Aká je motivácia spoločností využívať služby etického hackingu a kto je stále najsilnejším vektorom útoku? Pohľad na vývoj ofenzívnej bezpečnosti v Českej republike a na Slovensku za posledných 8 rokov, odkedy sa Citadelo stalo prvým obchodníkom, vám otvorí mnoho otázok na zamyslenie a možno vás aj podnieti konať skôr, ako zistíte, že vo vašej sieti už operuje neželaný návštevník.

Vypočuli sme Jakuba Nováka Jakub má technické vzdelanie, vyštudoval Fakultu aplikovanej informatiky na Slovenskej technickej univerzite v Bratislave a už viac ako 8 rokov pracuje ako obchodný manažér v spoločnosti Citadelo v oblasti rozvoja obchodu a spravuje aj portfólio klientov s obratom viac ako 100 mil. Kč v celej Európe, ale predovšetkým v regiónoch Českej republiky, Slovenska, DACH, a to takmer vo všetkých segmentoch, ako je bankový a finančný sektor, fin-tech a startupy, priemysel, automobilový priemysel, zdravotníctvo, telekomunikácie, IoT atď.

Jakub, jednoduchá otázka na začiatok. Aké boli tvoje začiatky v oblasti ofenzívnej bezpečnosti ?

Tento rok je to už 8 rokov, čo som nastúpil do spoločnosti Citadelo ako jeden z jej prvých obchodníkov. Začiatky boli pre mňa naozaj náročné. Nikdy predtým som neobchodoval a bol som na to dosť odkázaný sám. Keď sa nad tým teraz zamyslím, bol a vždy bude to pre mňa obrovský míľnik, pretože som sa vtedy v podstate rozhodol úplne zmeniť svoje zameranie. A to bol skok z pozície vyštudovaného technického človeka/vývojára do sveta podnikania, o ktorom som vedel absolútne prd. Myslím, že hlavným dôvodom pre mňa bolo, že som sa osobne videl v predchádzajúcom obchodníkovi Citadely, ktorý bol práve na odchode. Vtedy som si jednoducho povedal, že do toho idem, a stavil som na všetko. A povedzme si na rovinu, od začiatku som vedel, že nie som typ, ktorý by vydržal pozerať do monitora 8 hodín denne.

Penetračným testovaním a súvisiacimi službami sa vtedy (na prelome rokov 2015 a 2016) zaoberalo len niekoľko spoločností. Startupy v tejto oblasti boli v podstate najmä finančné subjekty a subjekty, ktoré úzko spolupracovali s finančnými subjektmi. To sú inak subjekty, ktoré tento typ biznisu vo veľkej miere ťahajú dodnes. To znamená, že podnikať v mojich začiatkoch vo svete kybernetickej bezpečnosti s inými typmi spoločností znamenalo vychodiť úplne novú cestu. Samozrejme, chvála výnimkám.

Aké sú motivácie klientov, ktorí sa rozhodnú kontaktovať vás kvôli testovaniu?

Postupne, ako prichádzali právne predpisy, ako sú kybernetické zákony, GDPR, NIS atď. nás začali čoraz viac chápať aj spoločnosti z iných odvetví. Pre mňa to nie je najšťastnejší začiatok tejto témy, keďže firmy prichádzajú viac-menej z donútenia, ale je to významný krok vpred. Mojím vysnívaným pokrokom by bolo, aby spoločnosti, a teda ľudia, ktorí tieto spoločnosti riadia, aktívne a preventívne riešili kybernetickú bezpečnosť, aby mohli pokojne spať a sústrediť sa na svoj biznis. Nie sme tam ešte ani teraz.

Kedy sa vás rozhodnú kontaktovať v súvislosti s testovaním ?

V zásade existujú štyri hlavné motivácie, ktoré som mal vtedy aj teraz:

Konzistentnosť (súlad) s rôznymi predpismi, ako je zákon o kybernetickej bezpečnosti, GDPR, NIS, ISO27k atď.
Vyžaduje to klient
Stane sa im bezpečnostný incident
Chcú mať pokojný spánok a venovať sa svojej činnosti bez obáv, preto sú v oblasti bezpečnosti proaktívni

Samozrejme, nechcem hádzať všetkých do jedného vreca, v mnohých prípadoch môže ísť o kombináciu.

