KPMG ekspert kübertestidest: tahame, et ettevõte ei satuks päris rünnaku ohvriks

Laias laastus pakub KPMG kolme sorti läbistustestimisi: arvutivõrgu läbistustestimine, red teaming ja purple teaming. Mis vahe on neil teenustel?

Vastab KPMG Balticsi küberturvalisuse ekspert Jaan Vahtre:

Kõik kolm erinevad üksteisest ning kannavad erinevat eesmärki. Võrgu läbistustestimine pakub suhteliselt lühikese ajaga arusaama ettevõtte nõrkustest nii välisperimeetril kui ka sisevõrgus ehk kust on ründajal potentsiaalselt võimalik sisse tungida. Kui on juba saavutatud ligipääs sisevõrku, siis mida on võimalik siseperimeetri vaates korda saata, kui kaugele minna, milliseid seadmeid on võimalik kompromiteerida ning millistele andmetele ligi pääseda.

Läbistustestimise tulemusena valmib raport, kus me toome välja kõik tuvastatud haavatavused koos meiepoolse riskihinnangu ja soovitustega, millised oleksid järgmised sammud, et need ära parandada või nende mõju võimalikult minimeerida. Teenuse eesmärk on suhteliselt lühikese ajaga tuvastada võimalikult palju erinevaid haavatavusi ning pakkuda ülevaadet ja soovitusi hetke olukorrast ning edasistest sammudest.

Võrgu läbistustestimise teenus tuvastab ja valideerib haavatavusi, mis esinevad nii sisemises, välisvõrguga suhtlevas kui ka pilvepõhises IT-taristus. Raportis tuuakse välja soovitused nende haavatavuste parandamiseks.

Kui võrgu läbistustestimises ei ole tuvastuslahendused ja reageerimise võimekus eelduseks, siis red teaming’u puhul on see oluline. Siin me mitte ei kaardista enam üksnes haavatavusi, vaid eesmärgiks on aru saada, millised on ettevõtte tuvastus- ja reageerimislahendused. Üritame mõista, kui hästi kliendi IT-meeskond suudab meie tegevused tuvastada ja meid ka takistada.

Seal me ei räägi lihtsalt nõrkuste kaardistamisest, vaid meie vastas võiks olla ideaalis meeskond, mis püüab meid monitoorida, meie tegevusi avastada ning aru saada, kuhu me ettevõtte sisevõrgus üritame liikuda, milliseid süsteeme rünnata ning samuti reageerida ka neile tegevustele.

Red teaming'u käigus modelleerivad ja imiteerivad väljaõppinud turbespetsialistid rünnakustsenaariume, et tuvastada inimeste, protsesside ja tehnoloogia nõrkusi. KPMG tuvastab nii nõrkused kui ka testib nendega seotud turvakontrolle. Teenus on kohandatav vastavalt kliendi vajadusele ning töö ulatuse saab määrata mahus, et väärtus kliendile oleks maksimaalne.

Kui vaatame siit edasi ka purple teaming’u teenust, siis seal pole eesmärgiks enam mitte ainult nõrkuste tuvastamine ja reageerimislahenduste hetkeseis ning selle kaardistamine, vaid koostöös kohapealse kaitse- või monitooringumeeskonnaga tõhustada tuvastamise- ning reageerimislahendusi. Proovida ka läbi erinevaid rünnakuid, kasutades erinevaid ründevektoreid, samas jälgides, millised neist suudetakse tuvastada ning koostöös kaitse- või monitooringumeeskonnaga viia sisse muudatused, et neid rünnakuid oleks võimalik tulevikus tuvastada ning tõkestada.

Kuidas otsustada, millist neist kolmest testimise teenusest kasutada?

Meie käest on kliendid tihti küsinud, kas nad peaksid oma ettevõttes arvutivõrgu läbistustestimist, red teaming’ut või purple teaming’ut teostama. Siis oleme esmalt uurinud, milline on tema hetke küberturvalisuse seis, millised on kasutusel olevad tuvastus- ja reageerimismeetodid ning kas ettevõttel on rünnakuid monitooriv süsteem või meeskond, kes aktiivselt suudaks rünnakuid tuvastada ning neile reageerida. Kui tuvastus- ja reageerimismeetodeid pole, soovitame esmalt arvutivõrgu läbistustestimist.

