Hlavní navigace

Jozef Mareš (Siemens Advanta): Ve firmách, kde není dovoleno pochybovat o nadřízeném, zabezpečení často selhává

19. 3. 2021
Doba čtení: 12 minut

Sdílet

 Autor: Siemens
Ve firmách dnes už nevzniká „stínové IT“ tím, že si zaměstnanci přinesou vlastní hardware. Stínovým IT je Google nebo cloudové řešení od Microsoftu, říká expert na kyberbezpečnost v průmyslových podnicích.

[Partnerský rozhovor a podcast] Kyberbezpečnost průmyslových firem na jedné straně komplikuje velké množství zastaralých zařízení, pro která už třeba ani neexistují bezpečnostní updaty. Na druhé straně to ale firmám hraje trochu do karet: útoky jsou totiž dnes stavěny spíš na nové technologie a na ty zastaralé často nikdo nemíří, říká v rozhovoru pro Lupu Jozef Mareš, odborník na kybernetickou bezpečnost ve společnosti Siemens Advanta.

Velkou výzvou v zabezpečení průmyslových firem je podle něj splývání veřejných cloudových služeb s podnikovým prostředím. Do budoucna to může přinést úplně nové typy útoků, říká. V rozhovoru jsme se věnovali také důsledkům home-office na bezpečnost firemních systémů, tomu, jaké chyby dělají firmy při školení zaměstnanců, nebo aktuální zranitelnosti v Microsoft Exchange.

Část rozhovoru vám nabízíme v textové podobě, celý si můžete poslechnout ve formě podcastu:

Svět momentálně řeší zranitelnost v Microsoft Exchange. Podle odhadů měla zasáhnout nejméně desítky tisíc firem a úřadů po celém světě. Jak se něco takového může stát? Je problém v tom, že firmy software pozdě aktualizovaly, nebo je to spíš problém Microsoftu? 

Jedním z hlavních problémů při jakékoli 0day zranitelnostech je tzv. „patch latency“, tedy za jak dlouho zvládnete instalovat patch. Když jste malá organizace, stáhnete a nainstalujete patch a máte hotovo. Když ale máte desítky tisíc uživatelů, což je typické nasazení Exchange, máte na to nějakou proceduru – musíte patch získat od dodavatele, otestovat jej v testovacím prostředí a následně jej nasadit do produkčního prostředí. A to vám zvyšuje latenci, v některých extrémních případech až o několik týdnů. A po celou tu dobu jste zranitelní. 

A jak se něco podobného může stát? Je to standardní příběh 0day zranitelnosti, kterých tady bylo a bude ještě hodně. Ukazuje se, že klíčové není mít velké množství nějakých „magických krabiček“ s umělou inteligencí a blockchainem a datacentrum plné různých technologií, ale nejdůležitější je umět na incident zareagovat. Neexistuje žádná technologie, která vám jako „stříbrná kulka“, jak říkají Američané, všechny problémy vyřeší. 

Klíčová je schopnost reakce, dozvědět se o problému a snížit na minimum čas potřebný k opravě. Důležité také je mít auditní stopu – ano, problém opravíte, ale jak se dozvíte, že se vám zatím v infrastruktuře neusídlil záškodník? 

Dá se říct, že to je hlavní rozdíl mezi tím, jak si člověk představuje ochranu před kyberútoky u sebe doma – že má třeba firewall, antivir a podobně – a tím, jak se řeší kyberútoky ve velkých průmyslových podnicích? Tím, že ve firmách musí být nastavené všechny procesy tak, aby firma věděla, jak na podobnou situaci reagovat? 

To je dvousečné. V době covidu a home-office se perimetr přesunul ke všem zaměstnancům, takže nás samozřejmě zajímá bezpečnost domácích uživatelů. Když mají nějaký bezpečnostní problém doma, dříve nebo později jej přenesou i do firmy. Je to jen otázka času – nemusí to být týden, ale rok, ale problém se nakonec projeví. 

Ale jinak je samozřejmě významnou odlišností škála. Je rozdíl mezi tím, když si doma v sobotu ugrilujete burger, a tím, když otevíráte McDonald. Jsou firmy, které potřebují řešit problémy pro statisíce až miliony uživatelů. A čím blíž máte k fyzickému světu, ve kterém výroba funguje, tím více závisíte na správných výrobních postupech a procesech. 

