Krajobraz zapewniania szeroko rozumianego bezpieczeństwa się zmienia. Nietrudno zauważyć, że w ostatnim czasie dynamika tych zmian nabiera tempa. W ostatnich miesiącach doszło do dwóch dużych wycieków danych, które powinny zainteresować specjalistów z obszaru security.
Tomasz Dacka
Mowa oczywiście o atakach typu ransomware wymierzonych w firmy Naftor oraz ALAB. W związku z tymi incydentami nasuwa się pytanie, ile sił i środków powinniśmy poświęcać na typowo defensywne zadania, a ile na zwinną umiejętność do poruszania się w środowiskach skompromitowanych lub uznanych za skompromitowane. Jak powinien układać się między nimi podział procentowy?
Czym jest odporność?
Wiele już napisano i powiedziano o odporności. Wciąż natomiast odnoszę wrażenie, że nie do końca wiadomo, czym tak naprawdę jest odporność, jakie korzyści zapewnia, a jakie pociąga koszty. Pierwsze, co przychodzi na myśl (w większości znanych mi przypadków), kiedy mowa o odporności, to typowa defensywa. Budujemy mur, wykopujemy fosę, stawiamy straż i nikt nam nic nie zrobi, przetrwamy. Zakładam, że nawet w czasach, gdy rzeczywiście takie aktywności miały miejsce, i tak to do końca nie działało. Obecne struktury organizacyjne są na tyle skomplikowane, że nawet same dla siebie stanowią pewne wyzwanie. Najlepiej widać to chociażby po środkach bezpieczeństwa bazujących na systemach zabezpieczeń elektronicznych. Dość szybko ewoluowaliśmy od ogólnego pojęcia system „cyfrowy” do pojęcia integracji, unifikacji i dalej sztucznej inteligencji opartej na sieciach neuronowych. Ponieważ trudno nam zrozumieć i z zyskiem wykorzystać nowe technologie, to stajemy się narażeni na materializację ryzyk, jakie za sobą owe pociągają. Czy jesteśmy w stanie z ręką na sercu stwierdzić, że nasza sieć bezpieczeństwa nie była, nie jest i zapewne nie będzie skompromitowana i wszystkie przetwarzane w niej dane czy uprawnienia są bezpieczne? Byłbym daleki od takiego optymizmu nawet, jeśli korzystamy z najnowszych wytycznych, protokołów, aktualnych systemów (mury, fosa, wieże). Osobiście staram się nie mylić zbytniej pewności siebie ze świadomością sytuacyjną.
Ostatnie ataki na infrastrukturę teleinformatyczną świadczą o tym, że budowane latami mury w obliczu konfrontacji z nowymi zagrożeniami są dziurawe, a ich pokonanie, z perspektywy atakującego, jest w zupełności wystarczające do odniesienia celu ataku, stanowi tzw. SPOF (Single Point of Failure) rozumiany tutaj jako pojedynczy punkt, którego pokonanie (awaria) skutkuje poważnymi konsekwencjami z perspektywy bezpieczeństwa.
Należy więc odpowiedzieć na pytania, jak się w tym wszystkim odnaleźć i czy warto inwestować środki w defensywę. Odpowiedzi są łatwe i wiążą się z całą filozofią odporności. Celowo pominę, na potrzeby artykułu, kwestię analizy ryzyka czy BIA (Business Impact Analysis, analiza wpływu na biznes, głównie kluczowych procesów dla danej organizacji).
Skupiając się na systemach bezpieczeństwa fizycznego, mając za sobą wykonane wyżej wymienione analizy, możemy dobrać odpowiednie środki, które:
- odstraszą potencjalnego intruza;
- wykryją nieuprawniony dostęp (lub jego próby);
- wydłużą czas potrzebny napastnikowi do przejścia przez zabezpieczenia (dając nam tym samym więcej czasu na reakcję);
- uniemożliwią wykonanie zaplanowanych przez złych aktorów działań (np. dostęp do chronionych aktywów, zniszczenie lub kradzież mienia).
