1. Zakaj je Locked Shields ključna vaja
Locked Shields, ki jo od leta 2010 organizira Natov Center odličnosti za kibernetsko obrambo (CCDCOE) v Talinu, velja za največjo in najbolj kompleksno “live-fire” kibernetsko vajo na svetu. Letošnja izvedba je združila več kot 4 000 strokovnjakov iz 41 držav, razdeljenih v 17 modrih (obrambnih) ekip, ki so v realnem času branile kritično IT in OT infrastrukturo pred orkestriranimi napadi.
Vaja 2025 je prinesla pomembne novosti: ločen “cloud” segment, vaje s kvantnim računalništvom, ter prepletene izzive z umetno inteligenco, ki so se odražali skozi tehnične in strateške naloge. Hitrost prilagajanja in sodelovanje vseh disciplin – od inženirjev omrežij do pravnih in PR svetovalcev – sta bila ključna dejavnika uspeha.
V sami vaji je bilo uporabljeno več kot 40.000 agentov, ki so se povezovali prek lastno razvitega C2 orodja, ter približno 3.000 agentov prek orodja Cobalt Strike.
To kaže na izredno obsežno operacijo – lastno C2 infrastrukturo so uporabili za množično upravljanje kompromitiranih naprav, medtem ko je bil Cobalt Strike najverjetneje uporabljen za bolj usmerjene napade, gibanje po omrežju in napredno izkoriščanje ranljivosti.
2. Vloga in prispevek ekipe CYBER-SEC
Ključne ugotovitve in poslovna dodana vrednost.
| Izziv na Windows klientih | Naučena lekcija | Kaj prenašamo k naročnikom |
|---|---|---|
| 1. Skrite okužbe, ki trajajo dolgo časa (»dwell-time«) | Zaznali smo, da lahko napredna orodja odkrijejo tudi zelo majhne spremembe v sistemu. | V varnostne produkte vključujemo spremljanje sprememb datotek (FIM) in avtomatsko preverjanje sumljivih dogodkov. |
| 2. Ransomware napadi z uporabo sistemskih orodij | Napadalci uporabljajo PowerShell in druge sistemske funkcije za šifriranje podatkov. | Implementiramo ETW lovilnike in napredna ASR-pravila kot dodatni varnostni sloj za okolja z višjim tveganjem. |
| 3. Hitro širjenje C2 nadzornih strežnikov | Z uporabo naprednih orodij in Windows Firewall logi, lahko odkrijemo škodljive povezave | Pomagamo strankam pri postavitvi sistemov za spremljanje izhodnega prometa in jih učimo, kako take napade odkriti. |
| 4. Pomembnost deljenja informacij o napadih (IOC) | Centralno skladišče IoC-jev med modrimi ekipami je dodatno pripomoglo k hitrost blokad najdenih zlonamernih C2 strežnikov | V praksi uvajamo automatizirano IOC-sinhronizacijo (MISP ↔ SIEM) |
3. Zahvala in priznanje
Udeležba na Locked Shields 2025 je potrdila, da ekipa CYBER-SEC svojo tehnično odličnost združuje s strateškim razumevanjem sodobnih groženj. Zahvaljujemo se organizatorju NATO CCDCOE in vsem sodelujočim državam za neprecenljivo priložnost. Posebna zahvala gre tudi slovenskemu predstavništvu pri CCDCOE za podporo, ki nam je omogočila, da znanje, pridobljeno v Talinu, še naprej prenašamo na naše naročnike in širšo skupnost.
