Jakie są najnowsze trendy w dziedzinie cyberbezpieczeństwa, które zauważyliście w ostatnich latach?
W ostatnich latach kładzie się szczególny nacisk na prewencję związaną z zachowaniem użytkowników końcowych. Kiedyś nie było to tak oczywiste jak teraz, ale producenci zrozumieli, jak wiele incydentów bezpieczeństwa są w stanie wywołać nieroztropne i nieumyślne zachowania ludzkie. Dla kogo, jak nie dla człowieka i jego nieroztropnej natury powstały takie mechanizmy, jak uwierzytelnianie wieloskładnikowe (2FA), sprzętowe klucze uwierzytelniające, oraz idea modelu “Zero Trust”? Dlaczego najważniejsi gracze oferujący rozwiązania przechowywania danych w chmurze robią wszystko, by dało się cofnąć nawet najbardziej złożone próby usunięcia lub modyfikacji plików przechowywanych plików? Dlaczego włącza się i doskonali analitykę AI w celu wychwytywania treści phishingowych w mailach? Wszystko to jest właśnie odpowiedzią na omylną, ludzką naturę, zdolną jednym niewinnym zaniedbaniem spowodować katastrofalny incydent bezpieczeństwa na wielką skalę.
Jakie rodzaje ataków cybernetycznych są obecnie najbardziej powszechne i jakie działania mogą podejmować firmy, aby się przed nimi bronić?
W dobie niezwykle już skutecznie zaimplementowanych rozwiązań sprzętowych i softwarowych czuwających nad bezpieczeństwem naszych zasobów, szybciej (a co za tym idzie: taniej) jest spróbować “złamać” człowieka: przechwycić jego hasło, ukraść jego sprzęt i wykorzystać go do swoich celów czy też zwyczajnie przekonać go, żeby przekazał nam te informacje, na których nam zależy. Aby nas przed tym chronić, producenci prześcigają się w udoskonalaniu mechanizmów 2FA, zaprzęgają do pracy analitykę dostarczanych nam treści wspomaganą sztuczną inteligencją czy implementują szyfrowane odpowiedniki nieszyfrowanych protokołów.
W jaki sposób małe i średnie przedsiębiorstwa mogą skutecznie zabezpieczyć swoje dane, mając ograniczony budżet?
Współcześnie rozsądnym minimum jest posiadanie ochrony firewallem klasy Next-Generation na styku sieci lokalnej z Internetem oraz prawidłowy design samej sieci, który obejmie m.in. segmentację jej obszarów i opiera na tym mechanizmy ochrony. Urządzenia te są powszechnie stosowane od lat i stały się już stosunkowo tanie w relacji do skuteczności ochrony, jaką oferują. Aby zapewnić prywatność komunikacji, zarówno w obrębie sieci lokalnej, jak i komunikacji z Internetem, trzeba zwrócić uwagę, by stosować szyfrowanie wszędzie tam, gdzie się da. Brzmi płytko i banalnie? Dlaczego zatem tak wiele (nawet dużych i zasobnych!) przedsiębiorstw nadal nie szyfruje komunikacji DNS? Jej przechwycenie jest stosunkowo proste i stanowi skarbnicę wiedzy OSINT-owej dla potencjalnego intruza oraz może być wektorem ataku typu DNS spoofing. W samej sieci lokalnej zaś, należy zadbać o uwierzytelnianie sprzętu i osób, które chcą się podłączyć. Nie wpuszczamy byle kogo do swojego domu, prawda? Zawsze sprawdzamy, kto stoi za drzwiami. Tymczasem w sieci brakuje nam tej podstawowej ostrożności. Implementacja systemu klasy Network Access Control (NAC) skutecznie rozwiązuje ten problem. Podsumowując: ochrona styku sieci lokalnej z Internetem urządzeniem NGFW, szyfrowanie komunikacji (warto przy okazji zadbać o implementację PKI – to często nic nie kosztuje!) oraz system klasy NAC to rozsądne i relatywnie niedrogie minimum dla sektora MSP.
Jakie są najważniejsze kroki, które organizacje powinny podjąć w odpowiedzi na naruszenie bezpieczeństwa?
