Pero Kristić, Combisov sistemski inženjer za sigurnosne tehnologije, za sebe priča da je bio živo dijete. “Roditelji su rekli: ‘moramo te negdje upisati, samo da te izvučemo iz kuće’. Izmori se pa dođi doma, samo da možeš mirno spavati”, priča Kristić. Tako je s negdje sedam ili osam godina upisan na judo.

“Cilj je bio da usput dobijem i neku vrstu discipline. Kada imaš živo dijete, teško ga je kontrolirati. Onda te na sportu, pogotovo u ovakvom borilačkom gdje se od tebe očekuje i traži disciplina, nauče tome. Pretpostavljam da je to bio i drugi motiv roditelja”, dodaje Kristić.

Judo ga je naučio disciplini i upornosti koji su mu potrebni da bude uspješan u svom poslu. “Individualni sportovi su prema mom mišljenju bolji za izgrađivanje osobe i karaktera. Tu si sam. Nije kao u nogometu, gdje bi nas igralo deset uz Messija. I sada on zabije deset golova, a samim time što si ti s njim u ekipi, ti si prvak. Možeš biti super talent, ali ne moraš. On te jednostavno vuče”, smatra Kristić.

Faks je bio backup plan

Kaže kako se tu može povući najveća paralela s poslovnim svijetom. Postoje ‘nogometni timovi’ u kojima će se neki ljudi truditi i nadograđivati, a drugi će se vući za njima dokle ide.

“Najviše što možeš dobiti iz svijeta sporta je taj dio karaktera. Naučiš kako procijeniti i reagirati u raznim situacijama. Nekada daš i deset posto više jer znaš da će ti se zbog toga sutra olakšati posao. Jednostavno se ozbiljnije hvataš zadataka. Gledaš ih što bolje riješiti. Ne krećeš odmah tražiti pomoć ako negdje zapneš, već sam pokušaš doći do negdje, do kuda ide. Onda kada stvarno zapneš, kada udariš o isti zid par puta, tek onda tražiš pomoć. Nekako si zbog sporta efikasniji”, smatra Kristić.

Kristić je judo paralelno “gurao” s faksom. “U svijetu sporta, ako se baš ne baviš nekim sportom poput nogometa, od njega je prilično teško živjeti i prehraniti obitelj. Gurao sam faks za svaki slučaj ako mi u sportu krene nizbrdo, da imam izlaznu strategiju. Na kraju krajeva, mogao sam i završiti faks, a da mi judo krene super pa da se mogu baviti samo time. Međutim, dogodila mi se ozljeda. Propustio sam svoj vlak pa sam se malo po malo izvlačio iz svijeta juda”, priča Kristić.

“Aktivno sam se bavio i posvetio poslu, ali mi je bilo žao ostaviti sport. Toliko sam godina uložio pa sam tražio način na koji se još mogao održati u njemu. Trenerski posao bi mi oduzeo previše vremena zbog odlaska na natjecanja i priprema samih treninga pa mi se taj sudački dio pokazao idealnim. Velik broj natjecanja je u zagrebačkom području, jer ipak najviše ljudi ima ovdje. Još sam u sportu, pratim što se događa, up to date sam i održavam svoje kontakte”, dodaje Kristić, koji je danas sudac prve kategorije u Hrvatskom Judo savezu.

U Combisu se upoznao s računalnom sigurnosti

U Combis je stigao kao student prije šest godina, a prvi zadatak mu je bio razvojni projekt za automatizaciju upravljanja mrežnim uređajima. Na fakultetu i nije imao previše dodira s računalnom sigurnosti, stoga mu je taj prvi projekt bio i uvod u cijelu priču s računalnom sigurnosti. Kristić je imao istog mentora kao i naš prošli sugovornik iz Combisa, moralni haker Danijel Teslić.

“Cijela priča krenula je dvije generacije prije mene, dakle jednu generaciju prije kolege Teslića, kada je s FER-a došlo ukupno troje ljudi. Nas pet je došlo generaciju kasnije. Otprilike smo radili iste stvari, no s različitim temama i diplomskim radovima”, kaže.

