Istraživači s FER-a razvili su Generator, sustav koji iz nekoliko ulaznih parametara stvara detaljan, realistični model organizacijske mreže.
Zamislite da trebate organizirati realističnu cybersecurity vježbu za vaš tim. Trebate okruženje koje izgleda kao prava tvrtka, s radnim stanicama, serverima, bazama podataka, vatrozidima, korisničkim računima i pravilima mrežne segmentacije. Izgradnja takvog okruženja od nule može potrajati tjednima, a i tada je teško jamčiti da će doista nalikovati stvarnom IT sustavu.
Upravo taj problem adresira istraživanje CyberArrangeovog osnivača Ivana Kovačevića, u suradnji sa suautorima Stjepanom Grošem i Antom Đerekom s Fakulteta elektrotehnike i računarstva Sveučilišta u Zagrebu, objavljeno u IEEE Accessu 2022. godine. Razvili su sustav koji automatski generira modele IT sustava i time otvaraju put prema znatno bržoj i jeftinijoj pripremi cyber rangeva i sigurnosnih vježbi.
Zašto je ovo uopće problem?
Svaka tvrtka danas ima IT sustav, ali detaljna dokumentacija o njemu rijetko je javno dostupna. Istovremeno, za cyber rangeve, generiranje stabala napada ili testiranje sigurnosnih algoritama potrebni su realistični, detaljni modeli organizacijskih mreža.
Ručna izgradnja takvog modela iznimno je zahtjevna. Stvarni IT sustavi nisu dizajnirani od nule po nekim apstraktnim principima, oni rastu organički zajedno s tvrtkom koja ih koristi i odražavaju kompromise, navike i ograničenja koja su se akumulirala kroz godine. Rezultat je da cyber rangevi koji se grade danas često koriste isti, ograničeni skup konfiguracija, što umanjuje kvalitetu treninga.
Što je Generator i kako funkcionira?
Generator je ekspertni sustav koji na temelju nekoliko ulaznih parametara, poput broja zaposlenika i djelatnosti tvrtke, automatski kreira detaljan model IT sustava. Umjesto strojnog učenja (koje bi zahtijevalo ogromne količine podataka kojih nema), sustav kodira znanje stručnjaka u obliku pravila i predložaka.
Proces generiranja odvija se kroz šest faza:
1. Odabir softvera — sustav određuje koji softverski paketi moraju biti instalirani kako bi se zadovoljile potrebe svakog zaposlenika i svake organizacijske usluge, uz minimizaciju troškova licenci.
2. Povezivanje skupova podataka — svaki skup podataka (primjerice e-mailovi, financijski podaci, izvorni kod) instancira se i veže uz zaposlenike, servere i organizacijske usluge prema konfiguriranim pravilima.
3. Mrežna segmentacija — sustav koristi SMT solver (Z3 od Microsoft Researcha) kako bi pronašao minimalnu mrežnu konfiguraciju koja zadovoljava sve zadane politike, na primjer “serveri i radne stanice ne smiju biti u istom segmentu” ili “samo Internet banking server smije biti izložen Internetu”.
4. Instalacija računala — na temelju hardverskih zahtjeva odabranog softvera stvaraju se virtualna računala i raspoređuju resursi.
5. Autentikacija — generiraju se korisnički i administratorski računi, uz primjenu načela minimalnih ovlasti.
6. Sigurnosne kontrole — automatski se generiraju pravila vatrozida, dozvoljavajući samo promet koji je nužan za funkcioniranje sustava.
Što Generator zapravo producira?
Na izlazu dobivamo kompletan, strukturiran model IT sustava koji uključuje popis računala i instaliranog softvera, definiciju mrežnih segmenata (DMZ, Server LAN, Workstation LAN i slično), instance skupova podataka s vezama prema zaposlenicima i servisima, korisničke račune s odgovarajućim ovlastima te pravila vatrozida.
Sve to, za organizaciju s primjerice 100 zaposlenika i nekoliko desetaka servera, generirano je automatski za nekoliko minuta.
Sustav je validiran na primjeru fiktivne financijske institucije s različitim konfiguracijama zaposlenika i mrežnih pravila. Svi generirani modeli zadovoljili su zadana pravila i ograničenja. Performanse su testirane na organizacijama do 1.500 zaposlenika, što pokriva veliku većinu europskih tvrtki, a CPU i memorijska potrošnja ostale su u prihvatljivim granicama.
Zašto je ovo važno za kibernetičku sigurnost?
Automatsko generiranje modela IT sustava ima niz konkretnih primjena.
Za cyber rangeve: umjesto tjedana ručnog rada, moguće je brzo generirati realistična okruženja za vježbe prilagođena specifičnoj industriji ili veličini organizacije.
Za analizu sigurnosnih rizika: algoritmi za generiranje stabala napada trebaju realistične modele mreža za validaciju. Generator ih može proizvesti u neograničenim količinama i različitim konfiguracijama.
Za strojno učenje u sigurnosti: sustavi koji uče kako se braniti ili napadati trebaju raznolike, realistične modele mreža. Generator može biti izvor takvih podataka.
Za dizajn novih IT sustava: budući da Generator kodira dobre prakse mrežne sigurnosti u obliku pravila, može poslužiti i kao alat koji pomaže arhitektima IT sustava pri dizajnu novih ili redizajnu postojećih mreža.
Gdje je CyberArrange u svemu ovome?
Istraživanje opisano u ovom članku nastalo je na FER-u, ali neposredno je prethodilo osnivanju CyberArrangea i postavilo temelje za ono što danas gradimo: sustav koji automatizira pripremu cyber rangeva i sigurnosnih vježbi od početka do kraja.
Dok je originalni rad proof-of-concept koji podržava financijske institucije, naš cilj je proširiti skup predložaka i pravila na širi spektar industrija, dodati podršku za cloud i virtualizacijske tehnologije te integrirati generator s alatima za automatiziranu postavu okruženja.
Ako vas zanima kako bi ovakav pristup mogao ubrzati pripremu sigurnosnih vježbi u vašoj organizaciji, kontaktirajte nas na research@cyberarrange.com.
Ovaj članak temelji se na istraživačkom radu “Automatically Generating Models of IT Systems” autora Kovačević, Groš i Đerek (Sveučilište u Zagrebu FER), objavljenom u IEEE Access, vol. 10, 2022. DOI: 10.1109/ACCESS.2022.3147312. Rad je podržan kroz projekt Cyber Conflict Simulator i EU grant KK.01.2.1.01.0054.