Kroz istoriju, najuspešniji osvajači su često praktikovali strategije iznenađenja i centrirali u slabe tačke unutar odbrambenih linija neprijatelja. Uzmimo za primer Trojanskog konja u antičkoj Grčkoj. U suštini, napadači su tada, kao i cyber napadači danas, tražili najmanje očigledne puteve za prodiranje u zaštićene zone.

Slično tome, u srednjem veku, ofanzivne vojske bi iskopavale tunele ispod zidina tvrđava da bi prodrli na teren druge strane i pokorili ih – zauzeli ili izazvali rušenje gradova -utvrđenja. Ove metode nisu mnogo različite od savremenih tehnika penetracije koje pokušavaju „prokopati“ kroz zaštitne mehanizme softvera i hardvera kako bi hakeri pronašli ranjivosti.

Današnji testovi penetracije su digitalna inkarnacija ovih starih strategija. Cilj im je identifikovati i iskoristiti slabosti u IKT sistemima pre nego što to učine pravi napadači. Umesto fizičkog kopanja ispod zidova, specijalisti za bezbednost koriste sofisticirane alate da bi „kopali“ kroz kodove i mrežne protokole u potrazi za propustima, a verujte uvek ih ima. Ova praksa nije samo preventivna; ona je neophodna za modernu korporativnu odbranu.

Test penetracije nudi metodičan pristup za identifikovanje i popravljanje slabih tačaka unutar postojećih bezbednosnih sistema. U tom kontekstu ključno je da razumemo šta tačno štitimo. Pa sa tim u vezi treba da znamo sledeće:

Šta je IKT sistem/ infrastruktura?

Najjednostavnije rečeno, to je srce svake moderne organizacije i obuhvata sve od mrežnih komponenti do servera i softverskih aplikacija. Kako se tehnologija razvija, tako se razvijaju i metode koje napadači koriste da eksploatišu te tehnologije. Stoga, pravilno razumevanje i zaštita IKT infrastrukture nije samo preporučljiva, već neophodna praksa za očuvanje vitalnih funkcija i relevantnih podataka organizacije. U sledećem delu ćemo detaljnije razmotriti šta čini IKT infrastrukturu i zašto je njen integritet temelj bezbednosti svake korporacije.

Informaciono-komunikacione tehnologije (IKT) omogućavaju kreiranje, čuvanje, razmenu i obradu informacija putem elektronskih sredstava. Ovi sistemi uključuju računare, internet, telekomunikacione uređaje i brojne aplikacije koji omogućavaju korisnicima da pristupe, analiziraju i razmene informacije bez obzira na geografske barijere.

Zašto toliko prašine oko „običnih računara“?

Kao što smo objasnili, IKT sisteme čini znatno više od jednog računara i ključni su za efikasno funkcionisanje savremenih organizacija jer omogućavaju brzo prenošenje informacija, efikasnu komunikaciju unutar i izvan organizacije, kao i automatizaciju procesa – odnosno obavljanje delatnosti. Ovi sistemi su posebno vitalni za organizacije koje se oslanjaju na brzu i preciznu razmenu podataka za donošenje odluka, upravljanje resursima i održavanje konkurentnosti na tržištu.

Postoje sektori koji najviše zavise od IKT sistema, a to su: finansijske institucije, zdravstvene organizacije, vlade, energetski sektor, transport. Za njih, IKT predstavlja kritičnu infrastrukturu jer su od značaja za nacionalnu bezbednost, ekonomsku stabilnost, javno zdravlje – vitalni za normalno funkcionisanje građana i društva. Otkazivanje ili kompromitacija IKT sistema u ovim sektorima može imati ozbiljne posledice po društvo u celini.

Šta je test penetracije i ko ga radi?