Jest to szereg działań, w mojej opinii równoważnych:
- Analiza incydentu połączona z audytem infrastruktury i systemów.
- Pełna współpraca z organami ścigania i UODO, jeżeli zachodzi taka konieczność.
- Zadbanie o transparentność działań. Jeżeli incydent bezpieczeństwa oznacza naruszenie danych wrażliwych osób i/lub podmiotów, muszą one o tym bezzwłocznie się dowiedzieć i powinny być na bieżąco informowane o sytuacji. Tutaj oprócz dania szansy na indywidualne reakcje obronne tym podmiotom, zyskujemy pozytywnie na swoim wizerunku, nadszarpniętym przecież przez sam fakt zaistnienia incydentu.
- Wdrożenie planu naprawczego na podstawie przeprowadzonego audytu lub śledztwa.
Pamiętajmy jednak, że prewencja i profilaktyka jest najlepsza. Nie dbajmy o stan naszych zabezpieczeń po incydencie – róbmy to już przed! Przeprowadzajmy audyty bezpieczeństwa, szkolmy kadrę, dbajmy o stan zabezpieczeń naszej infrastruktury i systemów. W najgorszym wypadku nikt nie zarzuci nam zaniedbań.
Jakie technologie i narzędzia oferujecie klientom, aby chronić ich sieci i dane?
Przekrój jest duży i jesteśmy w stanie zaadresować potrzeby nawet najbardziej wymagających klientów. Począwszy od sprzętu i oprogramowania służącemu ochronie sieci przewodowej, bezprzewodowej i urządzeń końcowych, czyli firewallom klasy Next-Generation, oprogramowaniu XDR czy MDM, poprzez systemy monitoringu takie jak ASM, zdolne do rozpoznania incydentów bezpieczeństwa w oparciu o zasoby Internetu czy nawet tzw. “darknetu”, systemy SIEM odpowiedzialne za monitoring sieci lokalnej, po rozwiązania do ochrony danych, obejmujące ochronę poczty e-mail, DLP (systemy wykrywające wycieki danych) czy zróżnicowane systemy backupowe. Wysoka dostępność to także element bezpiecznej infrastruktury, staramy się więc dostarczać rozwiązania redundantne, klastrowalne, zapewniające zachowanie ciągłości działania nawet w sytuacji awarii pojedynczego urządzenia – czy to serwera, czy innego, istotnego urządzenia lub systemu. Oprócz tego, dysponujemy doświadczoną kadrą inżynierską, zdolną dobrać odpowiednie rozwiązania do danej infrastruktury a także wdrożyć je, uruchomić i zapewnić ich wsparcie. Inną opcją są także usług consultingowe, na które składają się testy penetracyjne, audyty infrastrukturalne i bezpieczeństwa wraz z usługami wdrożenia wymaganych zmian oraz szkolenia dla kadry inżynierskiej czy użytkowników końcowych.
Jakie są najczęstsze błędy popełniane przez firmy w kontekście cyberbezpieczeństwa?
Najczęstszym błędem są nadmierne i nielogiczne oszczędności. Pomyślmy o infrastrukturze IT jako o samochodzie. Istoty jego stosowania nie trzeba nikomu tłumaczyć: zapewnia on skuteczne przemieszczanie się nam, naszej rodzinie (np. rodzinne kombi), czy prowadzenie biznesu poprzez na przykład transport towarów (bus lub ciężarówka). Podobnie infrastruktura IT – powinna być dobrana do rodzaju wykonywanej działalności. I tak, jak absurdalnym wydaje się zakup małego auta miejskiego do przewozu wyładowanych po brzegi palet z towarem, tak nie powinno wybierać się tanich, budżetowych rozwiązań do użytku domowego do prowadzenia rozległego biznesu, który wymaga wydajnego, bezpiecznego i sprawnego działania w warunkach codziennej eksploatacji. Drugą, równie istotną kwestią jest ubezpieczenie. Czymś naturalnym i zrozumiałym jest dla nas zakup ubezpieczenia OC czy AC na samochód oraz wyposażenie go w alarm czy inne blokady. Okazuje się jednak, że kwestia zakupu ubezpieczenia infrastruktury IT i jej zawartości (m.in. przetwarzanych przez nią danych) wcale nie jest taka oczywista. Często sprzęt i systemy IT w firmach są, często bardzo drogie i przetwarzające bezcenne z punktu widzenia biznesu dane, ale tymczasem można do nich się dostać jak przez otwarte drzwi. Zamiast kluczyka, immobilisera i alarmu czyli w świecie IT systemów aktywnej ochrony takich jak NAC, XDR, NGFW, etc., mamy po prostu dostęp do uruchomionego auta. Nic, tylko odjechać w siną dal. Nic, tylko przyjść, zabrać sobie dane, dokonać sabotażu (np. wyłączenia) takiej infrastruktury i… odejść niezauważonym w siną dal.
