Życie pentestera to nieustanne szukanie przysłowiowej „dziury w całym”. Niekiedy złamanie zabezpieczeń wymaga dużego wysiłku i olbrzymiej wiedzy. Częściej jednak to – niestety – kwestia kilku godzin. Czy wobec tego polskie organizacje są bezpieczne? Jaki jest poziom ich przygotowania na cyberzagrożenia? W końcu jak sprawdzić, czy rzeczywiście możemy spać spokojnie? O tym rozmawiamy z Kamilem Suską, kierownikiem Działu Zaawansowanych Usług Bezpieczeństwa EXATEL. Pentesterem z wieloma ciekawymi historiami z życia wziętych.

Rekonesans bezpieczeństwa oczami pentestera – rozmowa z Kamilem Suską, ekspertem EXATEL

 

Piotr Mierzwiński:

Witam serdecznie. Moje nazwisko Mierzwiński Piotr. Mam dziś przyjemność gościć Kamila Suskę, Kierownika Działu Zaawansowanych Usług Bezpieczeństwa. Cześć Kamil.

 

Kamil Suska:

Dzień dobry Państwu, cześć Piotrze.

 

Piotr:

Chciałem z Tobą porozmawiać przede wszystkim o bezpieczeństwie jako takim, bo w końcu jest to Twoja specjalizacja. Czy w biznesie jest bezpiecznie?

 

Kamil:

Zależy co masz na myśli pytając czy jest bezpiecznie. Z pewnością można powiedzieć, że jest lepiej niż rok, dwa, pięć czy osiem lat temu. Jak sobie przypomnę jak wyglądało bezpieczeństwo w Polsce kilka lat temu i porównam je do tego co jest teraz, to choć nadal nie jest idealnie, to jest zdecydowanie lepiej.

 

Piotr:

Czyli jakiś progres jest. Być może ten progres wynika z większej świadomości, a być może z postępu technologii. Może też wynika z tego, że temat cyberbezpieczeństwa wyszedł z tych ciemnych komnat i wszedł na salony.

 

Kamil:

Tak. Można zaobserwować zmianę podejścia, np. ze strony inżynierów. Cały czas, choć zdecydowanie rzadziej, zdarza się by administratorzy konfigurujący sieć, robili wszystkie reguły na ANY.Tak samo widać poprawę jakości pisanego kodu. I widać przede wszystkim zmianę nastawienia w kadrze zarządczej. Rośnie świadomość tego, że cyberbezpieczeństwo jest istotne, trzeba o nie zadbać, że bez tego nie da razy, a konsekwencje zaniedbania tego tematu, mogą być bardzo poważne. Choć na pewno nie idealne, to przepisy RODO też miały wpływ na tę zmianę podejścia, bo istnieje groźba realnych i bezpośrednich kar. Doszła też kwestia obowiązku ujawnienia informacji o incydencie, kiedy do tej pory dużo rzeczy zamiatało się jednak pod dywan.

 

Piotr:

Powiedziałeś o tym, że widać ten progres i stopień bezpieczeństwa rzeczywiście nam rośnie. Jest coraz lepiej, organizacje są coraz bardziej świadome wszystkiego tego co się dzieje. Ale Ty jesteś praktykiem. Testujesz te rozwiązania i sprawdzasz czy rzeczywiście wszystko jest tak, jak organizacje mówią, że tutaj jest bezpiecznie, że się nie boją, nie mają żadnych tajemnic i ta twierdza jest nie do zdobycia. Jak to wygląda z Twojego doświadczenia?