V malé firmě můžete mít třeba jen jednoho admina, a když vypadne mail server, je to nepříjemné, rozčílení zákazníci telefonují, ale vy můžete zavolat Frantovi a ten přijde, restartuje server nebo ho přeinstaluje a je to v pohodě. Ale když vás každá minuta výpadku výroby stojí 50 tisíc Kč a vy čekáte, až Franta dorazí, a díváte se na hodiny, jak vám utíká 50 tisíc, 100 tisíc, 150 tisíc… To je situace, kdy si raději zvýšíte hypotetické riziko výměnou za předvídatelnost v řízení rizik. Je to prostě něco za něco. 

Jaké priority tedy průmyslové firmy v bezpečnosti většinou mají? Je to ochrana před výpadky ve výrobě? Nebo ochrana před úniky citlivých interních dat, před průmyslovou špionáží? 

Vypozoroval jsem jeden vzorec. Ve firmách, které mají před incidenty robustní a odolnou ochranu, je kyberbezpečnost řešena jako finanční disciplína. Vaším největším spojencem může být finanční ředitel, protože ve výsledku musíte všechno poměřovat optikou něco za něco. Když si řeknete, že do řízení rizik investujete 100 milionů a ušetříte hypotetických 20 milionů, nikdo vám to nikdy neschválí. Když je bezpečnost dobře řízená, je nudná a řízená jako finanční disciplína. 

Žijeme s mediální představou hackera v kapuci, který buší do klávesnice, ale v reálném světě systém vždy nakonec individuálního útočníka porazí. Jedinec ho může poškodit, i malware vás může krátkodobě poškodit, ale systém prostě tím, že má více energie, která je reprezentována buď kumulativním časem expertů na vaší straně, nebo financemi, které máte k dispozici, vždy tu individuální snahu porazí. 

Z pohledu průmyslových firem je prioritou zachovat nákladovou přiměřenost a profitabilitu. Nejvyšší prioritou je ale samozřejmě bezpečnost zaměstnanců. Informační systémy mají v průmyslu velký průnik do fyzického světa. Například otáčení ramene robota může znamenat nejen to, že něco zničíte, ale můžete někomu fyzicky ublížit nebo ho v extrémním případě zabít. Proto je bezpečnost lidí nejvyšší prioritou a vše ostatní se odvíjí od ní. 

Když přijdete za finančním ředitelem s tím, že mohou uniknout data o výrobě, rozhoduje se opět na základě financí. Je pro nás zásadním problémem, když se někdo dozví, že vyrábíme 100 tisíc kusů něčeho za minutu? Ve skutečnosti to může být hlavně indikátor toho, že někdo může ovlivnit fyzický svět v naší výrobě, což může někomu ublížit. 

Takže k prioritám: hlavní je bezpečnost zaměstnanců. Pak je to integrita provozu. Když budete například nasazovat patch, o kterém jsme mluvili v první otázce, potřebujete vědět, v jakém termínu se instalace bude odehrávat. A pokud to třeba bude až za dva měsíce, úkolem lidí od technologií je říct vám, co se v té době bude dít. Jsme schopní nasadit nějaký intruder prevention system, do kterého vložíme indicator of compromise, nějaký digitální podpis útoku, aby se útočník nemohl dostat ke kritickým systémům? A pokud ne, je opět otázkou správného procesu přijít a říct „takhle to nemůžeme nechat, potřebujeme mimořádnou odstávku výroby“. Až poté jsou na řadě různé úniky dat a podobně. 

Vy už jste to trochu nakousl, ale funguje dnes ještě ve firmách klasické bezpečnostní opatření spočívající v úplném oddělení vnitřních systémů od vnějších, od veřejného internetu a podobně? 

Ano i ne. Největším rizikem pro jakoukoli firmu, a je jedno, jestli jde o banku, energetickou, nebo průmyslovou firmu, je uživatel. Analýzy útoků říkají, že až 70 % z nich jde přes uživatele. Takže to oddělení funguje určitě v tom, že žádná firma není tak chudá, aby si nemohla dovolit dát zaměstnanci pracovní telefon nebo notebook nebo mu přispět na práci z domova. 

Na straně aplikací a systémů je to složitější. Dnes už vám ve firmě nevzniká „stínové IT“ založené na tom, že si zaměstnanci přinesou vlastní hardware. Stínovým IT je pro vás Google nebo cloudové řešení od Microsoftu. Mým oblíbeným příkladem je Trello. Před časem jsem prováděl penetrační test a polovinu informací o firemním prostředí jsem získal z poloveřejné nástěnky v Trellu, kterou někdo nasdílel v pozvánce na videokonferenci. 

