Jak moc se chrání velké společnosti a organizace, které jsou součástí kritické infrastruktury státu, před kybernetickými útoky? Ačkoli by většina z nich odpověděla, že kybernetické bezpečnosti věnují zvýšenou pozornost, zkušenost společnosti APPSEC, která se specializuje na automatizované penetrační testy s využitím technologií používaných skutečnými hackery, říká něco jiného. Díky jejich nástroji se totiž podařilo prolomit do interní sítě společnosti s miliardovým rozpočtem za pouhou jednu hodinu. Na pražské konferenci Quibit o tom informoval spoluzakladatel společnosti APPSEC Adam Paclt.
„Šlo o našeho nultého zákazníka v roce 2019, firmu s miliardovými tržbami, která je součástí kritické infrastruktury státu. Během jediné hodiny jsme se dostali k seznamu všech zaměstnanců, k soukromým certifikátům SSL, kompromitovali jsme interní infrastrukturu a VPN, automatizovaně jsme byli schopni využívat několik jejich serverů, včetně hlavních serverů DB. Na analýzu výsledků našeho penetračního testu nám stačil jediný den,“ přiblížil Adam Paclt.
Test využívá nástroje skutečných hackerů z Darknetu
Nástroj společnosti APPSEC umožňuje penetrační testy, které simulují reálné hackerské útoky, přičemž využívají všech dostupných zdrojů a nástrojů, které jsou aktuálně dostupné, včetně „komerčních“ exploitů a technologií dostupných pouze na Darknetu. „Nepoužíváme běžně komerčně dostupné nástroje, ale naši vlastní automatizační platformu založenou na algoritmickém testování a strojovém učení. Naše tři hlavní produkty, Externí Blackhat test, Interní Blackhat test a Aplikace pro penetrační testování, ukazují firmám skutečný stav jejich bezpečnosti,“ vysvětluje Adam Paclt.
Jak se liší běžný manuální penetrační test, který nabízí desítky firem na českém trhu, od automatizovaného testování APPSEC? Obvyklý penetrační test probíhá tak, že etický hacker provede manuálně tzv. OSINT analýzu, zjistí seznam IP adres a aktivních domén klienta, dojde k cílové formulaci testu a následuje samotný test. U automatizovaného penetračního testu se nejprve zadá cíl, kterým může být společnost IP adresa nebo web. Následuje automatizovaná OSINT analýza, která zobrazí veškeré potenciální cíle a poté stačí spustit samotný test, který kombinuje automatizované testování s manuálními zásahy etického hackera.
Obrovská zkušenostní báze a bezkonkurenční rychlost
„Pracujeme s obsáhlými zdroji zkušeností, které naše algoritmy při testování využívají: 15 let skenování celého internetu, záznamy o miliardách domén, terrabity dat o únicích informací a analýzy internetových diskusních skupin hackerů,“ vypočítává Adam Paclt. APPSEC dokáže simulovat prakticky jakýkoli nástroj používaný penetračními testery, jako je Nessus, NMAP, OpenVAS a další. Sondáž firemní sítě probíhá souběžně několika směry a využívá se k ní několik etických hackerů. Útoky lze záměrně zpomalit, aby zůstaly neodhaleny, APPSEC přitom používá i metod pro obcházení různých mechanismů detekce útoku.
Výsledky automatizovaného penetračního testu s využitím algoritmů jsou k dispozici téměř okamžitě. Za tři až čtyři hodiny lze prověřit až 150 IP adres, což by při manuálním testování zabralo dvěma etickým hackerům zhruba tři dny. Test se navíc zaměřuje na skutečné cíle a zobrazí počet takových cílů, které jsou bezpečnostně ohroženy. Samotný fakt, že ve firemní síti probíhá penetrační test, však zůstane bez povšimnutí. „Pro naše penetrační testování je třeba méně lidí, jelikož probíhá zcela automatizovaně. Ušetří se tím čas, a tedy i náklady, navíc síť je prověřena opravdu důkladně,“ dodává Adam Paclt.
Zdroj: APPSEC
