Ak už bola firma či inštitúcia zákonom alebo ambicióznym ítečkárom prinútená robiť penetračný test, tak ho urobila. Aj ho archivovala pre audítora kybernetickej bezpečnosti a - zabudla.
Dnes sa to mení - nie preto, že by firmy zrazu objavili nadšenie pre ofenzívnu bezpečnosť, ale preto, že regulácia a realita útokov im nedávajú inú možnosť.
Zákony a regulácie v kybernetickej bezpečnosti posunuli tému z IT oddelenia do riaditeľských kancelárií. Kybernetický útok už nie je abstraktné riziko. Je to reálny prevádzkový scenár - rovnako možný ako výpadok kľúčového dodávateľa alebo strata zákazníka. Aj rovnako bolestivý.
A práve tu sa dostávame k pojmu, ktorý sa dnes skloňuje na každej konferencii, v odbornej komunite a v článkoch: kybernetická odolnosť.
Odolnosť neznamená, že vás nikto nikdy nehackne. Chybné konfigurácie, útoky cez dodávateľský reťazec, úspešné phishingové a iné sofistikovanejšie formy útokov sa stávajú aj tým najlepším.
Kybernetická odolnosť je o tom, ako to ustojíte, keď sa vám to stane. Ako budete vedieť fungovať aj v prípade reálneho útoku.
Problém je, že mnoho firiem si kybernetickú odolnosť zamieňa s investíciou do nástrojov. Kúpia SIEM, nasadia EDR ako ochranu koncových zariadení, napíšu plán ako reagovať v prípade incidentu a považujú vec za vybavenú.
My v Remediate to vidíme inak.
Plán, ktorý nebol nikdy otestovaný v reálnych podmienkach, je len dokument. Zálohy, ktoré nikto neskúšal obnoviť, sú len pocit istoty. A detekcia, ktorá nebola overená simulovaným útokom, kým útočník pokojne pracuje a možno práve exfiltruje firemné dáta, kým IT manažment a vedenie firmy pokojne spí.
Ofenzívna bezpečnosť, či už sú to penetračné testovania, red teaming alebo simulácie scenárov útokov, robí jednu zásadnú vec. Pozerá sa na vaše systémy očami útočníka.
Ofenzívna bezpečnosť nehľadá, čo máte nastavené správne. Hľadá, čo sa dá zneužiť. A to je zásadne odlišný pohľad od toho, ktorý má interný tím pri budovaní a prevádzke systémov.
Práve preto je ofenzívna bezpečnosť dôležitá. Prináša nezávislý pohľad človeka, ktorý systémy nevytváral, neobhajuje ich a nehľadá potvrdenie, že fungujú správne. Simuluje spôsob uvažovania útočníka, ktorý kombinuje technické chyby, logické slabiny aj ľudský faktor do jedného realistického scenára.
Najväčšie riziká dnes často nevznikajú z jednej kritickej zraniteľnosti. Vznikajú z kombinácie malých detailov, ktoré samostatne nevyzerajú nebezpečne, ale spolu vytvoria cestu ku kompromitácii prostredia. Čo ma však na súčasnom trhu znepokojuje ešte viac, je niečo iné.
Firmy testujú čoraz viac, ale neznamená to, že efektívnejšie.
Situáciu výrazne zhoršujú AI pentest nástroje, na ktoré sa zatiaľ spoľahnúť nedá. Preto by odklon od tradičných služieb ofenzívnej bezpečnosti ešte nemal nastať, môže to byť totiž veľmi nebezpečné.
Automatizované nástroje produkujú správy plné nálezov, tímy ich prečítajú a dostanú pocit, že situácia je pod kontrolou. Pritom tie isté nástroje častokrát prehliadnu chybu v biznis logike, alebo nie sú dostatočne „vytrénované“ na segmentové špecifiká.
A zase sme pri formálnych reportoch. Falošný pocit bezpečnosti je v kybernetickej bezpečnosti ešte zradnejší ako otvorená zraniteľnosť.
Firmy prestávajú riešiť, či si môžu dovoliť pravidelný penetračný test. Začnú riešiť otázku, či si môžu dovoliť ignorovať potenciálne slabiny. Eliminovať slabiny, hľadať zraniteľnosti a skúšať tie najťažšie scenáre je jadro toho, čo kybernetická odolnosť v praxi znamená.
Matúš Mihok, konzultant kybernetickej bezpečnosti