U početku je učio na greškama

Malo po malo, kroz rad u Combisu, ulazio je u priču računalne sigurnosti. Fluktuacija ljudi u ovom sektoru je prilično velika pa je Kristić morao preuzimati, kako kaže, “razne vruće krumpiriće”.

“To mi je u neku ruku bilo dobro, a u drugu i ne baš tako dobro. Tjeralo me da puno naučim i da brzo napredujem. U drugu ruku, zbog fluktuacije ljudi sam izgubio čovjeka koji mi je mogao nešto pokazati i nešto me naučiti. Radio sam neke greške u startu i kroz njih učio. Stanje se, ipak, kroz prošle dvije ili tri godine stabiliziralo. Sada smo već sasvim stabilan tim”, priča Kristić.

Radili su na unaprjeđenjima Cisco-ve APIC-EM web aplikacije

Prvi projekt na kojem su radili bila je web aplikacija za upravljanje Cisco SDN kontrolerom (Cisco APIC-EM). Riječ je o Ciscovom kontroleru koji je služio za upravljanje i automatizaciju mrežnih uređaja.

“Ideja takvog produkta je bila da se ‘pamet’ makne iz mrežnih uređaja u centralni kontroler, uređaji postaju čista “operativa“, a sva konfiguracija i upravljanje se vrši sa centralnog kontrolera. Imali smo nekakvih sedam modula za odraditi, a nas je bilo pet u timu. Netko je dobio dva jednostavnija, a netko jedan kompliciraniji modul. Ja sam bio zadužen za modul upravljanja access listama na uređajima te modul vizualizacije topologije mreže. Jednostavno rečeno, izvlačio sam podatke gdje je koji uređaj, s kime je spojen i koji su krajnji uređaji spojeni na njega, od mobitela do računala. Radio sam svojevrsnu kartu mreže koju možeš proširivati da ti se pokažu spojeni uređaji. A unutar te topologije je bio ugrađen modul upravljanja access listama na uređajima za koje je to bilo moguće napraviti. Cijela priča bila je dosta interaktivna”, objašnjava Kristić.

Potreban je inženjerski pristup rješavanju problema

Potom je došao u svoj sadašnji tim sigurnosne tehnologije, gdje se počeo baviti endpoint tehnologijama, za što bi ljudi kolokvijalno mogli reći da su klasična antivirusna rješenja.

“Cijela ta priča je poprilično izazovna, budući da ljudi, kada im nešto ne radi, često znaju za to okriviti antivirus. Kako bi im dokazao da nije problem nastao zbog tvog antivirusnog rješenja, moraš pronaći pravi uzrok. Tu sam skupio hrpu iskustva. Bilo je puno detaljnog istraživanja pa sam naučio puno o sustavima, osobito o Windowsima. To je taj neki inženjerski pristup rješavanju problema, koji ti omogućuje da stekneš pravo iskustvo koje ti kasnije omogućuje da brže dolaziš do rješenja”, priča Kristić.

Kroz sistemska dežurstva najviše je naučio

Kako su ljudi odlazili iz tima, na sebe je preuzimao razne zadaće. Naučio je raditi s UTM-ovima (Unified threat management), uređajima koji na sebi imaju dio sigurnosnih tehnologija koji se postavljaju unutar mreže kako bi je štitili. “Oni se koriste većinom kod manjih korisnika gdje nema potrebe za kupnjom deset zasebnih uređaja (jer to zna biti dosta skupo), a jedan UTM zadovoljava potrebe za hrpu funkcija, poput Mail gatewaya, web proxyja, VPN-a i drugog”, objašnjava.

Priča i kako je tu zapravo ušao u svijet računalne sigurnosti, gdje je dobio i jedan sveobuhvatni pristup tehnologiji. Kroz sistemska dežurstva, gdje održava i nadzire sve proizvode za koje im korisnici plaćaju, naučio je najviše. Kristić tumači kako su često logika stvari, odnosno neki temeljni principi isti, no sučelje je nešto drugačije.

