W cyberbezpieczeństwie jak w piłce nożnej – jest atak i obrona [BĄDŹ CYBERBEZPIECZNY]

Niedługo koniec wakacji. Wracając do szkolnych klas lub uczelnianych sal możemy sobie nagle pomyśleć: a może by tak zostać specjalistą do spraw cyberbezpieczeństwa? Co to jednak oznacza? – wyjaśnia w swoim cyklu Grzegorz Boruszewski

Już niedługo niestety skończą się wakacje i zaczniemy nowy rok szkolny, a nieco później – rok akademicki. Atmosfera pracy i nauki udzieli się większości z nas.

A jeśli zapragniemy w pewnym momencie zostać specjalistą ds. cyberbezpieczeństwa? Tak sobie po prostu wymyślimy?

Co to jednak oznacza? Jakie zawody wykonują amatorzy błędów bezpieczeństwa, wirusów komputerowych i ransomware [oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego – dop. red.]?

Podstawowy podział polega na określeniu kierunku działań: symulowanie ataku (tzw. „red team”) lub stricte działania obronne (tzw. „blue team”). Zaznaczam, że nazwy konkretnych zawodów mogą się różnić w różnych firmach, ale opis ich zadań będzie zawsze z grubsza ten sam.

Atak

Pentester – osoba pracująca jako pentester przeprowadza symulowane ataki na całą infrastrukturę lub na wskazane przez zleceniodawcę aplikacje.

Jej zadaniem jest zidentyfikowanie wszystkich zasobów w ramach zadanego celu, określenie, w jaki sposób kontaktują się ze światem zewnętrznym i ze sobą wzajemnie. Ostatecznie pentester diagnozuje, czy w ramach nazwanych i opisanych zasobów występują błędy, które przestępcy mogą wykorzystać do zhakowania jego klienta.

Wyniki swoich badań pentester opisuje w raporcie. Wskazuje, czy to są błędy krytyczne (np. zasoby, które powinny być dostępne tylko po zalogowaniu są dostępne dla każdego w internecie – choćby ostatni incydent w wielkiej firmie dostarczającej prąd), czy raczej drobne błędy, np. w zakresie konfiguracji (w określonym, bardzo trudno osiągalnym scenariuszu wysokiej klasy napastnik może uzyskać dostęp do określonych, niezbyt istotnych danych),

Security researcher – tzw. „bounty hunter”. Niezależny badacz bezpieczeństwa, który testuje aplikacje szukając nowych, nieznanych dotąd błędów i podatności.

Wykorzystując szeroki zasób technik, narzędzi i wysoki poziom własnej wiedzy, poddaje aplikacje wielu ciekawym, w większości nieprzewidzianym scenariuszom. Znalezione błędy zgłasza w zamian za określone z góry wynagrodzenie twórcom aplikacji lub firmom zajmującym się skupowaniem błędów typu 0-day,

Red Teamer – owszem, wszystkie specjalizacje związane z atakiem można określić mianem red-teamowych. Klasyczny Read Teamer ma jednak nieco szersze – również niezwiązane stricte z komputerami – obowiązki. Testuje nie tylko aplikacje i infrastrukturę, ale też procedury i sposób ich przestrzegania. Jego zadaniem jest przełamanie zabezpieczeń firmy – bez względu na to, jak to zrobi. Może przebrać się w kombinezon pracownika firmy energetycznej, może spreparować kampanię phishingową i rozesłać ją do pracowników firmy lub zwyczajnie poprosić nieświadomego lub nieprzestrzegającego procedur pracownika o otwarcie drzwi do firmy.

Członkowie Red Teamów korzystają z narzędzi OSINT (Open Source Intelligence), by lepiej poznać zwyczaje pracowników. Robią to po to, żeby stworzyć celowaną kampanię, jeśli np. pracownicy korzystają z prywatnych mejli w pracy.

Obrona

DevSecOps – osoba zajmująca się tworzeniem i konfiguracją infrastruktury, na której m.in. testowane i udostępniane są aplikacje.

Elementem prawidłowej i bezpiecznej konfiguracji są m.in. automatyczne testy bezpieczeństwa kodu. Jeżeli aplikacja w określonej fazie jej dostarczania nie przejdzie pomyślnie takich testów, nie powinna być udostępniona publicznie, a jej twórcy (programiści) muszą dostać czytelny i zrozumiały raport dotyczący przyczyn takiego stanu. Sama infrastruktura – zarówno w wersji przeznaczonej dla użytkownika (produkcyjna), jak i testowej (m.in. na potrzeby testów zgodności ze specyfikacją) – także bywa „słabym punktem”, w którzy uderzają cyberprzestępcy. Zatem zabezpieczenie samej infrastruktury jest jednym z zadań osoby wykonującej zadania DevSecOps’a,

Operator WAF – Web Application Firewall to ściana ogniowa przyjmująca na siebie analizę ruchu do i z aplikacji internetowej. W zakresie jej obowiązków jest m.in. zablokowanie niechcianego ruchu botów internetowych i podejrzanych zapytań, które, gdyby dotarły do aplikacji, mogłyby spowodować np. ujawnienie poufnych danych lub zawieszenie (niedostępność) usługi. Tego rodzaju aplikacje to bardzo skomplikowane i łączące w sobie całkiem sporo funkcjonalności zasoby.

