Zatímco dříve jsme se pohybovali jen ve fyzickém světě a mezi hrozby patřily fyzická ohrožení, třeba na nás mohl spadnout balkon, dnes žijeme i ve virtuálním světě a přidaly za další hrozby jako například ztráta dat, identity apod. K ochraně je proto třeba přistupovat komplexně a jedním z těchto přístupů je konvergovaná bezpečnost, jak vysvětloval na semináři Martin Bajer z TTC Marconi.
Dnešní hrozby lze zhruba rozdělit na fyzické (krádež, požár, fyzické napadení, vydírání…), provozní (havárie, výpadek elektřiny, epidemie…), kybernetické (útok DDoS, malware, phishing, zneužití identity…) a informační (zneužití dat, jejich ztráta, dezinformace, průmyslová špionáž…). K ochraně proti nim je potřeba přistupovat současně, což je konvergovaná bezpečnost.
Z hlediska časové osy se provádí zpětné vyhodnocení, sledování v reálném čase a následuje predikce dalších hrozeb. Například mezi dezinformace patřil přerod dezinfoscény z Covid-19 na podporu Ruska, na facebookových mělo být monitorováno 382 000 sledujících a zachyceno 816 řetězových e-mailů; z těchto důvodů také proběhla blokace českých domén dezinformačních webů, které pak přešly na zahraniční servery. Mezi hrozby už dnes patří také deepfake video vytvářené s pomocí AI.
Hybridní hrozby
Hybridní hrozby jsou fenoménem vyplývajícím z konvergence a propojení různých prvků, které společně tvoří hrozbu komplexnější a s více rozměry. Úkolem hybridní kampaně je využít slabin protivníka; znemožnit jasnou interpretaci událostí a odhalení jejich vzájemné souvislosti; komplikovat či přímo znemožnit identifikaci původce a zastřít jeho úmysly; komplikovat, destabilizovat či přímo paralyzovat rozhodovací proces, a tím znemožnit
včasnou a účinnou reakci ze strany napadeného. Jednotlivé prvky hybridní kampaně nemusí být nutně nezákonné či představovat hrozbu samy o sobě; nebezpečí spočívá právě v jejich sofistikované kombinaci, která současně usiluje o zastření pravého účelu jejích jednotlivých komponent.
Řízení situace v reálném čase
V procesu řízení bezpečnosti lze definovat pět kroků, resp. prvků. Prvním jsou připojené technologie, dále získávání dat, COP – společný operační obraz, situační povědomí a optimalizované rozhodnutí a reakce. Například zanedbání ohrožení Izraele ze strany Hamásu zřejmě patří do špatného vyhodnocení situačního povědomí.
Vytvoření COP – Common Operational Picture je přitom zásadním krokem k umožnění efektivního řízení a kontroly nad krizovými postupy a scénáři. COP je společný – vztahuje se na všechny zúčastněné, od vedení po řadové pracovníky, operační – musí sledovat skutečný stav a vývoj, nejlépe v reálném čase a na úrovni operačního plánování, obraz – jediná, kombinovaná, grafická, vizuální reprezentace prostředí, sil a akcí. COP umožňuje všem zúčastněným nezávisle a okamžitě vnímat a spolupracovat způsobem, aby dosáhli předem definovaného cíle a záměru.
CyCop pak je Cyber Common Operartional Picture a jde o podporu provádění operací v kybernetickém prostoru, spojuje informace o kybernetické doméně s georeferenčními informacemi, závislosti mezi logickými a fyzickými systémy s ohledem na granularitu oblasti zájmu.
Metodiky pro konvergovanou bezpečnost
Pro efektivní kybernetickou bezpečnost je nezbytné pochopit fungování protivníka. Existují dva přístupy pro organizování znalostí o chování protivníka – CAPEC a ATT&CK, z nichž každý je zaměřen na konkrétní sadu případů použití Common Attack Pattern Enumeration and Classification (CAPEC) poskytuje veřejně dostupný katalog běžných vzorů útoků, který pomáhá uživatelům pochopit, jak protivníci využívají slabiny aplikací a dalších kybernetických funkcí. CAPEC byl založen ministerstvem vnitřní bezpečnosti USA jako součást strategické iniciativy Software Assurance (SwA) Úřadu pro kybernetickou bezpečnost a komunikaci
V rámci CAPEC je definována kategorie fyzické bezpečnosti MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) – základní metodika pro oblast kybernetické bezpečnosti – globálně dostupná znalostní báze o taktice a technikách protivníka používá se jako základ pro vývoj konkrétních modelů hrozeb a metodologií.