 

Kamil:

Zajmuję się cyberbezpieczeństwem w pewnej jednej gałęzi, a mianowicie jestem pentesterem i jestem właśnie od sprawdzania tego, co mówią organizacje. A zazwyczaj jedno mówią, a potem czasami okazuje się zupełnie co innego. Mógłbym przytoczyć tu przykłady sytuacji, które nam się zdarzyły w trakcie usług rekonesansowych. Bardzo częstym przypadkiem jest to, że ktoś mówi że coś jest odseparowane, sieci OT są świetnym przykładem, że one są odseparowane, że nie ma tutaj żadnego ruchu z zewnątrz, a później jednak okazuje się inaczej. Mieliśmy taki przypadek, w którym to nie był taki typowy rekonesans, bo klient nie odważył się na to żebyśmy weszli z pełną parą i tylko ocenialiśmy i audytowaliśmy. W pewnym momencie jak przeglądaliśmy boxy, które były tam podłączane, to zauważyliśmy że jeden ma jakąś nietypową na tę sieć adresację. Klient był totalnie zaskoczony i szliśmy po prostu po kablach, jak po nitce do kłębka. Okazało się, że znaleźliśmy szafę, w której ta „odseparowana sieć”, była spięta kabelkiem w switchu, z normalną siecią produkcyjną. Wśród takich przypadków, w których ktoś nam mówi, że coś jest na pewno odseparowane, bardzo często zdarza się, że nasze sprawdzenie udowadnia jednak, że nie do końca tak jest. To był w ogóle ciekawy przypadek, bo praktycznie nie dotykaliśmy klawiatury w trakcie tej pracy. Było to takie audytowe działanie, ale też z naszego punktu widzenia zakończyło się sukcesem.

 

Piotr:

Wspomniałeś mi tuż przed rozmową o sytuacji, w której wejściem do sieci może być czasami miejsce, z którego nikt nie zdaje sobie sprawy. Wspomniałeś o sytuacji infokioskiem…

 

Kamil:

Tak, to była w sumie bardzo podobna sytuacja, choć tutaj można było dotykać infrastruktury i w publicznie dostępnym miejscu był infokiosk, co do którego klient deklarował, że to było zamówione, instalowała firma zewnętrzna i na pewno nie ma żadnego dostępu do sieci. Sam klient nie miał za bardzo świadomości – co w sumie jest częstym problemem w rzeczach które są kupowane, gotowe, dostarczane i wdrażane – co tak naprawdę tam się dzieje. Okazało się więc, że możemy puścić tam zarówno Sandboxa jak i dostać się do systemu operacyjnego. Oczywiście cały infokiosk pracował na uprawnieniach administratora lokalnego. I co się okazało? Był wpięty w normalną sieć produkcyjną. Także klient wystawił w sumie swoim interesariuszom komputer z dostępem do sieci firmowej.

 

Piotr:

Ale testy o których mówiłeś, to są jakby przykłady. Czasami zdarzają się sytuacje, w których wchodzicie do biura klienta i tak naprawdę klient – trochę nieświadomie – sam daje wam możliwość obejrzenia tego, jak to wygląda i udziela nieświadomego dostępu do informacji, które tak naprawdę powinien chronić.

 

Kamil:

Mieliśmy taką sytuację. Usługę rekonesansu przeprowadzamy często bez wiedzy pracowników technicznych, albo jest oddelegowany jakiś najbardziej zaufany dla zarządu pracownik, który wie co robimy i nam asystuje, pomaga, żebyśmy też za dużo nie zepsuli mówiąc wprost. Ale w tej sytuacji pojechaliśmy do klienta pod przykrywką, a mianowicie pojechaliśmy po prostu jako handlowcy z EXATEL. I tutaj wtrącę, że po raz pierwszy zobaczyłem kolegę z zespołu w pantoflach, a on stwierdził tylko że handlowiec musi mieć przecież pantofle. Pojechaliśmy w każdym razie na spotkanie i porozmawialiśmy z prezesem. Jako że byliśmy osobami z zewnątrz, ale byliśmy też incognito jako handlowcy, to prezes wezwał jakiegoś pracownika, żeby zaopiekował się nami i oprowadził nas po terenie firmy. Nie wiedział jednak kim jesteśmy, więc gdy zapytaliśmy go czy możemy sobie wyjść na fajka, to powiedział: „Tak, ale to nie wychodźcie głównym wejściem. Ja wam tu pokażę”. Zaprowadził nas z tyłu i powiedział „tu jest kod dostępu, ale to kamieniem zablokujesz drzwi i jak będziecie wychodzić to sobie sami wychodźcie, kamienia podłóżcie i będziecie sobie wychodzić”. Także takie sytuacje też się zdarzają przy okazji wykryte, a potem w raporcie też się znajdują te opisy.