Arvutivõrgu läbistustestimises me ei tee liigselt ettevalmistusi, et olla vaiksed. Püüame lühikese aja jooksul leida võimalikult palju vigu ning nagu öeldud: eesmärgiks on haavatavuste tuvastamine, mitte tuvastus- või reageerimismeetodite testimine. See tähendab, et võrgus tekitakse omajagu müra ega keskenduta sellele, et meid poleks võimalik tuvastada.

Purple teaming teenus on kompaktne ja mõjus mitmenädalane kogemus, kus rünnak ja kaitse kohtuvad reaalajas. Erinevalt red teaming'ust, kus ründav meeskond üritab võimalikult märkamatult ettevõtet rünnata, toimub purple teaming'u puhul tihe koostöö ja rünnakute tuvastamise valideerimine ettevõtet kaitsva meeskonnaga. Purple teaming'u eripäraks on jätkutegevused, mis aitavad kaitsval meeskonnal oma töö tõhusamaks muuta.

Seevastu red teaming’u ja purple teaming’u puhul on meil just oluline teha toiminguid vaikselt ja märkamatult, et meid ei tuvastataks. Kui vaadata veel red teaming’u ja purple teaming’u erinevusi, siis üldjuhul red teaming on lühemaajalisem projekt, n-ö hetkeolukorra kaardistamine, mille käigus tihtipeale kaitsemeeskonda meie tegevustest ette ei teavitata. Seevastu purple teaming toimub koostöös kliendiga või nende kaitse- ja monitooringumeeskonnaga ning ründe ja kaitsetegevused toimuvad koostöös ja vaheldumisi.

Kus on nende turvatestimiste piirid? Saate sisse, jääte märkamatuks, mida aga teha võite ja mida mitte?

See on skoobis väga kindlalt määratud vastavalt soovitud teenusele, plaanile ja eesmärgile. Juhuslikke tegevusi ei ole, vaid tegutsetakse vastavalt kokkulepitud plaanile. Meie eesmärk võib olla saada mingisse võrgu segmenti, kus asub oluline info ja tõestada, et see info on sealt ka vajadusel alla laetav, jäädes seejuures tuvastuslahendustele märkamatuks.

Arvutivõrgu läbistustestimise puhul, kus eesmärgid on teised, toome välja võimalikult palju erinevaid haavatavusi ja vigu ning pakume neile ka omapoolsed parandusettepanekud ja soovitused edasisteks sammudeks.

Kuidas valitakse ründestsenaarium?

Stsenaariume on erinevaid, red teaming’u ning purple teaming’u puhul tuvastatakse ja lepitakse need kokku ettevalmistuse, planeerimise faasis. Arvutivõrgu läbistustestimise korral tagatakse meile ligipääs ettevõtte võrgusegmenti, nt kasutajate võrku, luuakse testimise jaoks mingid eeldused, saadetakse ette informatsioon võrgusegmentidest ja süsteemidest ja tagatakse ligipääsud.

Red teaming’u ja purple teaming’u puhul on stsenaariume erinevaid ning seetõttu on ka meie ettevalmistus palju suurem. Ka luurefaas on laiem, selgitamaks välja, milliseid lahendusi klient kasutab ja mis on potentsiaalsed ründevektorid. Kui luure ajal tuvastame välisperimeetri tasandil haavatavusi, siis neid ilmselt ka kasutame.

Seega on tegevused jagatud eri faasideks. Kui tuleb välja, et näiteks kliendi väline perimeeter on väga hästi kaitstud, siis võime ka kokku leppida stsenaariumis, kus meile tehakse kuskile sisevõrku ligipääs.

Kuivõrd mõistlik on kliendil oma töötajaid informeerida, et oodata on n-ö sõbralikku rünnakut?

See oleneb, mida me teeme. Arvutivõrgu läbistustestimise puhul antakse IT-meeskonnale kindlasti teada. Samas red teaming’u puhul kaitse- või monitooringumeeskonda ei teavitata, sest eesmärk ongi kliendi IT- või küberturbemeeskonna tuvastus- ja reageerimislahendusi testida.

Hakkame vastavalt oma plaanile tegevusi tegema ja vaatame, kas ja millal meid märgatakse. Siis annab kliendi IT-tiim ilmselt ise ka laiemalt teada, kui mingi rünnak suudetakse tuvastada.

Purple teaming’u puhul tahame, et kliendi IT-meeskond teeks süsteemides ja seadistustes kaitset tugevdavaid tegevusi ehk koostöö meiega on suurem.

