W dniach 22-23 listopada odbyła się w Warszawie kolejna edycja Advanced Threat Summit, jedna z największych konferencji poświęconych cyberbezpieczeństwu. Temat przewodni wydarzenia brzmiał: Strategia bezpieczeństwa IT i cyberbezpieczeństwa w firmie, czyli priorytetyzacja działań, kierunki inwestycji, ocena zagrożeń. Swoją prelekcję podczas wydarzenia miał także Rik Ferguson, Vice President Security Research w Trend Micro.
Tematem prelekcji Rika Fergusona była przyszłość cyberbezpieczeństwa. Uczestnicy wydarzenia dowiedzieli się, w jakim kierunku rozwiną się ataki hakerów, jak ewoluują metody obrony przed nimi oraz w jaki sposób firmy powinny usprawnić system ochrony przed naruszeniami. Całą prelekcję można ponownie zobaczyć tutaj, a poniżej relacja organizatora AT Summit.
Masowa cyfrowa transformacja, szeroka współpraca biznesowa na globalną skalę, dynamiczna ewolucja zagrożeń oraz nowe regulacje i wymagania związane z zapewnieniem zgodności wymuszają nowe podejście do bezpieczeństwa IT oraz cyberbezpieczeństwa. Tradycyjny model polegający na ochronie sieciowego perymetru już się nie sprawdza. Podział na to co „zaufane” i „niezaufane” przeszedł do przeszłości. Odpowiednio zmotywowany cyberprzestępca zawsze jest w stanie znaleźć słabe ogniwo, które umożliwi przeniknięcie do wnętrza i rozpoczęcie kolejnych etapów ataku. Dlatego strategicznym priorytetem staje się teraz zabezpieczenie danych i wbudowanie bezpieczeństwa w aplikacje w całym procesie ich rozwoju. To nowe podejście wzbogacają innowacyjne technologie – sztuczna inteligencja oraz uczenie maszynowe – wykorzystywane do monitorowania ruchu w sieci i automatyzacji cyberbezpieczeństwa.
Powierzchnia potencjalnych ataków powiększa się, zagrożenia są coraz bardziej złożone a ich konsekwencje coraz bardziej poważne. Firmy zazwyczaj posiadają zbyt wiele punktowych rozwiązań, z których każde posiada własną konsolę zarządzającą. Przy tym poszczególne systemy nie współdzielą informacji tworząc w obrębie bezpieczeństwa architekturę silosową.
„Bezpieczeństwo musi zostać wbudowane w ogólną strategię organizacji związaną z zarządzaniem danymi. Gdziekolwiek są dane, tam musi być bezpieczeństwo. To oznacza fundamentalną zmianę w sposobie myślenia o bezpieczeństwie” – mówił Ronen Shpirer, Senior Manager, Solutions Marketing w Fortinet, podczas sesji plenarnej otwierającej konferencję Advanced Threat Summit 2017. „Potrzeba nowych elastycznych, rozwiązań, które będą adaptować się do konkretnej sytuacji, konkretnych rozwiązań, do miejsc, w których znajdują się dane. Jednocześnie wszystkie elementy systemu będą ‘świadome’ istnienia pozostałych i będą wymieniać ze sobą informacje. Wreszcie, działanie całości musi być zautomatyzowane – udział człowieka zwiększa ryzyko błędów” – dodawał Ronen Shpirer.
Wszystkie te zmiany powinny znaleźć wyraz w nowej strategii cyberbezpieczeństwa – spójnej ze strategią biznesową organizacji, dopasowanej do celów przedsiębiorstwa, posiadanych zasobów, pozycji firmy na rynku oraz pozycji działu bezpieczeństwa w firmie. Jak zbudować dobrą strategię, radziła Ewa Piłat, Chief Technology Security Officer w Vodafone UK.