 

Piotr:

To są już takie ciekawostki, które zna każdy kto pracuje w jakiejś infrastrukturze, która ma drzwi z blokadą wejścia. Każdy przynajmniej raz w życiu widział taką sytuację, że była jakaś kartka w drzwiach, krzesło przystawione, but czy cokolwiek innego i to później rzeczywiście wpływa realnie na bezpieczeństwo. Rozmawialiśmy też jeszcze o jednej historii, w której sieć tak naprawdę była dobrze zabezpieczona i trudno się było do niej dostać. A jednak zawsze jest jakaś furtka.

 

Kamil:

Tak, byliśmy raz u klienta i realizowaliśmy dla niego usługę rekonesansu. Trzeba przyznać że wszystkie maszyny były popatchowane i nie było tam nic, co w ramach takiej usługi, bez jakichś bardzo głębokich testów, bylibyśmy w stanie zidentyfikować. Żadne jabłko nie wisiało nisko, że tak to sobie pozwolę określić. Podjęliśmy więc inną metodę i tutaj w grę wszedł ARP Spoofingi wstawiliśmy po prostu swoją stronę intranetową u klienta w ramach tego działania z Basic auth I troszeczkę dalej mieliśmy szczęścia, bo jakiś pracownik próbował się zalogować, nie udawało mu się, więc zadzwonił do działu IT. Przyszedł pracownik działu IT i sprawdził najpierw czy może się tam zalogować za pomocą swoich danych uwierzytelniających. Na jego nieszczęście, dane uwierzyteniające, czyli konto z którego korzystał było kontem, które miało również (choć w sumie nie powinno) konto administratora AD. Przyspieszył nam tym mocno drogę do sukcesu, ponieważ pozyskaliśmy w ten sposób jego login i hasło jako administratora domeny.

 

Piotr:

Wynika z tego, że jest wiele dróg i możliwości, często bardzo kuriozalnych, prostych, których nawet pracując na co dzień z systemami, niekoniecznie musimy być świadomi tych wejść. I to jest myślę ciekawy punkt wyjścia do rozmowy o różnych problemach i wyzwaniach. Cyberbezpieczeństwo jest jak ekosystem i warto to testować. Warto sprawdzić na czym się stoi, powiedzieć „sprawdzam” jak realnie wygląda bezpieczeństwo w naszej organizacji. Takim elementem jest choćby rekonesans bezpieczeństwa. Powiedz, jako osoba zajmująca się tym od strony wykonawczej, czym jest rekonesans?

 

Kamil:

