ACTIVE 24 na cvičení proti kybernetickým útokům – Cyber Europe 2012

4.10.2012 se konalo druhé celoevropské cvičení obrany proti rozsáhlým kybernetickým útokům na území Evropské Unie. Bylo to ale poprvé, co byli k cvičení kromě národních CSIRT týmů a státní správy přizváni i zástupci privátní sféry. V České republice jsme tuto výzvu přijali jako jediná společnost, abychom posílili zkušenosti členů našeho nedávno zaregistrovaného bezpečnostního týmu ACTIVE24-CSIRT.

Za ČR se cvičení kromě nás účastnili zejména zástupci národního bezpečnostního týmu CSIRT.CZ a dále zástupci CESNET-CERTS a Policejní Akademie. Cvičení předcházela schůzka se zástupci všech participujících subjektů, abychom „sladili noty“ a předali si zkušenosti těch, kteří se účastnili už cvičení minulého.

Pro cvičení je vytvořen virtuální svět důsledně oddělený od toho skutečného a v něm se vše odehrává podle scénáře dynamicky řízeného z centra, které se tentokrát nacházelo v Athénách. Samotné cvičení bylo odstartováno v 9:00 a hned z kraje začínaly chodit tzv. injecty ukazující na rozvíjející se DDoS útok, který se postupně vyvíjel, stupňoval a šířil do sítí dalších a dalších subjektů. Později se přidaly i incidenty s únikem citlivých dokumentů.

Cílem útoků byly klíčové státní i komerční instituce v rámci EU. Cílem cvičení bylo efektivní spoluprací všech zainteresovaných subjektů docílit zeslabení resp. úplného zastavení útoků, ochránění citlivých dat a při tom si procvičit doporučené postupy a způsoby komunikace. Celého cvičení se účastnilo na 400 hráčů z celé Evropy.

ACTIVE 24 působilo v tomto cvičení v roli poskytovatele hostingových služeb a také jako ISP. Vyzkoušeli jsme si pozici jak cíle tak zdroje útoků, protože jeden z cílů rozsáhlého útoku byl náš virtuální zákazník ze státní správy a zároveň se v naší síti objevovaly servery a další zařízení zneužívaná útočníky k atakům na jiné cíle.

Hráč v rámci tohoto cvičení dostává značné množství podnětů jak od jiných subjektů tak simulovaných podnětů např. od vašeho oddělení zákaznické podpory, od nadřízeného nebo z různých médií (virtuální twitter, BBC apod.).

Prvním úkolem je proto z množství informací vytřídit to důležité a tomu věnovat svou pozornost. Zdá se to jako samozřejmost, ale v reálné situaci se to vždy nedaří a přitom jde o klíčovou věc. Následně je důležité sdílet všechny podstatné informace se subjekty, kterých se to týká, aby se společnými silami identifikovaly zdroje útoků a slabá místa použitých botnetů. Žádný zapojený subjekt nemůže sám útok zastavit, proto je sdílení důležitých informací taktéž klíčové a ukázalo se, že často je potřeba tyto informace aktivně vyžadovat na správných místech a ne jen pasivně čekat, že vám je někdo sdělí.

Simulovaný útok se skládal z množství zcela reálných hrozeb, které naše společnost v menším či větším měřítku řeší prakticky každodenně a i v tomto menším měřítku je klíčová spolupráce s ostatními subjekty po celém světě. V případě tak rozsáhlého útoku, jaký byl v rámci cvičení simulován, by bez efektivní spolupráce skutečně nebylo možné podniknout účinná protiopatření.

I když mělo cvičení řadu slabších míst, která by stálo za to do příště vylepšit, je z našeho pohledu nesporné, že jde o aktivitu správným směrem a podobná cvičení je potřeba organizovat a opakovat podobně, jako se dělají cvičení bezpečnostních složek státu. Důležité ale je do nich zapojit co nejvíce subjektů, kterých se tato problematika bezprostředně týká a to jak ze státní správy tak z komerčního sektoru. Doufejme, že se proto rozšíří řady registrovaných CSIRT týmů na našem území a v dalším ročníku Cyber Europe se setkáme s výrazně větším zastoupením klíčových úřadů a společností z ČR.

NAPIŠTE KOMENTÁŘ