Kto pilnuje policjantów?
Michal Jarski
Director Nordics & Eastern Europe @ Forcepoint | Business Development and Sales Leadership
Sektor bankowy jest jednym z najsilniej uregulowanych. Podlega całemu kanonowi rekomendacji, dyrektyw, norm, które są ochoczo monitorowane, sprawdzane i audytowane. Wydawałoby się, że wdrożenie tych światłych wskazówek powinno podwyższyć poziom bezpieczeństwa finansowego, ale także informatycznego instytucji bankowych.
W Polsce słynna Rekomendacja D UKNF jest wszakże obecna i stosowana przez wszystkie banki. Jak to się zatem dzieje, że co chwila docierają do nas kolejne wieści o włamaniach, wyciekach danych, ale także zwykłych kradzieżach? Czemu, pomimo wszystkich tych zaawansowanych systemów obrony sieci, serwerów i użytkowników, przestępcy robią co chcą? Przecież w bankach, na które przypuszczono ostatnie natarcie nie brakowało "cudownych pudełek", a każdy z nich miał aktualny, pozytywny wynik audytu wewnętrznego i zewnętrznego...
Jeśli zapytać o źródło ataku, o metody wykorzystane przez włamywaczy, w większości przypadków dostaniemy odpowiedź, że "to trudne do zdefiniowania", że "wymknęło się naszym firewallom/gatewayom/antywirusom". Proszę tylko spojrzeć na przywołany tekst Zaufanej Trzeciej Strony.
Niestety w większości przypadków systemy bezpieczeństwa nie pozwalają na ustalenie, jakie dokładnie były cele działania przestępców.
Wiemy, że był jakiś malware, ale skąd się wziął wewnątrz systemów bankowych, to już czyste spekulacje, bo nie wiadomo jaką rolę mogli odegrać użytkownicy. I nie mówimy tu tylko o "klikaczach makr", a szczególnie o tych, którzy mają wyższe uprawnienia. O tych, którzy mogą rzeczywiście uzyskać dostęp do najcenniejszych zasobów informacyjnych, do serwerów. Co więcej, na horyzoncie pojawia się także sam UKNF, którego serwery mogły odegrać rolę pośrednika w ataku. Być może ze względu na słabsze zabezpieczenia albo zaniedbania administracyjne.
Byłoby niezwykłą ironią losu, gdyby okazało się, że to faktycznie witryna instytucji odpowiedzialnej za wyznaczanie i egzekwowanie zasad bezpieczeństwa IT w sektorze finansowym sama stała się na skutek własnych zaniedbań narzędziem ataku na firmy, których poziom zabezpieczeń kontrolowała.
Wygląda na to, że bez monitorowania i dokumentowania działań administracyjnych spec-użytkowników, zapobieganie włamaniom o dużej skali oraz rzetelna analiza forensic po prostu nie są możliwe. Że w dobie dobrze przygotowanych ataków ukierunkowanych rola uprzywilejowanych kont w systemach, do których prowadzą proste hasła, często zapisywane w plikach Excel, które przekazywane są bezwiednie zewnętrznym podwykonawcom, ma krytyczne znaczenie dla bezpieczeństwa nawet najlepiej przygotowanych organizacji.
Po cóż budować mur, skoro tak łatwo wprowadzić do środka twierdzy swojego agenta? Albo gdy obrońcy popełniają błędy, których nie jesteśmy w stanie monitorować i korygować?
Przyszłość należy do monitoringu pracy użytkowników uprzywilejowanych i aktywnego przeciwdziałania nadużyciom z ich strony.
Technology breeds crime and we are constantly trying to develop technology to stay one step ahead of the bad guys.
7yMichał gratulacje - bardzo dobry tekst i trafne spostrzeżenia. "Nie ma takiego muru, którego się nie da przeskoczyć" . Monitorowanie - tak , ale jak tych kilkunastu ludków ma sobie poradzić z analizą w gąszczu informacji ? Rozwiązaniem byłoby instalować produkty z AI oraz współpraca z zewnętrznymi MSSP, którzy wspomogą pracę działów bezpieczeństwa.
Cyber Security Expert (SOC ▪️ pentest ▪️ threat hunting ▪️ DFIR ▪️ forensics ▪️ red teaming ▪️ CERT ▪️ CSIRT)
7y"Niestety w większości przypadków systemy bezpieczeństwa nie pozwalają na ustalenie, jakie dokładnie były cele działania przestępców." -- to kwestia umiejętności wykonania analizy powłamaniowej. Systemy w standardowej konfiguracji można analizować na wiele sposobów.
Cybersecurity (CISSP, GCIH, CEH, LA 27001)
7y100% True. Mam nadzieje, że dobrą praktyką i obowiązkiem staną się systemy PUM/ PIM. Jest to jedna z dróg pomagających wprowadzić dobrą separacje środowiska biurowego i zwykłej pracy administratorów od obowiązków użytkowników uprzywilejowanych mogących zrobić kuku firmie. Innym (dodatkowym ?) rozwiązaniem może być wprowadzenie zewnętrznego partnera MSSP (SOC), który nie jest nieuwikłany w wewnętrzne relacje w firmie a jego zadaniem jest poszukiwaniem wszelkich przejawów nadużyć niezależnie od stanowiska i funkcji w firmie, w tym dobrze zorganizowanych przez doskonale znających wewnętrzne procedury i sposoby ich omijania wspomnianych policjantów....
Michał, niestety moim skromnym zdaniem wszelkie rekomendacje są minimum kilka lat za faktycznym stanem zagrożeń. Mówiąc szczerze obowiązek spełnienia niektórych rekomendacji wręcz uniemożliwia skuteczną ochronę przed targetowanymi atakami. Spróbuję to wyjaśnić. Firmy planują budżety bazując na spełnieniu rekomendacji czyli d..chrony a nie na skutecznej ochronie. Dochodzą do tego działy marketingu wszystkich tak wspaniałych producentów systemów ochronnych, którzy pokazują jak skutecznie spełnić rekomendacje za pomocą, ich jakże wspaniałych rozwiązań. Testy systemów np. antywirusowych pokazują skuteczność wykrywanych wirusów na poziomie powyżej 90% a prawda jest taka, że wykrywalność nowych nieznanych typów ataków jest na poziomie 10-20%. Już jakiś czas temu zrobiłem porównanie gdzie firmy inwestują w zabezpieczenia. Otóż okazuje się, że większość firm inwestuje w standartowy ekosystem bezpieczeństwa (FW, NGFW, IPS, AV, DLP, NAC, Web Security itd.) Zadaniem tych systemów jest niedopuszczenie do zainfekowania, niedopuszczenie do udanego ataku. Następnie po wykryciu infekcji koncentrują się na wyczyszczeniu systemów. A teraz ciekawostka średnio między infekcją a wykryciem tracimy około 203 dni, tzn. chodzimy o białej lasce w naszych systemach. Zwiększając budżet na stary ekosystem nie zwiększymy w znaczny sposób poziomu bezpieczeństwa naszych systemów, firmy powinny jednak przeanalizować dynamiczną zmianę budżetów pod kątem rozwiązań koncentrujących się w na szybszym wykrywaniu infekcji i bardziej skutecznej ochronie. Może trzeba spojrzeć na nowo na cały system bezpieczeństwa anie koncentrować się na rekomendacjach, zdrowy rozsądek przede wszystkim.