Izkušnje Telekoma Slovenije na področju zagotavljanja storitev kibernetske varnosti - Android

Zagotavljanje kibernetske varnosti v poslovnem okolju, ki temelji na neprekinjenem poslovanju, hkrati pa sledi najvišjim standardom na področju informacijske varnosti in skladnosti poslovanja, je rezultat sistematičnega in strateško načrtovanega izvajanja aktivnosti. V procesu zagotavljanja kibernetske varnosti so potrebne natančno opredeljene aktivnosti za preprečevanje, odkrivanje in odzivanje na varnostne grožnje, pa tudi ponovno vzpostavitev poslovanja.Tako kot se povečuje uporaba informacijskih tehnologij v celotnem poslovnem in zasebnem okolju, s še večjo hitrostjo prihaja tudi do različnih zlorab na področju varnosti informacijskih tehnologij. Zlorabe informacijsko-komunikacijskih tehnologij so vedno bolj napredne, tehnološko dovršene, prikrite in inovativne, do njih pa prihaja tako na gospodarskem in političnem kot na zasebnem področju. Motivi za to so različni: od premoženjske koristi, zlonamernosti, dokazovanja, kraje identitete, kraje podatkov ali pridobivanja konkurenčne prednosti do onemogočanja delovanja kritične infrastrukture ali pridobivanja geopolitičnih prednosti. Osnovni namen zlonamernežev je, da uporabnikom s svojim dejanjem izbrišejo oz. uničijo podatke, jih zaklenejo, jim onemogočijo poslovanje ali pridobijo protipravno korist. Pri tem uporabljajo različne metode oz. tehnike napadov, kot so socialni inženiring, ribarjenje, zlonamerne kode, virusi, DDoS (Distributed Denial-of-Service) itd. V zadnjem obdobju se aktivnosti vedno bolj selijo na končne naprave in so vedno bolj usmerjene na uporabnika samega. V tem prispevku se bomo omejili na področje kibernetske varnosti, ki predstavlja aktivno zaščito na več področjih (sistemih, virih) pred različnimi tehnikami napadov z uporabo digitalnih tehnologij. V Telekomu Slovenije sodi kibernetska varnost med strateške prioritete. Zato smo vzpostavili Operativni center kibernetske varnosti, ki predstavlja jedro operativnih zmogljivosti tako za Telekom Slovenije kot druge organizacije, javne ustanove in podjetja, ter osnovali odzivno skupino za varnostne incidente. Zagotavljanje kibernetske varnosti pri tem temelji na aktivnem sodelovanju strokovnjakov, tehnologije in izdelanih procesov. Aktivnosti lahko razdelimo na pet korakov: priprava, preprečevanje, odkrivanje, odzivanje, obnovitev.Osnova zagotavljanja kibernetske varnosti je dobra pripravaVečina organizacij ugotavlja, da kršitve varstva osebnih in drugih podatkov ter ostali incidenti, povezani z varnostjo na področju informacijsko-komunikacijskih tehnologij, predstavljajo poslovno kritično operativno tveganje. Razširjenost in resnost takšnih kršitev ugotavljajo različne raziskovalne, varnostne in druge organizacije oz. organi. Stroški posameznega varnostnega incidenta lahko narastejo tudi na nekaj milijonov evrov, prav tako so lahko visoke pravne obveznosti, pa tudi regulatorna izpostavljenost in škoda, ki nastane zaradi izgube zaupanja oz. ugleda. Ustrezne priprave omejijo verjetnost nastanka tovrstnega incidenta in omejijo škodo, ki lahko ob tem nastane. Obvladovanje tveganj je sistematičen in stalen proces. Njegov namen je maksimiranje verjetnosti želenih (priložnosti) in minimiziranje verjetnosti neželenih dogodkov (nevarnosti).Prepoznavanje in strukturiranje tveganj je začetna faza v procesu obvladovanja tveganj. Cilj prepoznavanja tveganj je opredelitev vseh možnih tveganj, ki lahko vplivajo na doseganje zastavljenih poslovnih ciljev. Dejavniki tveganj so lahko zunanji (okolje, politični, gospodarski ali tehnološki procesi …) ali notranji (zaposleni, tehnologija, procesi …).Tveganja na področju kibernetske varnosti so v zadnjih letih ocenjena z najvišjo stopnjo. Zato je na področju upravljanja tveganj za zagotavljanje kibernetske varnosti treba sprejemati različne ukrepe za