Nasi klienci są bardzo różni i przetwarzają różnego rodzaju informacje. Zadaję więc klientom zazwyczaj pytanie, aby zastanowili się tak naprawdę jakie informacje przetwarzają, kto jest ich ewentualnym przeciwnikiem, jak bardzo może być zdeterminowany i ile jest na to w stanie poświęcić pieniędzy. Bo w sytuacji w której mamy bardzo zdeterminowanego przeciwnika, który jest w stanie poświęcić dużo sił i środków, czasami nawet kilku ludzi na pełny etat i naprawdę długą ilość czasu, żeby tylko osiągnąć swój cel. Nie ma co ukrywać, że szanse na taką pełną obronę dla większości organizacji są małe. Mówiąc o bezpieczeństwie, mówimy przede wszystkim o utrudnianiu tej pracy, bo w momencie w którym tę pracę utrudniamy, to zwiększamy szanse (jeżeli mamy monitoring) na jego wykrycie i na ograniczenie szkód do jakich może dojść. Tak naprawdę rekonesans jest takim sprawdzeniem i bardzo ważnym pierwszym krokiem, który te rzeczy po które atakujący najpierw sięgnie, jest w stanie zamknąć, zmitygować, ograniczyć. Trzeba zdawać sobie z tego sprawę, że jeśli mówimy o profesjonalnie działających i zdeterminowanych atakujących, to żaden z nich nie strzela z armaty do wróbla i nie używa jakichś bardzo zaawansowanych ataków, jeśli nie ma takiej potrzeby, ponieważ nie ma co pozbawiać się swojego know-how. Najpierw korzysta się z tych rozwiązań, które są standardowe. Tak samo jeśli nie ma takiej potrzeby, to nie szuka się podatności w jakichś customowych aplikacjach. Po te rozwiązania sięga się dopiero w sytuacji, w której zawiodą działania podstawowe. Moment w którym atakujący nie jest w stanie skorzystać z portfela publicznie znanych i łatwych do wykorzystania podatności i w którym np. musi skupić się na jakiejś aplikacji wewnętrznej, (załóżmy customowej) i obierze sobie ją za cel, to on tę aplikację musi testować na produkcji, czyli próbować ją złamać u nas, czym zwiększa nam jako broniącym się, szanse na jego wykrycie. Rekonesans ma przede wszystkim dać nam takie spojrzenie z lotu ptaka, jak wygląda bezpieczeństwo naszej organizacji. Przede wszystkim jednak, rekonesans ma na celu wskazać te nisko wiszące jabłka, pokazać wektory ataku jakie można przeprowadzić i pomóc w stworzeniu planu uszczelnienia organizacji.

 

Piotr:

Czy w takim razie rekonesans jest przede wszystkim sprawdzeniem trochę takiego fizycznego aspektu bezpieczeństwa, bezpośredniego bezpieczeństwa IT o którym mówiłeś? Czy są to tylko i wyłącznie takie pentesty?

 

Kamil:

W ramach rekonesansu skupiamy się na wielu aspektach na raz, bo z jednej strony na działaniu pentesterów, a z drugiej strony jest to rozpoznanie procesowo-proceduralne. Mimo że mamy to jako gotowy, zdefiniowany produkt, to jednak każdy klient jest inny i za każdym razem znajdujemy się w innej sytuacji. Tutaj znów przytoczę przykład z jednej z prac, gdzie z kolei taka była decyzja kierownictwa, że wszyscy zainteresowani pracownicy wiedzieli dokładnie co się dzieje. Było to widać od razu, bo jak już widział ktoś tych sieci kilkanaście czy kilkadziesiąt, to było widać że sieć była łatana na szybko. W tym konkretnym przypadku efekt był taki, że okazało się iż admini mają swoją „tajną” pocztę, którą się pomiędzy sobą komunikują. Przejęliśmy ją i tutaj jeszcze zostałem uderzony przez nich osobiście, bo określili mnie mianem tego starszego w koszulce Simpsonów. Ale wyszło że się przyznali. Obawiali się czy na pewno powyłączali wszystkie koparki kryptowalut, bo były one wcześniej w sieci. Co ciekawe, wiedzieliśmy o nich w ramach działań zewnętrznych, które przeprowadzaliśmy przed przyjazdem do klienta. Potem rzeczywiście ich nie było, ale sami się przyznali, że te koparki były i je powyłączali, gdzie w sumie kolega z zespołu procesowo-proceduralnego też miał w tym konkretnym przypadku sporo do roboty, bo gdy odpytywał jednego z pracowników o role, które powinny tam być wymagane i powinny być zaadresowane ich obowiązki, to on mówił że nic takiego nie ma, a później jak przegrzebał dokumentację i sprawdził jego słowa, to okazało się, że jak najbardziej takie obowiązki są zaadresowane i w dodatku ciążą na tym człowieku który z nim rozmawiał i mówił że u nich nic takiego nie występuje i że to dopiero trzeba zrobić. Także to jest właśnie to „sprawdzam” z naszej strony.

