Nowy perymetr to tożsamość

Nowy perymetr to tożsamość

O specyficznym sposobie zabezpieczenia środowisk hybrydowych, bezpieczeństwie w różnych modelach chmury oraz nowej strategii cyberbezpieczeństwa rozmawiamy z Michałem Ciemięga, Regional Sales Mangerem w CyberArk.

 

Migracja do chmury, wszystkich jej modeli – od IaaS po SaaS – tworzy nowe wyzwania w zakresie bezpieczeństwa. Co to oznacza dla CSO?

Michał Ciemięga [MC]: Przede wszystkim konieczność przyjęcia nowej strategii bezpieczeństwa. Środowiska hybrydowego, w szczególności takiego, które obejmuje aplikacje klasy SaaS, nie można po prostu otoczyć zaporą ogniową. Chmura powoduje, że dane zostają wyprowadzone poza bezpieczny obszar otoczony ‘murem ochronnym’ – nie tylko do naszego środowiska w chmurze, ale w wielu przypadkach do środowiska zarządzanego przez inną firmę. Zresztą nie tylko migracja danych spowodowała rozszczelnienie perymetru. W dużej mierze dołożyła się pandemia, która spowodowała wyjście użytkowników poza chronione środowisko firmowe. Znaczna część pracowników łączy się dzisiaj z aplikacjami i korzysta z firmowych zasobów spoza wewnętrznej infrastruktury i ten model pracy już znami zostanie. Samo grodzenie się już więc nie wystarczy.

 

Na czym polega ta nowa strategia?

MC: Naszym zdaniem fundamentem nowej strategii bezpieczeństwa musi być ochrona tożsamości. Dzisiaj większość poważnych ataków bazuje właśnie na wykradzionej tożsamości. Bardzo często jeden zestaw – login i hasło – pasuje do wielu aplikacji i systemów z których korzysta użytkownik. Co istotne, problem nie dotyczy wyłącznie tych uprzywilejowanych, ale wszystkich użytkowników. Sama ochrona tożsamości uprzywilejowanej miała sens kilka lat temu, ale dzisiaj granice pomiędzy użytkownikami się rozmyły i trzeba zabezpieczyć wszystkich. Jeśli przestępca wykradnie dowolną tożsamość, to będzie miał dostęp do środowiska, w którym będzie szukał tego, co go interesuje i posuwał się krok po kroku do swojego celu. Dlatego trzeba przyjąć, że nowym perymetrem w środowiskach hybrydowych czy multi-cloud jest tożsamość.

 

Jak zatem należy dzisiaj chronić tożsamość?

MC: Na początek musimy wiedzieć czy użytkownik, który korzysta z danych czy aplikacji to faktycznie ten użytkownik, za którego się podaje. Hasło i login są niewystarczające. Konieczne jest silne uwierzytelnianie. Dodanie kolejnego składnika to dobry krok, ale warto go odpowiednio dobrać. W przypadku ludzi optymalna jest biometria. Dzięki temu możemy się upewnić, że po drugiej stronie siedzi człowiek, któremu przyznano dostęp. Jest jedno ‘ale’. We współczesnych środowiskach mamy dodatkowo mnóstwo robotów programowych. Dlatego nie można skupiać się wyłącznie na ludziach.

Jeśli przekażemy hasło i login zewnętrznej firmie czy automatowi, to znowu nie wiemy kto się loguje. Tak jak ludzi najlepiej identyfikować z wykorzystaniem biometrii, robota można identyfikować przy użyciu hashu, choć są także inne metody. W ten sposób wyeliminujemy sytuację, że przekazujemy login i hasło, a później przez pół roku korzysta z tego zestawu zarówno robot, admin i nie wiadomo jeszcze kto. Tymczasem można wykorzystać mechanizm, że robot przy każdym logowaniu, uwierzytelniania się w centralnym systemie zarządzania poświadczeniami i dzięki temu dostaje unikatowe, zmieniające się cyklicznie hasło.

 

Czy to już wystarczy?

MC: Kiedy wiemy już kto się loguje i do czego, dobrze jest dodać dodatkowe zabezpieczenie dotyczące zakresu przyznawanego dostępu i czasu. Mianowicie dajemy najmniejszy możliwy dostęp i tylko wtedy, kiedy on jest niezbędny – i to niezależnie czy mówimy o ludziach czy robotach.

W większości przypadków użytkownicy potrzebują do wykonywania swoich obowiązków dostępu wyłącznie do określonych funkcji i to w godzinach pracy biurowej, np. od 9 do 17. Bardzo często jest tak, że administratorzy systemów operacyjnych nie potrzebują pełnego dostępu administracyjnego, a i tak go otrzymują. Przez to wielu użytkowników może zrobić o wiele więcej niż to wynika z zakresu ich obowiązków.

W to wszystko wplata się model Zero Trust, czyli założenie, że już zostaliśmy zaatakowani i przestępca ma dostęp do naszego środowiska. Warto w tym kontekście zadać sobie pytanie: dlaczego ufamy swoim pracownikom? Dotyczy to zwłaszcza dużych firm, zatrudniających kilkaset czy kilka tysięcy osób. Czy mamy pewność, że choćby jeden spośród aktualnych pracowników czy osób zatrudnianych nie ma złych zamiarów? Czasem przemiana z dobrego w złego użytkownika następuje w bardzo krótkim czasie – decydują pieniądze albo emocje. Dlatego myśląc o atakach zewnętrznych, przygotujmy się również na ataki wewnętrzne. Ufajmy użytkownikom, ale dawajmy im ograniczony dostęp, kontrolujmy go i monitorujmy to, co robią.

 

Tu pojawia się jednak problem: jak kontrolować i monitorować to, co robią setki czy tysiące użytkowników…

MC: Oczywiście, człowiek tego nie jest w stanie ogarnąć. Nawet armia ludzi. Potrzebne są automaty, które będą sprawdzać, czy użytkownicy nie robią czegoś, co wykracza poza ustaloną politykę bezpieczeństwa albo ich zachowanie zaczyna odbiegać od normy – technologie User Behavior Analytics stają się coraz bardziej popularne. Automat w przypadku wykrycia nieprawidłowości może podnieść alarm albo zablokować sesję.

 

Co jeszcze należy wziąć pod uwagę?

MC: Dla niektórych organizacji szczególne znaczenie ma wypełnianie ustalonych norm w kontekście audytów. W rozproszonych środowiskach kwestia mamy coraz więcej danych, aplikacji, automatów. Dlatego potrzebny jest jeden, centralny system, który pozwoli generować raporty potrzebne dla audytorów. Każda firma, która zapewni już odpowiedni poziom bezpieczeństwa,  zaczyna myśleć o kosztach. Jeśli możemy szybko, kilkoma kliknięciami wygenerować raporty potwierdzające, że spełniamy wymogi, zamiast robić to ręcznie, to mamy dużą oszczędność.

W tym momencie część firm powie: fajnie jest mieć wszystko w jednym miejscu, ale boimy się vendor lockingu. Naszym zdaniem, jeśli ktoś decyduje się na wdrożenie systemu klasy Privileged Access Management, to w jakiś sposób, chcąc nie chcąć i tak wiąże się z jednym dostawcą. Lepiej więc rozwinąć ochronę tożsamości i mieć łatwiejsze raportowanie, niż walczyć z vendor lockingiem, bo konsekwencją jest walka z wieloma innymi kwestiami. W każdym razie, naszym zdaniem, warto to przemyśleć i zastanowić się co jest lepsze zarówno z punktu widzenia bezpieczeństwa jak i z czystko ekonomicznych pobudek, bo wdrożenie jednej platformy adresującej wiele obszarów w większości przypadków jest po prostu tańsze niż utrzymywanie kilku różnych rozwiązań.

 

Wszystko składa się w jedną spójną całość, ale pojawia się inny problem: czy firmy posiadają odpowiednie kompetencje i doświadczenie, żeby to wszystko zrealizować?

MC: To oczywiście poważne wyzwanie. Ze naszej strony mogę zaproponować darmową usługę dla klientów, która polega na wsparciu w przygotowaniu długofalowego programu ochrony tożsamości. Nie sprzedajemy tej usługi, ani nie zobowiązujemy klientów, którzy z niej korzystają do późniejszego zakupu naszych rozwiązań. Powstająca w jej wyniku roadmapa nie jest oparta na żadnych konkretnych produktach.

CyberArk ma ponad dwie dekady doświadczeń w tym obszarze. Chętnie dzielimy się nimi z klientami, zwłaszcza, że wdrożenia systemów klasy Privileged Access Management, które nie są oparte o plan przygotowany przez osoby posiadające odpowiednią wiedzę i kompetencje, często nie przynoszą oczekiwanych rezultatów. Dlatego pomagamy klientom tworzyć plan na podstawie naszych doświadczeń, najlepszych praktyk, specyfiki środowiska i priorytetów klienta.

Dotychczas pomogliśmy przygotować takie roadmapy kilkuset klientom w regionie i żaden z nich nie powiedział, że był to stracony czas. Dlatego dla wszystkich firm, które nie czują się na siłach samodzielnie mierzyć się z przygotowaniem nowej strategii bezpieczeństwa, może to być najlepszy pierwszy krok. Jeżeli zaś chodzi o te firmy, które uważają, że posiadają odpowiednie kompetencje, żeby taki długofalowy plan stworzyć samodzielnie – zaciągnięcie dodatkowej, zewnętrznej opinii pozwoli im zweryfikować swoje założenia.