U početku je sve djelovalo poput igre

Kada je prije dvije godine došao u Security operations centar, Kristiću je to u početku bilo poput igre, no kasnije se priča ozbiljno zahuktala. Combis je uvidio kako je to područje na koje se može širiti i koje je potrebno razvijati. U SOC-u, Kristić objašnjava kako radi odgovore na incidente, kao i nadzor, analizu i trijažu napada.

Iz Combisa javljaju korisniku da se dogodio incident, a na korisniku je potom odluka kako reagirati na njega. S obzirom na to da je većina korisnika SOC-a i pod Combisovim održavanjem, Combisovi inženjeri im pomažu i u takvim slučajevima napada.

Upravo zbog ovako širokog područja na kojem je imao prilike raditi, Kristić kaže da je i najviše naučio kroz rad u Combisu. “Primjerice, nakon faksa sam praktički samo sam u teoriji znao što je mail gateway. Da mi je netko odmah nakon faksa dao da radim s njime, ne bih imao pojma gdje početi. Danas se većina toga mora učiti kroz posao. Trebaš slijediti logiku i nastojati naučiti stvari što prije”, dodaje.

Član je jednog od većih timova u Combisu

Kristićev tim, u kojem je službeno senior analitičar, jedan je od najvećih u Combisu, uz timove sastavljene od tehničara i servisera, koji rade u tri smjene i koji moraju biti dostupni 24 sata dnevno. Iako se u timu nalazi više od dvadeset ljudi, Kristić kaže da i dalje traže ljudi, budući da posla ima više nego što bi se očekivalo. Međutim, pronalazak novih kolega je izazovan.

“Jako je teško pronaći ljude koji imaju predznanje. Oni koji ga imaju, već rade negdje pa ih treba privući. Tu se naravno javlja problem konkurencije, a često kamen spoticanja zna biti novac. Kada se i to riješi, dogodi nam se da kada čovjek krene davati otkaz, da mu poslodavac ponudi više novaca nego mi, samo kako bi ga zadržao”, priča.

Pri traženju juniora, Kristić tumači da je potrebno dobro procijeniti čovjeka. “Nije toliko bitno neko predznanje, već način razmišljanja. Pri rješavanju zadataka na razgovoru za posao nam nije bitno je li kandidat napisao sve apsolutno točno. Nije to ispit na faksu, pa da mu moramo dati ocjenu. Bitno je vidjeti način na koji kandidat razmišlja, kako je pristupio rješavanju zadataka, je li riječ o nekom novom kutu ili pristupu”, dodaje.

Više ne postoje samo red i blue timovi

U svijetu računalne sigurnosti, nekoć davno, postojali su samo red i blue timovi. Kristić objašnjava da su red timovi bili oni koji su se branili ofenzivom, odnosno, napadom pa bismo njih mogli kolokvijalno nazvati hakerima. U red timu se nalazi naš prošli sugovornik, ranije spomenuti moralni haker Danijel Teslić.

Njihov zadatak je pronaći ranjivosti u sustavu te način kako ih iskoristiti. Pritom, red tim ne mora srušiti neki sustav kako bi dokazao da su uspjeli, već je dovoljno nabaviti neki dokaz, poput screenshota login pagea gdje se pokazuje da je haker dobio administratorska prava. Ipak, kada haker dobije ta prava, sasvim je izgledno da će u sustavu moći napraviti što god želi.

S druge strane je blue tim, Kristićev, koji se bavi defenzivom. “Mi podešavamo sigurnosne uređaje kako bi oni blokirali prijetnje koje dolaze. Pritom nije samo riječ o penetracijskim testiranjima, već i blokiranju od pravih prijetnji i pravih hakera”, kaže Kristić. Potom objašnjava da se napredne prijetnje, odnosno, napredni hakeri, “skrivaju u sjenama” koristeći alate koji su već ugrađeni u sustav.