 

Piotr:

Czyli tak naprawdę w takim rekonesansie, dotykacie takich aspektów proceduralnych, czyli krótko mówiąc tego, jak to zostało zaplanowane żeby działało, jak to zostało przygotowane i spisane w formie jakichś procedur, procesów, tych wszystkich dokumentów zarządczych, a później mówiąc kolokwialnie, przekładacie to na żywy organizm i mówicie: skoro rzeczywiście tak jest spisane, są gdzieś podziały tych ról i obowiązków, są gdzieś procesy utrzymania i wsparcia technicznego, to jak to wygląda w rzeczywistości oraz czy ktoś w ogóle na to patrzy czy to nadal działa.

 

Kamil:

To nawet tak do końca nie wygląda. To jest niskokosztowa usługa, a my poświęcamy na nią kilka dni. To nie jest tak, że audytor przegląda całą dokumentację. On działa po prostu w kooperacji z pentesterami i jak coś mu zaczyna „śmierdzieć”, to sięga wtedy do tej dokumentacji i ją w danych, konkretnych aspektach – jeśli ta dokumentacja istnieje, bo często nie istnieje – weryfikuje czy rzeczywiście tak jest. Bo tak jak to wielokrotnie podkreślamy, to nie jest pełny audyt ani kompleksowe działanie i my tego nie ukrywamy. U audytora los jest bardzo ważny i bazując na tym losie, staramy się zidentyfikować czy ta prawda którą nam objawiają, to rzeczywiście prawda, czy też jakaś inna „prawda”.

 

Piotr:

Powiedziałeś, że tak naprawdę zajmujecie się tą kwestią proceduralną, kwestią bezpieczeństwa infrastruktury. Są to rzeczy bardzo techniczne, po części bardzo niskopoziomowe, jeśli chodzi o samą procedurę zastosowania pewnych elementów. Jeśli chodzi o bezpieczeństwo IT, to są to często rzeczy mocno technologiczne, jakieś dostępy, połączenia, sieci wydzielone itd. I zastanawiam się tak naprawdę – to co dostarczacie na końcu? Bo z punktu widzenia takiego członka zarządu, właściciela, czy też osoby która zleciła Ci takie zadanie, która otrzymuje raport mocno techniczny, technologiczny, to chyba może się w tym zgubić?

 

Kamil:

Raport dzielimy tak naprawdę na dwie części. Pierwsza część raportu to część przewidziana mówiąc wprost dla osób mniej technicznych, nie dla inżynierów. Tam staramy się w maksymalnie przystępny sposób opisać co zrobiliśmy i w jaki sposób, odwołując się oczywiście do konkretów, oraz co moglibyśmy osiągnąć i czemu to jest groźne. Opisujemy też rekomendacje o charakterze ogólnym, co można zrobić by w organizacji było lepiej, rysujemy taki przejrzysty schemat z wektorem ataku. Czasami też z wektorami, bo zdarza się, że zidentyfikujemy jeden wektor ataku, a czasami więcej, a to zależy od poziomu trudności organizacji. Więc rysujemy też takie schematy z wektorem ataku, który wykorzystaliśmy żeby organizację w ramach tych działań przejąć. Dopiero później przechodzimy do części technicznej, w której mamy już „mięso”, czyli opisane poszczególne podatności, z dowodami i ze sposobami ich mitygacji. Z tym że podkreślamy to zarówno w podsumowaniu zarządczym jak i w rozmowach z klientami, że tego raportu nie należy traktować jak raportu z testów penetracyjnych i że zmitygowanie tych podatności technicznych, nie załatwi sprawy w 100%, bo to po prostu zlikwiduje czy też przerwie gdzieś tę ścieżkę ataku, którą my gdzieś wykorzystaliśmy. Nie jest jednak powiedziane, że zlikwiduje wszystkie wektory ataku. I tutaj właśnie te rekomendacje o charakterze ogólnym w których opisujemy jakie zastosować podejście żeby dojść do odpowiedniego poziomu bezpieczeństwa. To ich wdrożenie ma tutaj tak naprawdę nawet chyba większe znaczenie niż mitygacja tych pojedynczych zidentyfikowanych podatności.

