Posvuda se nešto promatra ili nekog špijunira, ali oduvijek je tako bilo, samo se prosječnom radniku, menadžeru ili bilo komu drugom zbog tehnologije čini da je to danas izraženije nego ikad. Katkad nam se čini da su tvrtke gotovo dovedene u položaj, ili će uskoro biti, da moraju osnovati vlastite kontraobavještajne službe kako bi spriječile napade na sebe, bilo zbog kibernetičkoga kriminala bilo zbog industrijske špijunaže konkurencije ili djelovanja kriminalnih organizacija protiv njih.
Što se događa drugima…
Naravno, ne treba ni paničariti ni potpirivati teorije zavjere jer, kako reče onomad Miroslav Krleža, ‘nigdar ni bilo da ni nekak bilo, i nigdar ne bu da nekak ne bu‘ (što je svakako lakše napisati nego izgovoriti jednom nezagorcu), pa je tako i s napadima na kompanije – i nakon njih gospodarstvo će postojati. E, ali često se upotrebljava i ona ‘nemoj samo mene, pa kak bu‘ iako, zapravo, trebamo razmišljati da smo uvijek mi potencijalna meta. Tako nas ovo mudrovanje ipak na kraju navodi na to da moramo unaprijed misliti tko bi nas (našu tvrtku) i zašto mogao napasti. Pogotovo jer su protivnici iznimno dobro skriveni, i to najčešće zato što upotrebljavaju legitimne vjerodajnice i alate, što braniteljima otežava otkrivanje kršenja sigurnosti. Pomalo zvuči jezivo podatak da je do sada najbrži kibernetički napad završen u dvije minute i sedam sekundi. Drugim riječima, otišao si u WC tijekom straže, a neprijatelj je već prodro u tvoju kompaniju.
Mali najranjiviji
U svijetu je već poznat pojam threat intelligence (TI). Riječ je obavještajnim podacima koji se prikupljaju i analiziraju, nakon čega kompanije reagiraju na prijedlog svojih sigurnosnih službi. Što prije, to bolje, iako znamo za mnogo slučajeva u kojima su zakasnile reagirati ili su reagirale kasno. Najranjivije su male kompanije koje nemaju dovoljno novca, a njihovi menadžeri vjerojatno nisu ni svjesni da treba preventivno djelovati protiv napada. Nekako nam se čini da ni odgovorna istražna tijela nemaju posebno velikog interesa istraživati napade i špijuniranja manjih kompanija. No svaka kompanija može, ako ništa drugo, unajmiti specijalizirane IT kompanije koje će za njih obaviti posao prikupljanja obavještajnih podataka o mogućim napadima ili špijuniranju organiziranih kriminalaca ili pak konkurencije.
Eksplozija AI prijetnji
Pretražujući internet, vidimo da su prijetnje prošle godine eksplodirale, i to one potpomognute generativnom umjetnom inteligencijom. Uza sve prednosti koje ima, generativni AI može također stvarati lažne informacije, slike ili videozapise i tako pomoći manipulaciji, obmani i zloupotrebi, što može imati ozbiljne posljedice na društvo i pojedince. S pomoću umjetne inteligencije napadači upotrebljavaju nove tehnike za bržu provalu kao što su krađa identiteta, društveni inženjering i kupnja legitimnih vjerodajnica od brokera kako bi dobili pristup. Popularne postaju taktike kao što su zamjena SIM kartice, zaobilaženje višestrukom provjerom autentičnosti (MFA) i korištenje ukradenih ključeva za programsko sučelje aplikacije (API) za dobivanje početnog pristupa. Očekivano, lopovi su se prilagodili i smislili nove taktičke napade, što sve potencijalne žrtve moraju uzeti u obzir pa prikupljati podatke o potencijalnim i stvarnim napadačima. Rekli smo, riječ je o threat intelligenceu, tj. prikupljanju obavještajnih podataka kako bismo analizom pribavili informacije i izvijestili upravu ili direktora kompanije o akcijama provedenima protiv nje. Naravno, izvješće podrazumijeva i prijedlog zaštite od potencijalnih napada ili onih koji su već počeli.
Kako TI funkcionira
Threat intelligence u širem smislu znači prikupljanje i analiziranje podataka i informacija o napadačkim aktivnostima kako bismo njihovim korištenjem složili bolju obranu. Obuhvaća podatke kao što su pokazatelji kompromitacije (engl. indicators of compromise – IOC), oni o zlonamjernim IP adresama, domenama, URL-ovima, tehnikama, taktikama i procedurama napada i sličnom. Za razliku od TI-a, cyber threat intelligence (CTI) usredotočuje se na kibernetičke prijetnje i primarno se bavi analizom incidenata te napadačkih taktika i tehnika. Kakva će pak biti analiza, ovisi o suradnji ugrožene tvrtke s onima koje su uključene u analizu podataka. Kako nam je jednom na tu temu rekao sugovornik, dobro postavljeno pitanje pola je odgovora. Iako je o prijetnjama dostupna golema količina informacija, riječ je o neobrađenim podacima koji, da budemo malo grubi, ničemu ne koriste te zahtijevaju iscrpnu analizu i pročišćavanje prije nego što postanu obavještajni podaci koji se mogu upotrijebiti za potporu odlučivanju.