Propust se može nalaziti i u nečem banalnom

Takvi napredniji hakeri mogu koristiti propust u najobičnijem alatu kako bi izvršili svoj napad. “Tu je potrebna nešto naprednija analitika i ljudski nadzor. Ako ti iskoči neka upozorenje da je netko na službenom laptopu koristio npr. Paint u tri ujutro, to možda znači netko nije mogao spavati pa je uređivao neke slike. Kada pogledaš dublje i kada analiziraš to što je radio, vidiš da nije bila riječ o čovjeku, već o sistemsko iniciranoj aktivnosti. Neki automatizirani sustav će takve neke korelacije prepoznati, a neki neće”, kaže Kristić.

Blue tim praktički nadzire događaje na sigurnosnim rješenjima i reagira na njih. “Primjerice, ako u posljednjih desetak dana vidimo da je korisnički javni web servis pod konstantnim napadom s IP adresa iz Rusije, naša preporuka je da se blokira sav promet s ruskih adresa, ukoliko komunikacija prema toj zemlji nije poslovno potrebna. Time naši korisnici na neki način sprječavaju mogućnost da neki haker ‘nabode’ ulaz. Oni funkcioniraju poput kokoši. Nabadaju i nabadaju, sve dok ne pronađu svoje zrno, odnosno ulaz u sustav. Naša uloga je osvijestiti korisnike da u takvim situacijama trebaju pripaziti na događaje unutar okruženja u narednom periodu “, objašnjava Kristić.

Borbom timova do bolje zaštite

Na kraju, spoj red i blue teama se naziva purple teamingom, a cilj mu je unaprijediti defenzivni dio. “S kolegama iz ofenzivnog securityja, red tima, dogovorimo se da će u sljedećih nekoliko dana odraditi penetracijska testiranja na našim sustavima i mrežama. Mi ćemo paralelno raditi, pratiti naše alate i našu SOC konzolu. Nekada se dogodi da ih naši sigurnosni alati sami prepoznaju i blokiraju, pa moramo malo otpustiti naše obrane kako bismo simulirali situaciju koju možda imaju naši korisnici, kada je nešto s njihove strane nekom omaškom olabavljeno. Tada možemo vidjeti što bi se dogodilo, hoće li se upad vidjeti negdje drugdje, u nekim sljedećim koracima obrane”, tumači Kristić.

U slučaju ako napad nije prepoznat, Kristić i njegov tim kreću u analizu, kako bi pronašli propust i zakrpali ga. Upravo je to unaprjeđenje sustava koje imaju smisao purple teaminga. Red tim s jedne strane evaluira svoje alate, a Kristićev blue tim evaluira svoje sustave obrane. Kasnije, kada se sastanu i analiziraju koje alate su međusobno koristili, dijele znanja i tjeraju se međusobno na konstantna unaprjeđenja.

Usko surađuju i brainstormaju na kavama

Kristića smo pitali stvori li se zbog toga i svojevrsna kompetitivna atmosfera među timovima. “Za sada još nije preraslo u pravo natjecanje, ali tu u cijeloj priči bude dosta zezancije. Znamo se zadirkivati: ‘Kakvo ti je to rješenje, prošao sam ga kao krava kroz kukuruz’. Događa se i da si dugujemo pivo, osobito ako se pronađe neki veliki propust pa se pivo zasluži”, kaže kroz smijeh Kristić.

Ipak, to što je dijelom riječ o kompetitivnoj atmosferi ne znači da jedan i drugi tim ne komuniciraju. “Mi nismo posvađani, a dijeli nas samo jedan ormar u uredu. Idemo na kave, brainstormamo zajedno. Ako se nađemo ujutro na kavi, svatko priča nešto iz svog dijela, bilo što što je zanimljivo. Netko je nešto pročitao negdje pa pita je li to što je pročitao uopće moguće. Netko ima iskustva iz ofenzivnog dijela, netko iz defenzivnog”, priča Kristić.

Najveći faktor su uvijek ljudi

Najčešće greške koje dovode do sigurnosnih propusta događaju se zbog neosviještenosti korisnika. “Ljudi se često pitaju kako prolaze ti phishing mailovi, odnosno, kako ljudi još nasjedaju na to. Neki će možda kliknuti jer ih nije briga, a neki će možda nasjesti jer je phishing kampanja odrađena vrlo dobro. No, u principu je uvijek glavni faktor čovjek, što je i prvi problem računalne sigurnosti. Možeš imati najbolje alate, ali ako nisi osvijestio ljude, sigurnost ti je vrlo klimava”, kaže Kristić.

