Marcin Ludwiszewski: O cyberatakach, obronie i red teamingu

Homepage:

https://youtu.be/SmNThn-uhcc

Witam wszystkich bardzo serdecznie. Ja nazywam się Kacper Szurek a to kolejny odcinek podcastu „Szurkogadanie”, w którym opowiadam o bezpieczeństwie w prosty i zrozumiały sposób. Moim dzisiejszym gościem jest Marcin Ludwiszewski. Marcinie bardzo serdecznie dziękuje Ci, że przyjąłeś to zaproszenie. To może na początek: kim jesteś i czym się zajmujesz?

Cześć wszystkim. Nazywam się Marcin Ludwiszewski. Jestem szefem zespołu „Cyber” w Deloitte. Takie trzy główne elementy, którymi zajmuje się nasz zespół to są testy ofensywne, obrona przed atakami i trzeci element to jest definiowanie długoterminowych planów strategicznych jeśli chodzi o cyberbezpieczeństwo.

Wiem, że Twój zespół zajmuje się red teamingiem. Co to jest red teaming?

Red teaming to symulacja cyber ataku, która jest ukierunkowana na pewne cele, które są uzgadniane z klientem – z danym podmiotem czy też odbiorcą takiej usługi i jest to test, który jest oparty o scenariusz.

Red teaming ma za zadanie odzwierciedlić „modus operandi” przykład cyber przestępców i jeżeli ustalimy, że celem będzie kradzież danych to takie ćwiczenie ma sprawdzić, czy jest możliwa kradzież takich danych, nie koncentrując się na samym elemencie jak to zrobić. Czyli na samym początku kiedy zdefiniujemy sobie cel to nie definiujemy szczegółów jak będziemy to robić tylko mamy to zrobić tak jak by to robili cyber przestępcy.

Co jest wyznacznikiem sukcesu w red teamingu?

Technicznie jest to pewien test bezpieczeństwa ukierunkowany na cel. Jest on oparty o scenariusz. Natomiast celem ostatecznym jest przekazanie informacji decydentom w obszarze cyber bezpieczeństwa, które dadzą im pewne wskaźniki, które pozwolą im podjąć decyzję. Na przykład co do tego jak ustalić priorytety w zakresie planu działania. Albo na przykład w zakresie koncentracji poszczególnych wysiłków, zasobów na elementach bardziej prewencyjnych czy też elementach bardziej wykrywania bądź też procesach czy też technologii. Może być też tak, że ktoś wdraża jakąś technologię i tak do końca nie wie, czy ona działa – tak produkcyjnie. Trzeba sprawdzić „w praniu” czy jak już „wepniemy” to w całą organizację, czy system ochrony przed wyciekiem danych funkcjonuje tak jak powinien. Często tak to wygląda, że te system funkcjonują nie do końca poprawnie i taki test pozwala w tym momencie potwierdzić to lub nie.

Natomiast sam red teaming to jeden z wielu elementów budowania bezpieczeństwa. Najważniejsze jest to co się stanie z wiedzą, którą uzyskamy w takich testach. To co się dzieje później. Sam red teaming nie jest jedyną formą prowadzenia takich testów ofensywnych. Mamy jeszcze tak zwany red vs blue. Normalnie w red teamingu możemy mieć tryb taki, że po pierwsze organizacja nie wie, że jest przedmiotem ataku (poza oczywiście jakimiś osobami decyzyjnymi). Więc to jest taki tryb zupełnie blackbox i przy minimalnej wiedzy atakującego organizacje ale równocześnie przy minimalnej wiedzy organizacji, że będzie atakowana. Właściwie możemy „live” przetestować świadomość pracowników, możemy zweryfikować jak działają poszczególne środki. Nawet jeżeli zostaniemy wykryci to też sprawdzamy jak ten proces reagowania na incydenty działa. Czy na przykład ktoś podjął dobrą decyzję, czy właściwie ocenił zagrożenie. Może być tak, że sieć jest już właściwie pod kontrolą atakującego, natomiast ktoś mówi: aa, właściwie ten incydent ma niski priorytet i wszystko jest już posprzątane.

Natomiast inną formą jest taka, że zespół red współpracuje z zespołem blue. W dojrzałych organizacjach, które mają zespół blue - czyli ten zespół, który broni – security operations, albo soc, albo cokolwiek. I wtedy można definiować sobie pewne scenariusze razem – red i blue. W takim trybie nazywamy go „purple”. Wtedy przechodząc takie poszczególne „sprinty” można analizować wyniki. W sensie – red zrobił to bo miał zrobić tego typu atak, na przykład eskalacje ze stacji roboczej w jakimś kierunku. I teraz patrzymy co „blue” widzi. Na tej podstawie można bardzo dużo wniosków technicznych sobie zdefiniować. Więc tutaj sam model tego red teamingu jest bardzo szeroki i ogólnie jest to bardzo duża specjalizacja. Jak będziemy dalej rozmawiać to też na pewno tego dotkniemy.

W takich prostych słowach czym to się różni od pentestu?

Przede wszystkim jest zorientowane na cel i nie ma zdefiniowanego zakresu. My nie mówimy, że będziemy testować w aplikacji podatności OWASP Top 10. Tylko mówimy: to jest organizacja, która się nazywa ABC i z tej organizacji mamy dokonać kradzieży głównej bazy danych. My wtedy nie definiujemy zakresu, że będziemy używać do tego infrastruktury czy też spróbujemy wykorzystać podatność w aplikacji czy też będziemy używać socjotechniki ale wszystkie te elementy wykorzystujemy do tego, żeby zrealizować cel. I później na tej podstawi, analizując wnioski z takiego ataku, przełożyć je na poszczególne zabezpieczenia, świadomość i procesy bezpieczeństwa. I to jest największa wartość.

To teraz coś co wszystkich interesuje najbardziej. Ile taki redtaming kosztuje i ile średnio trwa?

Tak jak powiedzieliśmy wcześniej. Red teaming jest tylko jednym z wielu środków, które pomagają w budowaniu podejścia do zapewnienia bezpieczeństwa i budowania odporności organizacji. I tutaj tak naprawdę formuła red teamingu, ilość scenariuszy, ilość celów, wielkość organizacji ma duży wpływ na to jak ta ostateczna cena będzie wyglądać. Są red teamingi, które można zrobić w kilkudziesięciu tysiącach złotych. Są takie, które kosztują kilkaset tysięcy euro. Powiedzmy szczerze. Jeżeli mielibyśmy zaatakować małe/średnie przedsiębiorstwo, które ma kilkaset hostów, kilkanaście serwerów, ma jakiś jeden scenariusz bazowy. A jeżeli mielibyśmy robić czteromiesięczne testy w organizacji finansowej i odzwierciedlać metody ataków APT - no to to ma zupełnie inny wymiar.

