WIEDZA
Historia rozwoju cyberprzestępczości (część IV – Nadejście ery nowoczesnego ransomware’u) Druga dekada nowego tysiąclecia rozpoczęła się od wzrostu popularności ransomware’u oraz wykorzystywania kryptowalut do opłacania okupów. W 2017 roku światem wstrząsnęły ataki WannaCry oraz Petya/NonPetya, które sparaliżowały działalność wielu firm i instytucji na całym świecie. Specjaliści Fortinet przedstawiają czwartą i ostatnią część historii rozwoju cyberprzestępczości. 2011/12: Reveton Reveton stał się wzorcem dla współczesnego oprogramowania ransomware, mimo że nie był pierwszym tego rodzaju narzędziem w erze internetu. Jego wygląd, projekt ekranu blokady ze szczegółowymi informacjami o tym co się stało, jak nawiązać kontakt, zapłacić okup i odszyfrować pliki, stały się inspiracją dla kolejnych cyberprzestępców. 2013: CryptoLocker – pojawienie się kryptowaluty jako opcji płatności CryptoLocker był pierwszym oprogramowaniem ransomware, którego autorzy żądali zapłaty w bitcoinach. Cena za odszyfrowanie plików wynosiła dwa BTC, czyli w 2013 r. od 13 do 1100 dolarów. Pamiętajmy, że był to czas, gdy kryptowaluty były jeszcze w powijakach. Nakłonienie nietechnicznych ofiar nie tylko do zapłacenia okupu, ale również do zrozumienia, jak w ogóle używać kryptowalut, stanowiło często przeszkodę nie do pokonania. 2013: DarkSeoul i Lazarus Rok 2013 to także czas ataków sponsorowanych przez państwa. Jeden z nich, nazwany DarkSeoul, posłużył 20 marca 2013 roku do ataku na koreańskiego nadawcę SBS oraz instytucje bankowe w Korei Południowej. Ucierpiało wówczas również wielu użytkowników usług internetowych, firm telekomunikacyjnych i bankomatów. Atak ten został przypisany północnokoreańskiej organizacji Lazarus, która w 2014 r. zaatakowała również Sony Corporation, wykradając poufne informacje w odpowiedzi na film „The Interview”, w którym wyśmiewano przywódcę Korei Północnej Kim Dzong Una. Zespół Lazarus był także powiązany z atakami na Bank Bangladeszu w 2016 roku. Próbowali ukraść 951 mln dolarów, ale udało im się zdobyć kwotę „tylko” 81 mln dolarów. 2015: Browser Locker i oszustwa związane z podszywaniem się pod pomoc techniczną Pierwsze oszustwa związane z podszywaniem się pod pomoc techniczną oraz różne warianty blokady przeglądarki pojawiły się w 2015 roku. Ataki tego rodzaju imitują działanie oprogramowania ransomware, sprawiając, że ofiary albo wpadają w panikę i dzwonią na podany numer pomocy technicznej do podmiotu działającego w innym kraju jako wsparcie techniczne (i także dokonującego oszustw finansowych) albo po prostu płacą kryptowalutą za „naprawienie” ich systemu. 2016: Pojawia się pierwszy botnet IoT Osławiony Mirai to pierwszy botnet, który atakował urządzenia IoT, a jego głównym celem były routery sieciowe. Był to głównie botnet DDoS odpowiedzialny za paraliż ogromnej części internetu, po tym jak zakłócił dostęp do części usług na całym świecie. Mirai wzbudził zainteresowanie nie tylko dlatego, że był nowatorski, ale również dlatego, że w krótkim czasie zdołał zbudować globalną armię członków botnetu, co pozwoliło mu przekierować ruch internetowy na atakowane strony z zainfekowanych systemów na całym świecie. To sprawiło, że szczególnie trudno było się przed nim bronić. Różne warianty Mirai wciąż funkcjonują i niestety mają się dobrze – także dlatego, że twórcy Mirai udostępnili jego kod do wykorzystania przez innych przestępców. 