Definované techniky v CAPEC
Domains of Attack – Tento pohled organizuje vzory útoků hierarchicky na základě domény útoku.
Excavation – Protivník aktivně testuje cíl způsobem, který je navržen tak, aby získal informace, které by mohly být zneužity pro škodlivé účely.
Interception – Protivník monitoruje datové toky do nebo z cíle pro účely shromažďování informací.
Reverse Engineering – Protivník objevuje strukturu, funkci a složení objektu, zdroje nebo systému pomocí různých analytických technik, aby efektivně určil, jak byla analyzovaná entita zkonstruována nebo jak funguje. Cílem reverzního inženýrství je často duplikovat funkci nebo část funkce objektu za účelem duplikování nebo „zpětného inženýrství“ některého aspektu jeho fungování. Techniky reverzního inženýrství lze aplikovat na mechanické předměty, elektronická zařízení nebo software.
Bypassing Physical Security – Zařízení často používají vrstvené modely pro fyzickou bezpečnost, jako jsou tradiční zámky, elektronické systémy vstupu a fyzické alarmy. Tento vrstvený přístup znesnadňuje náhodné narušení fyzické bezpečnosti, ale je méně účinný při
úmyslných a pečlivě naplánovaných vloupání. Vyhýbání se detekci začíná obcházením zabezpečení budovy a dohledu a metodami pro obcházení elektronických nebo fyzických zámků, které zajišťují vstupní body.
Hardware Integrity Attack – Protivník využívá slabinu v procesu údržby systému a provede změny technologie, produktu, komponenty nebo podsoučásti, nebo pro tyto změny využije nové instalace systému za účelem provedení následného útoku.
Physical Theft – Protivník získá fyzický přístup k systému nebo zařízení fyzickou krádeží. Držení systému nebo zařízení umožňuje provést řadu jedinečných útoků a často poskytuje protivníkovi prodloužený časový rámec, po který může útok provést.
Obstruction – Útočník brání interakci mezi komponentami systému. Přerušením nebo deaktivací těchto interakcí může protivník často dostat systém do degradovaného stavu nebo způsobit, že systém přestane fungovat.
Komplexní situační ekosystém
Komplexní situační ekosystém zahrnuje například detekci zbraní, sociální nepokoje, kyberbezpečnost (sledování přístupu k serverům, datům apod.), rozšířený pohled (drony apod.), sledování narušení přístupu (rozpoznání obličejů, black/white listy), klasické detektory (kamery, EPS, PZTS, sledování perimetru, tlačítko „panic“) a identifikaci přístupu. Komplexní pohled na bezpečnost tedy sleduje fyzickou, kybernetickou, provozní a informační bezpečnost.
Produkty a řešení pro konvergovanou bezpečnost
Na jednom dřívějším semináři řekl jiný odborník na kybernetickou bezpečnost Aleš Špidla: „Můžete nakoupit produkty od hardwaru až po software za statisíce až miliony, ale když vám je správně nenastaví a nevytvoří z nich správné řešení, jsou vám k ničemu.“
Tok dat v konvergované bezpečnosti jde od získávání dat, jejich přenos, vyhodnocení a sdílení (relevantních) dat.
Konvergovaný bezpečnostní dohled se opírá o metodiky jako SIEM nebo SOAR pro IT systémy; údaje z informačních systémů, a technologií a senzorů jdou přes bezpečnostní integrační nadstavbu společně s údaji získané pomocí SIEM/SOAR a podporou hlasového dispečinku do incident managementu, a odtud do platformy pro BI resp. business analytics.
Správa událostí
TTC Marconi využívá pro správu událostí EIMS – Incident Management System, který funduje jako framework pro dokonalý přehled o situaci, správu incidentů, řízení pracovních postupů, automatické reakce, predikce událostí, redukce planých poplachů, podrobný reporting a sledování důležitých ukazatelů organizace. Nasadila jej u několika velkých zákazníků, jeden z nich je z oblasti civilního letectví.