Poza tym liczy się skala zabezpieczeń. Dojrzałość organizacji jest zupełnie inna. No i tak jak mówię – profil atakującego. Bardzo ważne jest, żeby w toku rozmów odpowiednio zamodelować zagrożenie, które będziemy symulować. Czyli, jeżeli skupiamy się bardziej na atakach okazjonalnych to wiadome, że zdolność atakującego i taktyki, procedury, metodyka działania – czyli TTP, które będziemy odzwierciedlać, będzie na poziomie podstawowym. Można powiedzieć, że jeszcze kilka lat temu wykorzystując takie narzędzia typu „Metasploit”, można było wygenerować sobie odpowiedni „payload” i zrealizować ćwiczenia, które na stacjach roboczych nie były wykrywane.

Dzisiaj, stosując tego typu narzędzia możemy właściwie tylko zasymulować jakiś atak okazjonalny, który odzwierciedla metody działania osoby, która gdzieś tam bierze jakieś narzędzie z Internetu i bez jakieś „customizacji”, próbuje odpalać skrypty, które takie narzędzie ma zaszyte. I oczywiście taki payload i sygnatury, które są z tym związane są wykrywane właściwie na każdym nowym sprzęcie. Windows 10 z Defenderem właściwie sobie z takimi rzeczami radzi.

Także, charakter organizacji, profil ryzyka, ilość scenariuszy, podejście, wektory ataku. Keżeli mamy zaatakować organizację, która ma centrale w innym kraju i mamy zrealizować również wektor fizyczny no to koszty takiego ćwiczenia będą stosunkowo duże. No i tutaj właściwie tyle na temat budżetu. Jak w każdym projekcie - zakres, fajerwerki – to wszystko determinuje koszty.

Symulacja ataku to jednak atak. A atakowanie firm vs prawo to też ciekawa kwestia. Czy są jakieś prawne aspekty red teamingu? Czy czegoś nie wolno ze względu na prawo? A może wszystko zależy od tego, jak wygląda umowa z klientem?

Właściwie kodeks karny reguluje wydaje mi się w jakimś stopniu kwestie atakowania systemów. Więc myślę, że jeżeli ktokolwiek stosuje metody, które powodują, że próbuje wykorzystać podatności, próbuje wykorzystać techniki, które mają za zadanie odgadnięcie hasła poprzez sieć no to na pewno jest świadomy, że jeżeli to robi na jakimkolwiek systemie, który gdzieś tam funkcjonuje w sieci - to jest to łamanie prawa. Nie mówiąc już nie tyle o próbkowaniu a przełamaniu zabezpieczeń. Więc jakby pierwszą, najważniejszą kwestią jest to, że klient poświadcza, że jest właścicielem systemów i autoryzuje określony podmiot. To nie musi być tak, że to zewnętrzna firma robi. To może być nawet redteam wewnętrzny.

Te zespoły są w jakiś sposób autoryzowane do realizacji tego typu działań. I w zależności od kultury organizacji mogą to być formy pisemne, jakieś decyzje prawne, formuła, która jest elementem jeżeli jest to firma zewnętrzna umowy, która definiuje – tak jesteśmy właścicielem, tak w tych dniach będziemy robić takie a takie rzeczy, tak dopuszczamy ten zespół do działania. I to powoduje, że w momencie takiej realizacji ćwiczenia jesteśmy w stanie pokazać nawet jeżeli jest fackup (bo też takie wpadki się zdarzają), że te testy są legalne, są autoryzowane. Kluczem jest tak naprawdę zrozumienie.

Jeżeli wynajmujemy firmę zewnętrzna do tego to pamiętajmy, że bardzo dobrze musi być zrozumiany cel takiego ćwiczenia i co będzie w nim robione, tak żeby firma, która to organizuje rozumiała całą idee. Że, będą następowały realne (tak jak w życiu normalnym), próby przełamania zabezpieczeń poprzez socjotechnikę. Być może zabezpieczeń fizycznych również za dnia ale można też takie ćwiczenie realizować w nocy. No i tu wtedy firma musi rozumieć, organizacyjnie się do tego przygotować, że może być alarm, że może być jakaś sytuacja awaryjna, mogą przyjść służby, może zadzwonić policja. Wiadomo, że im bardziej czujna jest organizacja to normalnie też procedury tak działają, że zgłasza się nie tylko do bezpiecznika wewnętrznego ale też dzwoni się na policje i tak to wygląda. Tutaj trzeba być na to przygotowanym.

Ja chciałbym jeszcze jedną rzecz powiedzieć. W związku z wieloma czynnikami, które mają wpływ na ryzyko całego przedsięwzięcia, ale też powiedzmy na to, żeby to dobrze zrobić - to bardzo istotne jest, aby praca, jaką zespół miałby wykonać, miała jakąś jakość, jakiś standard. Osoby, które będą to realizować, muszą mieć pojęcie o tym co robią. Co więcej, tak naprawdę, żeby skorzystać z tego co one robią, to musi być po pierwsze odpowiednia jakość końcowego produktu. Ten produkt musi też być dostarczony w odpowiedni czasie. To są elementy – czas i jakość, które są niezwykle istotne.

Wspomniałeś o atakach fizycznych. To jak często korzystacie z lock-pickingu, czy tez przeskakujecie przez różnego rodzaju mury?

Zwykle możemy sobie wymienić takie trzy elementy – płaszczyzny ataku. Taką typową - sieciową, ludzką – kwestie socjotechniki oraz trzeci element – to są ataki fizyczne. Nie zawsze atak fizyczny jest realizowany w ramach takich ćwiczeń bo nie zawsze jest sens go robić. On się raczej nie sprawdzi w organizacjach, które mają dojrzałe praktyki zarządcze w obszarze ochrony fizycznej lub też ich profil ryzyka nie generuje takiej potrzeby. Nie są na przykład instytucją finansowych, nie przechowują ważnych danych bądź nie ma dostępu do infrastruktury, w sensie fizycznym. Jeżeli jest wektor fizyczny to pytanie po co on tam jest. Czy on służy tylko i wyłącznie, żeby przetestować środki ochrony fizycznej, świadomość ludzką w tym zakresie, ewentualnie jakieś komponenty procesów reagowania. Czy on jest jednym z dopuszczalnych wektorów, który możemy wykorzystać w celu zaatakowania jakiś elementów infrastruktury logicznej. No bo to możemy łączyć.

