„Plačiąja prasme įsilaužimo simuliacijos metu daroma tai, ką darytų į įmonės sistemą norintis įsilaužti nusikaltėlis, tik kontroliuojamoje aplinkoje. Taip išbandoma, ar saugumo sistema veikia, ar su iššūkiais susitvarko IT specialistai, nustatomi trūkumai ir pateikiami pasiūlymai jiems ištaisyti“, – sako „Baltic Amadeus“ Informacijos saugumo architektas Tomas Stamulis.
Procesas gali būti vykdomas keliais lygiais: vertinant infrastruktūros, aplikacijų atsparumą įsilaužimui (įsilaužimo testavimas); IT komandos gebėjimus atpažinti ir užkardyti kibernetines atakas (raudonosios komandos pratybos); visų darbuotojų gebėjimą atpažinti apgaulingus laiškus ir reagavimą (apgaulės laiškų simuliacijos).
Įmonės saugumo sveikatai užtikrinti svarbūs visi šie lygiai, teigia T. Stamulis ir atsako į esminius klausimus apie įsilaužimo simuliaciją.
Kokias saugumo spragas simuliacija gali parodyti?
Pradedant problemomis, kurios kyla dėl silpnų slaptažodžių ar senos programinės įrangos, ir baigiant net tuo, ar lengva pašaliniam žmogui patekti į kritinės svarbos patalpas, pvz., serverinę. Vertinamas tiek sistemų, tiek žmonių atsparumas kibernetinėms atakoms.
„Įsilaužimo testavimo metu gali išryškėti įvairiausios saugumo spragos: nuo paprasčiausios IT ar informacijos saugumo higienos, kai naudojama pažeidžiama, neatnaujinta programinė įranga, iki programinio kodo pažeidžiamumo ar kenksmingos programinės įrangos naudojimo“, – vardija T. Stamulis.
Dažnai aptinkama netinkamai valdoma tinklo įranga, silpna slaptažodžių politika ar išvis nepakeisti standartiniai gamintojo slaptažodžiai. Paaiškėja, kad darbuotojai nemoka atskirti kenksmingų laiškų, ir dėl to įmonė gali lengvai prarasti informaciją, paskyras ar net pinigus. Įsilaužimo testavimo metu taip pat gali išryškėti ir organizaciniai kibernetinio saugumo trūkumai, pavyzdžiui, atsainus prieigų, atsarginių kopijų valdymas ir panašiai.
Kuo simuliacija skiriasi nuo automatizuotų testų?
Rinkoje esami automatizuoti pažeidžiamumų vertinimo testai gali sugundyti, bet reikia gerai suprasti jų pavojus. Visų pirma – jų rezultatai nėra tokie įvairiapusiški, ir įmonei gali atsirasti apgaulingas saugumo jausmas.
Rankinės simuliacijos metu naudojamos ne tik įvairios žinomos technologijos ir darbą pagreitinantys automatizuoti analizės įrankiai, bet ir žmogaus intelektas, todėl galima atrasti daugiau pažeidžiamų vietų.
„Kiekvienas kibernetinis nusikaltėlis turi savo metodą bandymui įsilaužti, todėl labai svarbu, kad testavimo metu būtų visapusiškai įvertintas objekto saugumas – t. y. reikia ne tik tipiškai įvertinti galimus, pagrindinius pažeidžiamumus, bet mėginti surasti saugumo spragas ir jas išnaudoti nestandartiškai“, – teigia „Baltic Amadeus“ ekspertas.
Automatizuotoje ataskaitoje nerasite pažeidžiamumų, kurie gali būti aptikti tik kompetentingo specialisto. Pavyzdžiui, informacinė sistema slaptažodžio atkūrimui naudoja saugumo klausimą – tokiu atveju automatizuota sistema negalės atspėti teisingo atsakymo, nes yra begalė variantų. Tačiau specialistas paieškos sistemose, socialiniuose tinkluose suras žmogaus profilį ir pasinaudojęs jame skelbiama informacija gali atspėti atsakymą bei užvaldyti paskyrą.
Be to, kibernetinių atakų simuliacijos žengia žingsnį toliau nei automatizuoti testai – per jas mėginama realiai išnaudoti atrastas spragas ir vykdyti atakas. Ekspertai simuliuoja veiksmus, kurių galėtų imtis užpuolikai, įgavę prieigą prie organizacijos IT infrastruktūros.
Ar gali simuliaciją pasidaryti pats įmonės IT skyrius?
Visų pirma, vieno iš simuliacijos lygių – raudonosios komandos pratybų – pats IT skyrius nepasidarys. Jose privalo padėti ekspertai, nes tokios pratybos daromos atskiroje infrastruktūroje, ir vertinami pačių administratorių veiksmai bei kompetencija.
„Raudonosios komandos pratybų metu siekiama padėti organizacijai įsivertinti, kaip pavyktų išlaikyti verslo operacijas įvykus realiai kibernetinei atakai. Tai yra puikus būdas suprasti, koks būtų kiekvieno darbuotojo vaidmuo iškilus įtemptai situacijai, kaip reikėtų elgtis, kad ji būtų kuo greičiau suvaldyta. Tuo pačiu – ir įsivertinti esamų procesų bei darbo tvarkų trūkumus“, – aiškina „Baltic Amadeus“ Informacijos saugumo architektas T. Stamulis.
Pasidaryti įsilaužimo testavimą ar apgaulės laiškų simuliaciją gali ir savas IT skyrius, jei komandos nariai turi tam reikalingų kompetencijų. Tačiau vertinimas bus ne toks kokybiškas kaip nepriklausomų ekspertų.
„Ilgą laiką dirbant prie įmonės infrastruktūros, IT skyrius „apsipranta“ su esama situacija, todėl gali būti sudėtinga identifikuoti taisytinas vietas, nes viskas atrodo gana įprasta ir priimtina“, – sako T. Stamulis. Tuo tarpu vertintojai iš šalies į situaciją pasižiūri kitu kampu, atkreipia dėmesį į tai, apie ką pats administratorius nebūtų pagalvojęs.