Test penetracije, poznatiji kao penetration test, je metod evaluacije bezbednosti IKT sistema koji se sprovodi simuliranjem napada od strane potencijalno malicioznih napadača. Cilj ovog testa je identifikacija slabih tačaka pre nego što ih iskoriste pravi napadači. Ovaj test obavljaju  obavljaju specijalizovani stručnjaci za sajber bezbednost, često poznati kao „hakeri u belim šeširima“. Ovi stručnjaci koriste iste metode i alate kao i maliciozni hakeri („hakeri u crnim šeširima“), ali s ključnom razlikom: njihovi postupci su legalni, etički i izvode se u cilju poboljšanja bezbednosti sistema.

Hakeri u belim šeširima VS sajber stručnjaci

Hakeri u belim šeširima su sajber stručnjaci angažovani od strane organizacija da sprovedu kontrolisane napade na njihove informacione sisteme. Ovo rade da bi identifikovali slabosti pre nego što ih zloupotrebe zlonamerni napadači.

Termin „sajber stručnjaci“ je širi i odnosi se na profesionalce koji rade u različitim oblastima sajber bezbednosti, uključujući ali ne ograničavajući se na testiranje penetracije. Ovi stručnjaci mogu raditi na razvoju bezbednosnih politika, upravljanju incidentima, zaštiti infrastrukture i mnogim drugim područjima.

Da li je to isto?

Dok su svi hakeri u belim šeširima sajber stručnjaci, ne mora svaki sajber stručnjak biti haker u belom šeširu. Hakeri u belim šeširima specifično se fokusiraju na etičko hakovanje i testiranje penetracije, koristeći svoje veštine da pomognu organizacijama da se zaštite od sajber pretnji. S druge strane, sajber stručnjaci mogu imati širi spektar zadataka koji ne uključuju etičko hakovanje.

Zato je sem praktikovanja testova penetracije od krucijalnog značaja da sve oblasti u domenu IKT-a budu pokrivene, a to znači angažman stručnjaka različitih specijalnosti u tom domenu, uključujući pod obaveznim i multidisciplinaran pristup.

Dakle, iako su hakeri u belim šeširima sajber stručnjaci specijalizovani za testiranje penetracije, oblast sajber bezbednosti je mnogo šira i uključuje mnoge druge specijalizacije.

Šta omogućava test penetracije i na koliko treba da se radi?

Test penetracije omogućava organizacijama da procene stepen svoje izloženosti rizicima, da prepoznaju ranjivosti u svojim sistemima i aplikacijama i da efikasno prioritizuju mere za mitigaciju identifikovanih rizika. Kroz ovaj proces, moguće je razviti jači sistem odbrambenih mehanizama, poboljšati procedure odgovora na incidente i u konačnom zaštititi korporativne podatke. Uobičajeno je da se test penetracije sprovodi na godišnjem nivou, ili češće, ukoliko to situacija zahteva, kao što je uvođenje novih sistema ili nakon većih nadogradnji postojećih sistema.

Primeri iz prakse

• Finansijski sektor: Banka je implementirala redovne testove penetracije u radni i tehnološki proces kao bezbednosnu praksu čime je otkrivena i efikasno sanirana ranjivost u sistemu online plaćanja. Ovo je sprečilo višemilionske finansijske gubitke i zaštitilo reputaciju institucije.
• Zdravstveni sektor: Nedostatak kontinuiranih testova penetracije u jednoj bolnici dozvolio je neovlašćeni pristup osetljivim podacima pacijenata, što je rezultiralo kršenjem privatnosti i pravnim posledicama za ustanovu.
• Energetika: Energetska kompanija je, koristeći testove penetracije, identifikovala kritični softverski defekt u kontrolnom sistemu elektrane. Brza reakcija sprečila je potencijalne prekide u snabdevanju i garantovala zaštitu infrastrukture.
• Distribucija: Kompanija u sektoru distribucije pretrpela je značajne operativne i finansijske gubitke zbog ransomware napada, usled ignorisanja potrebe za redovnim bezbednosnim testiranjem svojih sistema.
• Vojska: Vojska jedne zemlje je kroz redovne testove penetracije otkrila ranjivosti u komunikacijskom softveru koji se koristi na bojnom polju. Pravovremena intervencija sprečila je mogućnost da se ove slabosti iskoriste u neprijateljske svrhe.
• Policija: Policijske snage su, primenjujući proaktivne testove penetracije, uspele da otklone sigurnosne propuste u sistemu za nadzor i komunikaciju, čime su poboljšale efikasnost i sigurnost svojih operacija.