To nie jest tak, że cel można zrealizować tylko przy pomocy jednej warstwy tylko można się włamać do sieci, zresztą na What The Hack będę to pokazywał – taki materiał, że włamujemy się do sieci. Naszym celem jest wejście fizyczne do obiektu ale włamujemy się do sieci, przejmujemy dostęp do kamer i dopiero mając tą wiedzę – czyli robiąc rekonesans fizyczny robimy wejście fizyczne na obiekt. Czyli to wejście fizyczne właściwie jest już po opanowaniu całej infrastruktury. I ktoś może powiedzieć: no tak, ale skoro panujecie nad infrastrukturą to jaki sens ma wejście fizyczne. No tak było zlecone ćwiczenie i chodziło o to, żeby pokazać, że w każdym tym wektorze jesteśmy w stanie osiągnąć sukces, zrealizować cel. Testy są zawsze w jakimś określonym oknie czasowym i jakiś określonych warunkach realizowane więc jest decyzja na bieżąco czy wchodzimy w „lockpicking” czy nie. Ewentualnie może być decyzja taka, że wchodzimy do obiektu i robimy zdjęcia. Wychodzimy i jeżeli jest szansa ponownego powrotu wtedy dopiero z tymi zamkami się rozprawiamy. Czyli po takim wstępnym rekonesansie.

Powiedzmy szczerze: my nie symulujemy ataku służb specjalnych na dany obiekt, które właściwie dysponują nieograniczonymi możliwościami w zakresie wykorzystania swojej wiedzy i umiejętności do tego, żeby przełamywać zabezpieczenia fizyczne robiąc „legendowanie”, podchody pod taki obiekt i tak dalej w wielo-miesięcznym trybie. My mamy określone okno czasowe i w takim trybie często symuluje się atak okazjonalny. Patrzy się czy są otwarte okna, forsuje się ewentualnie zabezpieczenia fizyczne, przechodzi się przez strefę administracyjną, która jest na przykład oddzielona płotem. Później się wchodzi na obiekt, szuka się elementów takich, które są wrażliwe. Na przykład, jeżeli ktoś posiada bardzo rozbudowaną infrastrukturę techniczną, od której zależy cała linia produkcyjna - ale nie chroni tego elementu – chociażby zasilania, klimatyzacji, maszyn, które kontrolują tą linie, to to jest element, gdzie dostanie się nawet w sposób okazjonalny, może spowodować jakieś skutki. Wiec tutaj bardzo dużo elementów zależy jak jest dany scenariusz układany i pod jaką organizację.

A co z komórkami? Czy je atakujecie? A może jest to problematyczne, bo nigdy nie wiadomo, czy ta komórka należy do firmy a może jest własnością danego pracownika?

Ogólnie komórki to jest trudny temat. Zdarzyło się, że takie komórki były w zakresie. Niemniej jednak powiedzmy szczerze zaatakowanie komórki jest bardzo drogie. Na przykład jeśli jest to najnowszy iPhone z zaktualizowanym systemem operacyjnym. Generalnie co do zasady spalenie 0day na testy redteamowe iPhone i targetowanie iPhone pewno nie miało by większego sensu. Poza tym taki 0day lepiej było by sprzedać i więcej „kasy” na tym zarobić.

Pytanie jaki miałby być cel takiego ćwiczenia. Co mieliśmy zrobić? Jeżeli mielibyśmy podsłuchać kogoś to być może są tańsze sposoby niż zaatakowanie iPhone. Jeżeli celem było by sprawdzenie czy na przykład można w łatwy sposób śledzić poczynania zarządu, który właśnie dyskutuje z kilkoma firmami private equity za ile kawałek organizacji będzie oddawał czy przejmował - no to wtedy być może łatwiej było by użyć jakieś socjotechniki, dostać się do grupy, która dyskutuje na ten temat mailowo. Albo patrzyć czy nie ma jakiś interfejsów wystawionych do sieci, gdzie być może można w jakiś sposób odgadnąć hasła, dostać się do tej grupy i w cichy sposób śledzić taką dyskusję przez parę tygodni. Później być może aktywizować się w odpowiednim momencie rozumiejąc kontekst dyskusji, żeby osiągnąć dany cel.

Wspomniałeś wcześniej o wstępnym rozpoznaniu. Co to jest i jak dużą rolę odgrywa w waszej pracy?

Ogólnie wydaje mi się, że jeżeli ktokolwiek robi testy bezpieczeństwa to doskonale rozumie, że rekonesans to jest właściwie podstawa każdej pracy. I mówimy tutaj o takich typowych narzędziach rekonesansu pasywnego lub aktywnego. Rekonesansu w rozumieniu infrastruktury sieciowej, tej którą widzimy w sieci Internet, strony WWW ale widzimy też jakieś usługi wystawiony do sieci Internet, porty. To jest aspekty sieciowy. Mamy jeszcze rekonesans osobowy - czyli możemy rozpoznać kto pracuje na jakim stanowisku. Typowe takie taktyki OSINT. Możemy też dzwonić do tych osób podając się za kogo innego i pytać o jakieś różne rzeczy. Możemy się podawać za IT i pytać czy zaktualizował się antywirus. Jaka jest nazwa tego.

Ten rekonesans jest złożony z aspektów sieciowych i też ludzkich. No i fizyczny komponent to oczywiście jest rozpoznanie obiektu. Jak działa ochrona, jakie środki bezpieczeństwa są stosowane, jaka jest rutyna dnia takiej ochrony, jak wygląda obiekt, jak wchodzi personel sprzątający na obiekt. O której godzinie ludzie wchodzą do pracy. Czy osoba, która pilnuje bezpieczeństwa na obiekcie jest zawsze na stanowisku. Czy jak coś się dzieje - to jak ona reaguje.

To jest szereg różnych aspektów. Uważam, że rekonesans to kluczowy element realizacji ataku. Czasami rekonesans zajmuje więcej niż sam atak. I ja uważam, że jeżeli ktoś chce to zrobić dobrze to przede wszystkim to jest też cecha osób, które powinny realizować te testy - te osoby powinny być cierpliwe. Też czasami jest tak, że robi się rekonesans, wychodzi jakaś tam wizja, scenariusz ataku, podejście. A później przed samym atakiem robimy szybki rekonesans i się okazuje, że wychodzi zupełnie co innego.

To też na What The Hack będzie taka informacja, gdzie mając wizję tego co jest widoczne w infrastrukturze już byliśmy „zasadzeni” na jakiś określony scenariusz a tu nagle wychodzi, że jeden z serwerów ma otwarty port SMB. I nagle acha: to może ten SMB. Nagle to zmienia całą postać rzeczy. Ten rekonesans definiuje plan gry. Jeżeli mamy plan gry to on powinien mieć różne warianty w zależności od tego co się wydarzy.

