IT Rizika, o kterých podniky neví, a je třeba se jich obávat
16.08.2021
Sdílet:
Je skutečnost, že váš operační tým pro zabezpečení sítě našel tento měsíc 600 kusů malwaru, oproti minulým 500, pozitivní nebo negativní věc? Dobrou zprávou je, že výkonný dialog na podporu řízení rizik se zlepšuje, ale špatnou zprávou je, že pro unavené pracovníky již není žádný odpočinek. Promluvme si o dodavatelském řetězci.
Magazín
C-Suites and Boards se historicky snaží dát do souvislosti důležitost technologických zranitelností a škodlivých nepřátelských hrozeb, o kterých mluví CISO a CIO.
C-Suites / Boards nese a řídí všechny druhy rizik a události v letech 2018 a 2020 uvádějí, že v médiích se objevuje nová zátěž, kterou je třeba zvládnout: Škodlivé dodavatelské řetězce ovlivňují zpravodajské služby národních států. Kompromis SunBurst v oblasti kybernetické bezpečnosti z roku 2020 a hlášený kompromis v oblasti dodavatelského řetězce hardwaru z roku 2018 představují odlišné bojiště, na kterém tito protivníci nejen nacházejí a využívají technologickou zranitelnost, ale ve skutečnosti je vytvářejí a integrují do základní technologie.
Základní nástroje
Tyto techniky byly v sadě nástrojů těchto zemí již nějakou dobu. Liší se agresivita takových technik a pokud jste určitý druh společnosti/organizace: 1) jste terčem, 2) nemáte odborné znalosti, abyste tomu zabránili, 3) můžete dělat chybné i správné věci, 4) vláda může změnit chod společností.
Stejně jako skutečný fyzický řetězec je dodavatelský řetězec jen tak silný jako jeho nejslabší článek. Zde jsou naléhavé body, které je třeba internalizovat a připravit se na období 20. let, v éře, kdy posílené zahraniční zpravodajské služby budou využívat své výhody, dokud se dodavatelské řetězce USA a spojenců nestanou odolnějšími.
Proč je SunBurst důležitý
Protože se jedná o bezpečnostní incident v oblasti kybernetického dodavatelského řetězce, kdy podle americké vlády operace ruské zahraniční zpravodajské služby pronikla do dodavatelského řetězce významné americké společnosti (SolarWinds), aby do aktualizací softwaru nasazených zákazníkům SolarWinds vložila softwarovou zranitelnost pro pozdější využití. Infiltrace jedné společnosti sloužila k využití mnoha cílů.
Je to pozoruhodné jak z psychologických, tak z praktických důvodů: Zaprvé většina vedoucích pracovníků v obchodech nedocenila hrozbu (techniky a záměry) takových kybernetických protivníků a incident otřásl důvěrou ve věci, které mnozí považovali za samozřejmost. Incident s názvem SunBurst zasáhl vládní i soukromé organizace.
Co si myslíte, že s tím vláda udělá? Můžeme očekávat zásadní reakci vlády?
Intelligence vs. útok: Reakce vlády závisí do značné míry na tom, zda je SunBurst nakonec charakterizován jako zahraniční útočná operace nebo zahraniční zpravodajská operace. Pokud se jedná o operaci, která má změnit data, popřít dostupnost nebo ovlivnit kritickou infrastrukturu a je považována za kybernetický útok, očekává se úplná vládní reakce napříč diplomatickými, ekonomickými, donucovacími a obrannými kanály.
Pokud ale v konečném důsledku jde o zpravodajskou operaci - špionáž - pak bude reakce vlády pravděpodobně tlumenější, protože všechny země, které se navzájem špehují, mají menší chuť k veřejným reakcím, než když hlasitě označíte akce dané země jako skandální.
Pokud jsou však špionážní operace považovány za příliš velké, pak vlády skutečně útočí zpět s agresivnějšími reakcemi, jako je trestní stíhání, vyhoštění zahraničních agentů ze země a další možnosti. A mezitím je mezi těmi, kdo jsou kompromitováni, spousta čištění. Hodně.
Za zmínku stojí, že nyní je nastíněna řada ambiciózních priorit - pandemické oživení, zmírnění změny klimatu, posílení mezinárodních spojenectví, podpora červeno-modrého sloučení a bipartismu, silná spolupráce ve vztazích s Čínou, definování přístupu k íránskému jadernému programu, a oslovení Ruska, abychom jmenovali alespoň některé.
Obecněji řečeno, kybernetická bezpečnost je jednou z věcí, které plně zapojí soukromý sektor (který vytváří a provozuje většina všech systémů, na kterých z hlediska bezpečnosti závisí vládní a soukromý sektor).
V prvním roce, na makroúrovni, bude SunBurst sloužit jako vynikající pobídka ke strategickému přechodu na bezpečnost dodavatelského řetězce, což je zásadní dlouhodobé úsilí, a na mikroúrovni zdůrazní význam důvěryhodného ověřování (jehož slabinou je nedostatek kybernetické bezpečnosti).
Mají společnosti šanci těmto typům věcí předcházet nebo je odhalit?
Ano, ale není to snadné. CIO a CISO musí být vyzbrojeni správnou perspektivou (a nástroji). Zde platí analogie jak pro špiony, tak pro obránce. Obránci musí hledat špionážní COVECOM (tajná komunikace) a hledat kybernetické útočníky zahlazující jejich stopy.
