Bezpieczeństwo trzeba budować kompleksowo - ATSUMMIT
Bezpieczeństwo trzeba budować kompleksowo
Nowe technologie rodzą nowe, coraz bardziej zaawansowane zagrożenia. Ryzyko wzrosło także na skutek gwałtownego, masowego przejścia na pracę zdalną. Wobec tego zmieniać się muszą narzędzia i systemy ochronne, ale także ewoluować musi podejście do cyberbezpieczeństwa, w którym równie ważną rolę co sprzęt i oprogramowanie mają do odegrania ludzie – rozmowa z Jolantą Malak, dyrektor Fortinet w Polsce
Jolanta Malak
Regionalna dyrektor sprzedaży
Fortinet
Jolanta Malak [JM]: W pierwszej kolejności należałoby wymienić sztuczną inteligencję i uczenie maszynowe, a także sieci 5G. Według analityków z FortiGuard Labs to one będą źródłem nowych, zaawansowanych ataków, charakteryzujących się niespotykaną dotąd szybkością i skalą.
Ponadto analitycy przewidują, że cyberprzestępcy coraz mocniej będą się koncentrować na urządzeniach obecnych na brzegu sieci, np. komputerach pracowników zdalnych. Sprzęty z kategorii IoT lub inne domowe systemy nie będą już tylko celem ataków. Ułatwią także przeprowadzanie kolejnych, jeszcze bardziej zaawansowanych kampanii, ponieważ dzięki nim cyberprzestępcy mogą gromadzić informacje o użytkownikach i wykorzystać je do jeszcze skuteczniejszych ataków bazujących na inżynierii społecznej. Następnie hakerzy mogą wykorzystać zdobytą wiedzę np. do szantażu lub wyłudzenia od ofiary dodatkowych danych ułatwiających np. zalogowanie do usług finansowych.
JM: Usługi 5G zapewniają m.in. większą prędkość i przepustowość sieci oraz mniejsze opóźnienia transmisji danych. Standard 5G ułatwia też podłączenie do sieci znacznie większej liczby urządzeń, co tworzy nową przestrzeń do działania dla cyberprzestępców.
Można spodziewać się, że wykorzystując technologię 5G, będą tworzyć tak zwane „roje”, a więc duże grupy przejętych urządzeń podłączonych do sieci. One z kolei zostaną podzielone na podgrupy, z których każda będzie miała specyficzne umiejętności. Przykładowo: roje używane do przeprowadzania ataków na sieci lub poszczególne urządzenia będą wykorzystywane jako zintegrowany system. Będą mogły wymieniać się w czasie rzeczywistym informacjami, co pozwoli im udoskonalać atak w czasie jego trwania.
Taka technika ataków wymaga użycia dużej mocy obliczeniowej, która zostanie uzyskana właśnie dzięki przejmowaniu urządzeń 5G. Pozwoli to rojom na szybkie odkrywanie podatności w sieciach, udostępnianie informacji a nawet na zmienianie metod ataku.
JM: Liczba zaawansowanych ataków, które coraz częściej wykorzystują sztuczną inteligencję i uczenie maszynowe, systematycznie wzrasta. Wiele współczesnych narzędzi przestępczych zawiera funkcje pozwalające inteligentnie „omijać” oprogramowanie antywirusowe lub inne środki wykrywania zagrożeń. Twórcy malware’u nowej generacji zastępują tradycyjną logikę kodu bardziej skomplikowanymi drzewami decyzyjnymi. Poprzez analizę i śledzenie zachowania oprogramowania wykorzystywanego przez użytkowników oraz na bazie prognozowania taki złośliwy kod z wyprzedzeniem podejmuje autonomiczne decyzje odnośnie kolejnych wykonywanych kroków. Wykorzystuje przy tym szereg informacji, takich jak rodzaje urządzeń podłączonych do danego segmentu sieci, przepływy ruchu wewnątrz niej, używane aplikacje czy szczegóły transakcji i pory dnia, w których występują. Im dłużej taki złośliwy program jest obecny w zainfekowanej sieci, tym skuteczniej będzie mógł działać niezależnie, wtapiając się w środowisko i dobierając najbardziej skuteczne narzędzia.