Czy zdarzyły się wam jakieś wpadki? Ktoś zadzwonił po policję, ochroniarze was zdemaskowali?

Pamiętajmy, że te testy nie są po to, żeby komuś coś udowodnić albo na tej zasadzie, że byliśmy lepsi od broniących. Te testy jeżeli już się robi to po to, żeby organizacji pomóc. Po to, żeby pracować później z zespołami bezpieczeństwa IT, żeby budować dalej odporność razem. Albo przekazać wiedzę, która jest potrzebna temu zespołowi żeby się tym zająć. Wpadki się zdarzają na tej zasadzie, że atakujący jest wykryty. Jak najbardziej. O to też czasami chodzi.

Dla zespołu atakującego nie powinno być istotne czy zostanie złapany czy nie, bo jest to częścią ćwiczenia. Czy na przykład działają środki wykrywania, czy przejście przez daną strefę spowoduje załączenie się czujki. To też trzeba sprawdzać. Tak samo jak próba weryfikacji podłączenia się do infrastruktury sieciowej. Czy jest to wykryte czy nie. Czy zespół, który na bieżąco patrzy na zachowanie się sieci wykrył podłączenie się dodatkowego urządzenia do sieci. Czy wykrył próby skanowania, które są wykonywane z tego komputera. Więc to się zdarza.

I też kilka razy mieliśmy sytuacje, że policja się pojawiła. Ponieważ w tym przykładzie o którym mówię była używana socjotechnika i były telefony wykonywane do organizacji. I osoby z firmy mając dużą świadomość jak się okazało potencjalnych zagrożeń, zadzwoniły na policję i policja następnego dnia przyjechała. Bardzo szybka reakcja policjantów. Tutaj była rozmowa już właściciela firmy i przedstawienie zakresu działań i celów. Więc jak najbardziej takie sytuacje się zdarzają. Dlatego trzeba korzystać z doświadczonych osób. Takich, które mają wiedzę no i odpowiednie kwalifikacje do tego, żeby takie rzeczy robić.

To może możesz się podzielić ze słuchaczami jakimiś ciekawymi „akcjami”?

O ile taki test ofensywny daje nam bardzo dużo zabawy no to nie przedstawiał bym tego w charakterze akcji. Są to takie działania, które dają dużo radości i można powiedzieć, że rzeczywiście jest to takie legalne hakowanie firmy. Natomiast ideą tego działania jest później budowanie odporności. Więc nie nazywałbym tego akcjami. Mamy jakieś ograniczone okno czasowe na realizację więc jest to przeprowadzenie pewnych działań, które mają na celu zasymulowanie prawdziwego ataku. Czy mogę się podzielić? Na What The Hack będę się dzielił. Tam też Patryk z Pawłem będą się dzielili swoimi aspektami i historiami. Co ciekawego?

Robiliśmy różne rzeczy. Atakowaliśmy hotel więc mieliśmy autoryzację na hakowanie sieci hoteli. Włamaliśmy się do hotelu i zrobiliśmy sobie rezerwację i pojechaliśmy do tego hotelu. I później robiliśmy testy fizyczne w tym hotelu. Mieliśmy też sytuację, gdzie mieliśmy wejście do obiektu, gdzie wcześniej się włamaliśmy do systemu zarządzania budynkiem. Mieliśmy dostęp do systemu wizyjnego i mogliśmy też sami siebie monitorować jak wchodzimy na obiekt i kontrolować to co się dzieje. Są firmy, które mają po kilkaset kamer tylko niestety powiedzmy szczerze bez dodatkowych czujników ruchu, systemów wspomagających to osoba nawet jeżeli na to patrzy – mówimy o aspekcie fizyczny – no to ona właściwie nie jest w stanie wykryć czegokolwiek. Musiałaby mieć jakiś element wspomagający. Więc te kamery są właściwie tylko do tego, żeby później w procesie rozliczalności reakcji dochodzenia do tego co się wydarzyło i jak - to właściwie tylko do tego się mogą nadawać.

Ostatnio przeskakiwaliśmy przez płot i komputer mi spadł i to był duży płot – więc jestem na etapie wymiany laptopa. Natomiast to też jest ważny aspekt. Myślę, że dużo osób sobie nie zdaje sprawy, że jeżeli siedzimy i pracujemy na komputerach – bo pracujemy w cyber, więc większość naszych obowiązków jest realizowana na komputerze – to przeskoczenie w nocy przez jakiś tam płot z drutami i później bieg przez 100 metrów, albo próba sforsowania drzwi albo całodzienne chodzenie po obiekcie jednak w jakimś tam stresie - to trzeba mieć trochę warunków fizycznych, żeby to robić. Więc my staramy się być fizycznie też zdolni do tego, żeby to robić. I nie jest to taka prosta sprawa. Innym aspektem, o którym też się nie myśli, jest to że jak już wejdzie się na dany obiekt fizycznie i szuka się miejsca, gdzie się można podpiąć - to jeżeli wchodzimy na obiekt na cały dzień to po pierwsze trzeba być do tego przygotowanym.

Trzeba wyglądać jak pracownik danej organizacji. Po drugiej zachowywać się – mieć rozpoznaną kulturę organizacyjną – co można a czego nie można. Mieć sprzęt i to trzeba pamiętać, że ten sprzęt przy różnych przeskokach czasami się zbiję (kilka razy się nam zbił telefon). Trzeba mieć przy sobie wodę bo są różne obiekty – mogą być olbrzymie obiekty, hale produkcyjne. Jeśli próbujemy sforsować środki bezpieczeństwa fizycznego to czasami przez dwie, trzy godziny szukamy miejsca, gdzie się możemy podpiąć do sieci. Trzeba być wyposażonym w jakąś wodę, jakieś środki, żeby tam przeżyć w środku. Bo może być różnie.

Trzeba mieć też łączność. W takich elementach gdzie jest aktywna ochrona – chociażby jeżeli jest robiona próba wejścia w nocy i jest ochrona, która jest wyposażona w narzędzia, które mogą tutaj zagrażać atakującemu to trzeba mieć już skoordynowaną obserwację obiektu i koordynację przez kanał łączności żeby można było panować nad tym co się dzieje. Jesteśmy w stanie się wylegitymować.

Gazem po oczach można dostać.

Nie chciał bym tego robić dopiero po użyciu jakiś środków przymusu bezpośredniego przez ochroniarzy. Warto dodać, że red teaming to jest jeden z elementów. Moim zadaniem jako szefa zespołu przede wszystkim jest zapewnić moim osobą, które są w zespole, żeby miały stały rozwój w każdym aspekcie. Bo mamy jakby różne sekcje. Jest taka część raczej skupiona na defensywie. I też taka część strategiczna. Te osoby mają różny profil. Wszystkich zachęcam do tego, że jeżeli się rozwijasz w cyber to warto obrać jeden kierunek albo zdefiniować sobie jakąś specjalizację.