 

Krajobraz cyberbezpieczeństwa 2021: nowe wyzwania, nowe rozwiązania

Krajobraz cyberbezpieczeństwa 2021: nowe wyzwania, nowe rozwiązania

Tempo migracji do chmury nie spada. Ze względu na pandemię przenoszenie obciążeń z firmowych centrów danych do środowisk cloud dodatkowo przyspieszyło. Nie oznacza to jednak, że obawy dotyczące bezpieczeństwa chmury zniknęły. Zwłaszcza że masowa praca zdalna znacznie powiększyła powierzchnię ataku. O głównych wyzwaniach dotyczących chmury w kontekście bezpieczeństwa i o kluczowych technologiach mówi Paweł Wojciechowski, Business Development Manager w Fortinet.

 

Niedawno opublikowany został, opracowany przez Cybersecurity Insiders przy wsparciu Fortinet,  raport 2021 Cloud Security opierający się na globalnym badaniu przeprowadzonym wśród 572 specjalistów ds. cyberbezpieczeństwa. Jaki obraz bezpieczeństwa chmury wyłania się z tej publikacji?

Paweł Wojciechowski [PW]: Nie będzie dla nikogo zaskoczeniem, że większość organizacji, aż 71%, realizuje strategię hybrydową lub multi-cloud – to najlepsza droga, która prowadzi do łatwiejszej integracji usług, zwiększania możliwości skalowania i zapewnia ciągłość działania biznesu.

Wśród kluczowych barier utrudniających szybszą migrację uczestnicy badania wymieniali: brak pełnej widoczności – 53%, brak kontroli – 46% i brak zasobów ludzkich lub wiedzy specjalistycznej – 39%, a także wysokie koszty – 35%.

Największym ryzykiem związanym z bezpieczeństwem chmury według 67% specjalistów ds. cyberbezpieczeństwa pozostaje błędna konfiguracja usług. Zaraz za nią plasuje się wyciek wrażliwych danych – 59%, a dalej nieautoryzowany dostęp i niezabezpieczone interfejsy/API – 49%..

 

Co to wszystko oznacza w praktyce?

PW: Wszyscy doskonale rozumieją, że środowiska wielochmurowe zwiększają złożoność i rodzą nowe wyzwania związane z bezpieczeństwem. To normalne, że boimy się wycieku danych. Ale moim zdaniem…

… kluczowym problemem jest brak wysokiej klasy specjalistów od bezpieczeństwa, ludzi, którzy posiadają odpowiednie umiejętności i rozumieją jak poszczególne technologie ze sobą współpracują.

Nie przez przypadek zła konfiguracja usług cloud pozostaje na szczycie listy największych ryzyk. Jeśli mówimy o czymś więcej niż lift and shift, to sukces transformacji zależy od specjalistów, którzy rozumieją chmurę i potrafią nową architekturę aplikacji zaprojektować i uruchomić w optymalny dla tej aplikacji sposób.

Prawdopodobnie dlatego aż 78% ankietowanych specjalistów ds. cyberbezpieczeństwa uważa, że bardzo pomocne lub niezwykle pomocne jest posiadanie jednej platformy bezpieczeństwa w chmurze, która oferuje pojedynczy pulpit nawigacyjny i umożliwia konfigurację polityk w celu spójnej i kompleksowej ochrony danych w całej chmurze.

 

Czy zabezpieczanie chmury aż tak bardzo różni się od ochrony środowisk tradycyjnych?

PW: To zależy. Jeżeli spojrzymy na większość wykorzystywanych rozwiązań bezpieczeństwa, to są one znane i wykorzystywane od lat. Natomiast w przypadku chmury zawsze należy pamiętać o modelu współdzielonej odpowiedzialności, w którym dostawca i korzystający z chmury mają swoje obowiązki w zakresie bezpieczeństwa. Ponadto każda chmura jest trochę inna. W szczególności widać to w natywnych rozwiązaniach bezpieczeństwa oferowanych przez dostawcę chmury.

Migrując do chmury, kiedy mamy środowisko hybrydowe lub multi-cloud, można skorzystać z natywnych rozwiązań bezpieczeństwa oferowanych przez dostawców chmur, ale wówczas tworzymy oddzielne systemy bezpieczeństwa dla każdej z chmur. Tymczasem…

…spójność całego systemu zabezpieczeń dla środowisk hybrydowych i multi-cloud jest niezwykle ważna. Zwiększa poziom ochrony, ułatwia pracę, zmniejsza koszty i pozwala automatyzować działania w wybranych obszarach.

Nie wspominając o tym, że część tych rozwiązań, np. firewalle, ma zdecydowanie mniejszy stopień zaawansowania i zakres funkcjonalny w stosunku do specjalizowanych rozwiązań od dostawców bezpieczeństwa.

 

Na czym polegają te nowe zagrożenia, o których Pan wspomniał?

