Varnost notranjega omrežja se pogosto dojema kot nekaj samoumevnega, dokler ne pride do vdora. Številne organizacije vlagajo v zaščitne tehnologije in izvajajo priporočene varnostne kontrole, a realno sliko njihove odpornosti pokaže šele praktično testiranje. Čeprav se v zadnjih letih kaže napredek pri upravljanju varnosti notranjega omrežja, rezultati vdornih testov in kibernetskih vaj razkrivajo, da je tudi pri zrelih podjetjih mogoče doseči in zlorabiti administratorski dostop.

Informacijska in kibernetska varnost – vloga vodstva

Dobre prakse pri upravljanju kibernetske varnosti se opirajo na različne mednarodno priznane standarde in ogrodja. Eno takšnih, ki opredeljuje različne korake v krogu upravljanja kibernetske varnosti, je ogrodje NIST. Zadnja različica ogrodja poleg dokumentacijsko-tehničnih korakov – identifikacija, zaščita, zaznava, odziv in obnova – vključuje tudi upravljanje (ang. govern), s katero ogrodje poudarja vlogo vodstva. Odgovornost vodstva pri upravljanju informacijske varnosti je bolj eksplicitno uvedena tudi v zadnji verziji standarda ISO/IEC 27001, prav tako jo poudarja novi Zakon o informacijski varnosti. 

S širitvijo kroga zavezancev po ZinfV-1 in že omenjeno večjo vlogo vodstva se tudi formalno v družbi dviguje pomen visoke ravni varnosti v organizacijah. Odgovornost vodij pa je, da ukrepi za zagotavljanje varnosti niso le črka na papirju, temveč se udejanjajo v vsakodnevnem delovanju organizacij.

Zrele in manj zrele organizacije – kje so razlike?

Prav odnos vodstva do informacijske in kibernetske varnosti je pogosto pokazatelj zrelosti organizacije. Zrelost pomeni uveljavitev kontrol iz okvirjev, kot so NIST, CIS, ISO 27001 in podobni standardi, v delovne procese. Pri tem je ključno, da pobuda za spoštovanje kontrol prihaja s strani vodstva in se prenaša po vseh vertikalah.

Primerjave ponavljajočih se testov kažejo, da so zrelejša podjetja hitrejša pri zaznavi napada, boljša pri omejevanju škode in učinkovitejša pri obnovi. A popolne imunosti ni – vdor je možen, razlika je predvsem v odpornosti in obvladovanju posledic.

Na zrelost organizacije vpliva tudi njena velikost in predvsem zgodovina upravljanja IT sistemov. To vključuje tudi aplikacije, ki zahtevajo stare operacijske sisteme in ranljive protokole, kjer je potreben nekoliko drugačen pristop k upravljanju in zaščiti. Mlajša podjetja imajo manj bremena iz preteklosti, več storitev v oblaku in s tem manj protokolarnih ranljivosti. Po drugi strani pa storitve v oblaku prinašajo tveganja druge vrste, ki zahtevajo drugačno obravnavo. 

Lokalni Active Directory, na primer, zahteva več ročnega dela, a je IT-oddelkom dobro poznan. Entra ID in druge oblačne storitve so lažje skalabilne, a zahtevajo novo znanje. Hibridna okolja pa so najbolj kompleksna in zahtevna, saj združujejo izzive obeh svetov in terjajo brezhibno integracijo.

Storitev, kot so MS Teams, M365, Zoom ali Salesforce, danes ni več mogoče izvajati izključno lokalno. Identitete uporabnikov, nekoč strogo notranje, so postale javne. To prinaša nove varnostne izzive, saj se meja med notranjim in zunanjim zabriše.

Nepooblaščen vstop v sistem

Ne glede na to, kakšno infrastrukturo uporabljajo organizacije, kljub vpeljanim različnim varnostnim rešitvam še vedno ostajajo ranljive. Zakaj?

Glede na učinkovitost varnostnih rešitev, je možnost za vdor neposredno v sistem preko perimetra običajno majhna. Veliko bolj verjetno je, da bo napadalec uspel s socialnim inženiringom. S poglobljenimi tehnikami zbiranja podatkov lahko napadalec zbere pomembne informacije o zaposlenih in organizaciji: hierarhija, interesi, odnosi, povezave ipd. S pridobljenimi informacijami lahko uspešno izvede napad s socialnim inženiringom in se prebije v notranje ali oblačno omrežje.

Najpogostejše ranljivosti v notranjem omrežju

Ko je napadalec v notranjem omrežju, je njegov uspeh odvisen od učinkovitosti varnostnih kontrol, ki jih za varovanje omrežja uporablja interna IT služba. Rezultati varnostnih testov kažejo, da so med najpogostejšimi ranljivostmi še vedno neustrezni protokoli, šibka gesla in nenameščeni varnostni popravki. Dovolj zgovoren je podatek, da v praksi večina podjetij še vedno pade na t. i. črnem testu (ang. black-box), kjer napadalec brez notranjih informacij pridobi privilegiran dostop.

Varnostno testiranje, predvsem vdorni testi in kibernetske vaje, administratorje sistemov opozorijo, kje so najbolj ranljivi in katere grožnje, tehnike postopke bi napadalec v njihovem okolju lahko uporabil za uspešen kibernetski napad. Izkušeni izvajalci testov pravilno prepoznajo resnična tveganja v specifičnem okolju organizacije ter ustrezno določijo prioritete priporočil glede na oceno tveganja. Na podlagi podanih priporočil se organizacije lahko odločajo za konkretne ukrepe in izboljšave. 

Dobra praksa po zaključenem varnostnem testu vključuje timski sestanek izvajalcev testa, notranje IT in varnostne ekipe ter morebitnih zunanjih skrbnikov, kot so ponudniki SOC, kjer se na podlagi odkritih ranljivosti, tehničnih zmožnosti in poslovnih ciljev oblikuje akcijski načrt za izboljšave.

Zakaj testiranje ne sme biti na koncu?

Varnostno testiranje je pogosto potisnjeno na rep projektov, po implementaciji zaščit na sistemih ali tik pred lansiranjem aplikacije na trg. Redko se zgodi, da organizacija pri izvajanju varnostnega testa, zlasti aplikacij, ne bi bila pod časovnim pritiskom. A brez rednega testiranja in validacije odpravljenih ranljivosti ostaja učinkovitost varnostnih nastavitev neznanka. Organizacije, ki testiranje izvajajo redno, poročajo o merljivih izboljšavah. Glede na novo zakonodajo na tem področju lahko pričakujemo, da bo vedno več organizacij letno ali celo večletno načrtovalo varnostno testiranje sistemov in aplikacij, kar bo še povečalo možnost za spremljanje napredka.

Od ranljivosti do odpornosti

Pretekli varnostni incidenti v Sloveniji in globalno dokazujejo, da pri spremljanju in nadgrajevanju varnostne drže ne sme biti spregledan noben segment organizacije: začnemo pri ozaveščanju uporabnikov in nadaljujemo z naprednimi tehnološkimi rešitvami ter po potrebi s sodelovanjem z zunanjimi strokovnjaki. Pomembno je, da se vsi deležniki v procesu upravljanja kibernetske varnosti zavedajo, da je cilj aktivnosti izboljšanje varnostne drže, in ne iskanje krivca za pomanjkljivosti ali morebitne incidente. Tako bomo lažje vzpostavili transparentno komunikacijo in dosegli zastavljeni cilj – dolgoročno izboljšanje kibernetske varnosti v družbi.

Več o testiranju kibernetske varnosti na www.carbonsec.com.