Inne osoby będą definiowały strategię i badały zdolności i planowały, rozmawiały z kierownictwem o tym jak zaplanować organizację całego cyber bezpieczeństwa. A inny „mindset” będzie miała osoba, która ma się włamać. Będzie w stanie przejść przez skrzynkę danej osoby w poszukiwania hasła danej osoby w postaci „plaintext”. Takiej żeby się zalogować na jakąś stację przesiadkową i dostać się do sieci, która kontroluje linię produkcyjną. Inny „mindset” ma osoba, która jest skupiona na tym, że będzie bronić sieci i szukać atakujących bo ma pomagać klientowi chronić się przed tym. I moim zadaniem jest zapewnienie, że te osoby z każdej tej sekcji będą miały zapewniony rozwój a poza tym będą się dobrze bawiły w pracy. Będą przychodziły do niej z uśmiechem. To jest moje zadanie jako szefa zespołu. Zapewnić rozwój tym ludziom i zapewnić takie warunki pracy, które spowodują, że będziemy z uśmiechem realizować swoje zadania. Jak to osiągniemy to też trochę wyzwala się w tym zespole inicjatywa do robienia więcej. Jesteśmy wtedy bardziej innowacyjni. Jesteśmy w stanie się skrzyknąć: hej może zróbmy sobie, zbudujmy sobie jakieś narzędzie do „crackowania” haseł albo postawmy sobie jakieś dodatkowe elementy w naszym „warromie -” jak to nazywamy – gdzie umożliwi to nam jakieś dodatkowe ćwiczenia. Na przykład „picklockowanie” zamków.

Nawet jeżeli się tym nie zajmujesz, to przyjdź sobie spróbuj żebyś rozumiał w ogóle na czym to polega. Tak samo budowanie swoich frameworków, budowanie elementów oprogramowania złośliwego czy też budowanie laba, żeby je przetestować na różnych antywirusach. To są takie inicjatywy, które wyzwalają się wspólnie jeżeli widać, że zespół jest zmotywowany, że jest zadowolony z tego co robi. Każdy ma ten kawałek tortu, wie co do niego zależy, do której sekcji przynależy i jakie są cele. Natomiast też w tym aspekcie warto dodać, że jeżeli ktoś się zdecydował na ścieżkę defensywną to nie znaczy, że on ma nie pomagać zespołowi red. Ja zachęcam do tego bo to zazwyczaj zmienia perspektywę. Często jest czasami takie odczucie, że osoba która jest nietechniczna no to generalnie ona się nie zna na „hackingu” więc niewiele ma pojęcia o bezpieczeństwie. Natomiast w mojej ocenie wszystkie osoby, które dają jakąś wartość do tej dyskusji powinny być w tej dyskusji. Często ta osoba techniczna ma węższą perspektywę niż osoba, która nie rozumie „technikaliów” - bo ona zadaje lepsze pytania.

Czy macie jakieś swoje ulubione narzędzie, którego używacie bardzo, bardzo często?

My używamy narzędzi w zależności od profilu. Używaliśmy przez lata MetaSploit, Cobalt, Kali Linux z całym „toolsetem”, który tam jest dostępny. Mamy swoje narzędzia, które sami napisaliśmy. Są to narzędzia głównie do omijania zabezpieczeń na poziomie antywirusów, komunikacji z serwerem C2. Powiem szczerze, żeby w ogóle coś robić to tak naprawdę wystarczy ten Kali Linux. Jeżeli ktoś opanuje system linuxowy, rozumie aspekt sieciowy - to jest bardzo dobrze wyposażony do tego żeby się zająć bezpieczeństwem. Trochę dotykamy kariery.

Jest jeszcze jeden element, na który ja bym zwrócił uwagę. Bardzo dużo ludzi teraz zaczyna karierę w cyber nie mając tego „backgroundu” technicznego. O ile on jest ważny to w mojej ocenie kluczowy jest jednak potencjał osoby. To znaczy, żeby ktoś chciał się rozwijać i miał określony potencjał. To są krytyczne elementy niezbędne dla mnie i bardzo wartościowe nawet jeżeli mam do wyboru tę osobę albo osobę, która ma większą wiedzę techniczną ale już nie za bardzo chce się rozwijać. Jest jeszcze jeden element. Jeżeli jesteś super osobą, która jest dobra w jakiejś dziedzinie – to dziel się wiedzą. Jeżeli jesteś częścią zespołu to też dawaj tę wiedzę innym osobą i pomagaj w tym. Czasami się obserwuje takie sytuację, gdzie ktoś jest mistrzem świata natomiast działając w jakimś zespole, poza prezentacją tych swoich magicznych umiejętności, zawęża możliwość dyskusji, wymiany wiedzy na ten temat. Co moim zdaniem jest zupełnie bez sensu. No bo właściwie całe nasze środowisko się dynamicznie rozwija – bo coraz więcej nowych osób tutaj przychodzi no i trzeba sobie pomagać.

To może możesz polecić jakieś książki – niekoniecznie techniczne?

To tutaj patrzę na moją szafkę przy biurku – bo ona mi podpowie jakieś tytuły. Na pewno bardzo fajne książki, te które dotyczą całego aspektu Snowden-a. Ja uważam, że to jest ciekawa historia. Nawet po tej ostatniej książce, gdzie ¾ książki było o życiu prywatnym Snowdena. I tam później się pojawiła jakaś krytyka. Moim zdaniem ta krytyka opierała się na zdaniach wyrwanych z kontekstu.

Te książki o Snowdenie: Pamięć nieulotna, Polowanie na Snowdena, Wikileaks od środka, Darknet – społeczeństwo nadzorowane - to są fajne rzeczy. Takie dosyć lekkie, można sobie w podróż zabrać. Natomiast ja ogólnie czytam dużo książek takich nazwijmy to literaturę faktu i kryminały plus książki piłkarskie bo też sportem się interesuje od strony piłki nożnej. Mogę polecić serie tych książek, które dotyczą różnych afer w Polsce czy też porwań.

Pracowałeś w Agencji Bezpieczeństwa Wewnętrznego. Czym różni się sektor publiczny od prywatnego?

Dobre pytanie. To jest tak, że sektor prywatny i sektor publiczny różnią się od siebie a jeszcze jest sektor służb specjalnych, który się różni od sektora publicznego. Ja bym jeszcze rozróżnił taki podzbiór. Po pierwsze biznes jest po to, żeby zarabiać pieniądze i się rozwijać – to jest jakby jasny cel. Sektor publiczny często ma inne cele i nie musi zarabiać, nie musi być rentowny. To są zasadnicze różnice. Może być, ale nie musi.