Kluczowe wnioski, jakie płyną z tego wystąpienia: sukces wymaga zaangażowania zarządu, zbudowania kompetencji i wdrożenia narzędzi wspierających a przy tym regularne aktualizowanie strategii i nie pomijanie czynników zewnętrznych – m.in. trendów technologicznych i nowych regulacji prawnych. Jako najczęściej popełniane błędy przy budowaniu strategii cyberbezpieczeństwa można jednocześnie wskazać w szczególności jej oderwanie od strategii firmy, inicjowanie projektu jej tworzenia bez zapewnianie udziału zarządu i wyższego kierownictwa oraz zaniechania w związku z cykliczną aktualizacją.
Integralnym elementem strategii powinno być także cykliczne testowanie. „Testować, testować i jeszcze raz testować” – przekonywał Darron Gibbard, Chief Technical Security Officer and Managing Director w Qualys. Nawet najlepsze i najbardziej szczegółowe plany będą całkowicie nieprzydatne, jeśli ludzie nie będą ich bardzo dobrze znali i nie będą regularnie ćwiczyć ich realizacji w praktyce.
Nowy krajobraz
Zbliżający się ku końcowi 2017 rok pokazuje jak ważną rolę odgrywa strategia, planowanie i testowanie. Europejczycy dopiero kilka miesięcy temu przekonali się jakie spustoszenie mogą spowodować ataki prowadzone przy wykorzystaniu narzedzi ransomware oraz disruptive malware. Specjaliści od bezpieczeństwa na bliskim wschodzie mieli taką świadomość już przynajmniej od kilku lat. Mówili o tym Stuart McKenzie, Vice President oraz Muks Hirani, Technical Director w Mandiant, firmie należącej do FireEye. Przekonywali oni, że w przyszłości należy spodziewać się nasilenia ataków tego typu. Co więcej, choć dotychczas stanowiły one domenę zorganizowanych grup sponsorowanych przez państwa, teraz można oczekiwać, że narzędzie pozwalających na ich realizację zaczną również używać zwykli przestępcy. Eksperci z Mandiant zwracali przy tym uwagę, że jeśli uda się wykryć próbę ataku na jednym z etapów przygotowawczych, można mu jeszcze skutecznie zapobiec.
Z kolei Leszek Tasiemski, VP, Rapid Detection Center, R&D Radar & RDS w F-Secure, opowiadał o nowych paradygmatach ataków i obrony w świecie, w którym środowiska informatyczne stają się „hybrydą pomiędzy publiczną chmurą, a tradycyjną twierdzą”. Coraz większą rolę w obszarze bezpieczeństwa IT i cyberbezpieczeństwa odgrywa sztuczna inteligencja albo – mówiąc bardziej precyzyjnie – uczenie maszynowe. Nowa technologia to nowe wyzwania – znane są już sposoby „oślepiania”, oszukiwania i wprowadzania w błąd systemów uczenia maszynowego poprzez stopniowanie sygnałów. Oczywiście pojawiają się także szanse, np. w zakresie zastosowania jej w narzędziach używanych do obrony, m.in. oferowanych przez F-Secure, które pozwalają na wykrywanie ataków w czasie zbliżonym do rzeczywistego – z potwierdzeniem przekazywanym klientom w ciągu 30 minut.
Leszek Tasiemski mówił jednak o tym, że jakkolwiek bardzo przydatna, to przynajmniej na razie, technologia ta nie jest w stanie w pełni zastąpić człowieka. To ostatecznie ludzie, eksperci muszą zweryfikować wyselekcjonowane automatycznie przypadki i zatwierdzić przekazanie informacji o zdarzeniu klientowi. Niemniej przyspieszenie, które można dzięki niej osiągnąć, jest spektakularne.
Bezpieczny development
Poza wykorzystaniem technologii uczenia maszynowego w nowych produktach i usługach oferowanych przez dostawców a także negatywnych w kontekście bezpieczeństwa konsekwencjach coraz powszechniejszego wkraczania sztucznej inteligencji do biznesu, podczas konferencji Advanced Threat Summit 2017 dużo mówiło się o jak najwcześniejszym włączaniu bezpieczeństwa w procesy produkcji oprogramowania.
Zwracał na to uwagę m.in. Gen. Włodzimierz Nowak, Członek zarządu, dyrektor ds. prawnych, bezpieczeństwa i zarządzania zgodnością w T-Mobile Polska, mówiąc, że konieczna jest zmiana sposoby myślenia inżynierów. Ich obowiązkiem jest projektowanie rozwiązań technicznych z uwzględnieniem wymagań bezpieczeństwa.