Wszystko to każdy z nas wielokrotnie przerabiał. Naturalną koleją rzeczy nasuwa się kolejne pytanie, co zrobić, kiedy wszystkie wymienione wyżej metody zawiodą. Jak mamy się zachować (w rozumieniu ludzi i obsługiwanych przez nich systemów), kiedy ryzyko zmaterializowało się tu i teraz. Z dużą dozą prawdopodobieństwa wdrożone są standardy, polityki, wytyczne. Tyle papier. Ale w naszej organizacji mamy realny problem, taki jak choćby testowanie oprogramowania na produkcji. Czy tego chcemy, czy nie, musimy uznać, że obecnie pracujemy w środowisku skompromitowanym teleinformatycznie, personalnie i to wcale nie jest takie straszne, jak brzmi w pierwszym czytaniu. Musimy wypracować realne scenariusze i przygotować się na nie najlepiej, jak potrafimy. Trudno zaadresować nawet 90% zagrożeń, lepiej się skupić na tych najbardziej prawdopodobnych, takich jak nagła odmowa świadczenia usługi systemu VMS, nieuprawniony dostęp z wykorzystaniem kart dostępu, ataki socjotechniczne na pracowników firmy oraz współpracujących firm trzecich, zagrożenie wewnętrzne wywołane redukcjami etatów lub awansami/podwyżkami (ktoś niestety w takich przypadkach może poczuć się pominięty).
Im szybciej organizacja będzie w stanie dostosować się do realnych zagrożeń z wysokim ryzykiem, tym bardziej będzie odporna. A jeśli już incydent nastąpi, należy się (jakkolwiek to brzmi) do zaistniałej sytuacji dostosować zamiast z nią uparcie walczyć. A gdy jesteśmy świadomi tego, że nasze zabezpieczenia nie są wystarczające i na co dzień pracujemy w środowiskach narażonych, tym bardziej rozumienie odporności w wyżej wymieniony sposób będzie pożądanym wyjściem. Druga strona medalu może w tym przypadku okazać się równie wymagająca. Odporności organizacyjnej nie zbuduje się tylko działem bezpieczeństwa, jedynie holistyczne podejście do zagadnienia, angażujące kluczowe działy, da nam w tym przypadku wymierne efekty. I tu dochodzimy do sedna tego, kto w danej organizacji odpowiada za jej bezpieczeństwo i od kogo zlecenie koordynacji wszystkich opisanych wyżej działań powinno wyjść.
Odporność, ale na co?
Zostając w tematyce zagrożeń stricte związanych z systemami zabezpieczenia technicznego opartych na sieciach teleinformatycznych, warto zadać sobie pytanie, czy ja jako osoba odpowiedzialna za ten obszar jestem rzeczywiście narażony na tego typu ataki. Jak najbardziej tak, powodów jest wiele np.
- Coraz bardziej wysublimowane rozwiązania z dziedziny cyberbezpieczeństwa przesuwają wagę działań intruzów w kierunku fizycznej infiltracji swoich celów.
- Dane przetwarzane w systemach są cennym źródłem informacji i ułatwiają późniejsze działania (vide punkt pierwszy).
- Łatwy dostęp do tych sieci pozwala złym aktorom np. na próbę uzyskania uprawnień a tym samym ich eskalację, spreparowanie fałszywych nagrań na podstawie tych pozyskanych.
- Testowanie wdrożonych procedur bezpieczeństwa (czy działają i jak są realizowane).
- Poznanie, np. poprzez biały wywiad/OSINT (Open Source Intelligence, pozyskiwanie informacji z ogólnie dostępnych źródeł), nawyków danej organizacji, a co za tym idzie wykorzystanie ich m.in. w postaci ataku socjotechnicznego.
Budowanie odpowiednich mechanizmów wymaga czasu. Najpierw jednak należy poznać celowość oraz korzyści z wdrażanych rozwiązań i koszty z nimi związane. Niezmiennie pozostaje więc pytanie…
…jak to zrobić?
Obawiam się, że formuła artykułu jest niewystarczająca do zgłębienia tematu. Pozostając jednak w obszarze bezpieczeństwa fizycznego/technicznego, możemy aspekt ten podsumować, dzieląc wysiłki ukierunkowane na elementy:
• organizacyjne,
• techniczne,
• ludzkie.
Zakładając, że mamy świadomość tego, gdzie jesteśmy, oraz tego, do czego dążymy, jesteśmy w stanie określić nasze zarówno słabe, jak i mocne strony. Teraz wypadałoby się zabrać za to, w czym jesteśmy najlepsi: zabezpieczenia. Te nie zawsze muszą oznaczać tony sprzętu wiszącego na płotach i ścianach. Ograniczając rozważania do środków elektronicznego zabezpieczenia, możemy zwrócić uwagę na szereg zagadnień, w tym na te trochę mniej oczywiste, takie jak:
Dostawca
W środowisku sprzedażowym jeszcze do niedawna pokutowała strategia bycia ekspertem/doradcą rozwiązań dla klienta końcowego. Taka osoba, w rozumieniu strony, np. producenta/dystrybutora, ma za zadanie poznać wymagania klienta i przedstawić ideę/ofertę. Z perspektywy użytkownika końcowego jest to jednak droga na skróty, często prowadząca na manowce. Dostawca jest absolutnie ważnym elementem układanki, ale jako jeden element, a nie twórca mozaiki zabezpieczenia. Jest narzędziem, a nie solucją.