Aga nii red kui ka purple teaming’u puhul on oluline see, et tahame aru saada, mis on reaalne seis. Mitte nii, et ollakse äärmiselt valvsad, hakatakse teostama meie vastaseid tõkestustegevusi juba enne meie tegevuste algust ning massiliselt süsteeme uuendama ja tugevdama.

Kokkuvõttes on kogu asja läbimängimise eesmärk kaitse-, tuvastus- ja reageerimismeetodite tõhustamine ja selleks peame aru saama, kus on täna nõrgad kohad.

Kes võiksid Eestis olla tüüpkliendid, kellel on vaja arvutivõrgu läbistustestimise, red teaming’u ja purple teaming’u teenuseid?

Arvutivõrgu läbistustestimise osas need ettevõtted, kes soovivad saada ülevaadet, arusaama või soovivad valideerida oma hetke küberturbe olukorda. Red teaming’u ja purple teaming’u puhul ettevõtted, kellel on juba olemas erinevad tuvastus- ja reageerimismeetodid. Näiteks ettevõtted, kes aktiivselt monitoorivad oma sisevõrku.

Red teaming’ut ja purple teaming’ut pole mõtet enne teha, kui ettevõttel ei ole heal tasemel tuvastus- ja reageerimismeetodeid. Siis me pigem soovitame esialgu arvutivõrgu läbistustestimist, et hakata haavatavusi tuvastama ja kaardistama, parendustegevusi läbi viima ning tuvastus- ja reageerimismeetodeid välja arendama.

Eestis on üks peamisi puudujääke, et oleme niinimetatud tulemüürirahvas ehk paneme fookuse tulemüürile, et väljast keegi sisse ei saaks. Samas on paljudel ettevõtetel puudu tuvastusmeetodid, mis avastaksid, kui keegi on ettevõtte arvutivõrku juba pääsenud ja sees tegutseb. Meie kogemus ütleb, et kui juba tulemüürist mööda saadakse, siis on tuvastusaeg liiga pikk ning ettevõtted ei suuda tuvastada sisse pääsenud ründajaid ega neile reageerida.

Mis on red teaming’u etappidest – ettevalmistus, uurimine, läbistus, lõpetamine – kõige aeganõudvam?

Kas just aeganõudvaim, kuid siinkohal tooksin välja ettevalmistuse ja uurimisetapi. Seal me püüame aru saada, millised kaitse, tuvastus- ja reageerimismeetmed on ettevõttes kasutusel ja mis potentsiaalseid ründevektoreid me saaksime ja võiksime kasutada ehk paneme paika plaani. Kui plaan on hea ja olulisemad komponendid ka laborikeskkonnas läbi mängitud, on ründe- ehk läbistusetapp juba lühem.

Miks on oluline ründava ja kaitsva poole koostöö purple teaming’u puhul?

See on edasiarendus red teaming’ust – me tegime oma osa ära, aga mis nüüd edasi saab. Olulised on jätkutegevused, et aidata kaitsval meeskonnal oma töö tõhusamaks muuta. Ja mida teha, et meie testimiseks kasutatud rünnakud edaspidi reaalses elus samalaadselt ei õnnestuks.

Mis on musta ja valge kasti läbistustestid?

See kehtib kõigi eelnevalt käsitletud teenuste kohta. Erisuseks on see, kui palju meile infot ja ligipääse ette antakse. Musta kasti testi puhul meil liialt informatsiooni ei ole, eelnevalt meid ei abistata.

Valge kasti testi puhul antakse meile info ja ligipääsud, et me ei peaks kulutama liiga palju aega uurimisfaasile ja esmase ligipääsu tagamisele, vaid teaksime kohe, mis tarkvara ja kaitse-, tuvastus- ja reageerimislahendusi klient täna juba kasutab. Näiteks antakse meile esmane ligipääs tavakasutaja võrku või antakse ettevõtte poolt kasutajatele mõeldud sülearvuti koos tavapäraste seadistustega.

Kas te tavaliselt soovitate kliendile, mida kasutada? Või klient avaldab ise soovi, et tahab näiteks musta või valge kasti testi?

See sünnib kindlasti koostöös ja läheb skoobi alla kirja. Vahel tuleb meie juurde aga ka väga teadlik klient, kes on aastaid ühte või teist proovinud ja nüüd soovib mingit muudatust, uut lähenemist.

Kes on KPMG partner selles koostöös kliendi juures? On see infoturbe- või IT-juht? Või on mõnikord ka tegevjuht kaasatud ettevalmistusfaasi?

