Ispod površine interneta: otkrivanje savremenih sajber prijetnji - razgovor sa Danijelom Teslićem

Uz konstantan rast sajber incidenata i činjenicu da Dark Web danas prevazilazi vidljivi internet hiljadama puta, cyber bezbjednost se nameće ne kao tehničko, već strateško pitanje za svaki biznis, instituciju, industriju.

Upravo zato, Crnogorski Telekom u partnerstvu sa NVU Secure otvara važne teme i okuplja vodeće stručnjake u oblasti kibernetičke sigurnosti.

U okviru Telekom Cyber Security programa, na konferenciji održanoj 19. novembra u Naučno-tehnološkom parku u Podgorici, jedno od najposjećenijih predavanja bilo je izlaganje Danijela Teslića na temu Cyber Threat Intelligence & Dark Web Monitoring.

Teslić, rukovodilac Ofanzivnih sajber operacija u kompaniji Combis, jednoj od najvećih ICT firmi u regionu i članici HT Grupe, publici je donio direktan uvid u svijet prijetnji koje se odvijaju - na “mračnim” dijelovima interneta, gdje se trgovina ukradenim podacima i planiranje napada dešavaju u realnom vremenu.

Danijel iza sebe ima stotine projekata penetracionog testiranja, kao i složene red i purple team vježbe kojima se kompanije pripremaju za najnaprednije cyber napadače današnjice. Autor je međunarodno priznatog kursa „Purple Team: Prevention and Detection“, a posebno iskustvo gradi i kroz implementaciju rješenja usklađenih sa zahtjevima NIS2 direktive, koja postavlja nove standarde za sajber bezbjednost u Evropi.

Sa njim razgovaramo o tome šta danas čini savremenu prijetnju, gdje se kriju najvažniji izvori informacija i kako organizacije mogu prepoznati rizike mnogo prije nego što postanu incidenti.

Možete li ukratko pojasniti šta podrazumijeva Cyber Threat Intelligence i zašto predstavlja važan segment zaštite savremenih kompanija?

Cyber Threat Intelligence predstavlja proces prikupljanja i analize informacija koje pomažu kompanijama da razumiju prijetnje koje ih mogu ugroziti. To uključuje praćenje načina na koje napadači djeluju, tehnologija koje koriste i obrazaca napada koji se pojavljuju. Iako se mnoge informacije otkrivaju nakon što se napadi dogode, njihova analiza omogućuje prepoznavanje trendova i potencijalnih ranjivosti. Upravo zato CTI postaje važan – daje organizacijama mogućnost da rizike uoče ranije i pripreme se prije nego što napad eskalira.

Iz kojih sve izvora dolaze informacije o prijetnjama i kako se one koriste da bi se napadi prepoznali na vrijeme?

Informacije za CTI dolaze iz širokog spektra izvora koje organizacije prate kako bi dobile potpunu sliku o prijetnjama. To uključuje vijesti, blogove o kibernetičkoj sigurnosti, javne baze ranjivosti poput NIST-a i CVE-a, društvene mreže, GitHub, Pastebin, repozitorije koda, forume i tehničke zajednice. Iz svih tih izvora prikupljaju se podaci o napadima koji su se već dogodili, o ranjivostima te o tehnikama koje napadači koriste. Kada se takve informacije povežu i analiziraju, organizacija može prepoznati što bi moglo predstavljati rizik za nju i postoje li rani pokazatelji da se napad priprema ili ponavlja.

Dark Web je već neko vrijeme vrlo aktuelna i intrigantna tema, ali ga mali broj ljudi zaista razumije. Možete li objasniti šta se na Dark Webu zapravo dešava i zašto je informisanje važano za bezbjednost kompanija?

Dark Web je skriveni dio interneta kojem se pristupa uz pomoć alata koji anonimiziraju identitet korisnika, poput Tor-a ili I2P-a. Upravo zbog te anonimnosti, velik se dio sadržaja na Dark Webu odnosi na ilegalne aktivnosti (oko 60%), uključujući trgovinu ukradenom robom, hakerske alate, pristupne podatke, brojeve kreditnih kartica i kompromitirane korisničke račune. Za kibernetičku sigurnost Dark Web je vrlo važan jer predstavlja mjesto na kojem se pojavljuju informacije o napadima, kompromitacijama i aktivnostima kriminalnih skupina koje na površinskom internetu nisu vidljive.

Na koji način Dark Web monitoring pomaže da se otkriju napadi ili curenja podataka prije nego što postanu javni?

Dark Web monitoring omogućuje uvid u takozvane „underground“ izvore: forume, markete, blogove ransomware grupa i stranice za objavu ukradenih podataka. Ondje se može vidjeti tko je kompromitiran, kakvi su podaci ukradeni i nude li se na prodaju. Osim toga, postoje access brokeri koji prodaju pristup tuđim sustavima, što je posebno opasno za organizacije koje možda ni ne znaju da su kompromitirane. Dio komunikacije napadača odvija se i putem enkriptiranih platformi te određenih Telegram grupa. Sve to omogućuje da se prijetnje otkriju mnogo ranije i da tvrtka reagira prije nego što dođe do većeg incidenta.

Zbog čega su velike i profitabilne kompanije posebno zanimljive napadačima?

Velike su kompanije često primamljive mete ponajprije zbog svoje profitabilnosti, ali i zato što imaju velik broj zaposlenika i široku mrežu sustava, što povećava mogućnost socijalnog inženjeringa, hardverskih kompromitacija ili napada preko trećih strana. Zbog toga CTI i Dark Web monitoring postaju ključni dio sigurnosne strategije velikih organizacija jer omogućuju strateško planiranje, ranu detekciju prijetnji i smanjuju vjerojatnost uspješnih napada.

Crnogorski Telekom i Combis udružuju ekspertizu u razvoju naprednih rješenja za sajber zaštitu. Šta biste izdvojili kao ključne elemente tih rješenja i kako doprinose bezbjednosti organizacija?

Postoji nekoliko struja naše suradnje koje stvaraju rješenja za naprednu zaštitu sustava. Svakako prvo pada na pamet sigurnosni operativni centar (SOC) koji je ključan element zaštite kompanija od napada. SOC uključuje napredna rješenja za zaštitu poput EDR-a, ali i doprinosi boljoj vidljivosti i upravljanju logovima kompanije kroz SIEM rješenje. Naravno, na sve to se nadovezuje tim vrsnih stručnjaka koji kroz SOC nadzire sustav i u stanju je prepoznati i reagirati na potencijalne prijetnje i kompromitacije. Ranije spomenuti Threat Intelligence i zatim Threat Hunt (pronalazak postojećih prijetnji u internoj mreži kompanije) su komplementarne usluge koje proaktivno pomažu SOC-u da još bolje zatvori i brani kompaniju od napada. U konačnici, razne usluge iz domene ofenzivne sigurnosti poput penetracijskih testiranja i Red Team vježbi adresiraju “što ako” scenarij, čime omogućuju prilagođavanje SOC-a i popratnih rješenja individualnim sistemima kompanije kako bi se sustav maksimalno zaštitio.

( Promo sadržaj )