 

Piotr:

Czyli otrzymujemy raport zarządczy. Raport z którego możemy dowiedzieć się zazwyczaj tego, że nie jest tak ładnie jak się wydaje, że są jednak problemy, czasami prostsze, a czasami może się okazać, że obojętnie jak dużo czasu poświęciliśmy bezpieczeństwu, to jednak gdzieś jakąś otwartą furtkę zostawiliśmy.

 

Kamil:

Tak. To też nie jest tak, że my pracowników IT tylko obsmarowujemy. Jak widzimy coś dobrego to też to oczywiście zaznaczamy. Często jest tak, że widzimy że coś jest już nieźle poukładane, niedużo brakuje i trzeba pomóc. Używam takiego sformułowania, że bezpieczeństwo tkwi w szczegółach i właśnie na te szczegóły trzeba zwracać uwagę. Często są to też informacje, które nie obciążają w ogóle tych pracowników liniowych, bo widzimy często nadal taki model działania w organizacjach – choć jest on już na szczęście coraz rzadszy – że tak naprawdę pracownik działu IT jest w firmie pracownikiem od wszystkiego. Jest odpowiedzialny za wyjęcie zakleszczonego papieru w drukarce, za pomoc w obsłudze Excela pani Krysi, a jednocześnie jest odpowiedzialny za utrzymanie i skoordynowanie sieci, serwerów i usług zewnętrznych.

 

Piotr:

Złota rączka po prostu.

 

Kamil:

Tak, złota rączka. I jeszcze oczekuje się od tego pracownika, żeby oczywiście robił to bezpiecznie.

 

Piotr:

I w ciągu 8 godzin pracy.

 

Kamil:

A niestety nie zawsze się tak da i ci ludzie są naprawdę mocno obciążeni. Znowu pozwolę sobie przytoczyć anegdotę. U innego klienta też IT wiedziało co się święci i mieliśmy sytuację, za którą za bardzo nie przepadamy. Były takie warunki lokalowe, że musieliśmy pracować w jednym pokoju razem z pracownikami. Z jednej strony widzieliśmy więc jakie problemy mają na co dzień, cały czas dzwoniący telefon i naprawdę było widać, że nie mają kiedy zająć się czymkolwiek innym niż tzw. „bieżączką”. Z drugiej strony musieli mieć nas trochę za dziwaków. Wcielaliśmy się w rolę atakującego, więc nie chcieliśmy też zdradzać swoich zamiarów i pisaliśmy tylko między sobą na Signalu. Przyszło więc dwóch gości, którzy przez 8 godzin siedzieli i nie odezwali się do siebie ani słowem.

Mieliśmy też wtedy, może wyrzut sumienia to za dużo powiedziane, ale takie dziwne uczucie, bo był tam taki jeden facet, który był strasznie dla nas miły, przyniósł nam kawę, ale niestety to właśnie jego konto się napatoczyło i musieliśmy je wykorzystać żeby pociągnąć nasz wektor ataku, mimo że był strasznie miłym facetem. Był tam też taki przykład, że naprawdę ci goście mieli przerąbane, ale zarząd podszedł do tematu odpowiedzialnie. My jesteśmy też głosem z zewnątrz, głosem obiektywnym, nic nas nie łączy z tymi ludźmi, z tą organizacją i jesteśmy po prostu obiektywni w swojej ocenie. Jest to też budujące, że jak wskazujemy czasem jakieś problemy, które nie są problemami kompetencyjnymi (choć czasami są takie, że nie ma ludzi kompetentnych), nie wskazują że komuś się nie chce (bo czasami widać że po prostu się komuś nie chce i że coś mogło być lepiej zrobione), ale że jak wskazujemy problemy, to że naprawdę trzeba przeorganizować IT. Rekomendacje główne czasami takie rzeczy zawierają. Należy wtedy rozdzielić tych ludzi od pracy bieżącej od tych, którzy mają zadbać o bezpieczeństwo, powierzyć im większe kompetencje. Spotykamy się często ze zrozumieniem i kierownictwo wdraża często również takie rekomendacje.