Służby mają cele, które często jakby do końca nie są rozumiane jeżeli się realizuje jakiś fragment większej całości. Czasem się do końca nie wie jaki jest ten główny cel. Więc to jest ta zasadnicza różnica. Poza tym, służby to jest trochę inna kultura pracy. Głównie praca na materiałach niejawnych. Większość działań, które się wykonuje w tej sferze operacyjno-rozpoznawczej, czy dochodzeniowo-śledczej - jest dużo elementów takich, które są niejawne. Więc też narzuca to pewną kulturę. No i też służby same w sobie dotyczą w głównej mierze zwalczania zagrożeń związanych z działaniami obcego wywiadu na terenie Polsk albo innych aspektów, które mają na celu rozpoznanie danego zagrożenia – albo terrorystycznego albo zorganizowanych grup przestępczych. Charakter tych rzeczy, które się robi ma zupełnie inny wymiar w kontekście ryzyka dla tych osób, które to wykonują. I też można powiedzieć generuje to określone obwarowania. Bo jeżeli my robimy test penetracyjny albo budujemy strategię, to jak popełnimy błąd to poza tym, że ktoś wyda więcej pieniędzy to właściwie nie ma to wpływu na nasze życie i stres. Te konsekwencje są relatywnie małe.

Natomiast takie działania w obszarze sfery publicznej – będąc na froncie normalnych działań no to chociażby naruszenie procedur – przypadkowe – realizacji takich czynności powoduje, że ryzyko dla osób jest bardzo duże. Dlatego ja bardzo cenie osoby, które pracują w służbach, są policjantami. To są osoby, które naprawdę realizują bardzo dużo, często wykraczając poza taki normalny tryb działania. To znaczy robią więcej niż muszą. Często są to osoby z pasją. Ja zawsze mówię: czy sektor jest prywatny czy publiczny nie ma znaczenia. Wartościowe osoby są i tu i tu.

Czego nauczyła Cię praca w ABW?

Ja właściwie byłem 10 lat więc i była to moja pierwsza praca więc ona mnie do pewnego stopnia ukształtowała. Wydaje mi się, że ona jakoś mnie utwierdziła w tym żeby realizować swoje cele, być zdeterminowanym, podejmować ryzyko, popełniać błędy jakby uczyć się na tym. No i chyba tyle.

To jak przekonać młodych i zdolnych do pracy w sektorze publicznym? No bo wiemy, że pieniądze nie będą tutaj grały największej roli?

Ja myślę, że to zależy od etapu kariery zawodowej. Jeżeli ktoś jest zdeterminowany, żeby nauczyć się rzeczy, żeby mieć dużą odpowiedzialność na sobie, żeby działać w celach, które są zdefiniowane jako obrona przed konkretnymi ofensywnymi działaniami na przykład tak jak powiedzieliśmy sobie obcego wywiadu - to to jest obszar gdzie rozwój, odpowiedzialność, tępo tego rozwoju będzie na pewno bardzo wysokie i charakter takiej pracy pozwala czuć się, że jest się częścią jakiejś idei, która ma coś więcej na celu niż tylko wygenerować jakiś przychód lub dochód.

Współtworzyłeś rządowy zespół reagowania na incydenty komputerowe. Co to za podmiot i dlaczego powstał?

Wszystkie prace na temat współtworzenia takiego zespołu i utworzenia zdolności na poziomie rządowym z tego co pamiętam zaczęły się około 2003 roku gdzie powstawały grupy robocze tutaj na poziomie rządu do ochrony krajowej infrastruktury krytycznej w zakresie bezpieczeństwa teleinformatycznego. I one później przerodziły się wraz z takim ukierunkowaniem na aspekty cyber przestrzeni. I między innymi po atakach w Estonii w 2007 roku powstała taka inicjatywa i pomysł żeby utworzyć zespół, który miałby za zadanie być takim rządowym CERTem, który byłby odpowiedzialny za tą sferę administracji publicznej.

W tamtym czasie (to już było ponad 10 lat temu) była taka idea żeby na mocy porozumień pomiędzy chyba ABW i MSW utworzyć taką koncepcje. Później napisać całą politykę ochrony cyberprzestrzeni i zdefiniować sobie długoterminowe plany w zakresie tego, żeby w kolejnym etapie stworzyć ustawę, która by sankcjonowała ten element. Mając narzędzia i działając w określonych okolicznościach to wyglądało różnie w tamtym czasie. Niemniej jednak ten zespół powstał, wydaje mi się, że cały czas działa. Wiem, że chłopaki tam działają. Na przestrzeni lat pewne osoby odeszły ale są też nowe i na pewno jest to fajnie zmontowana „ekipa”. I dobrze, że jest też ustawa, które definiuje jasno czym ten zespół ma się zajmować.

Czy da się zapewnić bezpieczeństwo informatyczne wszystkich urzędów w Polsce? Przecież każdy z tych urzędów to osobna placówka, która defa kto nie ma zespołu bezpieczeństwa, który jest dedykowany tylko dla tego jednego miejsca?

Nie wiem. Wydaje mi się, że nie da się zapewnić wszystkim 100% bezpieczeństwa niezależnie czy jesteś urzędem czy nie. Na serio odpowiadając to przy ograniczonych zasobach wydaje mi się, że kluczem jest centralizacja pewnej idei i elementów zarządczych. Jeśli chcemy „digitalizować” urzędy to musimy im dać jakąś platformę do tego. Tą platformą być może będzie aspekt chmury hybrydowe, która w tej chwili powstaje, która zapewni moc przetwarzania danych i potencjalnie dostęp dla takich urzędów, do czegoś co jest kontrolowane i zabezpieczone centralnie. Wiec ja bym szukał raczej takiego konsensusu – jak w sposób centralny zapewnić, żeby te jednostki terenowe, które dysponują mniejszymi kompetencjami, zasobami - mogły skorzystać z pewnych elementów takiego systemu.

Pieniądze. Posiadając mały budżet z Twojej perspektywy, w co warto zainwestować aby jak najbardziej zwiększyć bezpieczeństwo informatyczne swojej firmy?