zmanjševanje stopnje tveganja. V prvem koraku je tako treba pripraviti popis virov (fizične in virtualne naprave) in aplikacij ter opredeliti kritične vire na podlagi varnostne politike in politike upravljanja s tveganji ter jih nato tudi nenehno posodabljati. Način uvedbe ukrepov za zmanjševanje tveganj, s katerimi zadostimo standardom skladnosti poslovanja in varnostne politike, opredelimo v postopku preventive ali preprečevanja.Preventivne aktivnosti za preprečevanje varnostnih incidentovPodjetja in organizacije pri svojem poslovanju uporabljajo različna sredstva, pri čemer se izraz »sredstvo« v skladu z ISO-standardi s področja varovanja informacij uporablja zelo široko, saj je sredstvo pravzaprav vse, kar za podjetje predstavlja določeno vrednost (ISO 27000), pa naj gre za fizične, logistične ali človeške vire.Glavni cilj preventivnih aktivnosti je upravljanje z zaupnostjo, celovitostjo, razpoložljivostjo, avtentičnostjo in neovrgljivostjo posameznih sredstev. Prav vsako sredstvo pa je vir potencialnih tveganj oz. groženj, ki jih moramo v skladu z metodologijo, omenjeno v prejšnjem poglavju, upravljati. Tveganja najpogosteje zmanjšujemo z investicijami v varnostne ukrepe in rešitve. Med varnostne ukrepe sodijo aktivnosti, postopki ali mehanizmi, ki zmanjšujejo verjetnost ali posledico varnostnih incidentov, na tveganje pa vplivajo različno: lahko odkrivajo in preprečujejo incidente, odvračajo grožnje, omejujejo tveganja, popravljajo nastalo škodo zaradi incidenta, pomagajo pri okrevanju po incidentu, izvajajo nadzor ali ozaveščajo. Glede na učinke lahko varnostne ukrepe razvrstimo v tri glavne skupine: preventivne, korektivne in detekcijske ukrepe. Preventivni ukrepi zmanjšujejo število uspešnih incidentov in s tem verjetnost za nastanek incidenta, korektivni ukrepi zmanjšujejo izgubo v primeru incidenta, detekcijski ukrepi pa skrajšajo čas, v katerem se incident zazna, in omogočajo zbiranje podatkov za nadaljnje analize. Med preventivne ukrepe uvrščamo varnostno politiko, kriptografijo, varno arhitekturo omrežja in aplikacij, ažurno posodabljanje programske opreme, požarne zidove, sisteme za preprečevanje vdorov v omrežju, DDoS-zaščito, mehanizme overjanja in avtorizacije uporabnikov, protivirusno programsko opremo in še kaj. Med preventivne ukrepe sodijo tudi različna testiranja ranljivosti sistemov in penetracijski testi, pa izobraževanja in testiranja zaposlenih glede odzivanja na različne tehnike napadov.Nemalokrat se ob vseh aktivnostih pozablja na dobro zaščito končnih naprav. V tovrstnih primerih za zaščito ni dovolj zgolj protivirusni program, temveč je treba uporabiti naprednejšo zaščito, ki spremlja delovanje vsakega procesa na posameznem računalniku. Na ta način poleg zaščite pred znanimi grožnjami končne točke ščitimo tudi pred neznanimi, izoliramo končne točke in lahko dokaj hitro ugotovimo vzrok za neželeno obnašanje nekega procesa. Ob tem je poleg zaščite na končnih točkah treba zagotoviti tudi ustrezno zaščito povezav (fizično in logično) ter ustrezno požarno pregrado (IDS+IPS).Odkrivanje temelji na ustreznih pripravah in informacijah, v zadnjem obdobju pa tudi na avtomatizaciji s pomočjo umetne inteligenceOrodje ali sistem orodij za odkrivanje zbira dnevniške zapise (event logov, logov, syslogov itd.) iz sistemov. Zapise obdela, jih normalizira, ustrezno agregira in na koncu prikaže v obliki varnostnih dogodkov. Na trgu je veliko izbire – od osnovnih pregledovalnikov dnevniških zapisov do kompleksnih sistemov, katerih dodana vrednost je uporaba umetne inteligence za odkrivanje potencialnih ranljivosti in groženj, pa tudi samodejno posodabljanje pravil za kreiranje varnostnih dogodkov. Učinkovitost orodja za odkrivanje je odvisna od več dejavnikov, kot so kakovost dnevniških zapisov, kakovost odstranjevanja šuma (lažni pozitivni dogodki), ustrezno povezovanje potencialnih varnostnih