„U koštac“ sa zakonom zbog disfunkcije sistema

Ako dođe do disfunkcije IKT sistema unutar neke organizacije, to može dovesti do kršenja niza zakonskih propisa, u zavisnosti od prirode incidenta i vrste podataka koja je kompromitovana. Evo liste zakona koji bi potencijalno mogli biti prekršeni:

1. Zakon o zaštiti podataka o ličnosti – Ovaj zakon se primenjuje slično kao GDPR u Evropskoj uniji. Ako dođe do curenja ili gubitka ličnih podataka usled pada IKT sistema, organizacija može biti odgovorna za kršenje ovog zakona.
2. Zakon o elektronskoj trgovini – Ako pad sistema utiče na integritet ili dostupnost podataka koji su ključni za elektronsku trgovinu, to može dovesti do kršenja odredbi ovog zakona koji reguliše elektronsku razmenu podataka i transakcije.
3. Zakon o poslovnim tajnama – Ako pad sistema dovede do neautorizovanog otkrivanja poslovnih tajni, organizacija može biti kažnjena za neadekvatnu zaštitu tih tajni.
4. Zakon o računovodstvu – Ovaj zakon zahteva od organizacija da održavaju tačne i sigurne računovodstvene zapise. Disfunkcija IKT sistema može dovesti do gubitka ili oštećenja računovodstvenih podataka, što predstavlja kršenje ovog zakona.
5. Zakon o informacionoj bezbednosti – Ovaj zakon obavezuje organizacije da primene adekvatne tehničke i organizacione mere za zaštitu informacionih sistema i podataka. Neuspeh u zaštiti od IKT incidenata može se smatrati kršenjem zakona.
6. Zakon o elektronskim komunikacijama – Pad IKT sistema koji utiče na elektronske komunikacije može dovesti do kršenja ovog zakona, posebno ako je došlo do prekida u pružanju usluga korisnicima.
7. Zakon o zaštiti potrošača – Ako pad IKT sistema direktno utiče na korisnike ili potrošače, na primer kroz ometanje pristupa digitalnim uslugama ili kompromitaciju njihovih podataka, to može biti u suprotnosti sa obavezama prema potrošačima koje propisuje ovaj zakon.

Budite uvreni da je lista mnogo duža, ali su konsekvence neadekvatne zaštite IKT sistema znatno štetnije.

Kako neadekvatna zaštita IKT sistema utiče na privatno obezbeđenje?

Kompromitacija tehničkih sistema obezbeđenja: Ako IKT sistem koji podržava funkcionalnost uređaja kao što su alarmni sistemi, kontrola pristupa, video nadzor ili detekcija požara doživi kvar ili pad, to može onemogućiti efikasno tehničko obezbeđenje koje je propisano zakonom. Ovakav kvar može onemogućiti da se adekvatno štiti imovina, lica i poslovni procesi, što može rezultirati ne samo štetom već i neispunjavanjem zakonskih obaveza.

Da podsetimo da Zakon o privatnom obezbeđenju u Republici Srbiji reguliše uslove i načine obavljanja delatnosti privatnog obezbeđenja, uključujući fizičko i tehničko obezbeđenje objekata i lica.

Disfunkcija IKT sistema može dovesti do povrede ovog zakona, ali i ugrožavanja kompletne organizacije – od fizičkog do digitalnog nivoa, uključujući zaposlene i treća lica i objekte u kojima se posluje. Kada se desi incident velikih razmera sa enormnim posledicama, u praksi se najviše posmatraju posledice ali ne i uzrok. Ako bi smo posmatrali uzroke, znali bi smo gde tačno leži problem i čija je odgovornost. Od sagledavanja posledica zaista nemamo koristi, zbog čega se incidenti često nazivaju nesrećni slučajevi pa u tom kontekstu nema ni odgovornih.