Potem zdarza się, że cały czas uczestniczymy w poprawie poziomu bezpieczeństwa i szczerze serce się raduje gdy widzi się jak ci ludzie się rozwijają i mają podwójny motywator, bo czują się jednocześnie docenieni i zależy im na tym żeby tę wiedzę od nas czy od naszego zespołu przejąć. Mówiąc wprost są tym zajarani, w stosunku do tej szarej rzeczywistości w której żyli do tej pory.

Robi się naprawdę taki mix kompetentnych, zmotywowanych pracowników, którym ktoś po prostu tę wędkę dał i jeszcze pokazał jak łowić ryby. To jest proces ciągły. To nie dzieje się z dnia na dzień, ale dzieje się dzień po dniu i widać jak te organizacje dzień po dniu, coraz bardziej podnoszą swój poziom bezpieczeństwa. Daje to naprawdę dużą osobistą satysfakcję.

 

Piotr:

O satysfakcji jeszcze porozmawiamy, bo to jest bardzo ciekawy wątek – satysfakcja w zdobywaniu niezdobytego. Powiedziałeś natomiast taką jedną ważną rzecz, że czasami te raporty są brutalne i pokazują dosadnie że król jest nagi. Czasami pokazują, że jest więcej niż jedna luka, błąd czy coś niezgrane do końca tak jak powinno być. Ale powiedziałeś też, że często następuje dalszy ciąg, proces, że ten rekonesans jest tak naprawdę takim pierwszym działaniem, pierwszym krokiem na całej drodze dojścia do jakiejś tam większej świadomości cyberbezpieczeństwa. Mamy więc rekonesans i co się dzieje później? Jakie są te kolejne kroki, które są zazwyczaj podejmowane? Bo już wiemy, że jest rekonesans, po rekonesansie jest raport, ten raport ma swoje części. Jest element zarządczy w którym tak naprawdę zarząd może zrozumieć gdzie jest główne źródło problemu, nie jedyne, ale gdzie jest główne źródło które zostało zdiagnozowane. Co dalej?

 

Kamil:

Są jeszcze czasami takie raporty, w których piszemy że jest naprawdę nieźle i wskazujemy tylko jakieś drobne problemy do poprawy. Rzadko bo rzadko, ale takie raporty też się zdarzają.

 

Piotr:

Wyjątek potwierdza regułę?

 

Kamil:

Takie raporty jak najbardziej się zdarzają. Później to zależy od podejścia klienta i od tego jak on sam czuje się na siłach, bo są tacy klienci, którzy próbują się z tym sami uporać, a są tacy, którzy proszą nas o pomoc i my tę pomoc jesteśmy w stanie im dostarczyć. Tutaj częściowo są to cały czas moje zespoły, ale wchodzą do gry też inne zespoły u nas z departamentu cyberbezpieczeństwa. Mamy np. świetny zespół sieciowy czy administratorów systemów cyberbezpieczeństwa, mamy świetną drugą linię, która opiniuje systemy bezpieczeństwa, pomaga je projektować, identyfikuje na podstawie dokumentacji, rozmów i wywiadów problemy, które według nich mogą doprowadzić do nieszczęścia. Mamy bardzo szeroki zespół ekspertów, który liczy w tej chwili ponad 30 osób w departamencie cyberbezpieczeństwa. Nie zostawimy więc klienta samego, ale jesteśmy mu w stanie zaproponować właśnie obsługę kompleksową. Jeśli klient będzie dalej chciał poprawiać swoje bezpieczeństwo przy wykorzystaniu naszych zasobów, to w momencie w którym przykładowo L2 zaopiniuje i zidentyfikuje jakieś problemy, to wtedy może wejść w grę mój zespół, sprawdzić czy te problemy występują tylko w dokumentacji, czy występują też w praktyce. Będziemy w stanie powiedzieć wtedy jak ten problem zlikwidować, a zespół procesowo-proceduralny będzie w stanie stworzyć instrukcję czy proces, który pomoże nie dopuszczać do takich sytuacji w przyszłości. Także po takim rekonesansie jesteśmy w stanie pomóc, tylko to jest proces, a nie magiczna różdżka, ale jesteśmy w stanie pomóc całymi naszymi szerokimi kompetencjami w dojściu do satysfakcjonującego poziomu bezpieczeństwa.

