Modří proti červeným

Modří, kteří pracují v dozorovém centru, tzv. Security Operations Center (SOC), ke své práci používají Security Information and Event Management (SIEM) nástroj. Ten je schopen agregovat a korelovat data, a následně upozorňovat na události, které stojí za povšimnutí. Může se jednat o reálný incident nebo o planý poplach (tzv. false positive). Útočníci jsou aktivní ve dne v noci, o víkendech i svátcích. Často spoléhají na to, že mimo pracovní dobu pracovníci SOCu reagují omezeně, případně vůbec.

Je to trošku nespravedlivé, jelikož modří jsou vždy o krok pozadu. Červení vymýšlejí nové techniky útoků, využívají zranitelností, na které neexistují záplaty apod. Modří jsou pak ti, kteří kybernetický útok nezachytili, nebo jejich reakce přišla pozdě.

Purple teaming – trénink pro vaše SOC

Trendem posledních let je mít SIEM nástroj a SOC oddělení operující nad ním. Ideálně daný nástroj i vlastnit a vybudovat vlastní SOC centrum operující 24 hodin denně, 7 dní v týdnu. A tím to končí. Nikdo už moc neřeší, jak efektivní celý tento systém je. SIEM nástroje jsou tak často nasazeny do produkce v téměř výchozím nastavení, o integraci dalších produktů ani nemluvě. Slova jako automatizace či orchestrace se téměř bojím vyslovit. V takovém případě nastupují modří do boje proti červeným s výrazným hendikepem. A tady přichází tým fialových – často složený ze zástupců červených i modrých. Fialový tým má za úkol nejen ověřit, zdali jsou modří schopni úkonů, které se od nich očekávají, ale hlavním cílem je zdokonalení bezpečnostních mechanismů společnosti. Tomuto cvičení se logicky v angličtině říká purple teaming – promíchaní červených a modrých.

Ve vašem SOCu byste například chtěli mít možnost reagovat na skenování portů, zablokovat ransomware rozšiřující se v síti nebo zastavit bruteforce slovníkový útok na váš SSH server. Jak by tedy měl purple teaming vypadat?

1. Nejprve je třeba, aby business nadefinoval, co považuje za největší kybernetické hrozby pro danou společnost. Pro elektrárnu to může být DDoS útok na kritickou infrastrukturu, pro banku neoprávněné převody peněz apod.
2. Vybraní zástupci červených a modrých (většinou se jedná o vedoucí pracovníky) by si měli sednout dohromady a nadefinovat testovací scénáře. Příklady takových scénářů může být poslání phishing emailu, připojení zavirovaného laptopu do sítě nebo spuštění powershell skriptu. Testovací scénáře by měly být co nejvíce relevantní pro danou společnost a její prostředí, v potaz se také musí vzít úroveň zabezpečení.
3. Vše je domluveno a červení jdou na návštěvu modrých. Drtivá většina modrých o návštěvě ani testovacích scénářích samozřejmě nic neví. Přichází tým fialových, který bude vše sledovat a zaznamenávat.
4. Červení spouští jeden dohodnutý testovací scénář za druhým a sledují modré při práci. Detekovali něco? Nebo dokonce zablokovali? Fialoví vše pečlivě zapisují.
5. Fialoví prezentují výsledky, vyhodnocují jeden testovací scénář po druhém. Business je v šoku, CISO má důvod k obavám – všichni si byli jisti, že jednotlivé útoky budou zachyceny, případně ihned zastaveny. Proč jsme koupili všechny ty nástroje, když nepřináší kýžený efekt? Těžko vysvětlovat, že samotné nástroje nestačí. Že je potřeba angažovat experty, kteří vědí, co dělají, umí nástroje nastavit tak, jak je pro dané prostředí vhodné, perfektně zvládají regulární výrazy a umí vše uvést do praxe.

Ze své vlastní zkušenosti bohužel vím, že realita je velmi odlišná od toho, co je napsáno na papíře. Často vidím základní techniky útoků bez odezvy SOCu, dokonce nejsou ani dobře zaznamenány v protokolech zabezpečení, tudíž se stávají nedohledatelnými. S výstupem purple teamingu by se mělo důkladně pracovat. Je nutné zejména zanalyzovat existující technologie, jejich fungovaní a možnosti. Nejčastějším kamenem úrazu ovšem bývá lidský faktor a (ne)existující procesy. Stačí si představit, jaké je sedět osm hodin u počítače a analyzovat opakující se incidenty dle pevně nastaveného manuálu (runbook). Lidé mají přirozeně tendenci si věci zlehčovat, a tudíž předepsané kroky občas „zapomenou“. Proto je na místě automatizovat alespoň základní rutinní úkony.

Závěrem bych rád uvedl, že purple teaming považuji za nedílnou součást fungujícího bezpečnostního mechanismu. Měl by se provádět opakovaně a testovací scénáře by se měly průběžně aktualizovat.

Michal Merta Autor článku je bezpečnostní expert a šéf Cyber Fusion Center v Accenture.