2017: ShadowBrokers (NSA), WannaCry, Petya/NotPetya Wyciek danych z Agencji Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) spowodowany przez grupę ShadowBrokers był bezprecedensowy i o poważnych skutkach – nie tylko dlatego, że w jego efekcie zostało ujawnione tajne złośliwe oprogramowanie rozwijane przez osoby powiązane z najwyższymi szczeblami amerykańskiego rządu, ale również dlatego, iż przestępcy skutecznie je wykorzystali. Narzędzia te, o kryptonimie „Fuzzbunch”, stanowiły podstawę exploitów opracowanych przez NSA. Niektóre korzystały ze złośliwego oprogramowania znanego jako DoublePulsar – backdoora, który zawierał niesławny exploit „EternalBlue”. Został on później wykorzystany do rozprzestrzeniania ransomware’ów WannaCry i Petya/NotPetya, co miało katastrofalne skutki. Te warianty były tak destrukcyjne, że spowodowały zamknięcie zakładów produkcyjnych na całym świecie. Do dziś nikt nie zdołał przypisać włamania/wycieku członkostwa w grupie ShadowBrokers żadnej osobie. 2017: Cryptojacking Związek zagrożeń z kryptowalutami początkowo sprowadzał się do użycia ich do płacenia okupów w ramach ataków ransomware lub okradania portfeli z wirtualnymi pieniędzmi. Jednak w 2018 roku pojawiło się nieznane wcześniej niebezpieczeństwo. XMRig to aplikacja napisana w celu wydobywania kryptowaluty Monero. Jej działanie polega na użyciu cykli procesora do prowadzenia obliczeń matematycznych wykorzystywanych w kopaniu kryptowalut. Jednak cybergangi zaczęły potajemnie instalować XMRig na zaatakowanych maszynach i urządzeniach, a następnie zbierać i agregować wydobyte kryptowaluty dla własnych zysków. 2019: GandCrab i pojawienie się oprogramowania ransomware jako usługi GandCrab zapoczątkował nowe zjawisko w cyberprzestępczości, które doprowadziło do zwiększenia liczby i poziomu złośliwości ataków poprzez masowe udostępnienie za opłatą narzędzi do tworzenia i przeprowadzania ataków ransomware. Twórcy GandCrab starali się osiągnąć dwa cele: uniezależnić się od realnych ataków na przedsiębiorstwa oraz generować większe przychody. Udoskonalili więc model biznesowy znany jako Ransomware-as-a-Service (RaaS). Całą „brudną robotę” wykonują w nim osoby kupujące dostęp do narzędzia, podczas gdy jego autorzy pozostają w tle i pobierają część zapłaconego okupu – od 25 do 40%. Okazało się to opłacalne dla obu stron, ponieważ autorzy GandCraba nie musieli ponosić ryzyka związanego z poszukiwaniem i infekowaniem ofiar, a „partnerzy” nie musieli poświęcać czasu na samodzielne tworzenie oprogramowania ransomware. Twórcy GandCrab w czerwcu 2019 r. ogłosili przejście na emeryturę, po tym jak – według nich samych – zarobili 2 miliardy dolarów. Później byli luźno powiązani z przestępcami odpowiedzialnymi za Sodonikibi i REvil, przede wszystkim jako część ataku na Colonial Pipeline latem 2021 roku. Inne godne uwagi warianty RaaS, które pojawiły się po GandCrab, to BlackCat, Conti, DarkSide i Lockbit. Podsumowanie Jak podkreślają specjaliści z Fortinet, między 1971 r. a początkiem 2000 r. złośliwe oprogramowanie było w większości wykorzystywane do żartów lub prób sprawdzenia przez autorów wirusów, czy stworzone przez nich dzieło zadziała. Na przełomie wieków zjawisko to ewoluowało jednak w stronę bardzo dochodowej cyberprzestępczości, a także ataków organizowanych przez państwa. Zmieniło się także znaczenie terminu „wirus” w stronę współczesnego „złośliwego oprogramowania”, co odzwierciedla ewolucję zagrożeń w ciągu ostatnich 20 lat. Nie jest przypadkiem, że zmiany te zbiegły się w czasie z rozwojem hiperpołączonego świata, w którym obecnie żyjemy. Wkraczając w następną epokę możemy niestety przypuszczać, że zagrożenia nadal będą ukierunkowane na wszelkie modne lub aktualne trendy i rozwiązania techniczne.