U backendu nebo firemní infrastruktury je perimetr v podstatě mrtvý. Ano, můžete mít přísně zabezpečené (hardened) operační systémy, můžete mít na síťové úrovni IDS, IPS, firewally, můžete je mít perfektně segmentované. Ale v posledních asi osmi letech se svět posouvá k tomu, že dostáváte aplikace jako službu. To kompletně rozbíjí perimetr, protože najednou máte půlku firemních dat mimo něj. 

Navíc tu máte integrace, není neobvyklé, že firmy používají k přihlašování do interních systémů účet od Googlu nebo Microsoftu. Mají třeba stovky externistů a pro ty je to pružnější a pohodlnější. Samo o sobě používání těchto účtů problematické není, ale problém je v tom, že jste si smazali hranici mezi svým a veřejným prostředím. 

Nedá se i toto řešit? Zaměstnanci mohou mít speciální přístupové údaje oddělené od svých osobních účtů u Googlu nebo Microsoftu. A velké firmy, které poskytují cloudové služby nebo aplikace jako službu, by měly být schopné chránit své prostředí před útoky. V čem tedy vidíte riziko? 

Z vlastní zkušenosti si troufám říct, že veřejné cloudové služby a aplikace jsou určitě chráněny lépe než cokoli, co si můžete zřídit lokálně. Na druhou stranu, cokoli, co je mimo firemní bezpečnostní perimetr, je ve firmách často mimo kontrolu IT – a nejvíc to platí v konzervativnějších oborech. Pozice IT obvykle bývá: my jsme s tím nesouhlasili, tak se o to starejte sami. To je ale pro bezpečnost obrovský problém. 

Výborně funguje jedna věc, která se ale bohužel moc často neděje. Jde o to, že pokud mají uživatelé tendenci obcházet nástroje, které jim poskytujete, znamená to, že jsou ty nástroje špatné. Měli byste to brát jako zpětnou vazbu, že filesharingový systém, který používáte, je možná mizerný a měli byste ho vyměnit za jiný. Pokud uživatelé nahrávají soubory na Dropbox, přes který je sdílejí s třetími stranami, tak prostě máte problém, který stejně musíte nějak řešit. 

Řekl bych, že procházíme transformační fází, kdy se z řady věcí stává komodita. Aplikace jsou komodita, e-maily jsou komodita, za kterou platíte nějakých 5 eur měsíčně… Je to velmi podobné tomu, když proběhla komoditizace operačních systémů. Není to ani 20 let, kdy běžně existovali sys-admini, kteří se starali o nějakou skupinu serverů. S tím se už dnes ve firmách tolik nepotkáte. Mají je na starosti třeba dev-ops nebo se o ně starají sami uživatelé, anebo je firmy neřeší vůbec a kupují si správu kompletně jako službu. Jak se podobné věci stávají komoditou, IT je nemusí řešit a posouvá se do pozice, kdy musí přinášet nějakou přidanou hodnotu. Podobně to platí i u bezpečnosti.

Zůstaňme ještě u lidského faktoru. V době home-officu stoupá počet pokusů zmást uživatele prostřednictvím spear-phishingu nebo telefonátů. Dá se s tím něco dělat? 

Dobrá zpráva je, že podíl úspěšných phishingových útoků podle našich dat klesá. Jde o jednotky procent za rok, ale je to postupný pokles. Určitě to souvisí s tím, jak se uživatelé vzdělávají. 

Ne, že by útočníci nebyli vynalézaví. Mně osobně se stalo, že jsem dostal spear-phishingový e-mail. Týkal se aplikace, kterou jsme interně používali, obsahoval odkaz, který se tvářil, že je do našeho systému, měl validní DKIM podpis i SFP záznam, zpráva přišla z Microsoft Azure, takže měla vynikající reputaci IP adres a přišla mi rovnou do mailboxu. Ze všech úhlů pohledu prostě vypadala v pořádku, dokonce se týkala témat, která jsem zhruba v tom týdnu schvaloval. U zprávy byla příloha v Excelu s makry. 

Člověk, který byl uveden jako odesilatel, naštěstí seděl vedle mě a já se ho mohl zeptat, co mi to posílá a proč mi to nesdílí přes interní systém. Samozřejmě reagoval, že mi nic neposlal. Ale nebýt toho, nebyl bych asi schopný na základě všech možných pravidel poznat, že ta zpráva není validní, a je velká pravděpodobnost, že bych tu přílohu otevřel, včetně oněch maker. Ve firmě máme naštěstí na podobné věci oddělený virtuální stroj, takže bych okamžitě dostal upozornění, že se něco pokouší o spojení do internetu. Ale ukazuje to, že útočníci jsou stále chytřejší. 