dogodkov z aktualnim dogajanjem v svetu (odkrite nove ranljivosti, grožnje kibernetskih napadov …). Nenazadnje je seveda lahko pri odkrivanju ranljivosti učinkovit tudi ustrezno usposobljen strokovnjak. Klasične protivirusne programske rešitve in rešitve pred škodljivo programsko opremo se pri odkrivanju groženj opirajo na baze podatkov, primerjajo vsebine datotek s podatki iz baze ter zelo dobro skrbijo za sprotno čiščenje in zaščito. Navedeno seveda velja v primerih, ko je bila grožnja v preteklosti že odkrita ter je analizirana in vnesena v bazo. Ob tem pa so vsi ti mehanizmi v primeru novih ali variacij nekaterih že poznanih groženj popolnoma neuporabni. Zato je pomembno skrbno spremljanje vsakega procesa posebej. Če se priprava, preventiva in odkrivanje opravijo z odliko, je odziv na varnostni dogodek enostavnejšiNajpogostejši viri groženj so uporabniki, pri čemer je pogosto težko na prvi pogled oceniti, ali je šlo za načrtno zlorabo ali le za trenutno nepazljivost in neznanje uporabnika. Predpogoj za pravočasen in predvsem pravi odziv so izkušeni strokovnjaki, ki pri svojem delu uporabljajo ustrezne programske rešitve, saj lahko napačna interpretacija varnostnega dogodka vodi v iskanje izvora groženj, ki to niso. Posledica je predvsem izguba časa in resursov, nenazadnje tudi neupravičeno motenje delovnih procesov, upad učinkovitosti, izguba zaupanja in kompetentnosti. Zato je pomembno, da strokovnjaki najprej ugotovijo resnost grožnje in njen obseg, skladno s klasifikacijo pa nato izvedejo prve ukrepe. Pri tem je pri grožnjah z visoko stopnjo resnosti treba najprej poskrbeti za njihovo zajezitev z ustrezno izolacijo sistema ter izvesti obveščanje in ostale aktivnosti, ki so potrebne za nemoteno izvedbo preiskav glede vira grožnje. Samo z ustrezno preiskavo lahko namreč podobne grožnje preprečimo tudi v prihodnje. Pri tem je pomembno, da vsak postopek in vsako tudi najmanjšo informacijo ob reševanju varnostnega incidenta sproti beležimo v ustrezen informacijski sistem za upravljanje z napakami, prek katerega izmerimo učinkovitost delovanja.Obnovitev poslovanjaUspešen kibernetski napad lahko traja več ur, dni, tednov ali pa še dlje, posredna škoda pa lahko nastaja tudi še nekaj mesecev po napadu. Po podatkih Gartnerja ima samo tretjina podjetij pripravljen načrt odziva na kibernetski napad, pri tem pa gre večinoma za načrte v primeru enostavnih napadov ali napadov enega samega tipa. Osnovo za pripravo na obnovitev poslovanja nam lahko predstavlja veriga odziva na napad (Cyber Kill Chain), ki vključuje zbiranje informacij o tarči, analizo zbranih informacij ter izbor tehnike napada oz. dostave v končne naprave prek ribarjenja, inštalacijo po več virih ali sredstvih ter skrivanje, nadzor, prevzem in izvršitev napada. Notranji krog predstavlja korake napadalca, zunanji pa zaščito pred napadom. Za vsako točko, kjer morebitni napadalec vidi svojo priložnost, morajo podjetja opredeliti vpliv na poslovanje. Za vsako sredstvo/vir pa je treba pripraviti načrt okrevanja virov, načrt okrevanja storitev in načrt kriznega komuniciranja. Prvi del predstavlja pripravljalna oziroma načrtovalska faza, drugi del, ko se napad že zgodi, pa odziv in obnovitev poslovanja. V pripravljalni fazi se pripravljamo na področjih organiziranosti, analiz in načrtov, zagotavljanju odpornosti posameznih sredstev (zaščita podatkov) ter kriznega komunikacijskega upravljanja. V fazi priprave organiziranosti vzpostavimo ustrezno sodelovanje med odzivno skupino za varnostne incidente (CSIRT), Operativnim centrom kibernetske varnosti (OCKV) in skupino za okrevanje poslovanja. V tem okviru ustanovimo enotno ekipo za krizno vodenje, pregledujemo sposobnost ekip in virov, ki so potrebni za obnovo poslovanja, ter preverjamo sodelovanje med načrtovalci in operativo. Hkrati proučujemo različne scenarije varnostnih in kibernetskih