrátorů, vlastníků aktiv, ale i manažerů. Ti všichni musí v případě detekce připravovaného nebo probíhajícího kybernetického útoku vědět, co mají dělat. Konat musí rychle, a proto musí mít definovaný, odzkoušený a zavedený formální nebo neformální proces reakce na incidenty (Incident Response Process). V rámci takového procesu pak probíhají reakce jednotlivých lidí na detekovaný incident.

Pro tým lidí, který se má zabývat odvrácením kybernetického útoku, je nesmírně důležitá osobní zkušenost. Za normálních okolností nemá ani technický bezpečnostní pracovník, ani rozhodovací manažer žádnou zkušenost s tím, jak skutečný kybernetický útok „vypadá“. Jaké jsou projevy útoků na různých bezpečnostních technologiích, co všechno je zapotřebí vzít v potaz, jaké nástroje používat pro zamezení dalšího postupu útočníka. Když se bez potřebných zkušeností poprvé setká s útokem v jeho reálné a ničivé podobě, je pozdě.

Velmi důležitá je v případě probíhajícího kybernetického útoku také komunikace mezi technickým týmem a manažery, kteří jsou zodpovědní za dané aktivum (např. prodejní webový portál firmy). Přimět technický tým, aby v kritické situaci komunikoval srozumitelně s manažerem bez technické orientace není triviální. Jediným způsobem, jak bezpečnostní tým připravit na podobné scénáře, je takový útok zažít v reálném čase, čelit mu a mít možnost vyzkoušet si své reakce na něj. To se týká nejenom týmu „bezpečáků“, ale celé rozhodovací hierarchie, včetně zástupců manažerů. Bez toho, aby člověk takovou situaci zažil, nebude nikdy schopen na ni adekvátně reagovat.

Dobrým příkladem je škola smyku: i to nejlepší auto s nejlepší výbavou se do smyku může dostat. Pro profesionálního řidiče je nutné předem se naučit smyk zvládat, když nastane, a dojet s minimální škodou k cíli. V reálném životě není prostor pro chyby. Nic proto nenahradí skutečný kybernetický trénink, ve kterém chyby neznamenají prohru, ale zkušenost pro budoucí reakce v ostrém provozu. Takto získané dovednosti týmu jsou jedním z nejuniverzálnějších protiopatření ve snižování kybernetických rizik.