Neverhacki ründava turbe teenuse juhina küsitakse minult üsna tihti üks ja sama küsimus: “Kas te siis päriselt häkite ettevõtteid?”
Lühike vastus on jah. Aga mitte päris nii, nagu inimesed arvavad. Me ei häki selleks, et kahju teha. Me häkime selleks, et kahju ära hoida.
Eetiline häkkimine tähendab seda, et me võtame teadlikult ründaja rolli- kontrollitud ja kokkulepitud tingimustes, et leida üles need nõrkused, mida päris ründajad varem või hiljem niikuinii prooviksid ära kasutada. Vahe on lihtsalt selles, et meie teeme seda enne ja aitame need kohad ka ära parandada.
Aga siin on oluline nüanss: me ei testi ainult tehnoloogiat.
Kui turvalisust käsitleda ainult süsteemide ja tööriistade tasemel, jääb pilt alati poolikuks. Tegelik turvalisus tekib seal, kus kohtuvad tehnoloogia, protsessid ja inimesed.Just seetõttu vaatame me alati suuremat pilti. Mis juhtub siis, kui kriis päriselt kätte jõuab? Kas protsessid toimivad ka surve all või lagunevad need esimese tõsise intsidendi korral? Kas turvatiim suudab rünnaku üldse ära tunda või jääb see märkamatuks? Ja kui midagi märgatakse, kas sellele ka reageeritakse õigesti ja piisavalt kiiresti?
Sama oluline on inimfaktor.
Kas töötajad tunnevad ära petukirjad, sotsiaalse manipulatsiooni katsed või ebatavalise käitumise süsteemides? Väga sageli ei murra ründaja sisse läbi kõige tugevama tulemüüri- ta läheb ringiga ja kasutab ära inimese usaldust, protsessi nõrkust või lihtsalt tähelepanematust. Siin tekibki suur erinevus auditi ja päriselulise ründesimulatsiooni vahel.Audit võib öelda, et kõik kontrollid on paigas ja vastavus nõuetele olemas. Kuid päris ründaja ei järgi kontrollnimekirju. Ta otsib kõige nõrgemat kohta ja kasutab seda ära viisil, mida keegi ette ei näinud.
Red Teaming ehk ründestsenaariumite läbimängimine tähendabki seda, et me käitume võimalikult sarnaselt päris ründajale.
Me alustame luure kogumisest, kaardistame sihtmärgi, otsime avalikest allikatest infot. Seejärel proovime leida esmast ligipääsu, liigume süsteemides edasi, tõstame õigusi ja püüame jõuda kriitiliste andmete või süsteemideni. Kõik sammud on realistlikud, järjepidevad ja põhinevad päriselus kasutatavatel meetoditel.Aga kõige väärtuslikum osa ei ole see, et me kuhugi sisse saame.Kõige väärtuslikum on see, et me suudame hiljem täpselt näidata, kuidas see juhtus.
- Milline oli see üks otsus, konfiguratsioon või inimlik eksimus, mis ukse avas?
- Kus olid need hetked, kus rünnak oleks pidanud olema märgatav, aga ei olnud?
- Ja mida tuleb muuta, et sama stsenaarium enam ei korduks?
See viib ühe lihtsa, aga ebamugava küsimuseni, millele iga organisatsioon peaks endalt ausalt vastama:
Kas sa tahaksid teada, et sind on võimalik häkkida enne, kui see päriselt juhtub või alles siis, kui kahju on juba tehtud?
Enamik juhte vastab sellele intuitiivselt õigesti. Kuid praktikas käitutakse sageli teisiti.
Päris rünnakud ei küsi kunagi luba.
Need ei tule ette hoiatusega ega järgi auditi loogikat. Auditid ja tavapärased turvatestid annavad küll kasulikku infot, kuid need ei näita, kuidas ründaja tegelikult liigub kui kiiresti ta edeneb ja milliseid ootamatuid teid ta kasutab.
Red Teaming toob nähtavale just need küsimused, millele tavapärased testid ei vasta:
kas ründaja pääseks üldse sisse? Kui pääseks, siis kui kiiresti ta liiguks edasi? Kas keegi märkaks teda või toimuks kõik vaikselt? Ja kui midagi märgatakse, kas reageeritakse õigesti või kaotatakse kriitiline aeg valede otsuste tõttu?
Selline test ei piirdu ühe süsteemi või rakendusega. See katab kogu ründeahela – alates esmasest ligipääsust kuni hetkeni, mil ründaja jõuab tundlike andmete või kriitiliste süsteemideni. Ja just see terviklikkus teeb selle lähenemise nii väärtuslikuks. Lõpptulemus ei ole lihtsalt raport, mida saab riiulisse panna.
See on selge ja tõenditel põhinev arusaam sellest, kus organisatsioon tegelikult seisab – millised on päris nõrkused, millised stsenaariumid on realistlikud ja milliseid samme tuleb teha, et riski päriselt vähendada.
Tõde on lihtne: kui sa ei tea, kuidas sind rünnata saab, siis sa ei tea ka, kuidas end kaitsta.
Ja veel üks tõde: kui sina ei testi oma vastupidavust, teeb seda keegi teine. Ja tema ei tee seda sinu huvides.