napadov ter njihov vpliv na poslovanje, spremljamo odziv in obnovitvene postopke, pogosto izvajamo vaje na različnih področjih posameznih sredstev/virov, ki sestavljajo poslovanje podjetja, izvajamo teste ranljivosti, penetracijske teste, teste socialnega inženiringa (na primer e-sporočilo za ribarjenje), izvajamo scenarije različnih napadov in preverjamo pripravljenost. Navedene aktivnosti izvajamo na podlagi standardov ISO 22301, ISO 27001, NIST ter drugih standardov in priporočil. Na področju kriznega komunikacijskega upravljanja pripravimo komunikacijski načrt v odvisnosti od velikosti in vpliva kibernetskega napada. V obnovitveni fazi, v kateri napad poteka, pa je pomembno tesno sodelovanje med upravljanjem neprekinjenega poslovanja (strokovnjaki za vire), skupino za okrevanje poslovanja in odzivno skupino za varnostne incidente v podjetju ali pa celo na nacionalnem nivoju. V okviru priprav določimo vodjo za koordiniranje obnovitve, ki je navadno član skupine za okrevanje poslovanja. Glede na vpliv napada sprožimo ustrezne obnovitvene postopke, izvedemo prve forenzične preiskave, obnovimo poslovanje in zaščitimo dokaze. Naloga ekip je, da se čim prej vzpostavi normalno poslovanje organizacije ali podjetja, ob zaključku napada pa je potrebno ustrezne podatke predati pristojnim organom. Prav tako je treba pripraviti natančno analizo aktivnosti, opredeliti dobre in slabe strani reakcije na kibernetski napad ter na tej osnovi sprejeti ustrezne ukrepe za izboljšanje priprave, preprečevanja, odkrivanja, odzivanja in obnovitve poslovanja.Vgradnja varnostnih kontrol v aplikacijski varnostiV Telekomu Slovenije načrtovanje varnostnih kontrol vključujemo že v začetne faze načrtovanja aplikacij. Tako opravimo oceno tveganj, izvedemo identifikacijo in implementacijo varnostnih kontrol ter ugotavljamo morebitne ranljivosti. V fazi testiranja posamezne aplikacije z varnostnega vidika opravimo verifikacijo implementiranih varnostnih kontrol in ranljivosti, interno varnostno preverimo kakovost kode (to je naloga ključnih razvijalcev) ter po potrebi izvedemo penetracijska testiranja. Na podlagi pridobljenih rezultatov ponovno opravimo načrtovanje za odpravo pomanjkljivosti, implementacijo in ponovni test.Nov vidik aplikacijske varnosti v zadnjem obdobju predstavlja vse množičnejša uporaba naprav interneta stvari (IoT; Internet-Of-Things). Pri tem nepridipravi množično izkoriščajo slabo oziroma nezadostno varnostno zaščito posameznih IoT-naprav in jih vključujejo v množične napade (DDoS). Veliko grožnjo predstavljajo tudi IoT-naprave, ki krmilijo naš vsakdan (od dobave tekoče vode do distribucije plina), tako da veliko pozornosti namenjamo zagotavljanju varne transportne poti in varnega komunikacijskega okolja s segmentiranim dostopom, izvajamo striktno preverjanje uporabljenih varnostnih komunikacijskih protokolov, avtentikacije ter sistemsko utrjevanje aplikacijskih strežnikov in operacijskih sistemov.V Telekomu Slovenije smo tako za lastne potrebe kot za druge organizacije, javne ustanove in podjetja uvedli različne storitve zagotavljanja kibernetske varnosti. Jedro te storitve predstavlja Operativni center kibernetske varnosti, v katerem združujemo procese, tehnologijo in vrhunske strokovnjake. Kot izkušen ponudnik storitev zagotavljanja kibernetske varnosti uvajamo storitve na dveh nivojih. Prvega predstavlja specializacija vsebine in ustreznost ključnih poslovnih procesov glede na panogo ali okolje, drugi pa postopno uvedbo procesa zagotavljanja kibernetske varnosti, v katerem nenehno izboljšujemo zrelost IKT-sistema naročnika (preprečevanje, odkrivanje) in operativo (odkrivanje, odzivanje, obnovitev). Predvsem pa skrbimo za usklajeno delovanje vseh usposobljenih ekip za zagotavljanje najvišje ravni kibernetske varnosti.Avtorji:mag. Janez Anžič, mag. Matevž Mutec, Rok Peršak, Aleš Skubic (Telekom Slovenije)