Cyfrowa transformacja i postępująca migracja do chmury obliczeniowej radykalnie zmieniają sposoby budowania oraz wykorzystywania zasobów IT przez użytkowników indywidualnych i organizacje. Nowe technologie mobilne, ogromne zbiory danych, robotyzacja, uczenie maszynowe i sztuczna inteligencja sprawiają, że potrzebne są poważne zmiany w podejściu do cyberbezpieczeństwa. Choć tematem przewodnim tegorocznej konferencji „Advanced Threat Summit” była „chmura dla cyberbezpieczeństwa i bezpieczeństwo chmury”, to poruszonych i gruntownie przedyskutowanych zostało również wiele innych zagadnień, istotnych z punktu widzenia CSO, CISO czy dyrektora IT.
Wszyscy wiedzą, że nie istnieją technologiczne srebrne kule, które pozwalają skutecznie mierzyć się ze wszystkimi ryzykami i wyzwaniami cyberbezpieczeństwa. Wiadomo, że dzisiaj bez wielu rozwiązań nie da się funkcjonować, ale nie oznacza to jednocześnie, że zapewniają nam one wystarczającą ochronę. Poziom zaawansowania działań przestępców i złożoność wykorzystywanych przez nich schematów oraz rozwiązań technicznych w ciągu ostatnich kilku lat znacząco wzrosły. Dlatego jedyne, co mogą zapewnić najlepsze nawet punktowe rozwiązania, to złudne poczucie bezpieczeństwa.
W takiej złożonej technologicznie i biznesowo rzeczywistości wyzwaniem pozostają wszystkie aspekty związane z zarządzaniem cyberbezpieczeństwem, jego mierzeniem, kosztami czy edukowaniem i podnoszeniem świadomości. Coraz większym wyzwaniem jest rekrutacja ekspertów ds. bezpieczeństwa. Stąd rosnąca popularność „bezpieczeństwa jako usługi”, co pozwala na uzupełnianie kompetencji w wewnętrznych zespołach. Jednak korzystanie z usług dostawców zewnętrznych niesie ze sobą odrębny zestaw kłopotów i ryzyk.
Na potwierdzenie tego można przytoczyć opinię Gartnera: mechanizmy kontroli dostępu muszą ewoluować do chmury, ponieważ tam przebywa większość użytkowników i tam przenoszone są aplikacje. To jeden z kluczowych trendów wpływających na cyberbezpieczeństwo. Jak widać, od chmury nie ma ucieczki, nawet w cyberbezpieczeństwie.
„Nie poradzimy sobie bez części papierowej i nie skończymy na części technicznej, bo bezpieczeństwo to jest cały zestaw narzędzi, które powinny tworzyć cebulkę obejmującą nasze zasoby” – mówił Tomasz Wodziński, prezes zarządu ISSA Polska, otwierając wspólnie z Przemysławem Gamdzykiem, CEO Evention, konferencję „Advanced Threat Summit 2019”.
Nowoczesne, holistyczne podejście do walki z cyberprzestępczością i cyfrowym szpiegostwem opiera się przede wszystkim na zapewnieniu całego aktualnego obrazu całego środowiska. Musi on bazować na pełnej widoczności wszystkich podatności i wektorów ataku, na analizie całego ruchu w sieci i pełnej aktywności na urządzeniach, które obejmuje, również końcowych. Warunkiem jest oczywiście posiadanie kompletnej wiedzy o wszystkich zasobach sieciowych, w tym inteligentnych urządzeniach wchodzących w skład internetu rzeczy oraz urządzeniach mobilnych. Konieczne jest przy tym zastosowanie mechanizmów automatyzacji pozwalających skutecznie przedzierać się przez ogromne ilości danych w poszukiwaniu anomalii. Potrzebna jest także praca nad przyspieszaniem i optymalizacją procesów związanych z analizowaniem ryzyka i reagowaniem na incydenty.
