Rozsáhlé kybernetické cvičení Cyber Europe 2014 proběhlo pod záštitou Evropské agentury pro síťovou a informační bezpečnost. Jeho cílem bylo mimo jiné prověřit bezpečnostní prostředí v oblasti energetických systémů a prvků kritické infrastruktury.
Podobná mezinárodní cvičení se pod záštitou Evropské agentury pro síťovou a informační bezpečnost (ENISA) konají již od roku 2010. Toto cvičení bylo jedno z nejrozsáhlejších a probíhalo v průběhu celého loňského roku a jeho poslední část začátkem roku 2015.
První, technická část cvičení byla zaměřená na schopnost identifikace útoku v různých aplikacích a datovém provozu. Následovala fáze operační a v letošním roce část strategická.
Cvičení se účastnilo více než 200 týmů z 29 zemí Evropské Unie a Evropského sdružení pro volný obchod. V jednom z 9 týmů z České republiky se sešli bezpečnostní specialisté ze společnosti COMGUARD a Unicorn Systems. Tento tým, který byl jediný z oblasti energetiky v ČR, se pokusil vyřešit všechny předložené bezpečnostní incidenty. A patří tak mezi dva týmy z celkového počtu 200 zúčastněných týmů, které se pokusily rozkrýt všechny incidenty.
Pro úspěšné zvládnutí cvičení byla rozhodující pečlivá příprava, která zahrnovala především volbu vhodných nástrojů pro řešení incidentu. Celkem šest expertů z obou firem mělo k dispozici téměř dvě desítky různých nástrojů a aplikací pro detekci a odstranění kybernetických hrozeb. Při přípravě a během samotného cvičení prokázali vysokou profesionalitu, schopnost spolupracovat a odborné znalosti na světové úrovni.
Jak takové cvičení probíhá a na co je důležité se připravit, popsal Robert Šefr, Senior Solution Consultant ze společnosti COMGUARD.
Protože cvičení bylo omezeno na 48 hodin a bylo koncipováno jako náročné, snažili jsme se připravit co nejvíce oblastí ještě před startem. Před školením jsme si s kolegy z Unicornu Systems domluvili komunikační kanály. Kromě emailu, videokonference a telefonních čísel jsme sdíleli společný cloudový disk pro rychlou výměnu dat.
Na společném disku jsme připravili strukturu složek pro jednotlivé úkoly a speciální složku s nástroji pro analýzu malwaru a síťového provozu. Přípravou nástrojů jsme strávili několik hodin času a tato investice se vrátila jak během samotného cvičení, tak i později v praxi během řešení incidentů, při kterých jsme nově objevené nástroje využili.
Po zveřejnění kompletního zadání cvičení jsme si rychle rozdělili úkoly. Tým COMGUARDu se soustředil hlavně na cvičení související s DDoS útoky, zatímco specialisté z Unicornu Systems se vrhli na analýzu infikované webové aplikace. Velmi rychle jsme zjistili, že zavolat si o radu někomu z druhého týmu je téměř nemožné.
Úkoly byly velmi složité a předávání souvislostí a dosavadních zjištění nebylo kvůli množství informací prakticky možné. Každý z úkolů musel řešit jednotlivec nebo malý tým společně od začátku do konce. Zapojení další osoby v průběhu bylo časově spíše kontraproduktivní.
Po dokončení prvních úkolů ohledně DDoS útoků na webové aplikace a SCADA systémy jsme si další úkoly rozdělili již jako jednotlivci. Řešení v týmu bylo sice přínosné co do kvality, ale blížící se konec cvičení nás donutil vzdát se pohodlí týmové práce.
Naše další kroky vedly paralelně k pokročilé analýze malwaru a k úkolu mířeného na steganografii (disciplína zabývající se utajením přítomnosti informace). Analýza měla více postupných kroků zahrnujících kombinaci statické a dynamické analýzy. Malware obsahoval velké množství obranných mechanismů a bludných kořenů, ale i přesto se nám povedlo většinu jeho funkcionality odhalit, popsat a rozklíčovat mechanismy komunikace, ke které byly využívány zejména veřejné webové služby a aplikace.
Paralelně řešený úkol přinesl analytikovi otázku, zda roztomilý obrázek v pdf nemůže obsahovat nějaké citlivé informace, které se někdo pokouší vynést. A opravdu po sérii kroků, nalezení klíčů a odhalení ukrytých kontejnerů se podařilo odhalit za koťátky citlivé informace o konfiguraci SCADA systémů.
Na poslední úkoly týkající se infekce SCADA systémů již společnému týmu nezbýval prakticky žádný čas. Analýza v rekordně krátkém čase se ukázala jako velmi naivní, takže s body za tuto část cvičení jsme se rozloučili a vyčerpáni jsme čekali na vyhodnocení výsledků a srovnání týmů. Kompetitivní faktor ve cvičení byl podle nás motivační a nutil členy týmu snažit se o trochu víc, než kdyby vše probíhalo jen tak, bez možnosti se srovnat s ostatními.