W jaki sposób edukacja pracowników wpływa na ogólny poziom bezpieczeństwa w organizacji?
Kluczem jest świadomość. Jako dorośli, często nieco dziwimy się naszym dzieciom, że nie rozumieją tak podstawowej rzeczy, jak to, że nie należy: bawić zapałkami w domu, wychylać się przez barierkę na balkonie, czy rzucać piłką w kierunku akwarium z rybkami. Dzieciom brakuje jeszcze świadomości potencjalnych konsekwencji, jakich skutkiem mogą być te czyny. Brutalna prawda jest taka, że nie inaczej jest z dorosłymi. Nikt nie rodzi się ekspertem w dziedzinie cyberbezpieczeństwa i stąd wielu użytkowników systemów IT, np. kadra odpowiedzialna za finanse (księgowi, prokurenci, etc.), wymaga tej samej ścieżki edukacji w zakresie bezpieczeństwa i zagrożeń, co dzieci. Specjaliści od finansów, mimo iż są fachowcami w swojej dziedzinie, bardzo często nie zdają sobie sprawy, na jak potężne straty pieniężne i wizerunkowe może narazić ich nieostrożność. Brak wrażliwości na treści phishingowe, czy to w mailach, czy na stronach internetowych może spowodować wykonanie przelewu czy podanie wrażliwych danych sabotażyście. Niestosowanie się do wykorzystywania bezpiecznych mechanizmów uwierzytelniania, takich jak złożone i unikalne hasła w zestawieniu z drugim czynnikiem logowania, prędzej czy później doprowadzi do utraty dostępu do jakiegoś kluczowego systemu i co gorsza – przekazanie go w ręce przestępcy. Tego typu (często trywialnych i dziecinnych!) błędów można łatwo uniknąć, zwiększając świadomość istnienia tych zagrożeń poprzez szkolenia.
Czy możecie podać przykłady realnych incydentów bezpieczeństwa, z którymi mieliście do czynienia i jak sobie z nimi poradziliście?
Spotykamy się z nimi bardzo często w pracy z naszymi klientami. Najczęstszym problemem jest nadmierna eskalacja uprawnień. Oznacza to tyle, że użytkownicy końcowi mają zbyt dużą swobodę w działaniu. Najczęściej posiadanie uprawnień administratora do służbowego komputera sprawia, że użytkownik, świadomie lub nie, instaluje złośliwe oprogramowanie, które jest jedną z najczęstszych przyczyn ataków na infrastrukturę firmową. W takim przypadku jeżeli incydent został rozpoznany na wczesnym etapie, zwykle pomaga przywrócenie danych z kopii zapasowej i zalecenie wdrożenia planu naprawczego, w postaci ograniczenia uprawnień użytkownikom. Innym przykładem eskalacji uprawnień jest błędna konfiguracja matrycy dostępowej przez administratora systemu. Często uprawnienia przyznawane przez administratora są nadmierne, np. używa się loginów typu “SA” (System Administrator) do logowania się w bazie danych przez programy finansowe na stacjach użytkowników. Skutek jest taki, że drobny błąd pracownika może skutkować całkowitym rozpadem struktury tabeli takiej bazy danych i awarią systemu. Tutaj również odzyskiwanie bazy danych z kopii zapasowej (o ile istnieje!) rozwiązuje problem, ale powoduje kosztowny przestój. Bardzo często zdarzają się też incydenty związane z brakiem wdrożonego systemu kontroli dostępu do sieci. Bez nadzoru takiego systemu, praktycznie ktokolwiek może podłączyć do sieci firmowej cokolwiek (np. przez WiFi – prywatny telefon, tablet, komputer, etc.) i przenieść zagrożenia ze sprzętu posiadanego prywatnie do wnętrza infrastruktury przedsiębiorstwa. Co gorsze, bez systemu klasy NAC, trudno stwierdzić, kto, kiedy i gdzie dokonał takiej próby. Znane są nam przypadki, w których sprzęt używany prywatnie doprowadził do utraty danych firmy, ponieważ “zaraził” on infrastrukturę przedsiębiorstwa złośliwym oprogramowaniem. Rezultat podobny, jak w poprzednich przypadkach: kosztowny przestój, odzyskanie danych (o ile kopia była wykonana skutecznie), analiza incydentu i wdrożenie planu naprawczego (zwykle: zakup i wdrożenie stosownego systemu klasy NAC). Przykładów jest naprawdę wiele i niestety nie sądzę, byśmy mieli miejsce na opisanie ich choćby pokrótce. Wszystkie jednak mają wspólny mianownik: niedoskonałości w posiadanej infrastrukturze, jej konfiguracji oraz zachowaniach użytkowników. To złożony problem, “stary jak świat” i wciąż bez istniejącego doskonałego planu. Nasze wysiłki przypominają nieco działanie komisji ds. katastrof, sprowadzają się do minimalizowania skutków tych incydentów, przeprowadzania audytów i analiz postincydentalnych oraz proponowania i wdrażania planów naprawczych, by nie powtarzało się to w przyszłości. Ale jak zawsze podkreślamy: lepsza jest wcześniejsza prewencja, a nie oczekiwanie na incydent.
Jakie są najważniejsze aspekty tworzenia skutecznej polityki bezpieczeństwa IT w firmie?
Przede wszystkim należy sklasyfikować systemy w kategoriach od najbardziej wrażliwych i najważniejszych po te najmniej istotne i utworzyć swoistą piramidę wartości strategicznej. Podstawą tej piramidy będą systemy krytyczne, służące jako niezbędnik biznesu, takie jak serwery przechowujące dane i posiadające systemy potrzebne do pracy, infrastruktura sieciowa zapewniająca łączność pracownikom oraz urządzenia związane z produkcją, trwale zintegrowane z tą siecią i infrastrukturą. Te urządzenia i systemy należy objąć wielopoziomową ochroną i monitoringiem, ponieważ ich niedostępność spowodowana awarią czy incydentem bezpieczeństwa ma największy wpływ na potencjalne straty z tego tytułu, czy to finansowe, czy wizerunkowe. Wobec nich należy zastosować najbardziej surowe i zdywersyfikowane działania ochronne: zaprojektowanie ich w sposób redundantny przy zachowaniu wysokiej dostępności, objęcie ich ochroną na warstwach: sieciowej, aplikacyjnej i danych i zabezpieczyć je możliwie doskonałą formą kopii zapasowej, a całość należy obwarować ścisłymi procedurami, bezwzględnie przestrzeganymi przez kadrę administracyjną IT. Na każdym z kolejnych segmentów piramidy lokujemy pozostałe elementy, których awaria czy niedostępność ma znaczenie mniejsze (pojedyncze stacje robocze użytkowników końcowych, drukarki, telefony, etc.). Mając określone priorytety, łatwiej nam zarządzać i skupiać się na tym, co najważniejsze. Posiadając skuteczne systemy monitorowania stanu infrastruktury krytycznej, możemy w porę zauważyć symptomy nadchodzącej awarii lub próbę włamania, a w przypadku najgorszego, dzięki posiadaniu redundantnego sprzętu i skutecznie wykonanej kopii zapasowej, przy wsparciu dobrze funkcjonujących procedur, szybko będziemy w stanie powrócić do pełnej sprawności i zminimalizujemy straty.
Jakie znaczenie ma zgodność z regulacjami prawnymi w kontekście cyberbezpieczeństwa?
