Poďakovanie za spätnú väzbu a novinky v službe Achilles

Leto je v plnom prúde a to znamená aj čas, kedy je možné dohnať zanedbané. V prvom štvrťroku 2026 realizovala VJ CSIRT prieskum spokojnosti so službou Achilles. Všetkým organizáciám, ktoré sa aktívne zapojili a poskytli spätnú väzbu k službe, a aj tým, ktorý ju poskytujú pravidelne, patrí veľké ĎAKUJEM. Vaše podnety priebežne konzultujeme a vybrané sa snažíme zapracovať v rámci ďalšieho rozvoja služby.

Služba Achilles predstavuje pre organizácie verejnej správy VJ CSIRT bezodplatnú službu centralizovaného riadenia zraniteľností. Ako malé poďakovanie od nás by sme sa chceli s niektorými výsledkami prieskumu podeliť. Čo bola aj jedna z požiadaviek od Vás z dotazníka, aby sme naše vlastné zistenia publikovali a komunikovali častejšie.

Službu Achilla využívajú organizácie registrované v systéme Vládny informačný systém kybernetickej bezpečnosti (VISKB) úplne bezodplatne a bez dodatočných zmlúv (keďže nás k týmto krokom oprávňuje Zákon 95/2019 Z. z.). Systém je v súčasnosti zložený z troch hlavných modulov:

  1. Modul hodnotenia zraniteľností z pohľadu útočníka z verejného internetu.
  2. Modul detekcie únikov prihlasovacích údajov z vybraných zdrojov.
  3. Modul detekcie webových technológií informačných systémoch verejnej správy a webových sídlach organizácií, Domino.

Obrázok 1: Top 20 identifikovaných webových technológií, aplikácií a služieb modulom Domino

Výsledky dotazníka

Ako prvé zistenie uvádzame, že pre 51% zúčastnených predstavuje systém Achilles jediný nástroj identifikácie zraniteľností v infraštruktúre dostupnej z verejného internetu. Toto zistenie potvrdzuje, že služba Achilles zohráva dôležitú úlohu v zabezpečení kybernetickej odolnosti verejnej správy, najmä pre organizácie, ktoré nemajú k dispozícii vlastné zdroje na manažment zraniteľností. Zároveň 49% organizácií využíva ďalšie nástroje, čo je veľmi vítané, keďže služba Achilles slúži na centralizované riadenie zraniteľností z pohľadu útočníka z verejného internetu a nie je náhradou plnohodnotného procesu a systému riadenia zraniteľností organizácie.

V systéme Achilles 2.0 pribudla systematická možnosť evidencie falošne pozitívneho nálezu a preto, prosím, neváhajte ako odpoveď na varovania nahlásiť aj falošne pozitívne nálezy. Stačí nastaviť predmet mailu na: ACHILLES – FALSE POSITIVE. Je potrebné uviesť aktívumzraniteľnosť aj s odôvodnením, prečo ide o falošne pozitívny nález.

V prieskume sme tiež zisťovali výskyt anomálií počas procesu skenovania. Hoci sa podľa výsledkov prieskumu anomálie objavili len u 4% zúčastnených, akýkoľvek výskyt pre nás predstavuje potrebu upraviť skenovacie politiky a prispôsobiť procesy pre všetky typy prostredí v rámci konštituencie. Ako postupovať pri nahlásení anomálie alebo podozrenia na správanie mimo deklarovaných funkcionalít systému sa dočítate v prepracovanej sekcii často kladených otázok, Achilles FAQ.

Obrázok 2: Príklad zaznamenaných únikov prihlasovacích údajov

Pokiaľ ide o informovanosť o aktuálnych kampaniach aktérov hrozieb cielených na informačné technológie verejnej správy (ITVS), ktoré VJ CSIRT zdieľa prostredníctvom viacerých informačných kanálov, tak z prieskumu vyplýva, že najvyužívanejším kanálom sú upozornenia zasielané mailom (až 56% respondentov). Pracujeme na tom, aby boli tieto varovania viac adresné, keďže v súčasnosti niektoré zraniteľnosti a kampane posielame všetkým adresátom. V tomto nám viete pomôcť najmä dvoma spôsobmi. Aktualizáciou aktív v systéme VISKB a zaslaním zoznamu informačných systémov verejnej správy (ISVS) alebo webových domén (zatiaľ) mailom na doplnenie do modulu Domino. Vybraným ministerstvám a iným ústredným orgánom verejnej správy sme v rámci kapacít dokázali priradiť niektoré ISVS (podľa MetaIS), ktoré nájdete v sekcii Domino v rámci mesačných reportov, čomu sa budeme venovať v ďalšom článku.

Za zmienku stojí aj spätná väzba k formátu výstupov skenovania. Reporty boli pôvodne poskytované primárne vo formáte PDF, čo pre viaceré subjekty neumožňovalo dodatočné strojové spracovanie zasielaných správ o zraniteľnostiach. Na základe Vašich požiadaviek výsledky skenovania poskytujeme v kombinácii formátov CSV a PDF, s možnosťou doplnenia o formát HTML. Ak by ste dostávali reporty zraniteľností len vo formáte PDF a mali by ste záujem aj o ďalšie formáty (CSV alebo HTML), kontaktujte nás, prosím, mailom.