Jediná obrana, která se osvědčila, je kontinuální vzdělávání lidí. To se ale bohužel často děje nejméně vhodnou formou tzv. webových školení, ve kterých musíte odklikat, že už tomu rozumíte. Podle mých zkušeností z firem jde o nejméně účinný způsob vzdělávání. 

Nejvíce funguje, když vezmete omezenou skupinu lidí, třeba deset zaměstnanců, a řeknete jim, ať vám dají svůj e-mail. A pak jim v projekci ukazujete, jak jim jménem jejich šéfa (to si zjistíte na LinkedIn) posíláte zprávu, ptáte se jich, jestli na ní vidí něco podezřelého, a pokud ne, ať na ni kliknou. A hned jim můžete ukázat, že tracking pixel někomu právě potvrdil, že tu zprávu otevřeli. Potom mohou otevřít přiložený dokument – používání makra obvykle povolují úplně automaticky – a vy jim můžete ukázat, jak se spustil reverzní shell a jak vidíte obsah jejich obrazovky. Zároveň se spustí další automatické procesy a já získám kontrolu nad jejich počítačem. 

Takový útok by se samozřejmě nemohl stát, kdyby nedošlo k řadě dalších chyb – měl by ho například odchytit bezpečnostní systém, měl by si ho všimnout Office, který posílá signatury, a podobně. Ale pointa je v tom, že si to všechno uživatel může prakticky vyzkoušet. Musíte na to samozřejmě navázat výkladem, jak mohl poznat, že byla zpráva podezřelá. 

Důležité také je – a to hodně závisí na firemní kultuře – mít možnost pochybovat o svém nadřízeném. Ukazuje se, že tam, kde zabezpečení nejčastěji selhává, je problém v tom, že se lidé bojí zvednout telefon a zeptat se šéfa, jestli jim podezřelý e-mail opravdu poslal. Jasně, pokud by volal příliš často, bude to asi nepříjemné, ale tam, kde je zakázáno o těchto věcech pochybovat, má phishing a spear-phishing extrémně velkou úspěšnost. 

Jak časté vlastně útoky na průmyslové podniky jsou? Když pominu takové ty masové, neadresné pokusy o skenování portů, rozesílání phishingu. 

To je dobrá otázka, ale nikdo na ni asi nemá odpověď. Průmysl z podstaty funguje na dlouhé časové ose. Požíváte třeba plynový chromatograf a výrobce po 15 letech přestane poskytovat updaty pro řídicí jednotku. To ale neznamená, že vyhodíte zařízení, které vás stálo půl milionu eur, i když je to z pohledu bezpečnosti to nejlepší, co byste mohli udělat. Takže na jedné straně máte masu zastaralého hardwaru a softwaru, který ale plní to, co má: funguje a lidé jsou zvyklí s ním pracovat. A na druhé straně jsou útoky, které jsou stále chytřejší. 

Myslím, že útoky jsou častější, než je firmy reportují. Ale na druhé straně se při nich skoro nikdy nic nestane. Je to kvůli další bytostné vlastnosti průmyslu, a tou je, že je založený na odolnosti. Lidé v průmyslu ví, že musí do systémů zahrnovat i fyzickou ochranu. Například většina sprinklerů není postavena na tom, že by v nich teplotu snímalo jedno elektronické čidlo, ale obsahují trubičku s nějakou chemikálií, která při určité teplotě praskne a systém začne hasit. 

Nacházíme se v období, kdy je v průmyslu nasazeno hodně starých technologií, ale útoky jsou stavěné na nové technologie. Tento nesoulad průmyslu trochu hraje do karet. Zároveň se ale prosazují cloudové technologie, IoT, integrace, edge computing a další podobné věci. A s tím přichází komoditní hardware a software, na který jsou útoky přímo cílené. 

Tip do článku - EBF21 tematické bloky

Před dejme tomu osmi lety by bylo velmi složité získat přístup k informacím z průmyslové firmy, dnes to ale může být jednoduché. Znám příklady, kdy firma přešla na cloudové řešení, ale nechala otevřený S3 bucket v Amazon Web Services, kde byly kompletní informace o výrobě. Prostě nevěděli, že je v základu otevřený. Podobné integrace podle mě otevřou úplně novou škálu útoků, které bych nazval pokročilé útoky supply-chain.

Celý rozhovor si můžete poslechnout ve formě podcastu: