Paweł Wojciechowski
Business Development Manager
Fortinet

Faktycznie mówi się, często że cyberbezpieczeństwo to ciągły wyścig z przestępcami. I nie sposób zapewnić sobie trwałej przewagi. Co więcej, bardzo trudno dotrzymywać im kroku, bo ich techniki nieustannie ewoluują a błędów w oprogramowaniu, które mogą wykorzystać nie brakuje. Joe Robertson przekonuje, że jest o wiele gorzej. Wobec tego, czy w ogóle można przygotować się na atak?

Paweł Wojciechowski: Można się przygotować. OK, można się starać przygotować. Oczywiście, wystarczy, że obrońcy raz się pomylą i staja się ofiarą. Z drugiej strony przestępcy wystarczy, żeby raz przemknął się między cyberzasiekami. Z pewnością dobre przygotowanie na atak jest trudne. Zmienia się spektrum zagrożeń, powierzchnia ataku, zmieniają się aplikacje w firmowych środowiskach. Dlatego wiele dojrzałych, świadomych organizacji przygotowuje się nieustannie, ich strategia cyberbezpieczeństwa ewoluuje, system obronny i procedury są stale doskonalone.

Dobre przygotowanie opiera się właśnie na działaniach w wielu wymiarach. Zaczynamy od narzędzi, bo one niewątpliwie pomagają w ochronie i identyfikacji, a także odpowiadaniu na zagrożenie. Jednak trzeba także działać na poziomie organizacji, procesów oraz ludzi. Kluczem do dobrego przygotowania na atak jest zgranie tych wszystkich elementów.

Technologie cały czas się rozwijają, są wzbogacane o możliwości wynikające z uczenia maszynowego. To jednak wciąż za mało do skutecznej obrony?

Paweł Wojciechowski: Oczywiście, systemy są rozwijane, doskonalone. Sztuczna inteligencja i uczenie maszynowe odgrywają coraz większą rolę. To wszystko zdecydowanie pomaga chronić się przed cyberprzestępcami w tej zmieniającej się nieustannie rzeczywistości. Ważnym elementem jest także wiedza o cyberzagrożeniach. W naszym przypadku wiedzę tę dostarcza FortiGuard Labs. Przetworzone informacje (w formie różnych serwisów) są dostarczane do naszych rozwiązań, dzięki czemu efektywniej chronią przed aktualnymi zagrożeniami, a ryzyko się zmniejsza.

Niemniej to wciąż za mało. Aspekt ludzki jest bardzo ważny. Człowiek to najczęściej najsłabszy punkt całego systemu. Wystarczy jeden błąd użytkownika, kliknięcie w link, w który klikać nie należy. Dlatego warto inwestować w szkolenia, podnoszenie świadomości oraz umiejętności. Wykorzystywane technologii, a może przede wszystkim socjotechniki są dzisiaj na bardzo wysokim poziomie zaawansowania. Mówimy nie tylko o mailach, ale także telefonach.

Zatem jaka powinna być praktyka? Jak powinna wyglądać kompletna architektura bezpieczeństwa, która zapewni maksymalny, możliwy do osiągnięcia poziom ochrony?

Paweł Wojciechowski: Powinna być przede wszystkim spójna. Na rynku dostępnych jest mnóstwo narzędzi i rozwiązań, ale nie wszystkie ze sobą dobrze współpracują. Spójność całego systemu to może nie gwarancja wysokiego poziomu ochrony, bo potrzebna jest jeszcze wiedza, żeby nim odpowiednio zarządzać, jednak z pewnością jest to warunek konieczny i fundament efektywności.

Myślenie o spójności już na samym początku projektowania strategii i systemu cyberbezpieczeństwa, pozwala jednocześnie budować je krok po kroku. Nie trzeba się rzucać na wszystko, co jest dostępne na rynku. Analizujemy ryzyko, określamy nasze potrzeby i adresujemy je po kolei, zgodnie z ustalonymi priorytetami.

Przykładowo nasza koncepcja Fortinet Security Fabric pozwala działać właśnie w taki sposób. Gwarantuje integrację wszystkich elementów, pozwala budować platformę krok po kroku, a przy tym ułatwia zarządzanie umożliwiając zapewnienie w prosty sposób spójnego bezpieczeństwa w skali całego, złożonego firmowego środowiska.

Jednym z kluczowych elementów jest centralna konsola zarządzania, która zapewnia jeden widok na całe bezpieczeństwo. Pozwala jednocześnie na wprowadzanie spójnych polityk i umożliwia takie właśnie reagowanie na zagrożenia.

Dlaczego to jest takie ważne?

Paweł Wojciechowski: Brakuje specjalistów od IT, a w szczególności od cyberbezpieczeństwa. Żeby obecny firmowy zespół IT mógł wykorzystać narzędzia i zapewnić wysoki poziom bezpieczeństwa, platforma musi być spójna. Nie chcę oczywiście powiedzieć, że wszystkie elementy systemu muszą pochodzić od jednego dostawcy, jednak prawdą jest, że takie podejście znacznie ułatwia życie. Moim zdaniem lepiej wybrać taki kompromis, mieć zintegrowany system, niż zarządzać mnóstwem, nawet najlepszych na rynku rozwiązań punktowych. W dzisiejszych czasach wydaje się to zwyczajnie niemożliwe.

Co więcej, przynajmniej nasza platforma, jest otwarta. Udostępniamy API, które pozwalają integrować serwisy innych dostawców. Mamy także wiele gotowych wtyczek do różnych systemów. Nie jest więc tak, że klient jest zamknięty w naszym ekosystemie. Za to otrzymuje jeden spójny obraz bezpieczeństwa środowiska i może w taki spójny sposób działać.

Środowiska są dzisiaj coraz bardziej hybrydowe, rozproszone, część danych i aplikacji znajduje się w lokalnych centrach danych, część w chmurach publicznych. Platforma musi adresować spójnie całe takie środowisko. Zapewniać kompletną widoczność, umożliwiać analizowanie logów, spełnianie regulacji i udostępnianie zasobów, niezależnie od tego czy mają one charakter lokalny, czy znajdują się w chmurze.

Joe Robertson mówił o technologii, jako o sieci bezpieczeństwa, która zabezpiecza ludzi, pracowników przed potknięciem a w konsekwencji upadkiem. Jak to rozumieć?

Paweł Wojciechowski: Pracownicy są zatrudnieni w określonym celu. Każdy z nas ma coś innego do wykonania, inny jest cel naszej pracy. Bezpieczeństwo jest tylko jednym z elementów naszego funkcjonowania w organizacji. Z punktu widzenia pracownika, zawsze ważniejsze będzie zrealizowanie głównego celu. Trzeba to jednak tak zorganizować, żeby w każdej możliwej sytuacji zachowane było bezpieczeństwo. Dlatego trzeba edukować, uświadamiać i włączać bezpieczeństwo w codzienne życie firmy. Wielu organizacjom się to udaje.

Lubię przytaczać przykład firmy, której pracownicy na szkoleniu, już na samym początku powiedzieli prowadzącemu, że tablica jest źle ustawiona, bo blokuje drogę ewakuacyjną. To może się wydawać drobiazgiem, ale takie podejście jest kluczowe, żeby firma była bezpieczna. Jestem przekonany, że Ci pracownicy będą w dużej mierze odporni nawet na najbardziej zaawansowane socjotechniki. Jednak czy nie popełnią błędu? Prawdopodobnie popełnią. Jesteśmy ludźmi.

Dlatego trzeba mieć również narzędzia, które usuną część potencjalnie groźnych sytuacji, a także zadziałają, gdy człowiek się potknie. Dzisiaj o potknięcie bardzo łatwo. Poczta elektroniczna jest jednym z głównych wektorów ataku. Zmieniając w adresie email jedną literę, np. polskie A na literę A z jakimś niemal niewidocznym dodatkowym elementem z innego alfabetu, naprawdę łatwo dać się nabrać. Nawet specjaliście. Wtedy powinna zadziałać technologia. Dokładnie tak, jak działa siatka bezpieczeństwa chroniąca przed upadkiem z wysokości.

Peter Wieschollek

Regional Sales Director DACH & Poland
Fidelis Cybersecurity

Czy ransomware to obecnie największe cyberzagrożenie?

Peter Wieschollek: Jeszcze dwa lata temu rasomware nie był najpoważniejszym zagrożeniem. Jednak sytuacja się zmieniła. Skala zjawiska rosła w zastraszającym tempie. Dzisiaj można powiedzieć, że tak, to jest największe cyberzagrożenie. Wystarczy spojrzeć na kryptowaluty, które są wykorzystywane do wypłacania okupów.

Nikt, ani małe firmy, ani duże, żadna branża nie może się czuć bezpieczna. Oczywiście największe spustoszenie ransomware sieje wśród organizacji, które mają najmniejsze budżety na cyberbezpieczeństwo. Zwłaszcza instytucje publiczne. Może nie mówi się o tym otwarcie, ale tak się dzieje, na świecie i w Polsce.

Jak się zatem przed nim bronić?

Peter Wieschollek: Reakcją wielu ludzi, nawet specjalistów od bezpieczeństwa, jest poszukiwanie nowego rozwiązania na urządzeniach użytkowników końcowych. Zastanawiają się czy tego problemu nie uda się rozwiązać np. jakimś nowym oprogramowaniem antywirusowym. Niemniej to jest ślepa uliczka. Endpointy zawsze będą atakowane. Stanowią one najsłabsze ogniwo całego systemu. To co musimy chronić, to przede wszystkim najcenniejsze informacje przechowywane w bazach danych.

Czas upływający od momentu przeprowadzenia ataku do momentu, w którym ransomware się ujawnia, czyli do chwili, w której organizacja orientuje się, że ma zaszyfrowane komputery i nic nie może już zrobić, nie jest liczony w sekundach czy minutach. To nie są nawet dni.

To zwykle proces, który jak pokazują statystyki, trwa miesiące. Najpierw prowadzone są przygotowania, rekonesanse. Przestępcy opracowują optymalna strategię działania. Ustalają jak zaszyfrować dane i jak zażądać okupu.

Właśnie dobre zrozumienie na czym polega atak ransomware, jakie są jego fazy, pozwala lepiej się przed nim zabezpieczyć. Jeśli wiemy o co chodzi, to możemy temu przeciwdziałać zawczasu, rozpoznawać, że ktoś bierze nas na cel.

Czy są narzędzia, które w tym pomagają?

Peter Wieschollek: Jedną z technologii, która w tym pomaga jest automatyzacja, często mylona ze sztuczną inteligencją. Rozwiązania, jakich powinni szukać klienci to przede wszystkim oprogramowanie klasy xNDR. Zresztą nie jest to tylko nasza rekomendacja. Jako rozwiązanie, które jest kluczowe w walce z tego typu zagrożeniami, promuje je Gartner i ESG.

Fidelis pracował nad rozwojem takich rozwiązań ponad 20 lat. Mamy ogromna satysfakcję, że dzisiaj ich znaczenie i wartość dostrzegamy nie tylko my, ale także analitycy i przede wszystkim klienci.

Co wyróżnia ofertę Fidelis na rynku?

Peter Wieschollek: Wyróżnia nas przede wszystkim holistyczne podejście, zbieranie informacji pochodzących z urządzeń końcowych niezależnie od tego, gdzie się one znajdują. Wyróżnia nas jednocześnie podejście do kwestii deception. Oferujemy zautomatyzowany honeypot, czego nie oferuje nikt inny na rynku.

Niezwykle istotne jest i podkreślamy to od samego początku istnienia naszej firmy jest to, że zawsze patrzymy na informacje w kontekście, analizujemy treść każdej informacji a odbywa się to w czasie rzeczywistym.

Czego możemy się spodziewać w najbliższych latach w kontekście cyberzagrożeń?

Peter Wieschollek: Prognoza nie jest optymistyczna. Jeszcze dekadę temu najbardziej wyrafinowane zagrożenia były zmartwienie wyłącznie bardzo dużych organizacji i państw. Mówię o zagrożeniach skoncentrowanych wyłącznie na wybranych celach, dopasowanych do profilu organizacji, czekających w ukryciu przez długi okres, maskujących się do czasu, kiedy zapada w końcu decyzja o ich użyciu. Kiedy zostaną uruchomione, wtedy jest naprawdę bardzo źle. Nie ma już przed nimi obrony.

Dzisiaj można powiedzieć, że wszystko to zaczyna być realizowane na masową skalę. I problem ten będzie się pogłębiał. Mamy pandemię zagrożeń zero day i nie wszyscy potrafią i są w stanie sobie z nimi poradzić. Spodziewam się, że sytuacja będzie się pograszać.

CISO, ale przede wszystkim właściciele biznesowi, musza zrozumieć, że bez odpowiedniego poziomu bezpieczeństwa, nie będą w stanie poradzić sobie z zagrożeniami, które będą się intensyfikować.

A jak będą zmieniać się rozwiązania IT security?

Peter Wieschollek: Przede wszystkim muszą być w coraz większym stopniu zautomatyzowane. To jest światełko w tunelu. Jeszcze raz podkreślę: nie mówią o sztucznej inteligencji. Chodzi o automatyzowanie procesów, a nie o oczekiwanie, że maszyna będzie za nas decydować co ma zrobić. To jest dzisiaj nierealne. Skąd maszyna miałaby wiedzieć, że mamy problem zero day, że coś jest luką bezpieczeństwa?

Podobnie zresztą jest po drugiej stronie – automatyzacja wykorzystywana jest także przez przestępców, którzy używają jej na pierwszych etapach swoich działań. Przy pomocy automatyzacji zdobywają przyczółki, ale z chwilą ich zdobycia, działania zaczyna prowadzić człowiek. To ludzie, a nie automaty odpowiadają za rozprzestrzenienie się zagrożenia wewnątrz sieci ofiary.

Na koniec warto dodać, że nie możemy wychodzić z założenia, że kupimy magiczna skrzynkę, która rozwiąże nasze problemy. Bezpieczeństwo to proces i nie możemy o tym zapominać. Jednym z warunków sukcesu jest zastawianie pułapek i zwodzenie przestępców. Musimy tak budować nasze środowiska, żeby przestępcy kierowali się w stronę przeciwną do tej, gdzie znajdują się nasze kluczowe informacje. Jeśli to się uda, to mamy połowę sukcesu.

Bartosz Kamiński
Regional Director DACH, EE
IronNet Cybersecurity

Na czym polega koncepcja Collective Defense i jakie korzyści zapewnia uczestnikom społeczności?

Bartosz Kamiński: Jeśli spojrzymy na minione dwie dekady rozwoju branży cyberbezpieczeństwa, a w konsekwencji wypracowane sposoby na realizację programów cybersecurity w poszczególnych organizacjach, to możemy dostrzec zasadę, że każdy chroni się samodzielnie. Najczęściej przedsiębiorstwa i instytucje opierają się na danych pochodzących tylko z ich własnych systemów - NGFW, EDR, SIEM i innych.

Koncepcja "Collective Defense" to pierwsza na świecie platforma cyberbezpieczeństwa, która przełamuje schemat działania w izolacji. Poprzez współdzielenie w czasie rzeczywistym informacji na temat bieżących ataków wprowadza możliwość anonimowej współpracy.

W dużym uproszczeniu możemy mówić o wykorzystaniu sztucznej inteligencji do wykrywania nieznanych i wyrafinowanych ataków, a następnie anonimowego współdzielenia wyników z innymi uczestnikami systemu. W ten sposób tworzymy system wczesnego ostrzeganie o cyberatakach, który precyzyjnie koreluje incydenty w skali całej społeczności.

Co to oznacza w praktyce?

Bartosz Kamiński: Ostatecznie oznacza to zmianę podejścia z reaktywnego na proaktywne. Uczestnicy mogą przygotować się na ataki, które wystąpiły już np. w ich sektorze, ale jeszcze nie u nich. Poprzez automatyczną korelację incydentów i wiedzę pozostałych uczestników możemy priorytetyzować prace naszego ośrodka SOC.

Bardzo istotnym elementem jest również zapewnienie współpracy sektora publicznego z prywatnym i wspólne zaangażowanie CERT'ów, organizacji rządowych czy firm podlegających ustawie o Krajowym Systemie Cyberbezpieczeństwa. Zresztą nowelizacja ustawy wprowadza elementy współpracy i tworzenie sektorowych ISAC'ów wspierających współpracę.

Jak można zacząć współpracować w ramach community?

Bartosz Kamiński: Każda organizacja, która korzysta z naszej platformy NDR IronDefense może dobrowolnie dołączyć do "community". W zależności od preferencji, czyli np.: geolokalizacji, reprezentowanego sektora czy współpracy z określonym łańcuchem dostawców, można dobrowolnie dołączyć do społeczności IronDome i korzystać w czasie rzeczywistym z informacji o bieżących atakach. W tej chwili korzystanie z wiedzy o atakach pochodzących od innych uczestników nie jest możliwe bez platformy NDR IronNet.

Czy można za to korzystać z samego systemu NDR IronNet bez współdzielenia danych?

Bartosz Kamiński: Oczywiście, istnieje taka możliwość. Przy takim wdrożeniu wykorzystujemy wszystkie mechanizmy sztucznej inteligencji wspierane przez system ekspertowy i działamy jako klasyczny NDR. Współdzielenie informacji o zidentyfikowanych IoB, czyli Indicator of Behaviour jest całkowicie dobrowolne i to klient o tym decyduje. Wpływ na decyzję mają najczęściej takie aspekty jak wewnętrzne i zewnętrzne regulacje dot. przetwarzania danych w chmurze, dojrzałość programu cyberbezpieczeństwa oraz rola danej instytucji w zapewnieniu cyberodporności dla całego sektora czy państwa.

Jak NDR IronNet współpracuje z istniejącymi systemami cyberbezpieczeństwa w organizacji?

Bartosz Kamiński: Zacznijmy może od tego, że obecnie jednym z największych wyzwań dla wielu organizacji z którymi współpracujemy, jest mnogość technologii i platform cyberbezpieczeństwa, które działają niezależnie oraz stosunkowo często pokrywają się funkcjonalnościami. Nikt celowo nie dąży do takiej sytuacji. W głównej mierze wynika to z postępu cyfryzacji, decyzji podejmowanych w przeszłości oraz praktyk licencyjnych dostawców technologii cybrebzpieczeństwa, którzu wymuszają na klientach zakup niepotrzebnych modułów.

Najczęstszym rozwiązaniem tego problemu jest redukcja platform poprzez konsolidację i wybór technologii jednego dostawcy. Oczywiście, jak wszystko, ma to swoje wady i zalety. Innym rozwiązaniem mogą być systemy SOAR wspomagające automatyzację i zapewniające współpracę poszczególnych platform cyberbezpieczeństwa poprzez natywne integracje.

Platforma NDR IronNet wykorzystuje integracje z wiodącymi dostawcami rozwiązań SIEM, takimi jak Splunk, QRadar, Microsoft Azure Sentinel, EDR m.in. Crowdstrike, SOAR - Cortex XSOAR, Splunk Phantom, Swimlane a także NGFW - PaloAlto.

Czym wyróżnia się system NDR oferowany przez IronNet?

Bartosz Kamiński: Zapewniamy kilka istotnych korzyści. Zacząłbym od przewrotnego pytania: po co komu zwykły NDR, skoro może korzystać z Collective Defense? W istocie rzeczy "kolektywna ochrona" dzięki uczestnicwtu w społeczności całkowicie zmienia zasady gry z cyberprzestępcami. Przestajemy działać w izolacji bez możliwości obserwowania szerszego kontekstu ataku oraz bieżących zagrożeń. Otwieramy się za to na crowdsourcing w cyberbezpieczeństwie. Multiplikujemy możliwości naszych zespołów i zasobów poprzez anonimową współpracę. Na świecie jest tylko jedna firma która realizuje tę misję. Jest nią właśnie IronNet.

Drugim wyróżnikiem jest światowej klasy analityka behawioralna wykorzystującą mechanizmy sztucznej inteligencji, w tym sztuczne sieci neuronowe, nadzorowane i nienadzorowane uczenie maszynowe. Nasz silnik analityczny został opracowany przez byłych ofensywnych i defensywnych operatorów NSA i U.S. Cyber Command oraz matematyków pracujących w obszarze cyberbezpieczeństwa dla amerykańskich organizacji rządowych. To gigantyczna przewaga, którą posiadamy w wykrywaniu zaawansowanych ataków typu nation-state oraz wieloetapowych ataków na łańcuch dostaw.

Wreszcie równie istotne jest jest zastosowanie systemu ekspertowego którego zadaniem jest wzbogacanie o zewnętrzne dane - pochodzące np. od DomainTools, Cisco Umbrella, Majestic Million - wyników dla wykrytych zdarzeń w celu automatyzacji triage'u oraz redukcji false-positive'ów.