Regulacje prawne będą niebawem wymagały od zarządzających infrastrukturą IT wzięcia bezpośredniej odpowiedzialności za bezpieczeństwo jej oraz przechowywanych i przetwarzanych przez nią danych. Wynika to wprost z zapisu nadchodzących regulacji w zakresie NIS2. Sądzę więc, że jeżeli dotąd nikogo żadna dyrektywa nie obligowała do osobistej odpowiedzialności za sprawność działania i bezpieczeństwo powierzonej infrastruktury IT, to ten zapis istotnie zmieni podejście do troski o te rzeczy. Inną kwestią jest dochodzenie swojej niewinności w przypadku wystąpienia incydentu. Jeżeli administratorzy działali w myśl zasady “best effort”, robiąc wszystko co w ich mocy, aby zabezpieczać infrastrukturę, ale niestety incydent wydarzył się mimo to, zgodnie z regulacjami prawnymi, zdarzenie badane będzie pod kątem występowania nieprawidłowości. “Best effort” w tym kontekście oznacza implementację i wykorzystywanie wszystkich systemów, których wymaga ustawa oraz posiadanie i stosowanie odpowiednich procedur. Ktokolwiek wykonuje swoją pracę rzetelnie i nie mierzy się z oszczędnościami w wydatkowaniu środków na bezpieczeństwo, ten nie powinien mieć powodu do niepokoju – regulacje prawne takie podmioty ochronią, natomiast z pewnością staną się one “batem” na niedbających o te niezwykle ważne kwestie.
Jakie są najważniejsze wyzwania związane z zabezpieczaniem systemów IoT (Internet of Things)?
Wiele urządzeń IoT to elektronika konsumencka produkowana najczęściej w krajach Azji wschodniej. Stosowanie w sieci wszelkiego rodzaju “inteligentnych” żarówek, termometrów, kamer, etc. wiąże się z potrzebą ich komunikacji z serwerami funkcjonującymi właśnie tam, poza naszym obszarem gospodarczym. Jeżeli podłączymy do sieci przedsiębiorstwa takie urządzenia, to z dużym prawdopodobieństwem mogą one mieć zaimplementowane funkcjonalności odpowiedzialne za próbę rozpoznawania takiej sieci, a kto wie, może i jej słabych punktów? Nigdy w pełni nie wiemy, dlaczego tania, inteligentna żarówka jest tania i działa dobrze. Może właśnie chodzi o to, by pod przykrywką całkiem niezłego urządzenia, wpuścić w strukturę naszej chronionej sieci intruza? Innym rodzajem IoT jest sprzęt wykorzystywany w produkcji, np. czujniki temperatur, wilgotności, wszelkiego rodzaju bramy, szlabany, skanery, etc. – wszystko, co pozwala realizować bezpośrednio cele biznesowe. Tutaj mamy zazwyczaj do czynienia z wyspecjalizowanymi, często bardzo drogimi elementami wyposażenia linii produkcyjnych. Są to niezwykle skuteczne w swojej specjalizacji urządzenia, jednakże trudno mówić w ich przypadku o tym, by producenci próbowali je jakkolwiek zabezpieczyć przed próbami sabotażu bądź włamania. W przypadku tej pierwszej grupy urządzeń (taniego, konsumenckiego IoT) bądźmy pewni, że umieszczamy je w wydzielonym segmencie sieci, odseparowanym od najcenniejszych elementów naszej infrastruktury. Jeśli nie jest to konieczne, niech nie posiadają one dostępu do Internetu, a jeśli nie da się tego ominąć, obejmijmy te urządzenia szczegółowym monitoringiem, by wiedzieć, jak działają i na co mają wpływ. Przemysłowe IoT z kolei należy objąć równie skuteczną ochroną, jaką obejmujemy pozostałe nasze najcenniejsze zasoby.
W jaki sposób analizujecie zagrożenia i ryzyka, aby zapewnić odpowiednie środki ochrony dla klientów?