Poremećaj u evidenciji i izveštavanju: Privatne bezbednosne agencije su po zakonu dužne da vode precizne evidencije o svojim operacijama, uključujući detalje o incidentima, patrolama i drugim bezbednosnim merama. Ako IKT sistem koji se koristi za vođenje ovih evidencija ne funkcioniše pravilno, to može dovesti do nepotpunih ili netačnih izveštaja koji su takođe u suprotnosti sa zakonskim zahtevima.

Neuspeh u održavanju komunikacijskih standarda: Efikasna komunikacija je ključna za operacije privatnog obezbeđenja, posebno u kriznim situacijama. Ako IKT sistemi koji podržavaju komunikacijske funkcije (npr. radio i telekomunikacioni uređaji) postanu nepouzdani, to može ometati sposobnost obezbeđenja da koordinira odgovor na incidente.

Ometanje pristupa vitalnim informacijama: U slučaju da IKT sistemi koji skladište važne operativne i bezbednosne protokole postanu nedostupni, osoblje privatnog obezbeđenja možda neće moći da pristupi kritičnim informacijama potrebnim za efikasno obavljanje svojih dužnosti. To može ugroziti celokupno obezbeđenje objekata i lica pod njihovom zaštitom.

ETIČKO HAKOVANJE: Ključna zaštita korporacija u eri pametne tehnologije!

Novi trendovi u primeni ove metode

Sa razvojem tehnologija, razvijaju se i metode za testiranje penetracije. Danas se sve više koristi automatizovano testiranje koje može brže identifikovati ranjivosti u velikim sistemima. Pored toga, simulacija naprednih stalnih pretnji (APT – Advanced Persistent Threats) postaje standard u industriji, omogućavajući organizacijama da testiraju svoju sposobnost da se odbrane od sofisticiranih i trajnih cyber napada. Evo nekoliko novina koja se koriste testiranju penetracije:

1. Automatizovano testiranje penetracije – Implementacija softvera koji automatski otkriva ranjivosti u IKT sistemima.
2. Veštačka inteligencija i mašinsko učenje – Koriste se za simulaciju napadačkih ponašanja i unapređenje detekcije složenih ranjivosti.
3. Breach and Attack Simulation (BAS) – Tehnologije koje omogućavaju neprekidnu simulaciju napada za proveru sigurnosnih mehanizama.
4. Sigurnost API-ja – Fokusiranje na testiranje API interfejsa zbog njihove ključne uloge u aplikacijama.
5. Fuzzing kao servis – Korišćenje cloud baziranih rešenja za automatizovano testiranje softvera putem generisanja nasumičnih ulaznih podataka.
6. Purple Teaming – Integracija ofanzivnih i defanzivnih timova za testiranje i poboljšanje korporativnih sigurnosnih strategija.
7. Testiranje IoT uređaja – Specijalizovane metode za otkrivanje ranjivosti u sveprisutnim IoT (Internet of Things) uređajima.
8. Cloud-native sigurnosni alati – Alati dizajnirani za rad unutar cloud infrastruktura, optimizovani za dinamično okruženje.

Simuliranje napada – spremnost za odbranu

Test penetracije je neophodan alat u arsenalu svake organizacije koja ozbiljno shvata pitanje bezbednosti svojih informaciono-komunikacionih sistema. Redovno sprovođenje ovih testova nije samo mera opreza; to je vitalni korak u zaštiti ključnih operacija i očuvanju integriteta i pouzdanosti kritične infrastrukture od potencijalnih cyber pretnji. Iz tog razloga, test penetracije treba da postane neodvojivi deo strategije bezbednosti svake savremene organizacije.