Naše úsilí přineslo ovoce a mezi týmy, které zveřejnily své bodové hodnocení, jsme se v Evropě umístili na absolutní špičce. Jako celý tým jsme společně prošli všechny úkoly a okomentovali zkušenosti s jednotlivými nástroji a postupy.
Hlavním přínosem využitelným v naší další praxi bylo rozšíření obzoru a objevení nových funkcí v nástrojích, které již dlouho známe, ale nikdy jsme nebyli nuceni je zkoumat do detailu. Takový výsledek je podle nás možný jen u velmi detailně a odborně připravených cvičení. Netroufáme si ani odhadovat, jak náročná musela příprava a koordinace takového cvičení být a doufáme, že s týmem Unicornu Systems si v budoucnu něco podobného zopakujeme.
V bodovém hodnocení technické části cvičení se týmy z České republiky umístily na předních příčkách. Výsledky cvičení ukázaly, že Česká republika není v oblasti kybernetické bezpečnosti pozadu od ostatních evropských zemí a díky erudovaným odborníkům je schopna v oblasti bezpečnosti efektivně chránit kritickou infrastrukturu před kybernetickými hrozbami.
Článek COMGUARD s.r.o. ze dne středa 4. března 2015
Lastline ochrana proti malwaru v portfoliu COMGUARD
Nejlepší a nejefektivnější řešení proti kybernetickým útokům včetně APT
Zpráva o hrozbách McAfee Labs Predictions 2017
Autorizované školicí středisko Sophos pro Čechy a Slovensko
COMGUARD je výhradním distributorem Rapid7 pro český a slovenský trh
Nová řada firewallů Sophos XG v distribuci COMGUARDu
Nová firewallová platforma sjednocuje řešení Sophos SG a Cyberoam CR
ManageEngine - řešení správy a řízení IT v distribuci COMGUARD
Konference Security & Networking Praha 2015
Ransomware - IT výpalné je podle McAfee Labs na vzestupu
Barracuda Security Suite - integrovaná platforma ochrany sítě
Poptávka po bezpečnostních i síťových řešeních roste
McAfee SIEM propojuje informace o vnějších hrozbách v reálném čase
Chytrá řešení pro bezpečnost ICT
Špičkové umístění pro tým COMGUARD a Unicorn Systems na Cyber Europe 2014
Archivace emailové komunikace s integrací pro Outlook
Predikce hrozeb v oblasti bezpečnosti pro rok 2015
Bezpečnostní řešení Secunia v distribuci COMGUARD
McAfee Endpoint Security v10 - integrované zabezpečení pro pracovní stanice a servery
COMGUARD je výhradním distributorem síťových technologií Brocade
UTM firewall Cyberoam chrání firemní síť CIDEM Hranice
Konference Security & Networking Praha 2014 představila reálné hrozby kybernetických útoků
Konference Security & Networking Praha 2014
Bezpečnostní řešení Sophos v distribuci COMGUARD
Revoluce v boji proti malwaru s McAfee Advanced Threat Defence
Rychlý nárůst malwaru v mobilnáích aplikacích
Virtuální router Brocade Vyatta vRouter
iStorage šifrované USB flash disky v distribuci COMGUARD
Autentizace vlastní cestou pomocí SecurEnvoy BYOT
Nové modely síťových McAfee IPS v distribuci COMGUARD
COMGUARD zahajuje distribuci síťových řešení Brocade Communications
Nové next-generation firewally McAfee
Investor OnyxCapital vstupuje do COMGUARD
COMGUARD detekuje, chrání a navrhne i optimální řešení
Implementace prvků síťové bezpečnosti během několika minut
COMGUARD ICT Security Training Center: školící program pro IT profesionály
Řešení McAfee pro bezpečný přístup k aplikacím v cloudu
Bezpečnostní řešení ve spolupráci Intel a McAfee
Nová řada Next Generation UTM Firewallů Cyberoam NG Series s gigabitovou propustností
Cyberoam NG Series: nejrychlejších UTM zařízení pro SOHO a SMB trh
Bezpečnostní řešení Barracuda v portfoliu COMGUARD
Novinky McAfee 2013 pro domácnosti a malé kanceláře
Bezpečnostní řešení WatchGuard v distribuci COMGUARD
Antivirové produkty McAfee dostaly jedničku od NSS Labs
UTM router: Cyberoam NetGenie vstupuje na český a slovenský trh
Mobilní bezpečnostní řešení Imation v disribuci COMGUARD
Děti tají své on-line aktivity před rodiči
Next-generation firewall Dell SonicWALL znovu certifikován ICSA Labs
Správný výběr ochrany webových aplikací
McAfee All Access 2012: bezpečnost pro všechna běžná zařízení v jednom balíku