Mi się wydaje, że najlepiej jest mieć przede wszystkim jakąś strategię działania. To znaczy bardzo często obserwujemy podejście do budowania firmy bez określonej strategii. Albo bez określenia priorytetów, które by wynikały właściwie z tego w jakim biznesie jesteśmy, jakie są ryzyka związane z tym biznesem. Oczywiście my wtedy też dyskutujemy czy mamy apetyt na dane ryzyko albo nie. Czy zarządzamy tym ryzykiem w jakiś sposób. I to determinuje nam jakieś priorytety działania. Więc ja bym w ogóle zaczął od przemyślenia jakiejś formuły co my chcemy zrobić. Czyli co chcemy zrobić a dopiero później jak.

I teraz jeśli chodzi o jak - to tak technicznie, sprowadzając to do jakiś konkretnych rekomendacji w mojej ocenie kluczem jest uświadomienie – na poziomie zarządu i pracowników. Ale też personelu IT czy też personelu bezpieczeństwa jeżeli takowy jest. Bo bardzo często mamy taką percepcję, że personel IT – to skoro jest to personel IT to oni wiedzą co mają robić. Często też jest tak, że brakuje tam po prostu wiedzy, umiejętności, doświadczenia, żeby takie rzeczy robić. Więc uświadomienie i szkolenie to jest w mojej ocenie pierwsza rzecz poza oczywiście tą strategią. Trzy – nie skupiał bym się za nadto na jakiejś konkretnej, jednej technologii. Bo to jest bardzo złudne, że konkretna technologia załatwia nam temat. Myślę, że skupił bym się nie tylko na aspekcie prewencji ale przede wszystkim na aspekcie wykrywania. W zależności od biznesu.

Myślę, że na pewno warto scentralizować i zwirtualizować zarządzanie. Chmury też bym się nie bał bo jeżeli to jest dobrze zrobione tak jak ze wszystkim - to działa. Więc na pewno wirtualizacja, elementy scentralizowania zarządzania - to jest coś, co ma wpływ na wydajność zarządzania całym środowiskiem, nie tylko aspekty bezpieczeństwa. Na pewno uspójnienie. To znaczy, wiadomo, że w niektórych firmach, środowisko nie będzie homogeniczne. Więc te systemy siłą rzeczy są różne. Jeżeli dało by się uspujnić – stworzyć jeden obraz bezpiecznej stacji roboczej i potem jakby go wykorzystywać do pracy - to by było dobre. Ja bym chyba nie wchodził od razu w jakieś super nowe rozwiązania. Na pewno zawsze problemem jest dostęp uprzywilejowany. To jest właściwie bolączka wszystkich firm. I ogólnie kontrola dostępu na poziomie uprawnień.

Jeszcze jedna sprawa jest taka, że jeżeli już zdefiniujemy sobie jakąś strategię, jesteśmy już w jakimś planie gry, mamy mapę drogową, wiemy, w którą stronę jedziemy – to miejmy również jakieś informację, które pozwolą nam podejmować decyzję później. Żeby rozumieć faktycznie jaki jest nasz profil ryzyka i jaka jest wydajność tego całego naszego systemu, żeby móc podejmować jakieś decyzję. Więc można powiedzieć, że informacja zarządcza to jest coś, co nam ten system powinien wygenerować na później.

Edukacja pracowników. Ale jak uczyć pracowników nietechnicznych w taki sposób, żeby oni tą wiedzę zapamiętali a nie był to tylko kolejny film instruktażowy?

Dobre pytanie. Mi się wydaje, że jest kilka elementów. Po pierwsze można wykorzystać różnego typu gry symulacyjne, gry decyzyjne, gry kryzysowe - gdzie symuluje się jakąś konkretną sytuację kryzysową i na tej podstawie określony zespół ludzi, musi podjąć decyzję i zarządzić danym kryzysem. Czyli po pierwsze - takie na żywo przećwiczenie danej sytuacji. Na pewno pokazywanie ludziom pewnych spraw nie mówiąc o górnolotnych bytach tylko przedstawianie konkretnych przykładów. Włamano się do firmy takiej i takiej w taki sposób, uzyskano taką i taką wiedzę. Na tej podstawie możemy stwierdzić, że jest to podobny profil organizacji.

U nas też się tak może wydarzyć ponieważ mamy określone elementy bezpieczeństwa albo ich nie mamy. I ma to takie a takie konsekwencję. Właściwie nie dotykam aspektu technicznego tylko formułuje to na bazie jakiś przykładów i takich historii, które gdzieś tam się wydarzyły, które dotyczą danego typu biznesu. I pokazanie jaki to ma wpływ na ten aspekt biznesowy. Bo też jako techniczne osoby mamy tendencje aby określać skutki w sposób techniczny. Natomiast dla biznesu najważniejszy jest aspekt biznesowy. Tutaj bardziej bym się skupiał, że określone działanie buduje reakcję w aspekcie biznesowym na przykład, że będziemy zarabiać mniej pieniędzy.

A co sądzisz o cyber armii? Czy jest nam potrzebna?

Myślę, ze chyba nikt sobie nie wyobraża kraju, który nie miałby jakiejś zdolności w zakresie ofensywnym czy defensywnym. Więc wydaje mi się, że jak najbardziej, z tego co wiem mamy zasoby, które rozwijają się w tym zakresie i tyle. Trzeba je mieć.

A z Twojej perspektywy najczęściej popełniane przez nas błędy to?

Taki błąd, który często wykorzystujemy to myślę, że jest takie lekceważenie wszystkich. Zapisywanie haseł w „plaintext” gdzieś tam w zasobach. Na przykład na skrzynce, na pulpicie, albo gdzieś tam na „shared drivach”. Ja nie mówię tylko o zwykłych użytkownikach ale też o administratorach.

Musisz mi uwierzyć, że bardzo wiele ataków jest skutecznych ponieważ po dostaniu się do sieci wewnętrznej można przeszukać zasoby w ten sposób, że uzyskać jakieś hasło w postaci jawnej, niezaszyfrowanej gdzieś tam zapisane. Więc ja zachęcam do używania menadżerów haseł. No i nie zapisywania tego w „plaintext”. Bardzo często też mamy tendencję do tego, że jeżeli uzyskamy jakieś uprawnienia – na przykład poprzez dostęp zdalny – to zostajemy na tych standardowych uprawnieniach, które zostały nam przydzielone podczas uzyskiwania tego dostępu. No i później tego nie zmieniamy. Więc tutaj też bardzo często można przeszukać skrzynkę danej osoby pod kątem takich uprawnień i one działają.

A jak wpajać bezpieczeństwo dzieciom? Przecież coraz więcej najmłodszych ma telefony komórkowe, nielimitowany dostęp do Internetu?