 

Piotr:

Ogólnie jak się z Tobą rozmawia i opowiadasz o cyberbezpieczeństwie i pentestach, to widać że to po prostu sprawia Ci radość. Nie tyle pokazywanie dziur w systemie, ale cały proces, a przede wszystkim też to o czym wspomniałeś wcześniej chyba kilkukrotnie, że tak naprawdę widzisz że to działanie które realizujesz, ma tak naprawdę realny wpływ na to, jak te organizacje dalej się rozwijają. Widzisz, że Twoje działanie ma jakiś pozytywny wpływ na te zmiany. Nie tylko z punktu widzenia tego, że jesteś tym starszym w koszulce Simpsona i że jesteś nielubiany. Rozumieją później Twoją rolę w organizacji te osoby zajmujące się techniką, ale też w kontekście tego, że ta organizacja się zmienia również od góry, od dyrektorów, członków zarządu, do których tak naprawdę ten raport jest kierowany. Widać, że jest to coś, co sprawia Ci swoistą przyjemność i jest chyba jakimś elementem, który jest Twoją codziennością.

 

Kamil:

Tak, mamy tutaj satysfakcję lokalną i satysfakcję globalną. W satysfakcji lokalnej to tak jak powiedziałeś, jeśli jest klient, który widzimy że chce czerpać z naszej wiedzy, to my wychodzimy do niego z sercem na dłoni, staramy się pomagać jak tylko możemy i robimy to zgodnie z naszą najlepszą wiedzą, a czasami jeszcze więcej. Bo zawód pentestera to zawód, który polega przede wszystkim na szybkim przyswajaniu wiedzy. Nie da się w stanie mieć pełnej wiedzy, trzeba się cały czas szybko uczyć, więc pomagamy tak jak możemy i całym sobą. Ale jest jeszcze ten aspekt globalny. Naprawdę wierzę, że nasze działania to poprawa bezpieczeństwa całej polskiej cyberprzestrzeni. Państwo silne, to w tej chwili nie tylko państwo silne ekonomicznie czy militarnie, ale również państwo silne w aspektach cyberbezpieczeństwa. Mnóstwo ostatnich geopolitycznych wydarzeń na świecie wskazuje na to, że to już jest po prostu nowy obszar działań.

 

Piotr:

Kamilu, bardzo Ci dziękuję za dzisiejszą rozmowę i za to że odsłoniłeś nam tak naprawdę trochę kulis pracy pentesterskiej i sprzedałeś kilka bardzo ciekawych przykładów o tym jak wygląda to w rzeczywistości. Dziękuję Ci bardzo za poświęcony czas. Mam nadzieję, że będziemy mieli jeszcze nie raz okazję porozmawiać o temacie cyberbezpieczeństwa. Do zobaczenia i na pewno usłyszymy się jeszcze nie raz.

 

Kamil:

Dziękuję. Do usłyszenia Państwu i do zobaczenia Piotrze.

Kamil Suska
Wicedyrektor Departamentu Cyberbezpieczeństwa, EXATEL
Piotr Mierzwiński
EXATEL