JM: Rozwiązania ochronne powinny na szeroką skalę wykorzystywać elementy uczenia maszynowego i sztucznej inteligencji. Pomogą one na przykład w gromadzeniu i analizowaniu zdarzeń zachodzących w sieci, dzięki czemu można wychwytywać zjawiska odbiegające od normy. Używane są również w statycznej i dynamicznej analizie zagrożeń typu zero-day, w automatycznej ochronie urządzeń końcowych czy aplikacji webowych – co obecnie, w erze pracy zdalnej, jest niezwykle ważne. Takie rozwiązania powinny mieć zdolność samokształcenia, co poprawia skuteczność analizy danych i umożliwia lepsze reagowanie na anomalie wykryte w sieci.
Sztuczna inteligencja będzie pomocna także podczas tworzenia tak zwanych „podręczników zagrożeń”, czyli threat actors playbooks, w których opisywane są taktyki, techniki działania i procedury – tzw. TTP - stosowane przez cyberprzestępców. Ułatwią one wykrywanie prób ataku na podstawie wzorca jego postępowania. Na bazie analizy tych wzorców oraz trasy w sieci, poprzez którą podejmowana jest próba ataku, inteligentne systemy będą w stanie proaktywnie „zasłaniać” cele ataków i umieszczać w sieci atrakcyjne wabiki dezorientujące mechanizmy atakujące.
JM: Wyraźnie widzimy, że jest to obszar coraz ważniejszy dla zarządów firm. Według wyników badania, które przeprowadziliśmy w październiku 2020 roku wśród działających w Polsce przedsiębiorstw, cyberbezpieczeństwo jest traktowane priorytetowo lub przynajmniej jako istotne przez 88% z nich. To znaczny wzrost w porównaniu z 2017 rokiem, kiedy odsetek podobnych odpowiedzi wyniósł 31%.
Osoby odpowiedzialne za cyberbezpieczeństwo w firmach dostrzegają, że w związku z pandemią nie tylko uwypukliły się dotychczasowe zagrożenia, ale też pojawiły się nowe, związane np. z pracą zdalną. Wzrosło zapotrzebowanie na rozwiązania ochronne takie jak VPN czy programy antywirusowe instalowane na domowym sprzęcie. Cyberbezpieczeństwo z jednego z wielu obszarów funkcjonowania firmy zmieniło się w dziedzinę o znaczeniu strategicznym dla zachowania ciągłości biznesowej.
JM: Według naszego badania aż 84% firm zwiększyło od marca wymiar pracy zdalnej. Pandemia wymusiła rewolucyjne wprowadzenie zmian. Nietrudno sobie wyobrazić, że w innych okolicznościach albo w ogóle by do nich nie doszło, albo taki proces zająłby długie miesiące, a nawet lata. W związku z tym firmy musiały odpowiednio szybko zareagować na nową sytuację. Poza wszelkimi rozwiązaniami ochronnymi, zarówno stosowanymi z poziomu siedziby firmy, jej oddziałów jak i domów pracowników zdalnych, niezwykle ważne jest tworzenie tzw. „kultury bezpieczeństwa” wśród kadry.
Człowiek może być bowiem zarówno najsłabszym ogniwem łańcucha zabezpieczeń, jak również bardzo skutecznym „firewallem”. Warto więc inwestować w szkolenia pracowników, zapewniać im informacje o bezpiecznym korzystaniu ze sprzętu, łączności z siecią firmową, o najpopularniejszych metodach stosowanych przez przestępców, w tym socjotechnikach. Często tylko jedno kliknięcie w nieodpowiedni link przez nieostrożnego pracownika może mieć dramatyczne konsekwencje dla działania całej firmy.
Podsumowując: ważne jest, aby zapewniać odpowiednie „aktualizacje” na każdym poziomie zabezpieczeń w firmie: sprzętowym, software’owym oraz ludzkim.