Historia rozwoju cyberprzestępczości (część III – Ataki na systemy przemysłowe) Druga połowa lat dwutysięcznych to okres daleko idących zmian w rozwoju cyberprzestępczości. Na globalnej scenie miejsce popularnych wcześniej robaków zaczęły zajmować narzędzia stworzone przez zorganizowane grupy hakerskie, które były nastawione na zysk i zainfekowanie jak największej liczby urządzeń. Był to także czas rozwoju złośliwych narzędzi uderzających w infrastrukturę krytyczną i przemysłową. Specjaliści z firmy Fortinet przedstawiają trzecią część opracowania dotyczącego historii rozwoju cyberprzestępczości. 2005: Mytob/Zotob – robak, backdoor i botnet w jednym Przed pojawieniem się Mytoba autorami złośliwego oprogramowania byli głównie entuzjaści, którzy tworzyli je z chęci zrobienia żartu lub z czystej ciekawości. Jednak pojawienie się wariantów Mytob/Zotob zmieniło świat. Mytob łączył w sobie funkcje robaka, backdoora oraz botnetu. Infekował urządzenia na dwa sposoby. W pierwszym wykorzystywał kontakty z książki adresowej ofiary do automatycznej dystrybucji – rozsyłał się w złośliwych załącznikach poczty elektronicznej. W drugim korzystał z luk w protokołach, dzięki którym mógł skanować sieć w poszukiwaniu podatnych urządzeń, a następnie dokonywać replikacji na nie. Mytob był też jednym z pierwszych rodzajów złośliwego narzędzia, które blokowało oprogramowanie antywirusowe lub wręcz działało przeciwko niemu, uniemożliwiając połączenie komputera ofiary z witrynami zawierającymi aktualizacje. Jak na swoje czasy był bardzo efektywny, miał też wiele wariantów o różnej funkcjonalności. Stale znajdował się na pierwszych miejscach list największych zagrożeń. Warianty Mytob/Zotob spowodowały ogromne zakłócenia w funkcjonowaniu 100 firm, w tym dziennika New York Times czy stacji telewizyjnej CNN. Początek ery oprogramowania szpiegującego i przechwytywania wyników wyszukiwania 2005: CoolWebSearch i BayRob CoolWebSearch, powszechnie znany jako CWS, był pierwszym narzędziem, które pozwalało cyberprzestępcom na przechwytywanie wyników wyszukiwania z Google i nałożenie na nie „wyników” pochodzących od samych hakerów. CWS był najczęściej rozprzestrzeniany za pomocą pobieranych z sieci aplikacji lub też programów typu adware. Był tak rozpowszechniony i trudny do usunięcia, że ochotnicy opracowali programy (jak np. CWS Shredder) i zarządzali forami internetowymi, aby pomóc w bezpłatnym usuwaniu go. Podobny atak pojawił się kilka lat później, w 2007 roku. W jego efekcie przestępcy przechwytywali wyniki wyszukiwania z serwisu eBay. Został on wykryty, gdy pewna kobieta ze stanu Ohio kupiła samochód za kilka tysięcy dolarów, który nigdy nie dotarł na miejsce. Władze ustaliły, że pojazd ten w rzeczywistości nie został wystawiony na sprzedaż, a na komputerze niedoszłej nabywczyni znajdowało się złośliwe oprogramowanie BayRob, które „wstrzykiwało” na jej urządzenie fałszywe oferty. FBI i Symantec przez lata cierpliwie czekały na błąd cyberprzestępców, co zakończyło się ich aresztowaniem w 2016 r. Spyware, spy vs. spy oraz odkrycie cyberbroni stosowanej przez państwa 2010: Stuxnet Początek 2010 r. to czas wykrycia złośliwego oprogramowania wykorzystywanego do atakowania urządzeń przemysłowych (ICS – Industrial Control Services), a konkretnie urządzeń do kontroli i zbierania danych (SCADA). Stuxnet okazał się pierwszym złośliwym oprogramowaniem wymierzonym w infrastrukturę krytyczną. W tym przypadku były to wirówki przemysłowe (zwłaszcza nuklearne), w których Stuxnet powodował ich nadmierne obracanie się i doprowadzał do stopienia. Zaatakował przede wszystkim firmy w Iranie, ale wkrótce rozprzestrzenił się na systemy SCADA na całym świecie. Analiza jego kodu wykazała, że nie jest on charakterystyczny dla urządzeń wykorzystywanych w Iranie i może być dostosowany do każdej firmy, która korzysta z rozwiązań ICS. W opublikowanym w 2012 roku na łamach NY Times artykule potwierdzono, że Stuxnet został opracowany przez Stany Zjednoczone i Izrael. 