PW: Coraz więcej aplikacji jest udostępnianych na zewnątrz organizacji, coraz więcej danych jest udostępnianych na zewnętrz, coraz więcej danych jest tworzonych i przechowywanych na zewnętrz, w aplikacjach SaaS wszystkie te aplikacje i dane wymagają ochrony. To z kolei oznacza konieczność wykorzystywania specjalizowanych narzędzi. Idealnie, kiedy te narzędzia są częścią centralnego systemu cyberbezpieczeństwa lub można je łatwo z nim zintegrować. Kluczową kwestią jest bowiem widoczność całego środowiska i spójność systemu cyberbezpieczeństwa, co zostało potwierdzone w raporcie, o którym wcześniej wspominaliśmy

 

Jak sobie radzić z tymi wyzwaniami? Czy można liczyć na wsparcie technologii?

PW: Zdecydowanie, technologia ma do odegrania ogromną rolę. Zwłaszcza że jak powiedzieliśmy, rośnie poziom złożoności, zwiększa się powierzchnia ataku, a specjalistów brakuje.

Narzędzia, które w zautomatyzowany sposób sprawdzają błędy, rekomendują wprowadzenie zmian, technologie zapewniające spójny, całościowy obraz środowiska są nieocenione z punktu widzenia cyberbezpieczeństwa.

Oczywiście technologia nie rozwiąże wszystkich problemów. Jeśli ktoś tworzy pulę pamięci masowej w chmurze i źle przydzieli uprawnienia, to może się okazać, że cały świat ma dostęp do firmowych danych. Automat może to szybko wychwycić i albo poinformować o błędnej konfiguracji, albo naprawić błąd, a przynajmniej zablokować dostęp do czasu interwencji człowieka.

W przypadku bardziej złożonych błędów nie można zastąpić specjalisty. Wracamy zatem do kluczowego – w moim odczuciu – wyzwania braku specjalistów i w tym kontekście konieczności zapewniania spójnego bezpieczeństwa w skali całego środowiska.

Dlatego, my jako dostawca technologii cyberbezpieczeństwa, rozwijamy nasze rozwiązania i dostarczamy bogatą w funkcjonalność zintegrowaną platformę cyberbezpieczeństwa, jaką jest Fortinet Security Fabric. Dzięki temu zapewniamy spójne bezpieczeństwo aplikacji, gdziekolwiek się one znajdują. Jedna platforma oznacza bowiem bardziej efektywne zarządzanie. Nie zastąpi specjalisty, ale pozwala znacznie złagodzić brak ludzi z odpowiednimi kompetencjami

Dziękujemy za rozmowę!

 

Paweł Wojciechowski

Stanowisko: BDM
Firma: Fortinet
Z branżą IT związany od ponad 25 lat. Doświadczenie zdobywał pracując m.in. dla Hewlett-Packard, EMC i Symantec, będąc odpowiedzialny za rozwój biznesu w Polsce, jak również Austrii, Czechach, Słowacji i krajach bałtyckich. Absolwent Politechniki Warszawskiej, University of Bristol oraz programu MBA w Szkole Biznesu Politechniki Warszawskiej. Obecnie w firmie Fortinet pełni funkcję Business Development Manager.

 

Eksperci Fortinet o socjotechnicznych atakach w postcovidowej rzeczywistości

Eksperci Fortinet o socjotechnicznych atakach w postcovidowej rzeczywistości

Spowodowane pandemią nagłe przejście na telepracę zaskoczyło wiele przedsiębiorstw, a brak odpowiedniego przygotowania naraził ich sieci na zagrożenia. Działania manipulacyjne cyberprzestępców, obecne w licznych atakach phishingowych i spearphishingowych, zaczęły bowiem koncentrować się wokół obaw użytkowników komputerów związanych z COVID-19. Teraz, gdy wiele firm ponownie zmienia model pracy, konieczne jest rozważenie, jak wpłynie to na bezpieczeństwo ich infrastruktury IT.

Analitycy Derek Manky i Aamir Lakhani z FortiGuard Labs, działającego w strukturach firmy Fortinet, wyjaśniają, jak w czasie pandemii zmodyfikowane zostały techniki działań socjotechnicznych oraz wskazują, co firmy muszą zrobić, aby zabezpieczyć środowiska pracy hybrydowej.

Czym spotykane obecnie zagrożenia socjotechniczne różnią się od tych z początku pandemii?

Derek: Mamy za sobą już ponad 15 miesięcy pandemii. Zakładałem, że po takim czasie zabiegi socjotechniczne związane z COVID-19 będą coraz mniej popularne. Analiza naszych danych wskazuje jednak, że liczba ataków, szczególnie prowadzonych z wykorzystaniem wiadomości e-mail, pozostaje na podobnym poziomie. Różnica polega jedynie na wykorzystywanych do manipulacji tematach. Na początku dotyczyły one głównie pracy zdalnej. Obecnie koncentrują się na ponownym otwarciu biur i kwestiach związanych ze szczepieniami. Popularne jest podszywanie się pod pracowników działów bezpieczeństwa IT.