Prieskum tiež ukázal, že 39% respondentov aktívne využíva službu detekcie úniku prihlasovacích údajov. Novinkou v službe Achilles vo verzii 2.0 je integrácia viacerých zdrojov únikov prihlasovacích údajov a to pre domény uvedené v kontaktných údajoch vo VISKB v rámci služieb Have I Been Pwned, Recorded Future, SOCRadar a DeHashed. Informácie o identifikovaných únikoch prihlasovacích údajov sú odosielané priebežne. Pri prvotnom zaslaní údajov, objavení nového úniku alebo pridaní novej domény organizácie Vám môže byť zaslané veľké množstvo aj starších únikov. Modulu detekcie úniku prihlasovacích údajov sa budeme venovať v ďalšom článku.

Zároveň upozorňujeme na možnosť využívania modulu Domino, ktorý zabezpečuje monitoring webových technológií ISVS (bližšie informácie v sekcii Domino). Až 61% zúčastnených uviedlo, že
o existencii tohto modulu nemá vedomosť, čo vnímame ako nedostatočnú komunikáciu o možnostiach našich služieb. Aj preto sme prepracovali základné informácie o službe Achilles (texty v PDF a na webe sú totožné, aby ste si nemuseli sťahovať PDF dokumenty na čítanie, ale otvorili web ako v 21. storočí) a prišli s katalógom služieb VJ CSIRT. Opisu modulu Domino sa budeme venovať v ďalšom článku.

Z dotazníka ďalej vyplýva, že až 56% zúčastnených si v rámci riadenia zraniteľností vytvára vlastné štatistiky a porovnáva výsledky medzi jednotlivými obdobiami. Toto je funkcionalita, ktorú služba Achilles v súčasnosti subjektom neposkytuje. Účastníci uviedli, že by prioritne uvítali rozšírenie mesačných správ o takýto prehľad. Túto požiadavku registrujeme a zaraďujeme ju do riešenia pri vývoji ďalšej verzie služby Achilles.

Novinky a kritika

Pokiaľ ide o záujem o rozšírenie funkcionality služby Achilles, účastníci sa vyjadrili nasledovne:

  1. Za najprioritnejšie rozšírenie respondenti považujú doplnenie reportov o porovnanie výsledkov s predchádzajúcimi obdobiami. Toto je funkcionalita, na ktorej plánujeme pracovať v budúcnosti.
  2. Na ďalších priečkach sa umiestnilo odhaľovanie webových zraniteľností. Pre odhalenie čo najväčšieho počtu zraniteľností pre webové aplikácie, odporúčame zatiaľ využiť službu (nielen) penetračného testovania, Ares, ktorej podmienkou je ale uzavretie dohody, a je takisto poskytovaná bezodplatne.
  3. A takisto aj uvedenie zoznamu použitých technológií na webových sídlach. Túto možnosť už realizujeme v rámci modulu Domino.
  4. Skenovanie interných aktív realizujeme výhradne pre vybrané aktíva organizácií zapojených do Systému včasného varovania a to prostredníctvom agentov s funkcionalitou riadenia zraniteľností.

V rámci voľných odpovedí účastníci najčastejšie kritizovali zastaraný portál VISKB. Náš tím usilovne pracuje na spustení novej verzie portálu VISKB 2.0 a migrácii údajov z pôvodného VISKB. Viacerí respondenti zároveň upozornili na potrebu lepšej podpory služby zo strany VJ CSIRT. V tomto prípade narážame na kapacitné možnosti, neustále sa meniace hrozby, veľké množstvo subjektov – je Vás viac ako 8000 – a v neposlednom rade na Vaše neustále požiadavky, ktoré samozrejme vítame. Ďalšími nedostatkami je slabá komunikácia zmien v systéme Achilles a jeho možností, lepšie cielenie varovaníposkytovanie odborných seminárov alebo materiálov zameraných na lepšiu prácu s výstupmi služby Achilles.

Všetky tieto nedostatky evidujeme a postupne pracujeme na zlepšeniach. Už teraz ale môžete využiť služby Výcvikového a školiaceho strediska (Kyberaréna) alebo rôznych metodík, napríklad tých určených pre hardening (NGINX, Apache, WordPress, Unattended Upgrades, Application Whitelisting, prípadne pre ďalšie technológie môžete využiť tzv. CIS Benchmarks) alebo napríklad aj o rizikách nahrávania phishingových mailov do otvorených služieb, kde si ich môžu prehliadať aj útočníci. Odporúčame využívať napríklad službu Afrodita MISP, kde je možné si overiť reputáciu domény a dokonca aj takúto škodlivú doménu nahlásiť.

Záver

Na záver uvádzame, že celkové hodnotenie služby Achilles na škále od 1 do 10 (kde 1 vyjadruje nespokojnosť a 10 plnú spokojnosť bez potreby zlepšení) dosiahlo nadpriemerný výsledok 8,47 (v rámci metodiky Net Promoter Score ide o výsledok 51). Toto hodnotenie vnímame ako záväzok pokračovať v skvalitňovaní poskytovanej služby s cieľom zvýšiť kybernetickú odolnosť verejnej správy SR.

Do služby Achilles sa môžete pripojiť už dnes. Stojí Vás len niečo málo času na aktualizáciu kontaktov a aktív a zároveň máte prehľad o bezpečnosti na perimetri svojej organizácie a my máme prehľad o tom, kde je potrebné pomôcť, podľa princípu „poznaj svojho zákazníka“ (angl. Know Your Customer, KYC). O ďalších službách VJ CSIRT sa dočítate v rámci katalógu služieb VJ CSIRT. Pre viac informácií si môžete pozrieť aj anglickú prezentáciu o službách Achilles (Slovakian Lessons On Proactive Cybersecurity & Vuln Disclosure)Afrodita (Building Trusted CTI for the Public Sector at CSIRT Slovakia).