Przede wszystkim na bieżąco śledzimy doniesienia dotyczące pojawiających się podatności, nowych wektorów ataków i zagrożeń. Służą do tego zarówno bazy danych producentów urządzeń i systemów security, jak i globalne, otwarte projekty, takie jak CVE, na których zresztą również opierają się światowi gracze w tym segmencie. W zrozumieniu potrzeby wykorzystania określonej technologii w określonych przypadkach u klientów pomagają nam przede wszystkim szkolenia certyfikujące, których dokonujemy cyklicznie, by pozostać na bieżąco w tym zakresie. Zatem jak ze wszystkim w życiu, także i tutaj, warto po prostu być na bieżąco i sukcesywnie podnosić swoje kompetencje.
Jakie przyszłe technologie i innowacje mogą znacząco wpłynąć na dziedzinę cyberbezpieczeństwa?
Bardzo dużo mówi się o wykorzystywaniu mechanizmów maszynowego uczenia do współpracy z systemami bezpieczeństwa i choć slogan ten jest już mocno “oklepany” i machine learning czy sztuczna inteligencja dosłownie “wyskakują nam z lodówki”, to nie są to mrzonki. Faktycznie, AI jest rewolucją, czy tego chcemy, czy nie. Sztuczna inteligencja coraz lepiej radzi sobie z rozpoznawaniem wzorców zachowań, co można doskonale wykorzystać do analizy poczty, by aktywnie wychwytywać próby phishingu i je udaremniać oceniając charakter i składnię treści i maila oraz szkodliwość zawartych w nim załączników i linków. Podobnie jest z analizą ruchu sieciowego – wszelkie odchyły od normy mogą być znalezione i sklasyfikowane przez mechanizmy AI dużo efektywniej, niż gdyby robił to człowiek. Przede wszystkim jednak AI nie potrzebuje przerw (ba, uczenie maszynowe jest tym bardziej efektywne, im dłużej i intensywniej trwa) w odróżnieniu człowieka, nie dopada jej znużenie i nie umykają jej szczegóły. Oprócz AI śledźmy również postępy w implementowaniu coraz to nowszych standardów szyfrowania komunikacji. Nowe algorytmy zastępują stare, które zaczynają wykazywać podatności. Kolejne standardy sieci bezprzewodowych udoskonalają nie tylko przepustowość, ale i metodę zabezpieczania dostępu do takich sieci, w związku z czym z każdą kolejną generacją coraz trudniej jest zrealizować scenariusz ataku typu Man In The Middle, w którym hacker partycypuje w komunikacji pomiędzy podmiotami w sieci, stając się niewidzialnym pośrednikiem. Jeżeli nie uda mu się dostać do niej dostępu, wówczas problem rozwiązuje się sam. Przede wszystkim także nie zwlekajmy z wprowadzaniem kolejnych udoskonaleń w tym zakresie.
Jakie kroki mogą podjąć firmy, aby skutecznie zarządzać incydentami bezpieczeństwa i minimalizować ich skutki?
Zabrzmi nudno, ale od tego są procedury oraz testowanie. Procedury spajają działania ludzi podczas wspólnego wysiłku udaremniania incydentów bezpieczeństwa oraz minimalizowania ich skutków, a testowanie tych procedur pozwoli na wyeliminowanie potencjalnie drzemiących w nim błędów, luk lub innych słabych punktów oraz pozwoli na skuteczniejsze działanie w obliczu takiego incydentu. Nie bójmy się tego rodzaju “papierkowej roboty” – być może ona kiedyś uratuje nasz biznes.
Grandmetric – https://www.grandmetric.com/pl/przemysl-produkcja/
Audyty infrastruktury – https://www.grandmetric.com/pl/oferta/audyt-bezpieczenstwa/
Kontakt – https://www.grandmetric.com/pl/kontakt/
Ekspert: Karol Goliszewski, Consulting Engineer, Grandmetric
Z doświadczeniem w komercyjnych obszarach network oraz network & data security. Aktywny w obszarze komunikacji z klientami, pomoże rozpoznać problemy z infrastrukturą, znajdzie pojedyncze punkty awarii, dobierze rozwiązania i zaproponuje efektywny model wdrożenia. Wykonuje audyty bezpieczeństwa infrastruktury IT od 2018 roku, w organizacjach różnej wielkości. Jego kompetencje potwierdzają liczne certyfikaty techniczne.
