U minimiziranju cyber-napada ključna je uloga javnosti. Upravo tu pojavili su se propusti

U seriji cyber-napada na hrvatske institucije najviše su nedostajala izviješća o napadačima i karakteristikama napada koja bi stručnjacima za sigurnost omogućila pripremiti se i prepoznati buduće sčične napade istih napadača, piše Damir Paladin. U prvom dijelu članka objašnjava da su suvremeni cyber-napadači već organizirani kao velike i razvijene tvrtke s odjelima istraživanja, egzekucije, upravljanjem novcem

• Autor se više od tri desetljeća bavi informacijskom sigurnošću. Predavao je na Fakultetu organizacije i informatike (FOI), a vlasnik je tvrtke Borea.

Cyber-napadi su u proteklih nekoliko tjedana nezaobilazna tema u hrvatskim medijima. Krenulo je napadima na web-stranice Ministarstva financija, Porezne uprave, HNB-a, Zagrebačka burze … Eskaliralo je razornijim napadom na Rebro, Zagrebački holding i kasnije na zračnu luku u Resniku. Početkom godine napad je paralizirao HANFA-u, a prošle godine su napadnuti HAK i Hrvatske vode. Cijelo su vrijeme napadane i hrvatske tvrtke, koje ulažu velike napore i visoke svote u oporavak i normalizaciju rada, što nije uvijek vidljivo u javnosti.  Novi je moment to što su napadi  ugrozili javnu infrastrukturu i utjecali na građane/korisnike te infrastrukture, a ne samo na poslovne subjekte. Otkako su službena tijela potvrdila da su napadi povezani s hibridnim prijetnjama iz Rusije, što je do sada bilo donekle ograničeno, jasno je da žrtve cyber-napada možemo postati svi.

Za početak, objasnimo zbog čega se ovakvi cyber-napadi događaju, odnosno zašto uobičajena primjena standardnih anti-malware programa, danas instaliranih na gotovo svakom računalu u svijetu, nije dovoljna?

Standardni anti-malware, odnosno anti-virusni programi, kako ih češće nazivamo, efikasni su samo u zaštiti od tradicionalnih malicioznih  programa – virusa koji se u široj primjeni pojavljuju devedestih godina prošlog stoljeća. Način djelovanja tradicionalnih virusa je različit od naprednih cyber–prijetnji kojima smo danas izloženi.  Tradicionalni virusi su djelovali na jednostavan način. Inicijalna kontaminacija je dolazila, najčešće, kroz dokumente (ponekad i preko disketa – vjerujem da ima čitatelja koji će se toga prisjetiti) koji su stizali iz zaraženih točaka prethodno poznatih krajnjim žrtvama. Eventualno, dolazili su iz izvora koji su žrtvi ulijevali lažno povjerenje – to su bili zametci kasnijih phishing napada o kojima se prije nije puno govorilo. Nakon ulaska u sustav, maliciozni pothvat virusa bio je jednostavan i brz, izveden pomoću funkcija ugrađenih u programski kod samog virusa. Takav način djelovanja je za proizvođače antivirusnih programa bio lak zadatak. Indikatori novih sojeva virusa ažurirali su se više puta tokom dana pa su antivirusni programi bili prilično uspješni.

Stutnext je inicijalno bio usmjeren na iranska nuklearna postrojenja ali je poslije korišten za napade i na druge ciljeve.

Pojava naprednih malware programa ili, kako ih nazivamo, naprednih perzistentnih prijetnji (advanced persistent threat) negdje oko 2010-tih (u laboratorijima i vojnim operacijama pojavljuju se i koju godinu prije – sjećate se Stuxneta?) mijenja pravila igre i to prije svega zbog eksponencijalnih promjena u načinu korištenja računala i informacijskog sustava. Internet je postao nezamjenjiv dio ekosustava, on-line servisi postaju dio poslovnih procesa, a aplikacije evoluiraju u sveprisutne, kompleksne i međupovezane sustave.

Inicijalna se kontaminacija naprednim prijetnjama ostvaruje slanjem poruka s malicioznim privitkom u složenim scenarijima socijalnog inženjeringa, koji mogu zavarati i najsvjesnijeg korisnika.  U nekim slučajevima privitak nije ni potreban – žrtvu će se uvjeriti da posjeti neku web stranicu s kontaminiranim sadržajem. U prvoj se fazi inicijalne kontaminacije preuzima jedan ili dva maliciozna programa, koji će se ubrzo nakon preuzimanja izvesti, baš kao i tradicionalni virusi. No, za razliku od tradicionalnih virusa, izvođenje malicioznih programa koji su preuzeti u inicijalnoj kontaminaciji ima samo jednu glavnu zadaću: povezati se sa udaljenim nadzornim serverom koji se nalazi u operativnom centru te poput discipliniranog spavača primati povremene naloge o sljedećim koracima. Pored toga, instalirani maliciozni program će kao prvi korak izmijeniti sistemske postavke kako bi se aktivirao i idući dan, nakon što žrtva ponovo uključi računalo. U svakom slučaju, proći će neko vrijeme dok ‘spavač’ odradi dodatne zadaće koje će biti veoma vrijedne za njegove ‘gazde’ – otkriti administrativne račune i njihove zaporke, proširiti ovlasti djelovanja, prikupiti dodatne informacije o mreži žrtve, proširiti se po drugim računalima, saznati gdje su povjerljivi podaci, pripremiti mehanizam za eksfiltraciju velike količine podatka. To razdoblje može trajati i do nekoliko mjeseci. ‘Spavač’ se koristi najčešće uobičajenim modulima ili funkcijama operativnog sustava tako da njegove aktivnosti ne izazivaju sumnju niti je žrtvi lako prepoznati eventualne anomalije.

Tek kada je ‘spavač’ – odnosno njegov ‘gazda’, posložio sve kockice kreće završni napad, ovisno o motivaciji napadača: zaključavanje podataka uz zahtjev za otkupninom, krađa povjerljivih podataka, brisanje podatka ili kombinacija svega navedenog. Dakle, ako se ne spriječi inicijalna kontaminacija kroz djelovanje anti-malware sustava ili kroz reakciju svjesnog korisnika koji će znati prepoznati pokušaj socijalnog inženjeringa, mala je šansa da će se to napraviti u sljedećim koracima.

Nekoliko dodatnih faktora olakšava inicijalnu kontaminaciju naprednim prijetnjama:

• Anti-malware zaštita nije svemoguća: Dugogodišnja i potpuno opravdana prihvaćenost anti-virusnih (anti-malware) sustava za sprječavanje tradicionalnih virusa proizvela je svojevrsni osjećaj ovisnosti i beskrajnog povjerenja u ove sustave. Dinamika pojave novih sojeva naprednih malicioznih programa takva je da proizvođači anti-malware sustava ne uspijevaju ugraditi provjere na sve indikatore. I ne samo to – napredni malware programi mogu na jednostavan način zaobići kontrolu kada se jednom smjeste na računala.
• Računalne ranjivosti su konstanta: Koliko god su programi napredniji, oni redovito sadrže skrivene ili manje skrivene nedostatke. Ponekad su to programski bugovi u komercijalnom softveru, često i bez dostupnog popravka, ponekad su to neadekvatno konfigurirane komponente, primjerice sistemsko dopuštanje za korištenje kratkih i jednostavnih zaporki, ponekad je to nepažljivo razvijena aplikacija koju smo pustili u produkcijski rad bez detaljnog testiranja. U svakom slučaju, broj računalnih ranjivosti ne opada. Kada napadač prepozna program koji je žrtva propustila ažurirati, takvu priliku ne propušta. Za napadače su još vrijednije brojne konfiguracijske nedorečenosti ili dvojbene postavke koje pogoduju malicioznim programima, često opasnije od računalnih ranjivosti. Napadačima naruku  ide i to što su organizacije veoma inertne kada je u pitanju otklanjanje takvih nedostataka.
• Sigurnosni propusti u programima trećih strana: Današnji informacijski sustav  u velikoj je mjeri ovisan o komponentama i, često, kompleksnim sustavima koji se pribavljaju iz eko-sustava od trećih strana ili preuzimaju kao open source paketi. No sigurnosni propusti u takvim paketima se pojavljuju gotovo svakodnevno. Prvi veliki primjer je malware NotPetya kojim su Rusi napali ukrajinsku infrastrukturu u 2017, a u inicijalnoj fazi je iskorišten jedan komercijalni financijski paket. Još i danas su prisutne ranjive verzije open-source paketa Log4j čija je ranjivost otkrivena u 2021., a jedan od posljednjih zvučnih slučajeva o kojima se još priča bila je kompromitacije softvera proizvođača SolarWinds iz 2020, koju su izveli pripadnici ruske obavještajne službe, što je rezultiralo provalom u brojne državne institucije i agencije širom svijeta kao i u velike tvrtke. Nedavni slučaj CrowdStrike, iako za sada nema govora o namjernom djelovanju, dodatno ukazuje na rizičnost ove međuovisnosti.

Još i danas su prisutne ranjive verzije open-source paketa Log4j čija je ranjivost otkrivena u 2021. (Izvor slike: Švicarski National Cyber Security Centre)

Da bi se objasnila rizičnost koju uzrokuju napredne prijetnje treba nešto reći i napadačima koji stoje iza njih. Napadači koji su se služili prvom generacijom virusa bili su gotovo romantičari. U njihovom je slučaju korištenje pojma hacker odražavalo izvorno značenje, a najčešće se radilo o  osobama s nadprosječnim tehničkim znanjem i  pojačanom motivacijom koja se kretala od potrebe za dokazivanjem do dobronamjerne želje za popravkom onoga što bi trebalo popraviti. Naravno, bilo je tu i malicioznih motiva. Neki napadači su imali višak poriva za destrukcijom, a nije nedostajalo i onih koji su u takvim situacijama vidjeli priliku za dobru zaradu. No, način rada maliciozno motiviranih napadača ostajao je u okvirima kućne radinosti.

S druge strane, kod napadača koji danas stoje iza naprednih cyber-prijetnji možemo prepoznati pomak i u sposobnostima i u namjerama. Krug romantičarskih hakera iz tradicionalne faze virusa proširio se novom generacijom kojoj su nove tehnologije postale dodatni izazov. Na raspolaganju su raznovrsni mehanizmi za učenje i testiranje tehnika napada, a međusobna povezanost kroz forume i društvene mreže omogućila je dijeljenje znanja o usvojenim vještinama i kreiranje paralelnog svemira developera.

Da ne ostane sve na romantičarskim temeljima pobrinuli su se investitori, ali ne investicijski fondovi i poslovni anđeli. Prije svega, to su specijalizirane državne agencije koje su u cyber-prijetnjama vidjele oružje za političke ciljeve i element ratovanja, te kriminalno podzemlje kojima je cyber-kriminal postao značajna niša za proširenje djelatnosti. Naravno, i neki pripadnici hakerske zajednice fokusirali su se na organizacijski aspekt svojeg djelovanja, bez posrednika iz kriminalnog miljea.

Svakako je i korištenje kriptovaluta, danas glavni način naplate ucjena, ransomware, djelovalo kao katalizator u razvoju cyber-kriminala, s obzirom na to da se njima može  značajno prikriti trag zarade koju napadači ostvaruju.

Bez pretjerivanja se može reći da je zajednica koja stoji iza naprednih cyber-prijetnji organizirana kao svaka institucija ili tvrtka u modernom poslovanju, s odjelima za istraživanje i razvoj novih tehnika napada i osobito obrane, s proizvodnim odjelima koji kreiraju učinkovita cyber-oružja, s operativnim odjelima koji se brinu o izvedbi napada i s financijskim odjelima čija je zadaća oprati maksimalne iznose kriptovaluta zarađenih u operacijama. Državnim institucijama, naravno nije u fokusu briga o pranju novca (osim onima iz Sjeverne Koreje), ali moraju znatno više uložiti u razvoj cyber-oružja zbog toga što što ciljaju na žrtve sa jačim obrambenim zidom.

U svakom slučaju, obje zajednice ne štede na razvojnom proračunu i pretpostavljam da nešto lakše svladavaju problem kadrovskog  popunjavanja IT osoblja.

Napadom na KBC Zagreb počela je rasti svijest o tome koliko mogu biti opasni. (Foto: Sandra Šimunović/Pixsell)

Sada kada smo opisali kontekst kroz koji je manifestacija modernih cyber-napada olakšana i ubrzana, vratimo se na recentna zbivanja u Hrvatskoj. Nama koji se dulje bavimo kibernetičkom sigurnošću ovo je dobra prilika za analizu kako se u javnosti ta tema obrađuje i prikazuje te koje pouke svaki savjestan korisnik i, osobito, korporativni manager može izvući iz događaja da bi unaprijedio sigurnost svoje tvrtke.

Mediji su u obradi ovih događaja za šire čitateljstvo/gledateljstvo osobito naglasili njihovu dramatičnost, neizbježnost i tešku obranjivost koji samo što ne eskaliraju u nešto gore, što je naravno značajno uvjetovano instinktom urednika i njihovim afinitetima za dramatičnim i gotovo katastrofalnim događajima. Nažalost, i stručni pogled koji su o nedavnim cyber-napadima u medijima pružili kvalificirani sugovornici također je ostavljao zaključak o bespomoćnosti, nadamo se samo zbog dramatičnosti trenutka, a ne zbog nekompetentnosti sugovornika. Nismo imali prilike vidjeti analize koje bi iz ovih događaja izdvojile ključne informacije i pružile novo znanje svojim čitateljima, osobito alternativno mišljenje o mogućnosti zaštite od cyber-prijetnji.

Kako uopće stoje stvari sa obranom od cyber-prijetnji? Je li moguća obrana, uzimajući u obzir i kompleksnost naprednih prijetnji i slijepe točke antivirusne zaštite u poslovnom okruženju, te sve manjkavosti informacijskih sustava?

Zaštita od cyber-prijetnji je moguća, naravno ne i stopostotno zajamčena, ali prije svega kroz niz preventivnih mjera i procesa koje svaka tvrtka mora uspostaviti, a tek sekundarno kroz skupe next generation anti-something sustave. Zaštita kroz preventivne mjere može se postići samo uz strpljiv rad i napuštanje zone komfora za mnoge sudionike i korisnike informacijskih sustava što, na žalost, stvari čini često prezahtjevnim, pa su takve inicijative često unaprijed osuđene na propast. Ipak, u nastavku ću predstaviti takve mjere i identificirati glavne prepreke u njihovom ostvarivanju.

Preduvjet za kvalitetnu preventivnu zaštitu je dobro poznavanje informacijske imovine, ili – kako se popularno kaže – IKT imovine kojom se koristimo te poznavanje gdje je ta imovina smještena – prije svega logičke/mrežne pozicije. Čak i  organizacije koje za sebe misle da nisu kompleksne veoma često ostaju iznenađene mrežnim uređajima koje otkriju kroz takvu inventuru. Sljedeći ključni korak je upoznavanje poroznosti evidentirane informacijske imovine, odnosno identifikacija i popis prisutnih računalnih ranjivosti i neadekvatnih konfiguracijskih postavki, koje smo obrazložili na početku članka. Posebna zadaća je inventura svih korisničkih računa na sustavima, detekcija onih s administratorskim ovlastima i redukcija takvih na minimalan broj.

Ako te zadatke dobro provedemo upoznat ćemo sva mjesta gdje smo izloženi potencijalnim napadačima i, što je jednako važno, znat ćemo slabe točke naših sustava. Dobit ćemo orijentacijsku mapu budućih aktivnosti, na temelju kojih ćemo razviti plan postupanja. Ovaj plan mora biti utemeljen na visini rizika svake kategorije nedostataka te u skladu s radnim kapacitetima s kojim raspolažemo, ne na frontalnom djelovanju u svim pravcima. Tek tada ćemo biti spremni za početak otklanjanja nedostataka.

Ovo svakako zvuči jednostavno i obećavajuće (što možemo više poželjeti od jasnog popisa preventivnih mjera?), ali na putu se pojavljuje niz prepreka. U nastavku opisujem neke najprisutnije.

Privrženost uhodanim načinima razmišljanja smanjuje oprez. Slučaj CrowdStrike uzdrmao ogroman broj korisnika Microsoftovih proizvoda uvjerenih da su zaštićeni od svih problema.

Neprijatelj svake nove inicijative je privrženost uhodanim radnim navikama i ustaljenom načinu razmišljanja. Na području obrane od cyber-napada to vidimo kroz neiskorijenjenu prisutnost uvjerenja o svemogućnosti anti-malware zaštite. Nadalje, vlada uvjerenje da je postojeći mehanizam ažuriranja programskog koda ugrađen u funkcije Windows operativnog sustava potpuno učinkovit, pri čemu se zanemaruju brojne okolnosti koje sprječavaju primjenu svih popravaka i osobito se zaboravljaju nedostaci u programima koji nisu dio Microsoft svijeta, a veoma su popularni među napadačima. Kada se ovom uvjerenju pridoda činjenica da se mnoge organizacije još nisu direktno suočile s cyber-napadima što rezultira razmišljanjem „neće nas nitko napasti“ (do ekstremnog razmišljanja da je opasnost od cyber-napada predimenzionirana – možda kao i u slučaju covida?) onda su jasni uzroci nedovoljne percepcije cyber-rizika ili čak njihove relativizacije i redukcije. Dakle, jedan od prvih uvjeta za provedbu preventivnih mjera je promjena paradigme kada su u pitanju uhodane prakse rada.

Drugi glavni neprijatelj proaktivnog pristupa su interni organizacijski problemi koje ima gotovo svaka IT služba, a što se preslikava na poslovanje cijele organizacije. U tom kontekstu, možemo ih nazvati i internim ‘političkim’ problemima. Organizacija rada unutar IT službi je veoma često opterećena odnosom nositelja pojedinih funkcija, administratori često imaju privilegij odabrati vlastite prioritete, a sigurnosne mjere nisu uvijek pri vrhu. Imamo i problem nejasne alokacije proračuna za rad IT-a u kojoj informacijska sigurnost često ostaje gubitnik. Ne manje važna je činjenica da sigurnosne mjere mogu zahtijevati promjene ponašanja korisnika – npr. učestala promjena kompleksnih zaporki koje moraju imati 15 znakova, pa se nerijetko izbjegavaju inzistiranje na složenijim mjerama. Iz svih navedenih razloga, osoba ili tim koji je definirao plan za provedbu mjera obrane od cyber-prijetnji suočava se, najblaže rečeno, manjkom entuzijazma osoba koje bi trebale provoditi ove promjene. Ključni mehanizam za otklanjanje tog nedostatka je na upravljačkim tijelima koje bi trebalo dati pune ovlasti osobi zaduženoj za cyber-mjere za provedbu ovih postupaka. Uzimajući u obzir novu regulativu – NIS2, koja predviđa visoke kazne za organizacije i za odgovorne osobe, upravljačka tijela a posebno glavna odgovora osoba ovog tijela i neće imati drugog izbora nego ući u ovaj proces bez kompromisa.

Naravno, treba znati da preventivne mjere, čak i kad ih podebljamo s anti-malware sustavima te Endpoint detection and response (EDR) sustavima imaju svoje ograničene dosege. Letvica može biti postavljena jako visoko, ali nekim napadačima i dalje dostižna. Stoga, preventivne mjere moraju biti dopunjene mjerama redovitog nadzora rada svih ključnih komponenti sustava i analizi takvih informacija – dojava sigurnosnih modula kao što su anti-malware i EDR, dojava o anomalijama u radu korisnika, dojava o anomalija u korištenju aplikacija, pregled logova operativnih sustava… Takve mjere moraju biti unaprijed planirane, pripremljene i uvježbavane, što također zahtjeva znatan organizacijski napor.

Nažalost, nadzor sigurnosnih događaja bit će učinkovit samo ako ste adekvatno kadrovski popunjeni, što je za mnoge organizacije neostvariv cilj. No, neka vas motivira činjenica da napadač provede i nekoliko mjeseci na sustavu prije pokretanja finalne faze napada. To je ipak dovoljno vremena za otkrivanje njihovih tragova.

Uz nadzorne mjere, morate biti pripremni da se worst case zaista može desiti. Zadnja stvar koja vam treba je dočekati takvu situaciju nepripremljen. Stoga je razvoj  plana kako postupati  kada incident zaista izbije i uvježbavanje ovog plana također važan dio proaktivnog pristupa. Uz dobro pripremljeni plan ubrzat ćete vrijeme rješavanja incidenta i, vrlo izgledno, smanjiti njegove posljedice.

Zadnja stvar koja vam treba je dočekati napad nepripremljen. Razvoj  i uvježbavanje plana kako postupati kada incident zaista izbije važan je dio proaktivnog pristupa. Napad na splitski aerodrom (Foto: Ivo Cagalj/Pixsell)

No, uspješna zaštita od cyber-prijetnji, osim proaktivnog pristupa svake organizacije, u sebi uključuje i ulogu državnih institucija, pri čemu ne mislim na ulogu specijaliziranih agencija kao što je SOA i njihov angažman u detekciji napada i rješavanju incidenata. Naime, osobe koje se profesionalno bave zaštitom od cyber-prijetnji moraju što je moguće bolje upoznati način rada napadača, te kroz poznavanje taktičkih koraka u složenom scenariju napada i prepoznavanje korištenih tehnika napada, u ranoj fazi pojave prvih indikatora verificirati prisutnost napadača i otkriti dubinu proboja. Također, rezultati ove analize pomažu u primjeni preventivnih mjera i davanju dodatnih prioriteta za obranu od trenutno aktivnih napada. Za ovu svrhu stručnjaci iz ovog područja koriste razne izvore podataka o napadima i izvještaje koje specijalizirane organizacije ili tvrtke širom svijeta objavljuju o ovim napadima, kako bi profilirale napadača i utvrdila njegov način rada.

Ta se disciplina naziva Threat Intelligence. Informacija o napadačima koji ugrožavaju organizacije iz naše okoline trebala bi biti osobito dragocjena komponenta izvješća – podaci o izvorima prijetnji, načinu proboja u sustav, korištenim tehnikama lateralnog kretanja… Nažalost, mi nemamo takva izvješća i nedostaju nam ove informacije. Upravo je ovo jedan od elemenata koji nam je nedostajao uz recentne događaje u Hrvatskoj. Dostupnost ovih informacija u budućim slučajevima bi svakako pozitivno djelovale i u procesu procjene rizika, profiliranja potencijalnih napadača i proaktivnog prepoznavanja budućih pokušaja proboja. Sve regulative koje dotiču kibernetičku sigurnost (GDPR, DORA, NIS2) predviđaju obavezu izvještavanja nadležnih tijela o eventualnim napadima. Bilo bi dobro da nadležna tijela postave dodatne standarde o sadržaju takvih izvješća, te s javnosti podijele ključne informacije.

Još je jedan izazov s kojim se mora suočiti: nedostatak stručnog osoblja. Samo ako krenemo od zakonske regulative – DORA i NIS2, vrlo brzo će se pokazati da će nedostajati ljudi koji će biti u stanju postaviti i provesti arhitekturu obrane od cyber-napada, a kad se doda nadzor događaja za koji su potrebni intenzivni ljudski kapaciteti, nazire se rizik znatnog zaostajanja pred napadačima. Ne zaboravimo – mi moramo zaštiti cijelu plohu potencijalnih napada, njima je dovoljno pronaći jedan propust.

Možda vam moj optimizam o izvedivosti mjera cyber-zaštite ne zvuči više realan, ali treba krenuti malim koracima i treba imati na stolu cjelovitu orijentacijsku mapu ovih mjera. Važno je razumjeti da zaštita od cyber-prijetnji ne podrazumijeva neophodno investicije u nove sustave i nove pakete zaštite (što su nam ovih dana čak i političari sugerirali) nego zahtijeva analitički pristup, kompetenciju i poznavanje odnosa unutar sustava cyber-zaštite. Nažalost, prema mnogim drugim slučajevima iz naše društvene i gospodarske stvarnosti, to se čini najtežim.