Spomínané právne predpisy

Na úplnom začiatku takmer všetky aktívne spoločnosti na trhu v podstate pochádzali z prvých dvoch kategórií. 1. januára 2015 vznikol zákon o kybernetickej bezpečnosti a hneď potom v roku 2016 smernica o bezpečnosti sietí a informácií. Tie najskôr zasiahli banky, finančné inštitúcie, energetický priemysel, kritickú infraštruktúru a ďalšie. Vtedy sa začali obracať karty. Zároveň si vzhľadom na rýchly nárast hackerských útokov začali aj ostatné spoločnosti uvedomovať, že majú aktíva, ktoré musia chrániť v digitálnom svete, pretože ich strata priamo ovplyvňuje ich existenciu.

Vývoj testovaných sektorov v spoločnosti Citadelo

Finančný sektor
Vývojári a technologické spoločnosti
Energetický sektor
Výrobný priemysel
Farmaceutický priemysel

Aká je súčasná situácia z pohľadu spoločnosti Citadelo, pokiaľ ide o záujem spoločností o etický hacking ?

Záujem spoločností rastie, a to z niekoľkých dôvodov:

Prvým dôvodom, ktorý ma nesmierne teší, je vlastná iniciatíva spoločností. Vzhľadom na extrémny nárast hackerských útokov je už spoločnostiam jasné, že nie je otázkou či, ale kedy sa stanú terčom útoku. Preto chcú poznať pohľad etického hackera na svoju infraštruktúru, aplikáciu alebo celú organizáciu, len aby sa ochránili skôr, ako na nich skutoční black hat hackeri upriamia svoju pozornosť. A to je správne rozhodnutie.

Keď sa pozrieme na naše štatistiky, za ktoré vďačíme skvelým nášmu skvelému marketingovému oddeleniu, v roku 2023 sme uskutočnili 384 simulovaných útokov, pri ktorých sme našli 2 795 zraniteľností. To je v priemere 7 zraniteľností na jeden útok, a to je veľa. Pre hackera to znamená, že má pre svoj úspech pripravených 7 viac či menej kritických zraniteľností, ktoré môže zreťaziť a spôsobiť tak spoločnosti obrovské škody.

Zároveň sa chystá účinnosť smernice NIS2 (koniec roka 2024), ktorá ostatným segmentom trhu nariaďuje vykonávať ofenzívne bezpečnostné testy. V Českej republike a na Slovensku sa to dotkne približne viac ako 10 000 nových spoločností a týka sa to celkovo 19 segmentov trhu.

Potom je tu DORA (účinnosť 17. 1. 2025), ktorá okrem iného priamo nariaďuje komplexné testovanie firiem, napríklad Threat Lead Penetration Test - podobný nášmu Red Teamingu, čo je simulovaný komplexný hackerský útok na firmu.

V súvislosti s európskou smernicou NIS2 a novým zákonom o kybernetickej bezpečnosti, ktorý pripravuje Česká republika, táto téma už určite rezonuje vo firemných kruhoch.

| V roku 2023 sme uskutočnili 384 simulovaných útokov, pri ktorých sme našli 2795 zraniteľností. Vedú webové stránky, cloudy a infraštruktúra.

Celú správu si môžete stiahnuť tu_

Európska smernica NIS2 a nový zákon o kybernetickej bezpečnosti, ktorý pripravuje Česká republika, táto téma už rozhodne rezonuje vo firemných kruhoch. Čo to znamená pre CISO z pohľadu ofenzívnej bezpečnosti?

Po 17. októbri 2024 budú musieť CISO do jedného roka vyhodnotiť tzv. rozsah riadenia kybernetickej bezpečnosti, identifikovať riziká a začať pracovať na ich riešení. Z pohľadu ofenzívnej bezpečnosti sme ako Citadelo hneď v počiatočnej fáze procesu, keď pomáhame prevádzkovateľom CISO určiť rozsah zraniteľností ich systémov prostredníctvom penetračných testov a auditov a poskytujeme návrhy na nápravu.