Oleneb töö iseloomust, mida me kliendi juures teeme. Reeglina aitavad IT-juht või küberturbejuht meil ettevalmistust läbi viia, samas peamine soov tuleb enamasti ikkagi tippjuhtkonna poolt.

Juhtkond soovib aru saada, mis on nende tänane küberturvalisuse seis, millised on järgmised vajalikud sammud ja tegevused, kas nende investeeringud küberturbesse ja meeskonda on piisavad ning kas tuvastatud puudujäägid on ka tegelikult aja jooksul lahendatud.

Kuidas on tehisintellekti levik mõjutanud red team’i tegevust?

Tehisintellekti kasutusvõimalused tervikuna pakuvad nii ründajatele kui ka kaitsjatele uusi ja paremaid võimalusi. Automatiseeritud kaitse- ja tuvastusmeetmetega üritatakse tuvastada käitumist, mis erineb tavakasutaja käitumisest. Otsitakse indikaatoreid, mis võiksid teada anda käimasolevast rünnakust ning seejärel saata välja ka vastavasisulised teavitused.

Samuti on tehisintellekti kasutus suurenenud välisperimeetri rünnakute osas, kus õngitsuskirjad on läinud paremaks ning automaattestid suudavad kohati kombineerida ja kasutada ka kasutajatepõhist teavet.

Kokkuvõttes pakub tehisintellekt küll uusi võimalusi, kuid inimene seal taga peab siiski suunama ning kaitse poolel ka valideerima, kas tegemist on reaalse rünnakuga või kui tõene see info on. Sama probleem tekib ka AI genereeritud teadeannetega, et mingi rünnak toimub. See nõuab ka kaitsva meeskonna poolt seadistamist, et õigeaegselt saada kätte vaid oluline info.

Pole ju kasu, kui saad kätte lõpututes kogustes igasugu teadaandeid, kuid ei suuda klassifitseerida, mis neist on tõene ja mis ei ole.

Kui kaua erinevad testimised aega võtavad?

Arvutivõrgu läbistustestimine, red teaming ja purple teaming on üldjuhul erineva pikkusega. Kõige vähem nõuab aega arvutivõrgu läbistustestimine, kus uurimisetapp on oluliselt lühem ja me ei pea ka väga märkamatud olema, et meid ei avastataks. Red teaming on suurusjärgus ühe kuu pikkune projekt, purple teaming võib võtta samaväärse aja või rohkem, sest olulised on ka jätkutegevused ja muudatused ning nõuab kaasatust ka kliendipoolselt meeskonnalt.

Millist hõivatust KPMG jaoks üks selline projekt tähendab?

Projektides on erinevad etapid ja erinevad ülesanded vastavalt plaanile. Mingi osa meeskonnast kogub infot, osa teeb luuretegevusi, siis me jagame seda infot, lepime kokku jätkutegevustes, seejärel rünnaku- ja tagasisidestamise faas jne. See on meeskonnatöö, kus eri etapid on eri inimeste vahel ära jagatud ja kogu meeskond ei ole kogu projekti vältel kaheksast viieni hõivatud.

Mis toimub pärast ründe lõppu? Analüüs, raporti koostamine, kliendiga suhtlemine?

Pärast ründefaasi lõpetamist liigume järgmistesse etappidesse, milleks on raporteerimine, jätkutegevuste kokkuleppimine, tagasisidestamine. Eesmärk on anda võimalikult palju kvaliteetset infot kliendile, et ta saaks selle pealt edasised otsused vastu võtta, süsteeme ja protsesse parendada. Samuti jagada soovitusi, mida muuta paremaks.

Ründe eesmärk ei ole üldjuhul tõestada, et me suudame sisse tulla, nähtamatud olla ning midagi ka maha võtta. Laiemas vaates on eesmärk ikka see, et ettevõte suudaks tulevikus paremini rünnakuid ära hoida, tuvastada, neile reageerida ja vajadusel ka taastada.

Kui tihti te ründe käigus üllatute, et ei suuda sisse minna või varjatuks jääda, sest testi tellinud klient osutub piisavalt heal tasemel olevaks?

Siinkohal tuleks kindlasti eristada sisse saamist ja oskust varjatuks jääda ehk erinevatel teenustel ja projektidel on ju erinevad eesmärgid, mida me püüame saavutada. Samuti on projektidel ka erinev tegevusplaan ning erinevad faasid.