Aamir: Również oczekiwałem zmniejszenia liczby ataków wykorzystujących temat COVID-19. Biorąc jednak pod uwagę skuteczność, jaką miały niektóre z nich, trudno się dziwić, że kwestie związane z pandemią wciąż są popularne. Cyberprzestępcy po prostu dostosowują swoje przynęty do aktualnej sytuacji i wykorzystują nowe tematy. Niestety, ludzie często nie traktują tych ataków tak poważnie, jak powinni. Na przykład, powrót do pracy stacjonarnej przekłada się na większą liczbę wiadomości phishingowych od przestępców podszywających się pod korporacyjnych specjalistów IT. Należy się spodziewać, że te e-maile będą zgodne z korporacyjnymi wytycznymi dotyczącymi bezpieczeństwa. Przykładowo, będą nakazywać pracownikom ostrożność wobec podejrzanych wiadomości, a jednocześnie będą zachęcać do kliknięcia w znajdujące się w nich złośliwe łącza. Dlatego działy IT w każdej firmie muszą pamiętać o dzieleniu się z pracownikami wiedzą o cyberzagrożeniach i odpowiednio ich uczulać na zagrożenia.

W jaki sposób cyberprzestępcy zmieniają taktykę działania, gdy coraz więcej firm przechodzi na hybrydowe modele pracy?

Aamir: Chociaż coraz więcej osób jest zaszczepionych, a świat wraca do poczucia „normalności”, to o COVID-19 wciąż codziennie słyszymy w mediach. Cyberprzestępcy to wykorzystują, dostosowując jedynie przynęty do popularnych aktualnie tematów. Pojawiają się jednak również nowe taktyki, związane z powrotem do biur. Co zaskakujące, rośnie popularność modelu Ransomware-as-a-Service, w którym cyberprzestępcy dokonują włamania, a następnie oferują „usługi konsultingowe” – w zamian za okup deklarują ujawnienie firmowym specjalistom, w jaki sposób uzyskali dostęp do sieci. W niektórych przypadkach kampanie te przynoszą miliony dolarów zysku. To naprawdę interesująca zmiana w podejściu cyberprzestępców, ponieważ do tej pory próbowali wpłynąć na emocje atakowanego, a teraz oferują im pomoc, oczywiście z korzyścią dla siebie.

Derek: Warto zauważyć, że wiele informacji, których ujawnienie może mieć negatywne konsekwencje, przekazywanych jest przez ich posiadaczy dobrowolnie. Cyberprzestępcy mogą uzyskać dostęp do tych danych i wykorzystać je do przeprowadzenia ataków typu spear phishing. Niektóre informacje przesyłane między pracownikami również mogą zawierać poufne informacje korporacyjne i dane umożliwiające identyfikację konkretnej osoby. W takiej sytuacji cyberprzestępcy nie mają już wiele pracy – wystarczy pobranie dokumentów i informacji publicznie udostępnionych.

O czym zarządy przedsiębiorstw powinny pamiętać przy tworzeniu planów bezpieczeństwa dopasowanych do nowych modeli pracy?

Aamir: Jeżeli firma wysyła jakieś dane do usługodawcy lub dostawcy, trzeba zastanowić się w jaki sposób są one przetwarzane. Czy partnerzy dbają o ochronę poufnych informacji przed zagrożeniami? To są trudne pytania, które należy zadać już na samym początku współpracy. Kupując produkty IoT pytajmy o ich zabezpieczenia, możliwość dostania się do nich z innych sieci, sposób komunikowania z innymi urządzeniami – to wszystko jest bardzo ważne. Właściwie należy się zastanowić, czemu nie zadajemy tych pytań na co dzień, również sobie. Czy przekazując dalej otrzymaną wiadomość e-mail nie udostępniamy jakichś poufnych informacji?

Derek: Ważne jest, aby współpracować i reagować na zagrożenia. Kluczowa jest jednak kwestia zaufania. Jeśli nadawca złośliwych wiadomości e-mail jest sfalsyfikowany i rozsyłane są one rzekomo przez korporacyjny zespół, pracownicy muszą dysponować odpowiednią wiedzą, aby zidentyfikować je jako potencjalne zagrożenie i zweryfikować tożsamość nadawcy. Model zero trust jest tutaj bardzo ważny, bo zmniejsza przestrzeń, w ramach której mogą działać cyberprzestępcy. To rozwiązanie było kluczowe podczas przejścia na pracę zdalną i powinno zostać zastosowane również w przypadku pracy hybrydowej.