Wydaje mi się, że jedyną dobrą odpowiedzią to jest uświadomienie od wczesnych lat i niekoniecznie to uświadomienie ma polegać na tym, że dajemy takiemu dziecku telefon. Mam dwóch synów więc oczywiście danie takiego urządzenia elektronicznego załatwia nam czas wolny, tym niemniej jednak uważam, że po pierwsze można o tym opowiadać, nie dając tego telefonu ani iPada. Wiec najpierw uświadamiamy na temat tego, że istnieje coś takiego jak oprogramowanie złośliwe. Możemy to przedstawić w postaci jakiś prostych historyjek.

Z reguły ja tak rozmawiam z dzieciakami. I one zaczynają sobie wyobrażać. Najpierw, że jest taka historia, że są wirusy, które zarażają komputer i tak dalej. I dopiero później wprowadzać te elementy techniczne. Czyli ja bym to trochę odwrócił. Im wcześniej to zaczniemy to to dziecko sobie jakąś tam wizję w głowie. Później mu to pokażemy na żywo.

Ja już dostałem pytanie po rozmowie o wirusach: tata to jak w takim razie napisać wirusa. Wiec dziecko jakoś tam jest uświadomione. I wydaje mi się, że to jest najlepsza droga. Czyli jak najwcześniejsze uświadomienie dzieciaków na ten temat.

Na swoim Twitterze napisałeś kiedyś, ze 90% włamań to słabe hasła, phishing i znane podatności. Teoretycznie rozwiązaniem są klucze bezpieczeństwa. Czy firmy w ogóle z nich korzystają?

Wydaje mi się, że ogólnie w teorii to my wiemy, że powinniśmy stosować pewne rzeczy. Mówimy tutaj o jakiś elementach związanych z parametrami do uwierzytelnienia typu drugiego czy trzeciego. Mówimy o elementach związanych z biometryką. Teraz taki trend to jest w ogóle budowanie rozwiązań bez elementów, gdzie już musimy podawać jakieś parametry uwierzytelniające. One są po prostu generowane z jakiś tam innych rzeczy. W organizacjach dojrzały widzimy wykorzystanie kluczy sprzętowych. W organizacjach niedojrzałych – nie widzimy.

Jak radzić sobie ze stresem podczas Twojej pracy? Przeskakiwanie przez płot to nie jest normalna sytuacja.

To zależy jaką masz pracę. Rzeczywiście ta praca na rzecz realizacji testów ofensywnych daje bardzo dużo radości i po prostu czasami aż człowiek chce sobie gdzieś tam pouczestniczyć w tego rodzaju działaniach. Natomiast wydaje mi się, że osoby, które mamy w red - one mają taki „mindset” i takie kompetencje, że po pierwsze są na pewno cierpliwe.

Po drugie to nie są osoby, które są szybko „podpalają” - tak kolokwialnie na realizacji. To nie są też osoby, które chcą coś udowadniać. My nie robimy takich fajerwerków, że ustawimy Ci na pulpicie jakiś uśmieszek. Jeżeli realizujemy coś to profesjonalnie, z należytym szacunkiem - oczywiście mając jakiś tam „fun” z tego. Natomiast, nie wiem czy tam jest jakiś duży stres z tym związany, Wiesz, jest jednak małe ryzyko. My staramy się ograniczyć to ryzyko.

Jeśli mówisz o takich wejściach fizycznych, to to ryzyko, że by się nam coś stało - myślę, że to ryzyko jest znikome, tak jak my to organizujemy. Kluczowy jest „mindset” osób, które to organizują. Każdy z nas też uprawia sport. Ja też chce być aktywny i jestem – sport jest częścią mojego życia. Sport jest właściwie takim elementem regulującym stres – tak mi się wydaje. Więc na pewno dobre przygotowanie, sport, posiadanie hobby pomaga w tym, żeby ten stres sobie jakoś tam regulować.

Najlepszy dzień tygodnia i godzina do ataku to?

No dobre pytanie. Kiedyś mieliśmy taki zespół, że powiedzieli: tak, testujcie nas kiedy chcecie tylko nie w piątek, bo akurat w piątek mamy spotkanie firmowe. W piątek po południu to wszyscy wiedzą. Ale my czasami robiliśmy działania w sobotę o 3 w nocy, w niedziele wieczorem. Zależy od tego jakie czynności mielibyśmy wykonać. Czy korzystamy na przykład z poświadczeń kogoś. Czy na przykład mamy już ustawione wejście do sieci przez jakieś konto. Raz popełniliśmy błędy - bo wykonywaliśmy działania jako osoba, która była na urlopie.

Raz kradliśmy pieniądze i po prostu za mało. Żeby sprawdzić czy działa, wskazaliśmy jako przelew jeden złoty. Następnego dnia już było wiadome, że nikt takich przelewów w tej firmie nie robi na jeden złoty – więc coś było nie tak. Wydaje mi się, że zależy to od tego co mamy robić. W tygodniu, w dni robocze wiadomo, że jest czujność, aktywność. Osłabienie w piątek po południu, weekend, święta. Czasami trafiamy w jakiś długi weekend – czwartek jest jakieś święto, jest piątek wolny to jest wiadome, że jest ograniczona pula osób do dyspozycji.

Nie zawsze jest tak, ze organizacje mają ustalone drzewo komunikacji, więc są problemy z komunikacją. Nawet jeżeli atakujący zostanie wykryty, to ma czas na to, żeby sobie spokojnie założyć „persistance”, nawiązać połączenie z C2, rozprzestrzenić się tak, żeby mieć kilka różnych typów malware posadzonego po sieci. W ten sposób nawet jeśli jedno zostanie skompromitowane, spalone to dysponujemy innymi możliwościami operacji.

Załóżmy, że prezes jakiejś firmy po przesłuchaniu tego podcastu stwierdził, że warto zacząć budować strategię cyber bezpieczeństwa w firmie. Od czego zacząć taką budowę?

Kluczowe jest zrozumienie profilu ryzyka wynikającego z biznesu, który wykonujemy. Bo jeżeli będziemy mieli biznes e-commerce to właściwe zabezpieczenie infrastruktury od strony aplikacji, zabezpieczenie „weba”, to jest nasz klucz na którym powinniśmy się skupić.

Jeżeli mamy firmę, która operuje na danych osobowych i mamy tych danych 5 milionów - to powinniśmy się skupić na ryzyku wycieku tych danych i od tej strony starać się budować całe podejście do bezpieczeństwa. Moim zdaniem rodzaj biznesu, profil ryzyka i wtedy można definiować na czym powinniśmy się skupić. Czy na aspekcie ochrony aplikacji, czy infrastruktury czy na przykład posiadaniu wystarczających zasobów, żeby realizować aktywny monitoring.

Marcinie bardzo serdecznie dziękuje Ci za wzięcie udziału w tym podcaście. Dzięki!

Dzięki bardzo. Do usłyszenia, do zobaczenia.