Zaniechania w tym obszarze, próby zapewnienia bezpieczeństwa w końcowej fazie prac nad nowymi aplikacjami oznaczają zwykle duże koszty lub konieczność akceptowania ryzyka związanego z wprowadzeniem do produkcji kodu, który nie gwarantuje odpowiedniej jakości pod względem bezpieczeństwa.
Konsekwencje wycieku danych przez “dziurawe” aplikacje mogą być poważne. Przykłady można mnożyć. Michał Kurek, Partner KPMG w obszarze Cyber Security, a jednocześnie Lider OWASP Warszawa, powoływał się na najświeższy spośród nich – Equifax. Niezabezpieczona podatność w Apache Struts2 była źródłem wycieku 143 mln wrażliwych danych osobowych. Rozwiązaniem jest kompleksowe podejście do wbudowania bezpieczeństwa w procesy produkcji oprogramowania. Michał Kurek rekomendował wykorzystanie narzędzia OWASP – SAMM (Software Assurance Maturity Model).
Zwłaszcza niezwykle popularne podejście DevOps wymaga wzbogacenia o element Sec(urity). Rewolucja i przyspieszenie wynikające z bliskiej współpracy między programistami a zespołami operacyjnymi ma konsekwencje w obszarze bezpieczeństwa. Mówił o tym m.in. Alex Wilson, DevSecOps Lead w CyberArk, zwracając szczególną uwagę na zarządzanie kluczami uwierzytelniającymi w kodzie aplikacji i prezentując zautomatyzowane rozwiązanie związanych z tym problemów – system Conjur.
Potrzebny Superbezpiecznik
Popularnym tematem pojawiającym się w wielu wystąpieniach było także RODO. Uczestnicy zwracali uwagę z jednej strony, że utrudni ono swobodny rozwój i prowadzenie biznesu, ograniczy innowacyjność, ale zarazem mówili o tym, że nie jest to coś zupełnie nowego i jest to jedynie pewnego rodzaju uporządkowanie znanych, istniejących wcześniej zasad i dobrych praktyk.
Podczas debaty zarysował się także ‘konflikt’ pomiędzy specjalistami ds. bezpieczeństw a prawnikami na polu RODO. Jedna z diagnoz dotyczących tego konfliktu koncentrowała się na wyzwaniach komunikacyjnych. Obie grupy posługują się różnymi, niespójnymi aparatami pojęciowymi. Tymczasem komunikacja stanowi fundament sukcesu dla projektów związanych z RODO. W tym kontekście rozmawiano o nowych wymaganiach wobec tradycyjnych „bezpieczników” a nawet tworzeniu nowego zawodu – menedżera ds. ochrony danych, który będzie łączył świat technologii i prawa, ponieważ skupienie się wyłącznie na jednym z tych obszarów to obecnie za mało.
Wszyscy zainteresowani rynkiem pracy w obszarze bezpieczeństwa IT mogli dowiedzieć się o zapotrzebowaniu na usługi specjalistów w tym zakresie, wysokości wynagrodzeń oraz rotacji i metodach retencji ekspertów – opowiadał o tym podczas sesji zamykającej pierwszy dzień konferencji Paweł Biniarz z firmy Sedlak & Sedlak.
W tej samej sesji można było posłuchać o pracy head hunterów i współpracy z nimi a także o skutecznej komunikacji przedstawicieli działów bezpieczeństwa z innymi jednostkami w organizacjach. Ci, którzy wzięli sobie do serca konieczność poprawienia komunikacji z innymi menedżerami i Zarządem w swojej firmie mogli kolejnego dnia konferencji wziąć udział w nietypowym warsztacie poświęconym sztuce przemówień publicznych a prowadzonym przez Monikę Królak, założycielką KMKM. Wysoka frekwencja podczas tego warsztatu sugerowała, że bezpiecznikom naprawdę zależy na podniesieniu swoich zdolności komunikacyjnych na wyższy poziom.