W związku z tym powinien podlegać szczegółowej analizie m.in.:
- aspektów prawnych;
- potwierdzenia jakości dostarczanych rozwiązań popartych realnymi wdrożeniami na rynku polskim lub bliźniaczym;
- zachowania bezpieczeństwa łańcucha dostaw pod kątem zastosowanych elementów hardware oraz software;
- wdrożenia wbudowanych zabezpieczeń związanych z wymianą uszkodzonego elementu, aktualizacją oprogramowania firmware, możliwości zastosowania certyfikatów czy szyfrowania danych;
- polityki aktualizacji, reagowania na wykryte podatności;
- zgłoszonych wcześniej podatności (ich wagę);
- możliwości migracji do rozwiązań chmurowych lub hybrydowych;
- wsparcia przy implementacji.
Chciałbym dłużej pozostać przy implementacji, mimo że na pierwszy rzut oka sprawa wydaje się jasna. Wielu dostawców na rynku polskim taką usługę wszak posiada, bazując głównie na konfiguracji. Niemniej jednak to użytkownik końcowy określa wymagania, a jak pokazała sprawa związana z protokołem OSDP wykorzystywanym w systemach kontroli dostępu, diabeł tkwi w szczegółach. Drugim przykładem jest „utwardzanie” systemów (hardening, proces polegający na odpowiedniej konfiguracji systemów w celu zminimalizowania potencjalnych wektorów ataku). Warto zatem wiedzieć, czego należy oczekiwać, i wymagania te egzekwować najpierw na etapie podpisywania, a później realizacji umowy.
Fizyczne testy penetracyjne
Z nieskrywanym zawodem przyznaję, że jest to czynnik kontrolny, który jest bardzo często pomijany w programach ochrony (a przynajmniej tam, gdzie nie jest wymagany odgórnie). Rzadko też występuje jako usługa branży ochrony fizycznej. Jakkolwiek trudno sobie wyobrazić, aby agencja ochrony testowała samą siebie, o tyle zlecenie stronie trzeciej takiej usługi wydaje się już bardziej racjonalne. Testy penetracyjne kojarzą się głównie z intencjonalnymi, legalnymi próbami włamań do sieci informatycznych. Dlaczego zatem nie testować zabezpieczeń fizycznych/technicznych w ten sam sposób? Każda szanująca się instytucja zajmująca się profesjonalnymi pentestami obszaru IT ma również w swojej ofercie zakres obejmujący zabezpieczenia fizyczne. Co więcej, jest to traktowane jako niesamowicie ciekawy sposób docierania do celu. Dlaczego zatem branża macierzysta wciąż nie dostrzega tego potencjału?
Testy penetracyjne działom odpowiedzialnym za ochronę:
- pokażą, czy wdrożone środki spełniają swoje zadania;
- zdemaskują niedociągnięcia lub zwyczajne błędy we wdrożonych systemach;
- wskażą te aspekty, które nie zostały uwzględnione przy budowie planów ochrony;
- mogą stanowić kartę przetargową w rozmowach o budżetach.
W przypadku osób odpowiedzialnych za bezpieczeństwo testy penetracyjne:
- wskażą poziom bezpieczeństwa i pomogą porównać go z tym, do jakiego organizacja chce dążyć;
- są źródłem niezależnych informacji;
- potwierdzą zaangażowanie najwyższego kierownictwa;
- są dobrym dowodem w przypadku procesu śledczego lub ubezpieczeniowego;
- są ewidentnym przykładem dojrzałości programów ochrony.
Do fizycznych testów penetracyjnych (podobnie jak ich odpowiednik w IT) należy skrupulatnie się przygotować, ponieważ ich przeprowadzenie może (aczkolwiek nie powinno) wpłynąć na ciągłość działania organizacji. Dlatego najważniejszym etapem jest przygotowanie się do testów, określenie ich celu, zakresu oraz sposobu, w jaki zostaną przeprowadzone. Osoby chętne zgłębienia tematu odsyłam do niedawno wydanego przez organizację ISACA dokumentu Physical Penetration Testing: The Most Overlooked Aspect of Security.
Cykl Deminga
Mówi się, że bezpieczeństwo jest zmienną w czasie. Oznacza to mniej więcej tyle, że cały czas należy je „badać”. Każdy problem, każdy projekt można albo rozwiązać lub solidnie przeprowadzić, albo „odfajkować”. Z pomocą przychodzi metodyka ciągłego ulepszania opracowana przez Williama Edwardsa Deminga, amerykańskiego specjalistę, statystyka pracującego w Japonii. Od jego nazwiska metoda ta nazywana jest cyklem Deminga.
