Zatiaľ čo kedysi stačilo preveriť vo firemnej sieti niekoľko základných slabín v softvéri, dnes sa už firmy musia brániť sofistikovaným útokom, ktoré kombinujú technické zraniteľnosti so sociálnym inžinierstvom.
Od základky po univerzitu
Organizácie si v súčasnosti objednávajú penetračné testy podľa náročnosti a toho, čo si chcú overiť. Základné testy preverujú konkrétne systémy, aplikácie či infraštruktúru. Sofistikovanejší scenár, ako je red teaming, simuluje komplexný hackerský útok zo všetkých smerov. Špeciálna kategória penetračných testov overuje aj splnenie zákonných smerníc a noriem.
Najnáročnejšou kategóriou sú TLPT testy (Threat-Led Penetration Testing), nazývané ako ultimátny test bezpečnosti. Vykonávajú sa najmä vo finančných inštitúciách a v segmentoch kritickej infraštruktúry. Trvajú aj niekoľko mesiacov a simulujú útoky, ako ich robia vysoko organizované APT skupiny. Testovací tím sa tu snaží preniknúť do systému akýmkoľvek spôsobom, vrátane sofistikovaných kombinovaných útokov, sociálneho inžinierstva a dlhodobej infiltračnej činnosti.
Je to jasné
Cieľ etického hackingu však zostáva stále rovnaký - nájsť zraniteľnosti skôr, ako ich objavia útočníci. A tak testujú aplikácie, riešenia alebo systémy v extrémnych podmienkach. Etickí hackeri skúšajú, ako sa systém správa pri neočakávaných situáciách, či obsahuje nezdokumentované chyby a ako by sa dal zmanipulovať.
Tento proces je hľadanie niečoho, čo ešte nebolo objavené. Hackeri sa snažia donútiť systém, aby sa správal inak, než bol naprogramovaný. Ak sa im to podarí, majú v rukách prienikový bod.
Nástroje sú výborné, ale
Na trhu už existujú nástroje, ktoré dokážu automaticky identifikovať známe zraniteľnosti. Sú naprogramované na vykonávanie konkrétnych útokov, takzvaných exploitov. Čiže v podstate majú v sebe predpripravené zraniteľnosti, ktoré sa dajú využiť. Každý, kto si kúpi nástroj, môže vykonať útok.
Pridaná hodnota kvalitného testovacieho tímu sa však začína tam, kde sa končí výkon týchto nástrojov. Rozdiel medzi automatizovaným útokom a prácou etických hackerov je v kreativite a schopnosti objavovať nové slabiny.
Jadro toho, čo robia kvalifikovaní profesionáli, je vytváranie nových techník a exploitov pre systémy, kde ešte existujú zraniteľnosti, ktoré doposiaľ neboli odhalené a zdokumentované.
Správa z odvrátenej strany
Ak sa dnes niekto rozhodne, že chce byť kybernetický zločinec, nemusí mať hĺbkové znalosti. Kriminálne gangy už fungujú ako organizované podniky, kde si delia prácu. Niektorí programujú malvér, iní ho šíria, ďalší kradnú databázy kreditných kariet a niekto iný ich dokáže speňažiť.
Umelá inteligencia posúva tento model ešte ďalej. Znižuje bariéru vstupu do kybernetickej kriminality a umožňuje menej skúseným útočníkom vykonávať činnosti, ktoré si kedysi vyžadovali roky skúseností. S rozvojom AI bude bezpečnosť ešte komplikovanejšia a obrancovia sa musia, pochopiteľne, prispôsobiť.
AI aj tu
Umelá inteligencia už dnes dokáže analyzovať kód, hľadať zraniteľnosti, generovať phishingové útoky, dokonca vykonávať autonómne útočné operácie. No zároveň pomáha pri obrane – zlepšuje detekciu útokov, opravuje chyby v systémoch a chráni dáta.
Či sa dostaneme do bodu, kde umelá inteligencia bude hackerom aj obrancom zároveň, je otázka času. No jedno je isté – kybernetická bezpečnosť sa už nikdy nebude riadiť len pravidlami ľudí. Rozmachom umelej inteligencie vstupuje do tejto hry niečo oveľa rýchlejšie a nepredvídateľnejšie.
Zraniteľnosť najvyššej priority
Kybernetická bezpečnosť sa posúva od útokov na zariadenia k útokom na dáta. A tam už čoraz menej záleží na tom, kde sa nachádza samotný používateľ. Útočníci sa už nepotrebujú „vlámať“ do konkrétneho počítača. Potrebujú sa dostať k vašim súborom. A pokiaľ sú tieto súbory niekde v cloude, cesta môže byť napríklad cez phishingové útoky.
Sociálne inžinierstvo tak zostáva jednou z najefektívnejších zbraní útočníkov. Riziká na bežných používateľov číhajú na webových stránkach, v e-mailoch, na sieťach aj v neznámych médiách.
Tomáš Horváth
kyberbezpečnostný konzultant Citadelo