Kompletna informacja daje przewagę
Holistyczne podejście musi mieć charakter globalny. „Powstające chmury lokalne, takie jak w Niemczech czy Polsce, to zasadniczo dobry pomysł, jednak nie dają żadnej przewagi w kwestii bezpieczeństwa. Dają wprawdzie ochronę przed zagranicznymi zagrożeniami, ale uznanie, że lokalni przestępcy nie są dostatecznie sprytni, jest błędne. Dlatego trzeba zapewnić ochronę przed wszystkimi zagrożeniami – lokalnymi i globalnymi. Co więcej, lokalna chmura może stanowić wąskie gardło bezpieczeństwa, ponieważ łatwo jest przeoczyć istotne zagrożenia pochodzące z zagranicy. Dlatego lepszym rozwiązaniem jest podejście Zero Trust, w myśl którego nie należy ufać nikomu. Korzysta z niego coraz więcej organizacji” – mówił Stefan Mardak, Senior Cloud Security Architect w Akamai. Jego zdaniem, biznes potrzebuje dzisiaj możliwie szerokiego modelu bezpieczeństwa, w tym usług Global Threat Intelligence.
O znaczeniu jakościowych informacji „wywiadowczych” na temat zagrożeń dla ochrony biznesu opowiadał także Paweł Łakomski, Technology Solution Professional w Microsoft. Sama wiedza o zjawisku nie wystarcza. Żeby podejmować skuteczne działania potrzebna jest właściwa interpretacja. Jej znaczenie jest tym większe, im szybciej możemy ją otrzymać, idealnie – w czasie rzeczywistym.
Dlatego w obliczu zachodzących zmian tradycyjne znaczenie Threat Intelligence musiało zostać zaktualizowane. Konieczne okazało się połączenie ekspertyz ludzi od bezpieczeństwa z wiedzą specjalistów od data science. Dzięki takiemu zespołowi zajmującemu się cyberprzestępczością w Microsoft udało się, jak zapewniał Paweł Łakomski, wytworzyć nowe algorytmy wykorzystujące uczenie maszynowe i służące do wykrywania zjawisk. Co więcej, są one nieustannie sprawdzane i dostosowywane do zmieniającej się sytuacji. Często efektem tych działań są nowe hipotezy badawcze, które napędzają badania i rozwój w obszarze cyberbezpieczeństwa.
Mobilność i tożsamość
Istotnym elementem nowoczesnego podejścia do cyberbezpieczeństwa jest uwzględnienie urządzeń mobilnych. Choć inwestycje w cyberbezpieczeństwo systematycznie rosną, to o bezpieczeństwie urządzeń mobilnych często się zapomina. Tymczasem generowany przez nie ruch dynamicznie wzrasta. W miarę jak millenialsi zasilają w coraz większym stopniu szeregi korporacji, mobilne w coraz większym stopniu stają się całe organizacje. Rośnie jednocześnie skala zagrożeń. Dzisiaj o wiele większa liczba użytkowników wymaga dostępu do usług biznesowych spoza firmy niż z biura. Dynamicznie wzrasta również liczba niezarządzanych urządzeń. Z „Cybercrime Report” opracowanego przez firmę LexisNexis Risk Solutions, który powstał na podstawie analizy w czasie rzeczywistym cyfrowych interakcji z konsumentami w sieci Digital Identity Network w pierwszej połowie 2019 r., wynika, że rośnie liczba ataków inicjowanych przez człowieka (wzrost w ciągu sześciu miesięcy o 13%) i zarazem liczba ataków mobilnych (wzrost w tym samym okresie o 9%). Technologie mobilne mają ogromny wpływ zarówno na biznes, jak i na konsumentów. Co najważniejsze, wydaje się, że nie jest to koniec mobilnej rewolucji: sieci 5G wykreują nowe architektury, modele operacyjne i dostarczania usług. Oczywiście, stworzy to równocześnie nowe zagrożenia i ryzyka.