Ponuda i potražnja
Kolika je danas potreba za time, možda dovoljno govori podatak s Microsoftove internetske stranice da se njegova zajednica (kako opisuje skup svojih ljudi jer se ne može govoriti o timu) threat intelligencea sastoji od više od osam tisuća stručnjaka svjetske klase, sigurnosnih istraživača, analitičara i lovaca na prijetnje koji svakodnevno analiziraju 65 trilijuna signala kako bi otkrili prijetnje i pružili pravodoban i relevantan uvid u zaštitu klijenata. Iako je kod nas TI još novost, usluge te vrste sve su traženije. Na to su tvrtke jednostavno primorane jer, htjele to ili ne htjele, kako smo naveli, tehnološke mogućnosti ljudi iskorištavaju u dobre svrhe, ali i u loše. Kako tehnologija bude napredovala, tvrtke će sve više tražiti usluge threat intelligencea, što je korak do osnivanja kontraobavještajnih službi. Ne želimo biti zloguki prognostičari, ali i njegova primjena to nam praktično potvrđuje. Kada smo prije pisali o toj temi, puno su nam pomogli stručnjaci iz CARNET-a, kao i mlađi specijalist za kibernetičku sigurnost Ante Marić (Duplico) i analitičar za kibernetičku sigurnost Mate Matijašević (Span), koji su također spominjali alate koji se upotrebljavaju u sklopu tog procesa.
Teško je reći koji su najbolji alati za obranu od npr. kibernetičkih napada. Naši stručnjaci govorili su nam o tome da izbor alata ovisi prije svega o specifičnim potrebama, ali i mogućnostima. Poželjno je da se ti alati mogu jednostavno integrirati s drugima kako bi zajedno tvorili sigurnosni sustav krojen prema već poznatome modelu slojevite zaštite.
Važni alati
Nekoliko je osobito važnih alata, poput SIEM-a (engl. security information and event management), kojim se prikupljaju velike količine podataka o događajima na računalima, serverima, mrežama i aplikacijama. To uključuje pokušaje prijave, promjene konfiguracija sustava ili otkrivanje sumnjivih aktivnosti. Marić nam je objašnjavao da je SIEM posebno koristan zato što može povezati različite vrste podataka i otkriti neuobičajene uzorke. Vizualizacijom tih podataka može alarmirati IT osoblje o sumnjivom događaju. Za razliku od SIEM-a, TIP (engl. threat intelligence platform) prikuplja informacije iz različitih izvora diljem interneta o poznatim kibernetičkim prijetnjama. To mogu biti podaci o virusima, zlonamjernom softveru, hakerskim skupinama koje napadaju organizacije u specifičnoj industriji i slično.
CARNET-ovi stručnjaci rekli su nam da imaju pregršt komercijalnih alata koji postoje na tržištu, no nisu željeli preporučivati koji je najbolji, savjetujući korisnicima razne alate otvorenoga koda koji su već poznati sigurnosnoj zajednici. Nema najboljeg alata, naglasili su, jer u praksi ne postoji samo jedno rješenje ili alat koji nudi potpunu zaštitu. Kibernetička sigurnost neprekinut je proces: uspostava, održavanje, mjerenje, poboljšanje, učvršćivanje svih tehničkih i ljudskih aspekata sigurnosti u stalnome cikličnom procesu. Osim što treba ulagati u tehničke mjere zaštite, treba podizati svijest i educirati korisnike sustava o mjerama zaštite, kibernetičkoj higijeni, pravilnom i sigurnom korištenju sustava. Za to nam trebaju jasna, razumljiva i pisana pravila koja nam taj proces oslikavaju i omogućavaju lakše praćenje zrelosti i otpornosti sustava i korisnika u kibernetičkom prostoru.
Lovci na ranjivosti
Često se u obrani od napada angažiraju lovci na prijetnje. Riječ je o aktivnim procesima kibernetičke sigurnosti u kojem obučeni pojedinci aktivno traže, identificiraju i izoliraju napredne prijetnje koje izbjegavaju postojeća sigurnosna rješenja unutar sustava neke organizacije (kompanije). Često se lov na prijetnje i obavještavanje o prijetnjama primjenjuju zajedno. Zapravo, teško je učinkovito tražiti prijetnje bez dobrih obavještajnih podataka. Kako nam je rekao Marić, slično kao što održavanje doma ili automobila zahtijeva redovito čišćenje i održavanje, IT infrastruktura također treba pozornost kako bi ostala sigurna od kibernetičkih prijetnji. Tu ulogu u kibernetičkom svijetu izvršavaju alati za upravljanje ranjivostima koji pronalaze, procjenjuju i određuju prioritete problema kako bi uklonili i najmanje nedostatke u IT sustavima organizacije. Kad se nedostaci pronađu, ti alati kreiraju detaljne izvještaje o kojim se ranjivostima radi te često opisuju i načine kako se mogu sanirati.
Kako je s najčešćim kiberprijetnjama, tako je i s drugima, uključujući one fizičke, pa prikupljanje obavještajnih podataka u budućnosti može biti samo jedna od ključnih aktivnosti kompanija. Eto, dotle smo došli, no s tim nam valja živjeti.