Nastavlja i da je drugi problem balansiranje funkcionalnosti i sigurnosti, budući da su oni uvijek “na vagi”. Ako se podigne razina sigurnosti, patit će funkcionalnost. Kao primjer navodi klasično logiranje s korisničkim imenom i šifrom, koje je funkcionalno, no i nije baš sasvim sigurno.

Dodavanjem dodatne razine, primjerice dvofaktorske autentifikacije korisnika, dobiva se na sigurnosti, a gubi na funkcionalnosti. Tako korisnici sa sobom moraju imati mobitel, na kojem će odobriti logiranje u neku stranicu ili sustav, što možda i nije uvijek najpraktičnije.

Plaćanje sigurnosti je poput zdravstvenog osiguranja

Naravno, neizbježan faktor je i novac. Na jednom sastanku mu je postavljeno pitanje može li klijent preskočiti plaćanje sigurnosti sljedeće godine, budući da mu ove godine nije bilo nikakvih proboja.

“Planirao je ne platiti iduću godinu, no onda bi ipak plaćao onu godinu iza nje. Na to sam mu povukao paralelu sa zdravstvenim osiguranjem, da si ga ne plati za iduću godinu, ako nije bio kod doktora niti jednom ove godine. Isto tako i s kasko osiguranjem za auto. Može plaćati godinu dana i ne ogrebati auto, ali čim prestane plaćati, može auto zabiti u zid i napraviti štetu od 15 ili 20 tisuća kuna”, kaže.

Nitko ne razmišlja o sigurnosti dok se ne dogodi problem

Na kraju, Kristića smo pitali je li sam ikada nasjeo na neku prevaru ili bio hakiran. “Nisam, ali možda sam imao više sreće nego drugi. Kada vidiš što se događa drugima, gotovo pa ne vjerujem ni majci kada mi pošalje nešto na mail. Čak i njene mailove provjeravam”, našalio se.

No, jedan njegov frend, koji radi u maloj firmi, s manje od 10 zaposlenih, nije imao sreće.

“Ured im je doslovce u bivšem brodskom kontejneru, gdje su ugurali par stolova. To je dokaz koliko su mala tvrtka. U noćnim satima krajem godine, sve im se zakriptiralo. Sva računala su se zaključala, a na njima su se nalazile baze s fiskalnim računima. Bio je kraj godine, fiskalne račune su trebali slati poreznoj, a nisu imali što poslati”, priča Kristić.

‘Neće nas napasti hakeri’

“Kako su oni razmišljali? Mislili su da su oni mali i da im ne treba zaštita. Da su imali barem nekakvo antivirusno rješenje, ne bi imali ove probleme. Čak i najjednostavniji bi ih spasio. Njih nije nitko direktno targetirao, već je netko čačkao po internetu, pronašao da je kod njih neki port otvoren i spojio se. Nisu stigli niti su mogli išta napraviti. Na kraju su sve prijavili poreznoj pa su dobili odgode i ručno unosili račune koje su imali u papiru. Od nekih kupaca su morali i tražiti da im pošalju kopije računa. Izvlačenje iz tih problema trajalo im je više od mjesec dana”, priča Kristić.

“I to je to. Malo zaposlenih, brodski kontejner – neće nas. Neće ako te ne nanjuše, ali eto, baš su njih nanjušili. Ako haker upadne u sto firmi, za otključavanje računala zatraži pola bitcoina i samo deset firmi mu uplati – haker je zaradio pet bitcoina i postao bogat čovjek”, zaključuje Kristić, dodajući da ljudi jednostavno ne razmišljaju o zaštiti dok im se ne dogodi problem, a kada im se dogodi, onda su spremni platiti sve.

---

Sadržaj nastao u suradnji s tvrtkom Combis.