Príspevok pripravil Tomáš Hála, Vedúci LINUX administrátor ACTIVE 24

4.10.2012 sa konalo druhé celoeurópske cvičenie obrany proti rozsiahlym kybernetickým útokom na území Európskej únie. Bolo to ale po prvýkrát, čo boli na cvičenie okrem národných CSIRT tímov a štátnej správy prizvaní i zástupcovia privátnej sféry. V Českej republike sme túto výzvu prijali ako jediná spoločnosť, aby sme si posilnili skúsenosti členov nášho nedávno zaregistrovaného bezpečnostného tímu ACTIVE24-CSIRT.

Za ČR sa cvičenie okrem nás zúčastnili hlavne zástupcovia národného bezpečnostného tímu CSIRT.CZ a ďalej zástupcovia CESNET-CERTS a Policajnej Akadémie. Cvičeniu predchádzala schôdzka so zástupcami všetkých participujúcich subjektov, aby sme “zladili noty” a predali si skúsenosti tých, ktorí sa zúčastnili už cvičenia minulého.

Pre cvičenie je vytvorený virtuálny svet dôsledne oddelený od toho skutočného a v ňom sa všetko odohráva podľa scenára dynamicky riadeného z centra, ktoré sa tentokrát nachádzalo v Aténach. Samotné cvičenie bolo odštartované o 9:00 a hneď z kraja začínali chodiť tzv. injecty ukazujúce na rozvíjajúci sa DDoS útok, ktorý sa postupne vyvíjal, stupňoval a šíril do sietí ďalších a ďalších subjektov. Neskôr sa pridali i incidenty s únikom citlivých dokumentov.

Cieľom útokov boli kľúčové štátne i komerčné inštitúcie vrámci EU. Cieľom cvičenia bolo efektívnou spoluprácou všetkých zainteresovaných subjektov docieliť zoslabenie resp. úplné zastavenie útokov, ochránenie citlivých dát a pritom si precvičiť odporúčané postupy a spôsoby komunikácie. Celého cvičenia sa zúčastnilo 400 hráčov z celej Európy.

ACTIVE 24 pôsobilo v tomto cvičení v roli poskytovateľa hostingových služieb a taktiež ako ISP. Vyskúšali sme si pozíciu tak cieľa ako aj zdroja útokov, pretože jeden z cieľov rozsiahleho útoku bol náš virtuálny zákazník zo štátnej správy a zároveň sa v našej sieti objavovali servery a ďalšie zariadenia zneužívané útočníkmi na ataky na iné ciele.

Hráč vrámci tohto cvičenia dostáva značné množstvo podnetov tak od iných subjektov ako aj simulovaných podnetov napr. od vášho oddelenia zákazníckej podpory, od nadriadeného alebo z rôznych médií (virtuálny twitter, BBC a pod.).

Prvou úlohou je preto z množstva informácií vytriediť to dôležité a tomu venovať svoju pozornosť. Zdá sa to ako samozrejmosť, ale v reálnej situácii sa to vždy nedarí a pritom ide o kľúčovú vec. Následne je dôležité zdieľať všetky podstatné informácie so subjektami, ktorých sa to týka, aby sa spoločnými silami identifikovali zdroje útokov a slabé miesta použitých botnetov. Žiadny zapojený subjekt nemôže sám útok zastaviť, preto je zdieľanie dôležitých informácií tiež kľúčové a ukázalo sa, že často je potrebné tieto informácie aktívne vyžadovať na správnych miestach a nie len pasívne čakať, že vás niekto informuje.

Simulovaný útok sa skladal z množstva celkom reálnych hrozieb, ktoré naša spoločnosť v menšom či väčšom meradle rieši prakticky každodenne a i v tomto menšom meradle je kľúčová spolupráca s ostatnými subjektami po celom svete. V prípade tak rozsiahleho útoku, aký bol vrámci cvičenia simulovaný, by bez efektívnej spolupráce skutočne nebolo možné podniknúť účinné protiopatrenia.

I keď malo cvičenie niekoľko slabších miest, ktoré by stálo za to do budúcna vylepšiť, je z nášho pohľadu nesporné, že ide o aktivitu správnym smerom a podobné cvičenia je potrebné organizovať a opakovať podobne, ako sa robia cvičenia bezpečnostných zložiek štátu. Dôležité ale je do nich zapojiť čo najviac subjektov, ktorých sa táto problematika bezprostredne dotýka a to tak zo štátnej správy ako aj z komerčného sektora. Dúfajme, že sa preto rozšíria rady registrovaných CSIRT tímov na našom území a v ďalšom ročníku Cyber Europe sa stretneme s výrazne väčším zastúpením kľúčových úradov a spoločností z ČR.