Kui peaks selguma, et otse välisperimeetrilt me sisse ei saa, töötajaid on ka vähe, õngitsusrünnak näiteks samuti ei tööta, siis peame tiheda ajaraamistiku tõttu liikuma edasi, et mitte aega raisata. Üldjuhul pole sisse saamine ja sisevõrgus tegevuste tegemine aga liigselt komplitseeritud, küsimus on oskuses neid tegevusi teha nii, et su tegevusi ei tuvastaks.

Ses osas on meil väga palju erinevaid kogemusi, et kui head on kliendi kaitsemeeskonnad ja kui hästi nad suudavad meid tuvastada. Samamoodi ka see, kuidas on erinevad kaitsemeetodid läbi mängitud. Räägime võrgu segmenteerimisest, erinevatest tõkestuslahendustest, tuvastus- ja reageerimislahendustest.

Ma ei taha öelda, et saame igale poole sisse, ent red teaming’u ja purple teaming’u teenuse puhul käib tegevus pigem selle peale, kas ja kui kiirelt suudetakse meid tuvastada ja millised on kliendipoolsed reageerimismeetodid.

Mis on tavaliselt nõrkuste põhjuseks? Puudulik või aegunud tarkvara, inimlikud eksimused?

Siin saame rääkida nii üksikleidudest kui ka juurpõhjustest. Tavaliselt taandub kõik juurpõhjusteni, sest üksikleiud on küll võimalik parandada, aga ilma juurpõhjuste analüüsita ning parendustegevusteta tulevad need üksikleiud aja möödudes tagasi. Üksikleidude parendustegevustest võime näiteks välja tuua serverite ja süsteemide uuendamised.

Kui aga ettevõttel pole näiteks ülevaadet või adekvaatset turvapaikade haldust juurutatud, siis aja möödudes tulevad need vead pikapeale tagasi. Kui aga hakkame nende juurpõhjustega tegelema, vaatame üle protsessid, kaardistame ja analüüsime hetke olukorda ning paneme paika ka jätkutegevused pikemas perspektiivis, hakkab kõik aja jooksul paranema.

Kui näiteks teha perioodiliselt kolmanda osapoolega turbetestimist ja kontrollida, kas teostatud parendustegevused on asjakohased, siis seis paraneb ja tulevikus hakkab samalaadseid vigu ka vähem esinema.

Kuidas neid testimisi hinnastatakse?

Ühte lihtsat valemit siinkohal ei ole, kuid peamisteks pidepunktideks on testimise ulatuse määramine ja selle kõrvutamine potentsiaalse ajakuluga. Hinnastatakse eri aspektide järgi, kuid peamiselt on oluline aru saada, kui suure projektiulatusega on tegemist, kui palju infot ette antakse, kas tegemist on kohapealse testiga või saame teostada ka kaugelt, palju on erinevad asukohti või süsteeme ning kui pikalt võivad erinevad ründeetapid potentsiaalselt aega võtta.

Kuidas selgitate potentsiaalsele kliendile, miks on selline testimine oluline?

Kolmanda osapoole testimine on oluline, et saada kindlust ja arusaam, milline on ettevõtte tegelik küberturvalisuse hetkeseis ning milliseid tegevusi tuleks järgmiste kvartalite ja aastate jooksul ette võtta. See annab justkui teekaardi juhtkonnale, kuhu suunas tuleks oma tegevusi suunata ning millele fokusseerida. Eesmärk on see, et meie testimise asemel ei leiaks aset tegelik rünnak, mida ettevõte ei suuda tõrjuda, tuvastada või veel hullemal juhul, millest nad ei suuda taastuda.

Kliendile antakse ülevaade, mis seisus on tal täna näiteks tõrje-, tuvastus-, reageerimis- ja taastemeetodid. Ehk kui rünnak toimub, mis siis juhtub ja kas tänased lahendused on piisavad rünnaku ärahoidmiseks, tuvastamiseks ja vajadusel ka taastamistöödeks.

Me oleme kliendiga alati samas paadis – tahame, et ettevõte ei satuks rünnaku ohvriks. See on peamine eesmärk, miks me seda konsultatsiooni pakume. Igapäevaselt saame ju lugeda, kui palju mõjuga rünnakuid teostatakse, statistika on paraku kurb.

Soovime, et kõik saaksid teha oma igapäevatööd, mitte ei peaks tegelema intsidentidele reageerimisega, lunavara maksmisega või oma süsteemide uuesti üles ehitamisega. Viimane on paraku ettevõttele juba oluliselt kallim tegevus kui ennetamine.