 

Jeśli nie rozumiesz co się stało, nie wiesz jak się bronić

Jeśli nie rozumiesz co się stało, nie wiesz jak się bronić

Największe wyzwanie w obszarze cyberbezpieczeństwa i analizy poincydentowej to dzisiaj masowa praca zdalna. Systemy, które zapewniały ochronę wcześniej, dzisiaj już tak dobrze nie działają. Potrzeba nowych rozwiązań, które pozwolą odpowiedzialnym za bezpieczeństwo zespołom na zdalne zabezpieczanie i analizowanie informacji po incydentach – rozmowa z Michałem Ceklarzem, odpowiedzialnym za Cybersecurity w regionie CEE w firmie OpenText.

 

OpenText to duża organizacja z szerokim portfolio rozwiązań dotyczących szeroko rozumianego zarządzania i przepływu informacji w firmie. Jak wygląda oferta w zakresie cyberbezpieczeństwa?

Michał Ceklarz [MC]: Dział bezpieczeństwa powstał w wyniku przejęcia w 2017 r. firmy Guidance Software, która oferowała stworzone na potrzeby organów ścigania rozwiązanie pozwalające na przechowywanie i przetwarzanie informacji cyfrowych stanowiących dowody w sprawach w sposób akceptowany przez sądy.

Budowa tego rozwiązania stanowiła odpowiedź na rosnące znaczenie dowodów elektronicznych we wszystkich dochodzeniach, nie tylko w sprawach związanych z cyberprzestępczością. Taka jest geneza Encase, technologii która bardzo szybko stała się faktycznym standardem wykorzystywanym przez organy ścigania.

EnCase został rozwinięty przez OpenText po przejęciu Guidance Software. W jakim kierunku było rozwijane to oprogramowanie?

MC: OpenText dostrzegł, że nie tylko organy ścigania chcą i potrzebują analizować dowody elektroniczne. Dlatego dopasował EnCase do potrzeb firm komercyjnych, które coraz częściej prowadzą wewnętrzne dochodzenia w związku z niewłaściwymi zachowaniami swoich pracowników, ale także analizy dostępnych dowodów po zaistnieniu incydentów takich jak np. ataki ransomware.

EnCase Endpoint Investigator oferuje praktycznie te same możliwości co systemy dla organów ścigania, ale bez reżimu regulacji prawnych, których częścią jest rekwirowanie sprzętu. Wynika to z faktu, że organizacja musi zachować ciągłość pracy pomimo wystąpienia incydentu. Analiza i działania naprawcze muszą być prowadzona bez zakłócania działania użytkownika, a najlepiej w ogóle bez jego wiedzy i zaangażowania.

Przy tym EnCase Endpoint Investigator dostarcza nie tylko narzędzia niezbędne do prowadzenia dochodzenia, ale także technologię EDR (EnCase Endpoint Protection), która pozwala na wykrywanie zagrożeń nie tylko na podstawie sygnatur, ale także zestawów zachowań np. określonych grup cyberprzestępczych APT. Na stacji roboczej instalowany jest niewielki agent, który działa podobnie do rootkita – pozostaje niewidoczny dla systemu operacyjnego, ale zapewnia możliwość kompletnej analizy z poziomu systemowego.

Pozwala to np. na wykonywanie migawek systemu, które dostarczają informacji o tym jak wygląda system w danej chwili i co się na nim znajduje. Umożliwia także zapobieganie atakom, ponieważ wykrywa np. atak ransomware, uniemożliwia uruchomienie aplikacji i blokuje połączenie z serwerem, na którym odbywa się szyfrowanie. Po incydencie można sprawdzić skąd wziął się plik. Do tego można przeprowadzić powiązaną analizą w skali całej organizacji i wykryć infekcje na innych stacjach.

 

 

Czy agent musi być obecny na stacji roboczej?

MC: Agent instalowany na stacji roboczej to idealny scenariusz, ponieważ pełni funkcję EDR oraz umożliwia analizę po incydencie. Można jednak również zainstalować agenta już po incydencie. Nie zapobiegnie to atakowi, ale pomoże zrozumieć dlaczego do niego doszło i wyeliminować jego źródło na przyszłość. Połączenie mechanizmów obronnych z analizą post-incydentową często nazywamy „Digital Forensic Incident Responce” – DFIR.

Jeśli agent działał na stacji już wcześniej, jest oczywiście łatwiej. Można np. porównać migawki z kolejnych dni, żeby ustalić kiedy pojawił się plik i jak dalej działał. To pozwala na wykorzystanie go także nie tylko w związku z cyberatakami, ale także w sprawach miękkich. Klienci wykorzystują EnCase także do wykrywania nadużyć i oszustw. Przykładowo można wykryć, że choć pracownik jest uprawniony do dostępu do określonych danych, to jednak sięga do nich częściej niż powinien, albo zaczyna je gromadzić na dysku – nie chodzi nawet o to, że zamierza coś złego, ale robi to dla wygody, a nie powinien, bo zwiększa się ryzyko ich wycieku. Zdarza się, że EnCase potwierdza niewinność pracownika podejrzewanego o jakieś niezgodne z prawem czy procedurami działanie.