Proces pre spoločnosti, ktoré novo vstupujú do tejto regulácie, zahŕňa:

Určenie veľkosti podniku
Určenie, či ide o "základný subjekt" alebo "kritický subjekt".
Absolvovanie auditu kybernetickej bezpečnosti
Zistiť a posúdiť riziká a zraniteľné miesta
Vypracovanie plánu implementácie
Začať ho realizovať do jedného roka

Rozpočet

Napríklad NKI v Českej republike vykonala prieskum na reálnych spoločnostiach a určila priemernú hodnotu implementácie opatrení na 800 tis. až 1,2 mil. Kč na podnikový systém. To bude značná suma peňazí, ktorú budú musieť spoločnosti vynaložiť na kybernetickú bezpečnosť, a CISO musia tieto rozpočty stanoviť už dnes a pripraviť sa na ich skoré vyčerpanie.

| Nastavte rozpočty už dnes, odhadované náklady sú 800 tisíc - 1,2 milióna Kč na jeden systém.

O aké služby je v súčasnosti najväčší záujem?

Samozrejme, penetračné testy webových a mobilných aplikácií vrátane testov API, kde aplikácie komunikujú s backendmi, a infraštruktúry (perimeter vs. interná infraštruktúra). Rastie aj počet požiadaviek na komplexné simulované útoky Red Teaming. Aktuálnymi trendmi sú OSINT, sociálne inžinierstvo (phishing/vishing/smishing, fyzická penetrácia atď.), ale aj integrácia do LLM/AI.

Kto alebo čo je dnes najúspešnejším vektorom útoku, t. j. vstupným bodom do infraštruktúry spoločnosti?

Naše interné štatistiky ukazujú, že najslabším článkom bol, je a dovolím si tvrdiť, že ešte dlho asi bude, ľudský faktor. Naša dlhodobá úspešnosť simulovaných hackerských útokov kombináciou Vishing & Phishing je takmer viac ako 40 %, t. j. takmer každá druhá obeť podľahne našim simulovaným útokom a pustí etického hackera do infraštruktúry spoločnosti. To je alarmujúci stav. Následne môže ísť o zraniteľnú klientsku aplikáciu alebo perimeter spoločnosti.

V súčasnosti sú už útoky sociálneho inžinierstva s využitím umelej inteligencie a LLM na vzostupe. Ako príklad možno uviesť nedávny hackerský útok, pri ktorom bol finančný riaditeľ istej banky v Hongkongu oklamaný kombináciou deepfake online stretnutia a phishingu. Výsledkom útoku bola finančná strata vo výške 25 miliónov dolárov.

Používanie týchto technológií takmer stiera rozdiel medzi fikciou a realitou pre obete. Možno preto očakávať, že toto percento sa bude zvyšovať.

| Viac ako 40 % obetí nevedomky pustí etického hackera do siete svojej spoločnosti.

Ako môže dôjsť k takémuto phishingovému a vishingovému útoku a je rozdiel v tom, v akom obchodnom odvetví ho hacker vykonáva?

Na odvetví podnikania nezáleží. Ak sa chce hacker nabúrať do nejakej spoločnosti, urobí to tak, že na ňu najprv vykoná OSINT (open source intelligence). Zistí, kto v nej pracuje na akých pozíciách, aké informácie sú o spoločnosti dostupné vo verejných a neverejných zdrojoch, darknetoch, zistí zvyky spoločnosti a jej ľudí a tiež to, či došlo k úniku údajov zo spoločnosti, napr. s heslami atď. Na základe zistených informácií zorganizuje útok prostredníctvom vybraných obetí, t. j. ľudí v spoločnostiach, ktoré ho zaujímajú. Alebo naplánuje spear phishing zameraný na celú spoločnosť.

