Ve spolupráci se společností Tech Data a IBM jsme uspořádali seminář „Kybernetické útoky a jejich řešení v praxi s pomocí technologie IBM“. Seminář proběhl 14. října v prostorách Tech Data. Cílem bylo posluchačům představit portfolio služeb společnosti Alphaserver, moderní trendy v oblastech kybernetických hrozeb, a především možné využití technologií IBM QRadar SIEM a IBM SOAR. Ukázka byla demonstrována na základě reálného kybernetického útoku, který na místě provedl jeden z našich kolegů.
Po krátkém úvodu našeho semináře a představení všech účastníků jsme přistoupili k provedení kybernetického útoku v našem bezpečném prostředí.
Jako vstupní vektor útoku byl využit phishing, který je neustále jedním z hlavních způsobů infiltrace. Díky phishingu a nepozornému uživateli, kterého ztvárnil jeden z našich kolegů, se nám podařilo vylákat potřebné informace. Ty nám posloužily k využití zranitelnosti PrintNightmare, jež byla objevena teprve v červenci tohoto roku (2021).
Díky zranitelnosti PrintNightmare se nám podařilo získat plná administrátorská práva na klientské stanici, jež nám dále posloužila k tzv. „lateral movement“, tedy k napadení dalších zařízení v síti. V rámci lateral movement jsme ukázali, jak identifikovat doménový řadič a jak z koncové stanice vyčíst potřebné údaje k jeho napadení. Opět za využití zranitelnosti PrintNightmare jsme se stali administrátory domény, což nám umožnilo vyčtení kompletní Active Directory databáze včetně jmen, příjmení, emailu, oddělení i NTLM hashů hesel.
Nakonec byl na serveru i koncové stanici spuštěn ransomware BABUK. Jde o ransomware, který se prvně objevil teprve na začátku roku 2021, kdy napadl několik velkých organizací po celém světě. Jednou z nejznámějších obětí ransomwaru Babuk je například policejní oddělení Washington D.C., kterému byla nejprve zašifrována všechna data a následně útočníci zveřejnili 250 GB ukradených dat.
Největší zajímavostí ransomwaru Babuk je ovšem jeho příběh, kdy teprve 17ti letý člen vývojářské hackerské skupiny zveřejnil na ruském hackerském fóru zdrojové kódy tohoto ransomwaru. Rozhodl se tak poté, co mu byla diagnostikována rakovina plic ve 4. stádiu.
Jak se od poskytovatele služeb v oblasti kybernetické bezpečnosti očekává, každý útok je třeba odhalit. V rámci semináře byla představena technologie IBM® QRadar® Security Information and Event Management (zkráceně SIEM), která se již i v řadě malých organizací stává nepostradatelným prvkem kybernetické bezpečnosti. SIEM vám pomůže nejen s detekcí kybernetických útoků, ale také s plněním povinností vyplývající ze zákona o kybernetické bezpečnosti.
Technologie QRadar SIEM, slouží ke sběru, propojování (korelaci) a analýze logů. Díky tomu dokáže detekovat hrozby, poskytuje detailní reporting a přehledy, které umožňují bezpečnostním týmům rychle reagovat. Nástroj pomáhá díky rychlé detekci snížit dopad incidentů. V některých případech dokáže nástroj kybernetické incidenty i předvídat, a tím jim předcházet. Při naší ukázce jsme ukázali správné nastavení pravidel SIEM, aby dokázaly identifikovat tento typ útoku. Především jsme ale ukázali správné odladění nástroje pro behaviorální analýzu, který je součástí IBM QRadar SIEM zdarma a který dokázal podezřelé chování uživatelů také detekovat a útok odhalit.
Posledním bodem živé ukázky bylo použití nástroje IBM Security SOAR (Security Orchestration, Automation and Response), dříve znám pod názvem Resilient. Jedná se o nástroj, který dokáže převzít z libovolné bezpečnostní technologie informace o kybernetickém incidentu. Může se jednat o SIEM (většiny výrobců), ticketovací nástroj, IPS, EndPoint management systém a další. SOAR pomáhá bezpečnostnímu týmu automatizovaně a standardizovaně reagovat na kybernetické hrozby.
V rámci organizace jsou pomocí dynamických playbooků zavedeny automatické reakční procesy na incidenty, které pomohou týmu s rychlým řešením. Díky inteligenci IBM SOAR si mohou členové týmů vizualizovat bezpečnostní incidenty a mnohem jednodušeji i zaškolit nové juniorní analytiky. Součástí administrátorského nastavení je samotná tvorba procesu playbooků, tvorba rolí, správa uživatelů a jejich oprávnění.
Díky kvalitním systémovým reportům má následně společnost přehled o tom, kdy, kdo a za jak dlouho incident vyřešil, což napomůže při ladění incident response postupů. Po kybernetickém útoku, který jsme na začátku semináře provedli, a který byl zachycen nástrojem QRadar SIEM, jsme následně v prostředí IBM SOAR mohli vidět 2 kybernetické hrozby, které bylo třeba vyřešit. Díky přednastavenému playbooku nás nástroj nabádal k provedení několika kroků, abychom na útok včas a správně zareagovali.
Při naší ukázce jsme účastníkům předvedli, jak lze díky řešení IBM SOAR rychle, standardizovaně a elegantně reagovat na kybernetické incidenty.
Jsme velice rádi, že jsme se při této akci mohli s našimi zákazníky po dlouhé době opět osobně vidět. Díky pozitivním ohlasům od všech účastníků jsme se rozhodli uspořádat v příštím roce více podobných akcí. Pokud o nich chcete být včas informováni, neváhejte nám níže napsat váš kontakt.
Pokud vás tento scénář zaujal a máte zájem o představení útoku či IBM produktů přímo u vás ve firmě, neváhejte nás také kontaktovat. Rádi k vám přijedeme, popíšeme a ukážeme vektory (způsoby) útoku, představíme produkty IBM QRadar SIEM a IBM SOAR a ukážeme, jak by ve vašem prostředí mohly fungovat.
Pokud vás daná technologie zaujme, bezplatné představení technologie přímo ve vašem prostředí (PoC – proof of concept) je u nás vždy samozřejmostí.
IČ: 06196675
DIČ: CZ06196675
U továren 999/31, Hostivař, 102 00 Praha 10
Copyright © 2018. Všechna práva vyhrazena.