Co można osiągnąć dzięki wykorzystaniu EnCase?

MC: W większości firmy skupiają się raczej na wykrywaniu i zapobieganiu atakom. Jednocześnie zwykle zapominają o korzyściach z analiz prowadzonych po wystąpieniu incydentu. Szkoda, ponieważ taka analiza dostarcza wskazówek, jak się zabezpieczyć przed atakiem w przyszłości.

W praktyce scenariusz ataku ransomware jest taki, że jeśli nie udało się go wykryć przed zaszyfrowanie, to pozostaje jedynie ponowna instalacja stacji roboczej, która najczęściej, jakiś czas później, znowu staje się celem ataku. Dzieje się tak dlatego, ponieważ tak naprawdę nie wiemy dlaczego doszło do ataku. Tymczasem mamy do czynienia z tą samą stacją i tym samym użytkownikiem, który raczej nie zmienił swoich przyzwyczajeń i sposobu działania.

Jeśli nie analizujemy sytuacji po incydencie, to nie rozumiemy co się stało  i nie wiemy jak przeciwdziałać podobnym sytuacjom w przyszłości. Tak było właśnie w głośnej sprawie Sony: firma skupiała się na maksymalnie szybkim przywróceniu działania, nie analizując co dokładnie się wydarzyło i kończyło się to ponowną kompromitacją systemu. Trwało to blisko 10 tygodni.

Dlaczego tak się dzieje?

MC: Dzisiaj skuteczny atak wiąże się z tzw. lateral movement, czyli rozprzestrzenianiem się zagrożenia z jednej stacji na całą organizację. Jeśli mamy do czynienia z zaawansowanym atakiem, to rzadko jest on wykrywany od razu. Raczej dzieje się to dopiero, kiedy zainfekowana jest większość infrastruktury w organizacji. Jeśli tego nie wiemy co się stało, nie znamy całego kontekstu, to nie jesteśmy w stanie szybko przywrócić normalności. Podnosimy kilka stacji, ale za chwilę mamy zwykle powtórkę. Potwierdza to także historia Solar Winds. O ataku nie informowała pierwsza ofiara, ale firmy, których atak dotknął w konsekwencji tego pierwszego ataku.

Właśnie dlatego tak się dzieje, ponieważ firmy skupiają się przede wszystkim na wykrywaniu i zapobieganiu. Jeśli jednak im się to nie udaje, a praktyka dowodzi, że czasem tak się dzieje, to brak analizy po incydencie bywa kosztowny. Nie rozumiemy zagrożenia, nie wiemy dlaczego doszło do incydentu i nie wiemy jak zareagować, działamy w ciemno.

Jak pandemia wpłynęła na ten obszar cyberbezpieczeństwa?

MC: Pojawienie się na masową skalę pracowników zdalnych sprawiło, że wszystkie zabezpieczenia, w które firmy inwestowały przez lata, przestały zapewniać im ochronę. Nie mamy kontroli nie tylko nad sprzętem wykorzystywanym przez pracowników zdalnych, ale także nad chmurą. W tej sytuacji wykrywanie incydentów jest znacznie trudniejsze niż wcześniej, a jeszcze trudniejsza jest analiza po incydencie. Kiedyś można było po prostu podejść do biurka pracownika, odłączyć komputer od środowiska, zabrać go do siebie, skopiować dysk i rozpocząć analizę. Teraz większość dochodzeń musi być prowadzona zdalnie.

Jak EnCase sprawdza się w tej nowej sytuacji?

MC: Doskonale. Umożliwia działanie w sposób całkowicie zdalny. Przykładowo pozwala na weryfikowanie czy komputery nie są wykorzystywane przez pracowników niezgodnie z firmową polityką. Kiedy sprzęt służbowy jest w domu, a domowe komputery wykorzystywane są głównie przez dzieci, firmowe laptopy często służą do robienia czegoś, do czego nie powinny służyć, ponieważ nie są do tego przystosowane.

A czy może działać w sposób zautomatyzowany, wyręczając specjalistów prowadzących analizy?

MC: EnCase działa w pewnym zakresie automatycznie, na podstawie reguł. Jednak części dochodzeniowej nie da się zautomatyzować, ponieważ jest ściśle uzależniona od kontekstu. Przykładowo treści o alkoholu w organizacji finansowej mogą być uznane za niepożądane, ale u dystrybutora napojów alkoholowych nie są niczym niewłaściwym. To człowiek prowadzący dochodzenie decyduje, w jakim kierunku prowadzi działania.

Automatyzacja może dotyczyć jedynie wybranych obszarów. Takim przykładem jest pornografia dziecięca. EnCase wykorzystuje dane z bazy Interpolu, która określa, jakie treści niewątpliwie wypełniają definicję pornografii dziecięcej. Dzięki temu można w prosty sposób automatycznie sprawdzić czy takie pliki znajdują się na komputerach w naszej organizacji.

