IT & systémy | IT bezpečnosť

Ako si nájsť hackera a vykradnúť vlastnú firmu

Ak chcete zistiť, či vaše opatrenia na ochranu podnikových dát skutočne fungujú, najmite si hackera, ktorý sa ich pokúsi prelomiť

15.11.2013 | Zdroj: Outsourcing Center

CFO.sk 

Máte tie najmodernejšie technológie, ktoré ochraňujú vaše firemné dáta: výkonný firewall, systémy pre detekciu útokov, prístupy zabezpečené heslami, ktoré pravidelne obmieňate. Systémy pravidelne testujete na odolnosť proti externým a interným útokom.

Jedného dňa na vrátnici zaklope kuriér, ktorý doniesol obed pre vášho riaditeľa. Strážna služba ho bez ďalšej identifikácie pustí do budovy, ale kuriér namiesto kancelárie riaditeľa vojde do miestnosti s firemnými servermi

Toto nie je sci-fi, ale opis skutočnej situácie, ako sa špeciálny tím pre testovanie dátovej bezpečnosti niekoľko krát naozaj dostal k podnikovým dátam. Vrátnik kuriérovi ešte ochotne pridržal dvere.

Hovoríme o službe, ktorú poskytujú firmy ako Dell SecureWorks. Ich špeciálny tím pod názvom „Červený tím“ sa dohodne s úzkym okruhom vedenia firmy na otestovaní jej bezpečnostných opatrení. O fingovanom útoku okrem úzkeho okruhu ľudí nevie nikto iný, ani zamestnanci IT oddelenia.  Červený tím strávi niekoľko dní získavaním informácií o firme, a následne robí všetko preto, aby sa dostal k jej citlivým dátam. Predstiera reálny útok v reálnej situácií, ktorý firme pomôže odhaliť slabiny v jej bezpečnostných opatreniach.

Aj keď firmy bežne testujú odolnosť svojich systémov, testy sú väčšinou zamerané na úzku vybranú oblasť – systém alebo aplikáciu. Červený tím však k svojej úlohe pristupuje tak, ako by to urobili skutoční hackeri – snaží sa hľadať slabiny, o ktorých firma nemá ani tušenia. Jeho pridaná hodnota je v tom, že preskúma všetky možné spôsoby, ako sa dostať k citlivým informáciám.

Najprv zistí, ktoré dáta sú pre danú firmu najcennejšie. Pre maloobchodnú firmu to môžu byť údaje o platobných kartách zákazníkov, pre technologickú firmu utajované informácie o vývoji nových produktov, pre stavebnú firmu podklady a cenové ponuky do tendrov.

Potom zistí o firme, všetko čo sa dá – či má bezpečnostnú službu, aké údaje má zverejnené na internetovej stránke, sleduje profily a aktivitu zamestnancov na Facebooku, LinkedIn a Twitteri, zavolá do firmy a predstiera, že je zákazník alebo dodávateľ. Zistí, kto sa firme stará o bezpečnosť IT infraštruktúry, kto je dodávateľom internetových a dátových služieb, a kto a kedy odváža odpad.

Následne sa Červený tím pokúsi urobiť všetko preto, aby sa k dátam dostal. Podplatí vrátnikov, aby dovnútra pustili opravára v montérkach. Pokúsi sa „kúpiť“ niekoho na IT oddelení. Zrealizuje perfektne maskovaný spearphishingový útok, pri ktorom zamestnanci dostávajú autenticky vyzerajúce e-maily od svojich kolegov a nadriadených.

Väčšina firiem je po takomto fingovanom útoku šokovaná z toho, že ich najväčšou slabinou sú ich vlastní ľudia - koľko informácií môžu zamestnanci pustiť na verejnosť cez sociálne siete, ako ľahko naletia na spearphishingový mail, ako ľahko sa dajú podplatiť. Ďaľšou veľkou slabinou bývajú na mieru vyvinuté informačné systémy. Členom Červeného tímu sa niekoľko krát podarilo získať veľmi cenné dáta zo systémov, ktoré firma prestala používať.

Ako alternatívu fingovaného anonynmného útoku sa môžu vytvoriť tímy dva – jeden Červený tím, ktorý sa spôsobom popísaným vyššie snaží prelomiť ochranné opatrenia firmy, a jeden interný tím, tzv. Modrý tím, zložený zo zamestnancov spoločnosti a zástupcu firmy, ktorá celý projekt realizuje. Modrý tím sa snaží odhaliť útoky červeného tímu a popri tom zisťuje, ktoré bezpečnostné opatrenia fungujú, a ktoré nie.