Bardzo sobie ją cenię za prostotę. Cykl Deminga składa się z czterech następujących po sobie etapów:
- Plan (planuj) – każde działanie musi poprzedzać faza planowania, moim zdaniem najważniejsza ze wszystkich etapów.
- Do (zrób) – po etapie planowania należy zacząć wdrażać przyjęte założenia.
- Check (sprawdź) – odbiór prac nie jest etapem końcowym, wdrożone rozwiązanie należy sprawdzić pod kątem przyjętych założeń, zgodności z obowiązującymi regulacjami wewnętrznymi oraz zewnętrznymi.
- Act (popraw) – wszystkie wykryte nieprawidłowości, niedociągnięcia muszą zostać poprawione.
PDCA to cykl, nie ma więc końca, powinien być powtarzalny. System VMS/CCTV zawsze można przecież rozbudować o kolejne punkty kamerowe, wdrożyć analizę zawartości obrazu lub zintegrować z systemem trzecim, generując wartość dodaną dla danego procesu biznesowego. Ciągle pojawiają się coraz to nowe podatności, zagrożenia, które wymagają zaadresowania.
Nauka na błędach…
…najlepiej cudzych, aczkolwiek nie jest to proste. Co zrobić, aby ustrzec się tego, co spotkało innych? Najlepiej przeanalizować swoją sytuację, zgromadzone dane, zebrać informacje, na podstawie których będzie można wyciągnąć wnioski (np. za pomocą analizy ryzyka) i udać się do osób decyzyjnych z gotowymi propozycjami. Organizacja dojrzała w swej odporności doskonale wie, na czym stoi. Nie oznacza to, że nagle zacznie inwestować duże środki w bezpieczeństwo, ale to właśnie bezpieczeństwo powinno te dane osobom decyzyjnym dostarczać (w sposób zwięzły i klarowny). Jeśli inna firma z naszej branży stała się celem ataku, warto skorzystać np. z usług typu CTI (Cyber Threat Intelligence, analiza zagrożeń dotycząca danych aktorów, sektorów, typów ataków), aby znać przyczyny, sposoby i cele tego typu ataków.
Wspomniany wcześniej model PDCA również służy jako tzw. lessons learned, co w wolnym tłumaczeniu można przełożyć na wyciąganie wniosków ze zdarzeń (wcale nie musi to być poważny incydent, nie każda podatność jest wykorzystywana). „Kto nie wyciąga wniosków z przeszłości, skazany jest na jej powtarzanie”.
Inwestycja w przeszłość
Firmy, chcąc nie chcąc, muszą nauczyć się funkcjonować w turbulentnym środowisku z wiedzą, że złośliwa infiltracja ich zasobów jest realnym zagrożeniem, kolejną dobrą praktyką jest budowa takiej architektury, która pozwoli na jak najszybszy powrót do punktu przed atakiem. Można tego dokonać m.in. poprzez:
• redundancję,
• kopie zapasowe.
Oba działania są trudne i kosztowne, ale najważniejsze, aby były efektywne. Muszą mieć cel, odpowiednie procedury oraz być iteracyjnie sprawdzane. Trudno o większy zawód, jeśli rozwiązanie, które miało dać nam swego rodzaju ubezpieczenie, zawiedzie w momencie, kiedy tak bardzo będzie potrzebne.
Obydwa rozwiązania można realizować na różne sposoby. Na pewno nie powinno się przechowywać kopii zapasowych w tym samym miejscu co dane źródłowe. Dobrą praktyką jest szyfrowanie backupu, natomiast musi to być zrobione w przemyślany sposób (najczęściej w koordynacji z zespołami IT).
Trudno jednoznacznie stwierdzić, co należy zrobić, aby być bezpiecznym w obliczu zagrożeń teleinformatycznych. I czy ten stan jest w ogóle realny do osiągnięcia? Ludzie, procedury, wielowarstwowe modele ochrony, kampanie – to wszystko bezwzględnie wpływa na stopień ochrony tu i teraz. Większość tych działań jest natomiast ukierunkowana na budowanie murów, podczas gdy gros zagrożeń może już od jakiegoś czasu dojrzewać wewnątrz organizacji. Można z tym walczyć, można uznać za siłę wyższą i próbować się odnaleźć. Każda organizacja musi sama się zdefiniować, co dla niej oznacza odporność. ⦁
 |
|
Zobacz poprzednie artykuły tego autora:
Higiena bezpiecznej pracy zdalnej
Konwergencja bezpieczeństwa
Zarządzanie projektem – wprowadzenie w tematykę
Zarządzanie projektem – poszczególne etapy