Dlatego właśnie umiejętność ich prawidłowego skonfigurowania i obsługi należy do bardzo ważnych i potrzebnych kompetencji. Nieprawidłowa konfiguracja spowoduje m.in. brak dostępu do niektórych funkcji aplikacji lub brak skutecznej ochrony przed cyberprzestępcami,

Specjalista w zespole CERT/SOC – Computer Emergency Reaction Team (CERT) to zespół natychmiastowego reagowania na incydenty bezpieczeństwa. Jego pracownicy zajmują się wykrywaniem zdarzeń w ramach chronionej infrastruktury. Jeżeli takie zdarzenie zostanie uznane za incydent, zespół CERT jest zobowiązany podjąć natychmiastowe działania, by zidentyfikować ewentualny atak (incident response). Należy go też przerwać w taki sposób, by można było określić jak najwięcej szczegółów dotyczących m.in. jego autorów i sposobu przeprowadzenia. Informacje, które analizują członkowie zespołu, by identyfikować zagrożenia, pochodzą z urządzeń monitorujących. Może to być np. wspomniany WAF. Podobne do CERT obowiązki mają zespoły SOC – Security Operations Center. Ich kompetencje są jednak nieco szersze i nie skupiają się tylko na reagowaniu na zdarzenia bezpieczeństwa,

Architekt/specjalista ds. cyberbezpieczeństwa – tę funkcję możemy podzielić na dwa niezależne stanowiska, oba bardzo odpowiedzialne i wymagające wysokich kompetencji i doświadczenia.

Pierwsze z nich będzie stricte projektowe, drugie zaś – ogólnofirmowe. Architekt ds. Cyberbezpieczeństwa, pełniący swoją funkcję w wybranym projekcie, konsultuje jego wszystkie założenia pod kątem ich bezpieczeństwa. Jeśli to projekt np. aplikacji, pomaga programistom stworzyć bezpieczny schemat komunikacji pomiędzy poszczególnymi częściami aplikacji oraz zarządza zespołem, w skład którego wchodzi DevSecOps,

Specjalista ds. Cyberbezpieczeństwa, pełniący swoje obowiązki w całej firmie, opracowuje i konsultuje obowiązujące w niej procedury. One opisują m.in., kto i w jakich okolicznościach (np. w wyznaczonych porach) i na jakich zasadach (np. po użyciu identyfikatora) może uzyskać dostęp (tylko odczyt lub modyfikacja) do określonych zasobów firmowych. Osoba zatrudniona na tym stanowisku może też odpowiadać za zaprojektowanie schematu sieci tak, by określone zasoby były odseparowane od innych zasobów (szczególnie ważne w kontekście np. ataku ransomware). Uwzględnia też schematy tworzenia, utrzymywania i testowania kopii zapasowych, dodawania i usuwania urządzeń w sieci, zarządzania kontami użytkowników, dostępem zdalnym itp. To stanowisko, ze względu na obszerny zakres obowiązków, może być dzielone na inne, nieco bardziej profilowane. Bardzo często należy też do stanowisk kierowniczych w firmie,

Analityk cyberzdarzeń – taka osoba bardzo często pracuje dla firm tworzących zabezpieczenia, np. dla twórców programów antywirusowych. Programy odpierają ataki głównie na podstawie tzw. sygnatur – swego rodzaju szczepionek. Sygnatury są tworzone na podstawie plików otrzymanych przez zaatakowanie systemu. Aby móc rozpoznać i zablokować także te nieznane jeszcze wirusy, dokonuje się analizy behawioralnej. To w istocie swego rodzaju „ogólny opis działania” złośliwych aplikacji. Specjalista, który dostaje próbkę takiego kodu, dokonuje analizy wstecznej. Zaczyna się od dekompilacji, czyli przełożenia programu z wersji rozumianej przez komputer na kod nadający się do przeczytania i sprawdzenia. Następnie kod poddawany jest deobfuskacji – usuwa się z jego treści efekty „zaciemniania” kodu użyte przez jego twórców celowo, by utrudnić zrozumienie i analizę programu.

W kolejnym kroku, dzięki doświadczeniu i zaawansowanej wiedzy nt. języków programowania oraz systemów operacyjnych, analityk ocenia, czy i jak złośliwy kod ingeruje np. w zabezpieczenia systemu operacyjnego. Taka wiedza pozwala tworzyć i wzbogacać ogólne schematy funkcjonowania malware (złośliwego oprogramowania). Dzięki niej można także użyć algorytmów AI (sztucznej inteligencji) do walki z cyberprzestępcami.

Grzegorz Boruszewski

specjalista ds. cyberbezpieczeństwa, współpracuje z firmą Orange Polska jako ekspert działu rozwoju i transformacji technologii bezpieczeństwa, pentester, członek ISSA Poland

E-WYDANIE TYGODNIKA KRĄG

FacebooktwittermailFacebooktwittermail

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Skip to content