Elisa blogi

Mehis Hakkaja: mis on red teaming ehk kuidas mõista ning testida, mil moel küberkurjategijad su firmat tegelikult ründaks?

Foto: Shutterstock.

“Parim viis ennast küberrünnakute eest kaitsta on harjutada koos usaldusväärse “vastasvõistkonna“ ehk red teaming teenuse osutajaga,“ rääkis 7. oktoobril sama teemaga Elisa TechDay konverentsil üles astuva Clarified Security OÜ asutaja ja tegevjuht Mehis Hakkaja. „Iga organisatsioon, kel on piisavalt, mida kaotada, võiks tänasel päeval seda ennetava meetmena proovida.“

Nagu palju muud leiutised, pärineb ka Red Team vs Blue Team ehk punase ja sinise meeskonna omavahelise mõõduvõtmise kontseptsioon sõjanduse valdkonnast – see kandus sealt edasi küberõppustesse ning sealt lõpuks ka tsiviilmaailma.

Hakkaja märkis, et red teaming erineb muust praktilisest turvatestimisest peamiselt selle poolest, et see hõlmab terve organisatsiooni kõiki aspekte ning kõik toimub päris maailmas: sihtmärgiks on töötajad oma igapäevaste töövahendite ja harjumustega. Protsessi käigus pannakse proovile kõik protseduurid, tehnoloogilised ning organisatoorsed turvameetmed, intsidentide tuvastamise ja neile reageerimise võimekus ning veel palju muud – sisuliselt kogu organisatsiooni koostöövõimekus ning selle kõige nõrgemad lülid.

Nimi Red teaming ehk lööktestimine, mis nagu ka red teaming teenus ise, ei ole Hakkaja sõnul veel piisavalt levinud, et kõik sellest üheselt aru saaksid. See on ka üks põhjuseid, miks Hakkaja on sellest juba aastaid TechDay konverentsidel rääkinud.

„Ainus erinevus päris rünnaku ja lööktestimise vahel on see, et viimast tehakse tellija enda soovil turvalisuse kitsaskohtade leidmiseks, mitte reaalse kahju tekitamiseks. Muidugi, erinevalt päris ründajast annab punane meeskond töö lõpus üle ka detailse raporti koos seonduvate soovitustega ründaja vaatenurgast,“ sõnas Hakkaja.

Kuidas päris kurjategijaid käituvad ja mõtlevad?

Hakkaja sõnul on üheks parimaks ründaja tegevuste ja tunnuste lahti mõtestamise vahendiks MITRE ATT&CK raamistik, mis põhineb sadade tuntud ründajate tegevuse pideval kaardistamisel. Selle põhjal on võimalik planeerida ning simuleerida red teaming teenuse osutamisel konkreetsete ründajate käitumist Tactics, Techniques, and Procedures (TTPs) põhimõtte järgi, kuigi kogu protsessi põhiväärtus ei ole kopeerimisel, vaid pigem värskeimate trendidega kursis olemine nii kaitse kui ka ründe poolel.

„Paljud ründetuvastuslahendused kasutavad ATT&CK raamistikku ründetegevuse hoiatuste kategoriseerimisel ning meie ründajatena saame tellija kaitsjate/tehnikutega rääkida sama keelt, kui kasutame sama raamistikku oma tegevuste kajastamisel,“ selgitas Hakkaja.

“Meie eesmärgiks on leida kliendi ettevõtte küberturvalisuses nõrgad kohad ja demonstreerida, kuidas sel moel võiks ründaja pääseda ettevõtte kõige tähtsamate kroonjuveelideni, kasutades selleks täpselt samu meetodeid, mida päris ründajadki,” selgitas Hakkaja.

Selle saavutamiseks on oluline võimalikult reaalsete olude jäljendamine, mis tähendab ka üllatusmomendi kriitilisust. See eeldab, et ettevõtte küberturbeosakonda üldjuhul ei hoiatata, et tegelikult rünnatakse neid ettevõtte juhtkonna soovil. 

