Bezpečnostné týmy testovali svoje schopnosti

Podobne ako vojaci, ktorí v čase mieru cvičia a pripravujú sa na možné reálne situácie, cvičili aj bezpečnostné týmy po celej Európe. Viac ako 200 týmov sa zapojilo do prvej, technickej fázy cvičenia Cyber Europe 2014, ktoré pripravila Európska agentúra pre sieťovú a informačnú bezpečnosť (ENISA). Príprava na cvičení trvala viac ako rok, čo odpovedá aj jeho komplexnosti. Práve prvá, technická fáza cvičenia odštartovala celé trojfázové cvičenie Cyber Europe 2014. V druhej polovici roka na vyriešené úlohy z týchto dvoch dní nadviaže operačná a strategická fáza, ktorá už bude vyžadovať aj priame angažovanie nielen technikov, ale aj bezpečnostných manažérov.

Cieľom prvej fáze cvičenia bolo otestovať technické národné kapacity riešenia bezpečnostných incidentov rôzneho typu. Či už ide o analýzu malwaru, forenznú analýzu či DDoS útoky, bezpečnostné týmy mali dva dni na to, aby správne vyriešili čo najväčší počet vopred pripravených úloh. Pripravené úlohy na riešenie sa odlišovali náročnosťou a komplexnosťou. Kým riešenie niektorých zobralo pár hodín, s náročnejšími museli týmy pracovať dlhšie a museli oprášiť nástroje a znalosti, ktoré už dlho/nikdy nepoužili. Aby týmy vedeli, či pri riešení postupovali správne, pri riešení každého incidentu mali možnosť odpovedať na kontrolné otázky, ktoré boli bodovo ohodnotené. Hneď po odpovedaní na všetky otázky týmy zistili, na ktoré otázky odpovedali správne a bodovo sa mohli porovnať s ostatnými týmami nielen v Českej republike, ale aj v ďalších 28 štátoch. Prvok súťaživosti tak cvičenie dobrým spôsobom okorenil. Komplexnosť kontrolných otázok prehlbovala každý incident a doplňovala ho tak, že hráči si pri incidentoch museli všímať aj veci, ktorým by v iných prípadoch možno nemusel venovať pozornosť. Týmy napríklad museli vedieť malware nielen zanalyzovať, ale takisto zistiť ako sa na stránky dostal. Výsledkom mohla byť detekcia javascriptového kódu, ktorý infekciu šíril, zistenie URL na ktorú sa iframe odkazoval a detekcia zraniteľného softwaru. Pokiaľ išlo napríklad o keylogger, čerešničkou na torte bolo už iba zistiť na akú IP adresu sa logy so zachytenými klávesami zasielajú.

Za Českú republiku sa tento rok zúčastnilo 8 organizácií (CSIRT.CZ, spoločnosť Unicorn, Policajná akadémia Českej republiky v Prahe, združenie CESNET a NIX.CZ, CSIRT-MU, spoločnosť Active24 a vládny CERT Českej republiky), ktoré pokrývali privátny, verejný aj akademický sektor. Táto pestrá skladba zahrňovala až cca 28 odborníkov z oblasti bezpečnosti. Týmy sa podľa svojich možností a schopností mohli rozhodnúť, v ktorých oblastiach majú záujem otestovať ako rýchlo dokážu incident identifikovať, vyriešiť a v prípade, že je to potrebné, vykonať nápravu. Napriek tomu, že medzi týmami boli vytvorené viaceré komunikačné kanály, každý tým poctivo bojoval s vybranými injectami sám:) a nebáli sa pustiť ani do ťažkých úloh. Nie každý tým má však kapacity a schopnosti vyriešiť za dva dni všetky úlohy. A čo by to bolo za cvičenie ak by sme sa nič nové nenaučili?

Po tom ako všetci po cvičení naberú sily a dobehnú pracovné povinnosti z týchto dvoch dní sa všetci spoločne stretnú a rozoberú jednotlivé úlohy. Nielenže si tak hráči budú môcť vymeniť skúsenosti a know how z riešenia úloh, zároveň sa budú môcť oboznámiť s tým ako pristupovali k riešeniu iné týmy a ako sa riešili injecty, ktoré oni z rôznych dôvodov neriešili.

Okrem technických úloh sa splnil aj iný cieľ cvičenia. Hráči sa medzi sebou spoznali a vytvoril sa tak bližší vzťah medzi tak zásadnými sektormi ako je verejný, privátny či akademický. Potrebná spolupráca a výmena skúsenosti medzi týmito tromi sektormi naplnila všetky očakávania a všetci sa tešíme na ďalšie fázy cvičenia :).

Autor:

Zanechte komentář