Český tým COMGUARD a Unicorn Systems na špici při odkrývání hrozeb na kybernetickém cvičení Cyber Europe 2014

Brno – 3. března 2015 – Pod záštitou Evropské agentury pro síťovou a informační bezpečnost (ENISA) probíhalo v loňském roce rozsáhlé kybernetické cvičení„Cyber Europe 2014“, jehož cílem bylo mimo jiné prověřit bezpečnostní prostředí v oblasti energetických systémů a prvků kritické infrastruktury. Podobná mezinárodní cvičení se pod záštitou ENISY  konají již od roku 2010. Toto cvičení bylo jedno z nejrozsáhlejších a probíhalo v průběhu celého loňského roku a jeho poslední část začátkem letošního roku. (TZ)

První, technická část cvičení byla zaměřená na schopnost identifikace útoku v různých aplikacích a datovém provozu. Následovala fáze operační a v letošním roce část strategická.

Cvičení se účastnilo více než 200 týmů z 29 zemí Evropské Unie a Evropského sdružení pro volný obchod. V jednom z 9 týmů z České republiky se sešli bezpečnostní specialisté ze společnosti COMGUARD a Unicorn Systems. Tento tým, který byl jediný z oblasti energetiky v ČR, se pokusil vyřešit všechny předložené bezpečnostní incidenty. A patří tak mezi dva týmy z celkového počtu 200 zúčastněných týmů, které se pokusily rozkrýt všechny incidenty.

Pro úspěšné zvládnutí cvičení byla rozhodující pečlivá příprava, která zahrnovala především volbu vhodných nástrojů pro řešení incidentu. Celkem šest expertů z obou firem mělo k dispozici téměř dvě desítky různých nástrojů a aplikací pro detekci a odstranění kybernetických hrozeb. Při přípravě a během samotného cvičení prokázali vysokou profesionalitu, schopnost spolupracovat a odborné znalosti na světové úrovni.

Jak takové cvičení probíhá a na co je důležité se připravit, popsal Robert Šefr, Senior Solution Consultant ze společnosti COMGUARD.

Protože cvičení bylo omezeno na 48 hodin a bylo koncipováno jako náročné, snažili jsme se připravit co nejvíce oblastí ještě před startem. Před školením jsme si s kolegy z Unicornu Systems domluvili komunikační kanály. Kromě emailu, videokonference a telefonních čísel jsme sdíleli společný cloudový disk pro rychlou výměnu dat. Na společném disku jsme připravili strukturu složek pro jednotlivé úkoly a speciální složku s nástroji pro analýzu malwaru a síťového provozu. Přípravou nástrojů jsme strávili několik hodin času a tato investice se vrátila jak během samotného cvičení, tak i později v praxi během řešení incidentů, při kterých jsme nově objevené nástroje využili.

Po zveřejnění kompletního zadání cvičení jsme si rychle rozdělili úkoly. Tým COMGUARDu se soustředil hlavně na cvičení související s DDoS útoky, zatímco specialisté z Unicornu Systems se vrhli na analýzu infikované webové aplikace. Velmi rychle jsme zjistili, že zavolat si o radu někomu z druhého týmu je téměř nemožné. Úkoly byly velmi složité a předávání souvislostí a dosavadních zjištění nebylo kvůli množství informací prakticky možné. Každý z úkolů musel řešit jednotlivec nebo malý tým společně od začátku do konce. Zapojení další osoby v průběhu bylo časově spíše kontraproduktivní.

Po dokončení prvních úkolů ohledně DDoS útoků na webové aplikace a SCADA systémy jsme si další úkoly rozdělili již jako jednotlivci. Řešení v týmu bylo sice přínosné co do kvality, ale blížící se konec cvičení nás donutil vzdát se pohodlí týmové práce.

Naše další kroky vedly paralelně k pokročilé analýze malwaru a k úkolu mířeného na steganografii (disciplína zabývající se utajením přítomnosti informace). Analýza měla více postupných kroků zahrnujících kombinaci statické a dynamické analýzy. Malware obsahoval velké množství obranných mechanismů a bludných kořenů, ale i přesto se nám povedlo většinu jeho funkcionality odhalit, popsat a rozklíčovat mechanismy komunikace, ke které byly využívány zejména veřejné webové služby a aplikace. Paralelně řešený úkol přinesl analytikovi otázku, zda roztomilý obrázek v pdf nemůže obsahovat nějaké citlivé informace, které se někdo pokouší vynést. A opravdu po sérii kroků, nalezení klíčů a odhalení ukrytých kontejnerů se podařilo odhalit za koťátky citlivé informace o konfiguraci SCADA systémů.

Na poslední úkoly týkající se infekce SCADA systémů již společnému týmu nezbýval prakticky žádný čas. Analýza v rekordně krátkém čase se ukázala jako velmi naivní, takže s body za tuto část cvičení jsme se rozloučili a vyčerpáni jsme čekali na vyhodnocení výsledků a srovnání týmů. Kompetitivní faktor ve cvičení byl podle nás motivační a nutil členy týmu snažit se o trochu víc, než kdyby vše probíhalo jen tak, bez možnosti se srovnat s ostatními. Naše úsilí přineslo ovoce a mezi týmy, které zveřejnily své bodové hodnocení, jsme se v Evropě umístili na absolutní špičce. Jako celý tým jsme společně prošli všechny úkoly a okomentovali zkušenosti s jednotlivými nástroji a postupy.

Hlavním přínosem využitelným v naší další praxi bylo rozšíření obzoru a objevení nových funkcí v nástrojích, které již dlouho známe, ale nikdy jsme nebyli nuceni je zkoumat do detailu. Takový výsledek je podle nás možný jen u velmi detailně a odborně připravených cvičení. Netroufáme si ani odhadovat, jak náročná musela příprava a koordinace takového cvičení být a doufáme, že s týmem Unicornu Systems si v budoucnu něco podobného zopakujeme.

V bodovém hodnocení technické části cvičení se týmy z České republiky umístily na předních příčkách. Výsledky cvičení ukázaly, že Česká republika není v oblasti kybernetické bezpečnosti pozadu od ostatních evropských zemí a díky erudovaným odborníkům je schopna v oblasti bezpečnosti efektivně chránit kritickou infrastrukturu před kybernetickými hrozbami.