„Rünnakud toimuvad täpselt nagu päris olukorras ning see annab firmale väga hea kogemuse ja tagasiside selle kohta, kuidas reaalses olukorras käitutakse ning mida parandada saaks,“ märkis Hakkaja. „Selleks, et asjad käest ära ei läheks, on tellija poolel alati koordineerimisel abiks ka white team ehk valge meeskond, kes suhtleb nii teenuse osutajaga ning jälgib ettevõtte siseseid arenguid ja vajadusel sekkub.“

“Paljude ettevõtete jaoks on üsna šokeeriv, kui neile esimest korda demonstreeritakse, kui edukad ründajad nende vastu olla võivad. Õnneks paneb selline šokiteraapia ka tõsisemalt tegutsema,” nendib Hakkaja, lisades, et loodetavasti järgnebki tulemuste teada saamisele oma turvataseme ja võimekuse järjepidev tõstmine. 

Ta tõi näiteks Wise’i, kes on palganud Clarified Security end viimase 2,5 aasta jooksul pidevalt ründama, et oma kaitsevõimekust võimalikult ajakohasena hoida ning pidevalt tõsta. „Mis seal salata, eks selline klient sunnib ka meid pidevalt oma taset tõstma,” märkis Hakkaja.

Lööktestimise käigus rünnatakse ettevõtet täpselt nagu päris ründaja seda teeks. See tähendab, et sihtmärgiks on ettevõtte kõige väärtuslikumad varad ning rünnaku käigus lähtutakse vähima vastupanu tee põhimõttest. “Me kaardistame võimalikud ründevektorid ja valime neist järgi proovimiseks muidugi kõige tõhusamad. Just nagu ka päris ründajad seda teevad,” sõnas ta.

Selline rünnakute läbimängimine annab seega ettevõttele kätte mitte ainult enda nõrgad kohad, vaid näitab ka ära, kus inimesed vigu võivad teha ning milliseid tehnikaid ja käike ründajad ohvri nõrkade kohtade leidmiseks ja ründamiseks kasutavad.

„Sõltuvalt kokkuleppest tellijaga ei pruugi rünnakud piirduda ainult kübermaailmaga, vaid võime ära kasutada ka näiteks füüsilise turvalisuse nõrkusi,“ lisas Hakkaja. 

„Samuti ei piirdu lööktestimine ainult ühe rünnakuga, vaid neid teostatakse võimalikult pika perioodi jooksul just seepärast, et nii käituvad ka päris kurjategijad – igast õnnestunud ja ka ebaõnnestunud rünnakust saab ründaja koguda lisainfot, et lõpuks oma eesmärgid saavutada,“ märkis ta ja lisas, et samuti on oluline meeles pidada, et ükski turvameeskond pole mitu kuud järjest kõrgendatud valmisolekus, vaid pigem järgneb see edukale rünnakule või suurenenud rünnakutelainele.

“Ja mõistagi toimub kõik eelnev live keskkonnas ja päris inimestega ehk samal ajal ja kohas, kus ettevõttes igapäevaselt tööd ja toiminguid tehakse,” rõhutas Hakkaja.

Clarified Security meeskond on red teaming teenust pakkunud juba enam kui kümnendi jooksul NATO Küberkaitsekeskuse iga-aastasel Locked Shields küberõppusel ning ka arvukatel muudel enda poolt läbi viidavatel õppustel. Toodangus red teaming teenuse osutamine muutus populaarsemaks oluliselt hiljem ning Clarified Security kliendid selles valdkonnas tekkisid 2018. aastal.

Mehis Hakkaja ettekannet red teaming’ust saad täispikkuses kuulata 7. oktoobril kell 11:40 Elisa TechDay konverentsil.

Märksõnad: , , ,

Populaarsed lood mujal Geeniuses

Ära jää ilma päeva põnevamatest lugudest

Telli Geeniuse uudiskiri

Saadame sulle igal argipäeval ülevaate olulisematest Geeniuse teemadest.