Samo rozwiązanie pozwala na zautomatyzowanie działań, które podejmuje zawsze/często w określonej sytuacji. Np. jeśli analityk z pierwszej linii SOC (Security Operation Center) podejrzewa kompromitację stacji roboczej, może automatycznie wywołać polecenie wykonania „migawki” systemu operacyjnego i pamięci w EnCase. System doskonale współpracuje z zewnętrznymi elementami bezpieczeństwa od innych dostawców umożliwiając automatyzacje i skracając czas reakcji.

Jak organizacje w Polsce wypadają na tle świata w kontekście analiz poincydentowych?

MC: Niektóre firmy mają bardzo wysoką świadomość w tym zakresie. Ogólnie sytuację w tym zakresie znacznie poprawiła ustawa o KSC. Największe znaczenie mają jednak regulacje sektorowe. Przykładowo w większości organizacji z sektora finansowego istnieją zespoły odpowiedzialne za analizę poincydentową, które stanowią najczęściej trzecią linię SOC.

Wiele z tych zespołów korzysta z naszego rozwiązania, ale raczej z wersji lokalnych, które nie umożliwiają zdalnego dochodzenia. Teraz właśnie dochodzą do wniosku, że muszą to zmienić, bo dzisiaj zabranie komputera do analizy i przekazanie nowego zajmuje kilka dni – to za długo. Zresztą obserwujemy to nie tylko w Polsce, ale w całym regionie Europy Środkowowschodniej.

 

Chmura jest bezpieczna

W cyberbezpieczeństwie potrzeba ludzi ciekawych świata i ze zdolnościami do uczenia się. Najbardziej cenię współpracowników z pasją, którzy chętnie podejmują nowe wyzwania. Jako szef, chcę być jak najbliżej swojego zespołu, ułatwiać mu realizację zadań. W środowisku chmurowym w Polsce mamy jeszcze wiele do zrobienia – mówi Adam Marczyński, Chief Security Officer w firmie Operator Chmury Krajowej (OChK).

Zagrożenia związane ze sztuczną inteligencją: to nie jest science fiction

Rynek rozwiązań cyberbezpieczeństwa wykorzystujących uczenie maszynowe rozwija się bardzo dynamicznie. Niestety, niewiele wiadomo, czy i jak korzystają z technologii sztucznej inteligencji przestępcy i grupy sponsorowane przez państwa. O trendach, nowych rozwiązaniach i zagrożeniach związanych ze sztuczną inteligencją, uczeniem maszynowym oraz internetem rzeczy rozmawiamy z Januszem Żmudzińskim, ekspertem w obszarze bezpieczeństwa teleinformatycznego, członkiem Polskiego Towarzystwa Informatycznego i ISACA.

Czytaj dalej >>

Uniemożliwiajmy atakującym osiąganie celów

Atakujący mają określone cele. Aby skutecznie się bronić, musimy udaremniać ich realizację. Pamiętajmy też, że w przypadku systemów cyberfizycznych cele będą zawsze dotyczyć części fizycznej, a nie cyfrowej. Rozmowa ze Stefano Zanero, PhD, Associate Professor, Politecnico di Milano.

Czytaj dalej >>

Cyberbezpieczeństwo: informacja, edukacja, zabezpieczenia

„Ustawa o KSC stwarza potencjał dla rozwoju polskiego sektora cyberbezpieczeństwa. Otwiera bowiem rynek usług w tym zakresie. Zapewnienie warunków do spełnienia jej wymogów jest w gestii każdego podmiotu uznanego za operatora usług kluczowych. Podejście bazujące na analizie ryzyka daje jednak szansę dopasowania zastosowanych rozwiązań do specyfiki konkretnej organizacji” – mówi Karol Okoński, Sekretarz Stanu w Ministerstwie Cyfryzacji, Pełnomocnik Rządu ds. Cyberbezpieczeństwa.

Czytaj dalej >>

Hybrydowe cyberbezpieczeństwo

„Dzisiaj jesteśmy na etapie propagandy i oddziaływania informatycznego, a nie kinetycznego. Doświadczamy tego na co dzień w mniejszym lub większym stopniu. Należy to jednak traktować wyłącznie jako poligon – żołnierze muszą gdzieś ćwiczyć. Nadal nie wiemy jednak, co potencjalni agresorzy mają w zanadrzu” – mówił płk dr hab. inż. Piotr Dela, profesor nadzwyczajny w Zakładzie Cyberbezpieczeństwa Akademii Sztuki Wojennej, podczas wystąpienia na konferencji „InfraSEC 2019”. Zapytaliśmy go, jakie implikacje dla infrastruktury krytycznej ma wojna hybrydowa i jak się można zabezpieczyć przed działaniami dezinformacyjnymi oraz atakami w cyberprzestrzeni.

Czytaj dalej >>