W raporcie LexisNexis przeczytać można m.in., że systematycznie coraz więcej transakcji inicjowanych jest z urządzeń mobilnych. Co ciekawe, na razie konsumenci wykorzystujący technologie mobilne są narażeni na atak w znacznie mniejszym stopniu niż użytkownicy tradycyjnych komputerów – liczba ataków na transakcje mobilne jest o połowę mniejsza. Przy tym o wiele bardziej bezpieczne są transakcje dokonywane w obrębie aplikacji niż te za pośrednictwem przeglądarki zainstalowanej w telefonie. Wszystko to oznacza jednak, że z punktu widzenia przestępców transakcje mobilne stają się niezwykle łakomym kąskiem i można być pewnym, że w ciągu najbliższych lat proporcje ataków względem tradycyjnych komputerów nie będą już tak korzystne.
Jakub Antczak, Country Manager w LexisNexis® Risk Solutions, opowiadał podczas konferencji o tym, jak cyfrowa tożsamość użytkownika i ślady urządzenia pozostawione w sieci mogą posłużyć za skuteczne narzędzie detekcji i zwalczania nadużyć, a jednocześnie być wykorzystane jako narzędzie do rozpoznawania uprawnionych użytkowników.
O znaczeniu ochrony tożsamości i zabezpieczaniu zdalnego dostępu mówili także inni prelegenci. Mariusz Baczyński, dyrektor regionalny w Zscaler, argumentował, że podejście ZTNA, czyli zero trust network Access, zrewolucjonizuje dostęp do prywatnych aplikacji. Korzystanie z nich nie wymaga bowiem dostępu do sieci ani połączenia przy użyciu technologii VPN. Przy tym połączenia wychodzące zapewniają, że aplikacje nie są widoczne w internecie dla nieautoryzowanych użytkowników, co zapewnia ochronę przez atakami DDoS. Wreszcie mamy do dyspozycji segmentację aplikacji bez segmentacji sieci – użytkownicy łączą się z aplikacjami ponad siecią, uniemożliwiając propagację zagrożeń. Mariusz Baczyński przekonywał, że dzięki temu internet staje się nową bezpieczną siecią korporacyjną zbudowaną z zaszyfrowanych mikrotuneli TLS.
Nie ma idealnych rozwiązań
Wzrost popularności chmury sprawia, że stała się ona w ostatnim czasie jednym z głównych tematów dyskutowanych przez ekspertów od cyberbezpieczeństwa. Coraz więcej firm przenosi tam swoje dane, do chmury migrują także technologie bezpieczeństwa. Tworzy to nie tylko niedostępne wcześniej możliwości działania, ale także przynosi wyzwania pojawiające się na styku starego z nowym. Dlatego powstają nowe praktyki zabezpieczania infrastruktury i aplikacji.
Mówił o nich – przedstawiając 10 faktów, na które warto zwrócić w tym kontekście uwagę w przyszłym roku – Pascal Geenens, EMEA Security Evangelist w Radware. Przede wszystkim powierzchnia ataku chmury publicznej określona jest przez uprawnienia, a zagrożenia wewnętrzne w takim środowisku są tak naprawdę zewnętrzne. Do ochrony aplikacji cloud-native nie nadają się tradycyjne technologie. Zwłaszcza że atakujący wykorzystują coraz bardziej zaawansowane zautomatyzowane metody. Przykładowo, stosując roboty do oszukiwania captcha, osiągają dzięki algorytmom deep learning skuteczność sięgającą 98%. Dlatego także obrońcy muszą zacząć wykorzystywać na coraz większą skalę uczenie maszynowego i głębokie, w szczególności zaawansowane rozwiązania łączące metody nadzorowane i nienadzorowane.
Niewątpliwie sztuczna inteligencja ma ogromny potencjał, niemniej nawet ona nie może być uznana za panaceum na wszystkie problemy cyberbezpieczeństwa. „AI to trudny biznes. Zajmujemy się tym od 10 lat. Zbudowanie i trening naszego systemu zajęły nam 5,5 roku. To ogromna inwestycja. Sztuczna inteligencja w punktowych rozwiązaniach zwykle nie jest efektywna, ponieważ wymaga dużego zaangażowania, nadzorowania, zarządzania i monitoringu” – przekonywał Keith Rayle, Security Strategist w Fortinet. W umiejętny sposób zastosowana może jednak pomóc rozwiązać wiele problemów.