V prípade spoločnosti so 100 zamestnancami má pri 40 % úspešnosti možnosť získať 40 obetí, ktoré kompromitujú stanice a dostanú sa do firemnej siete.

Ako pomáhate klientom brániť sa pred takýmto útokom?

Spolupracujeme s klientmi na pravidelných a dôkladných bezpečnostných školeniach pre ich zamestnancov, kde im okrem samotnej teórie poskytujeme aj praktické ukážky rôznych hackerských techník, aby ich potom vedeli čo najlepšie identifikovať. A to kombinujeme s pravidelným penetračným testovaním v podobe sociálneho inžinierstva - phishingových / vishingových / smishingových kampaní. To je podľa môjho názoru v súčasnosti najúčinnejší spôsob, ako udržať toto percento relatívne nízke.

Zamestnanci sa často domnievajú, že sú vo firemnom prostredí lepšie chránení, a neuvedomujú si kroky, ktorými aktívne vytvárajú ľahký prístup hackerov do firemnej siete, a nie sú si plne vedomí ničivého vplyvu, ktorý to má. Tieto poznatky je potrebné im sprostredkovať a pravidelne testovať úroveň ich citlivosti. Alebo si to možno aj uvedomujú, ale v dnešnom obrovskom pracovnom zhone sa percento chýb zvyšuje, pretože každý chce každú úlohu vyriešiť čo najrýchlejšie k spokojnosti zamestnávateľa.

Spomínali ste, že záujem o OSINT rastie. Čo táto služba klientovi objasňuje a je rozdiel medzi tým, ako to robia hackeri Black Hat a ako to robí Citadelo?

Techniky medzi black hat a white hat hackermi sú úplne rovnaké. V rámci OSINT môžeme pre klienta zistiť veľa informácií. Vo všeobecnosti môžeme zistiť, čo všetko je o spoločnosti k dispozícii pre Black Hat hackerov na webe a darknetoch, a teda aké karty budú hrať pri potenciálnom útoku na klienta. Zistením týchto údajov získa spoločnosť náskok pri ochrane pred potenciálnym útokom hackerov.

Oblasti Citadelo OSINT:

Uniknuté mená a heslá, citlivé firemné dokumenty atď.
Rekonštrukcia ich infraštruktúry, plány budov.
Manažment, štruktúra spoločnosti a ich obchodné vzťahy.
Zoznamy zamestnancov, podrobnosti o ich kontaktných údajoch atď.
Etický hacking sa stal neoddeliteľnou súčasťou ofenzívneho testovania bezpečnosti.

| Etický hacking sa stal neoddeliteľnou súčasťou ofenzívneho testovania bezpečnosti.

Akú radu by ste dali spoločnostiam pri výbere poskytovateľa etického hackingu a čo by mali na trhu hľadať?

Určite je dôležité preveriť spoločnosť z hľadiska hĺbky jej odborných znalostí, t. j. všeobecne povedané kvality. Etický hacking je zložitá disciplína a vždy je dobré hľadať partnera, ktorý má s jej zložitosťou preukázateľné skúsenosti. Odbornosť a seniorita tímu etického hackingu je v tomto ohľade absolútne kľúčová. Platí príslovie "Ak dvaja robia to isté, nie je to to isté". platí v tomto odvetví dvojnásobne. Hľadal by som spoločnosť, ktorá má etický hacking ako svoju hlavnú činnosť.

Zverejnené informácie o referenciách, nájdených zraniteľnostiach a vydaných CVE alebo reportoch, dĺžka pôsobenia v odvetví, počet etických hackerov, ich technologické zameranie a mnohé ďalšie sú veľmi dobrým vstupom. Nakoniec by som odporúčal stretnutie s vybranou spoločnosťou a prejsť si jej procesy, ktoré sa týkajú služby, pretože práve tu môže byť miesto, ktoré ju urobí nielen kvalitnou, ale aj nákladovo efektívnou.

Ak sme vás zaujali, kontaktujte nás ešte dnes, aby ste boli o krok vpred pred black-hat hackerami. SK_LEAD_FORM_SPECIAL_PLACEHOLDER