COVECOM: V oblasti špionáže lidí komunikuje vložený agent s centrálou obvykle nepřímo. Například pokud chtěl agent svému prostředníkovi signalizovat, aniž by ho někdo odhalil, někdy by použil dárkové karty, které mu agent předal předem. Agent používá dárkovou kartu, jejíž zůstatek na účtu je obsluhou anonymně sledován, a pokud je dárková karta použita, znamená to, že se agent chce setkat, nebo spustí akci obsluhy.
Hluboce skryté škodlivé kybernetické nástroje také používají COVECOM. Činí tak prostřednictvím nepřímých zpráv a šifrování (skryté zprávy), které jsou dálkově sledovány obsluhou. Obránci kybernetické bezpečnosti mohou k vyhledání vzdáleného příkazu a řízení použít specializované techniky zvané „break & inspect“, i když nevědí, kde je kybernetický nástroj skryt. Nalezení takové skryté komunikace vás nejen upozorní na to, že máte před sebou rozsáhlou interní analýzu a vyčištění, ale také vám umožní blokovat příkazy a ovládání škodlivého implantátu, dokud tuto práci nedokončíte.
Zakrytí stop
Zakrytí jejich stop: Další analogie pochází ze starých západních filmů, kde bandita vezme listovou větev stromu, aby zakryla stopu, ale tracker objeví vyřazenou větev a neobvyklé značení cest a pokračuje v pronásledování. V kyberprostoru můžeme udělat něco podobného hledáním důkazů, že počítačový soubor byl v rychlém sledu vymazán, znovu vytvořen, proveden, odstraněn a znovu vytvořen.
Toto je potenciální důkaz, že ve vaší síti již existuje zasvěcená osoba, která zasazuje nové škodlivé nástroje a snaží se pokrýt jejich stopu. Dobrou volbou je použít automatickou funkci nazvanou Endpoint Detection & Response (EDR) k hledání důkazů o pozdějších fázích útoku, které využily implantovanou chybu zabezpečení. EDR je vysoce efektivní prostředek k využití síly rychlosti, automatizace a viditelnosti k identifikaci a blokování podezřelého škodlivého chování. Podobně User and Entity Behavior Analytics nebo UEBA je typ procesu kybernetické bezpečnosti, který hledá rozdíly mezi běžným a neobvyklým chováním, což ukazuje na důkazy o tom, že zasvěcená osoba podnikla škodlivé akce.
Co byste řekli společnostem, které byly kompromitovány pomocí SunBurst?
Naše národní pozice v dodavatelském řetězci musí počítat se zvýšenými pokusy podkopat výrobu hardwaru, operační systémy, aplikace, inicializace, personál a aktualizace. Takové operace umožňují protivníkovi „jednou rozvrátit“ - vytvořit zranitelnost produktů během výše uvedených rozsáhlých definic dodavatelského řetězce - a zároveň „kompromitovat mnoho“ - tuto zranitelnost využít v mnoha cílových systémech. Software pro správu sítě a další technologie, kterým jsou důvěryhodné zabezpečené sítě, jsou nejlepšími cíli velkých národních států se škodlivými úmysly.
Je tedy klíčová událost zranitelnost technologického dodavatelského řetězce?
Potenciální nejnižší bod může být bohužel stále před námi; SunBurst je pouze nejnovější a vysoce rizikový problém (hardware a software) kybernetického dodavatelského řetězce.
SunBurst z roku 2020 ilustruje úsilí dodavatelského řetězce škodlivého softwaru. Takové snahy usilují o oslabení softwaru (např. operačních systémů, aplikací a aktualizací každého z nich), který se poté poslušně načte do počítačů a síťových zařízení nic netušících uživatelů a následně bude software zneužit.
Kam máme namířeno?
Jak již bylo zmíněno, pokud organizace nebyly před SunBurstem informovány o těchto typech sofistikovaných útoků, rozhodně teď jsou. Všichni bychom měli očekávat, že bude probíhat a bude plánováno více takových útoků - jak již bylo zmíněno dříve, pro unavené není žádný odpočinek a kybernetická bezpečnost se zdá být nikdy nekončící bitvou. A další země, stejně jako mezinárodní zločinecké organizace, si toho všímají. USA a jejich spojenci si nyní musí dělat starosti s dodavatelským řetězcem softwaru.
Vládní vedení a politika mohou pomoci. Amerika a její spojenci musejí prosazovat mezinárodní normy chování v kyberprostoru, přičemž musí jasně směřovat proti útokům na kritickou infrastrukturu a krádežím komerčních IP a systematicky řešit nespolupracující vlády. Tím se stanoví jasná politika USA v oblasti škodlivých kybernetických aktivit a dopadů útoků na domácí aktiva.
Vedoucí představitelé podniků musí neustále rozvíjet strategickou národní bezpečnostní politiku dodavatelského řetězce zaváděním dlouhodobých přístupů k zajištění integrity kritické výroby čipů, léčiv, vysoce automatizovaných montážních operací, obranné průmyslové základny a životního cyklu softwaru.
Pokud SunBurst může pomoci osvětlit tento problém, pak by se mohl zapsat do historie jako klíčová událost, která pomohla USA a jejich spojencům lépe zabezpečit kybernetické dodavatelské řetězce. Ochrana dodavatelského řetězce vyžaduje kolektivní úsilí veřejného a soukromého sektoru s krátkodobými i dlouhodobými opatřeními.
Připravil: Radek Svoboda
Sdílet: