Etyczny haking

Dynamiczny rozwój gospodarki i społeczeństwa jest ściśle powiązany z coraz większą informatyzacją wszystkich aspektów życia, co sprzyja również rozwojowi zorganizowanej cyberprzestępczości. Każda organizacja powinna wdrażać odpowiednie mechanizmy obronne ale jednocześnie być przygotowana na ataki hakerskie. Bezpieczeństwo jest procesem ciągłym, raz zabezpieczone systemy nie będą wiecznie opierać się atakom. Zagrożenia ewoluują, dlatego tak ważne jest systematyczne weryfikowanie istniejących zabezpieczeń.

Zrozumienie zagrożeń

Etyczny haking stał się podstawą proaktywnej strategii bezpieczeństwa. Efektywna obrona wymaga odpowiedzi na wiele pytań, w tym m.in.:

• Jakie zasoby informacyjne firmy mogą stać się celem ataku, czy rozumiemy zagrożenia dla firmy i czy będziemy w stanie wykryć próby włamania?
• Czy nasze systemy i sieci zabezpieczone posiadają powszechnie luki, które mogą być wykorzystane przez cyberprzestępców?
  
• Czy usługi, które oferujemy naszym klientom, pracownikom czy partnerom biznesowym są bezpieczne?
• Czy i jak testujemy nasze zabezpieczenia aby upewnić się czy są efektywne oraz co robimy aby je wzmocnić?
• Czy pracownicy posiadają kompetencje, wiedzę i narzędzia niezbędne do identyfikacji ataków i odpowiedzi na nie?
  
• Czy posiadamy wystarczające zabezpieczenia fizyczne w biurze czy serwerowni?

Odpowiedź na powyższe pytania stanowi sam początek prac nad strategią zarządzania ryzykiem oraz bezpieczeństwa informatycznego każdej organizacji.

Podejście do problemu

Następnym krokiem do zwiększenia bezpieczeństwa organizacji jest symulacja prawdziwych ataków hakerskich w postaci testów penetracyjnych oraz tzw. red teaming.

Testy penetracyjne powinny być stałym elementem oceny efektywności środków bezpieczeństwa i wprowadzanych zmian w środkowisku technologicznym. Testy infrastruktury mogą obejmować krytyczne dla organizacji produkcyjne systemy jak również dopiero wdrażane rozwiązania na różnym etapie ich tworzenia. Weryfikacja bezpieczeństwa aplikacji symuluje ataki hakerskie na aplikacje Web, mobilne lub tzw. „grubego klienta”. Wszystkie testy mogą być przeprowadzane ze znajomością lub brakiem znajomości testowanego środowiska (Black Box, Grey Box, White Box).

Red teaming to autoryzowane i kontrolowane ataki na organizację najbardziej oddające charakter prawdziwego ataku, przeprowadzane przy wiedzy zaledwie kilku osób z organizacji. Podejście takie odzwierciedla prawdziwy atak, w którym haker może wykorzystać elementy ataku w warstwie sieciowej, socjotechnicznej lub fizycznej i w efekcie uzyskać szerszy dostęp do zasobów organizacji. Ataki te pomagają w szybki sposób ocenić efektywność środków bezpieczeństwa oraz świadomość pracowników w odniesieniu do cyberzagrożeń.

Rozwiązanie problemu

Eksperci do spraw cyberbezpieczeństwa Deloitte realizują testy penetracyjne oraz kontrolowane ataki typu red teaming działając według metod cyberprzestępców, uwzględniając przy tym ciągłą ewolucję wykorzystywanych technik włamań oraz narzędzi. Działania te - w zależności od profilu ryzyka testowanej organizacji, uwzględniają różny poziom wiedzy i umiejętności atakującego, jak również jego determinacji - odwzorowując jego modus operandi. Uwzględnia to charakterystykę działań prowadzonych przez pojedynczych hakerów „polujących” na błędy, haktywistów, zorganizowane grupy przestępcze a kończąc na działaniach prowadzonych lub inspirowanych przez służby specjalne z różnych krajów. Jednocześnie w badaniu bezpieczeństwa przewagą zespołu Deloitte jest kompleksowe zrozumienie ryzyka biznesowego związanego z cyberzagrożeniami wynikające z analizowanych informacji o zagrożeniach i ich trendach zagrożeń na całym świecie, a także wewnętrznej sieci współpracujących ze sobą ekspertów ds. cyberbezpieczeństwa zlokalizowanych w ponad 100 krajach na całym świecie.