2011: Regin Regin był modułowym trojanem zdalnego dostępu (Remote Access Trojan, RAT), który łatwo mógł dostosować się do środowiska docelowego. Dokumenty, które ulegały eksfiltracji, były często przechowywane w zaszyfrowanym kontenerze. Dzięki temu, że znajdowały się w jednym pliku, nie wzbudzało to podejrzeń administratorów systemu lub oprogramowania antywirusowego. Według Der Spiegel, Regin był tworem amerykańskiej agencji NSA i został zaprojektowany do szpiegowania obywateli Unii Europejskiej. Zostało to ujawnione przy okazji wycieku informacji dostarczonych przez Edwarda Snowdena. 2012: Flame W momencie odkrycia Flame był uważany za najbardziej zaawansowane złośliwe oprogramowanie, jakie kiedykolwiek znaleziono. Miało wszystko: zdolność do rozprzestrzeniania się za pośrednictwem sieci LAN, potrafiło nagrywać i przechwytywać zrzuty ekranu oraz dźwięk, podsłuchiwać i nagrywać rozmowy. Celem Flame’a były przede wszystkim organizacje na Bliskim Wschodzie.
Historia rozwoju cyberprzestępczości (część II – Krok w nowe tysiąclecie) Wraz z początkiem nowego tysiąclecia świat stawał się coraz bardziej połączony w wyniku szybkiego rozwoju internetu. W tym samym czasie nastąpił też gwałtowny wzrost liczby cyberataków, spowodowany między innymi rosnącą liczbą użytkowników sieci, a więc potencjalnych ofiar. Specjaliści z firmy Fortinet przedstawiają kolejną część historii rozwoju złośliwego kodu i cyberprzestępczości, w której omawiają przełom XX i XXI wieku oraz pierwsze robaki, które rozprzestrzeniały się po całym świecie bez konieczności ingerencji ze strony użytkowników. 1999: Y2K Rok 1999 był czasem rozwoju nowych firm z branży zaawansowanych technologii (tzw. dotcomów) i jednocześnie obaw związanych z błędem Y2K. znanym w Polsce jako pluskwa milenijna. Zjawisko to wywoływało powszechną panikę, ponieważ istniała obawa, że starsze komputery po 31 grudnia 1999 roku przestaną działać z powodu wady oprogramowania zapisanego w systemie BIOS komputera, które steruje pracą płyty głównej. Istniało ryzyko, że jego twórcy zapisywali aktualny rok korzystając tylko z ostatnich dwóch cyfr. To skutkowałoby sytuacją, w której 1 stycznia 2000 r. system operacyjny komputera miał „myśleć”, że jest 1 stycznia 1900 r. Zakłóciłoby to pracę np. infrastruktury krytycznej: od pomp benzynowych i wind po giełdy i elektrownie. Ostatecznie Y2K okazał się mniejszym problemem niż sądzono. Dzięki podjętej w skali całego świata w 1999 r. akcji weryfikacyjnej większość firm i osób prywatnych w żaden sposób tego nie odczuła. Jednak, jak przypominają eksperci Fortinet, strach przed Y2K zdominował wiadomości na całym świecie na wiele miesięcy. 1999/2000: pojawia się pierwszy botnet W 2000 r. coraz większą popularność zdobywał stały dostęp do internetu. Użytkownicy domowi i firmy mogły być online przez całą dobę. Dla cyberprzestępców stanowiło to okazję nie do odrzucenia, weszli więc tym samym w erę botnetów i robaków. Najprościej mówiąc, botnet jest to grupa zainfekowanych komputerów, które znajdują się pod kontrolą operatora. W tamtych latach botnety były bardzo proste. Pierwszym zaobserwowanym botnetem był EarthLink Spam, który zadebiutował w 2000 roku. Miał on proste zadanie: rozsyłać ogromne ilości spamu. Odpowiadał za 25% ówczesnej śmieciowej poczty, w sumie około 1,25 miliarda wiadomości. Jego operator Khan C. Smith otrzymał karę w wysokości 25 milionów dolarów. Jeszcze wcześniej, w 1999 roku, powstał GTbot, co czyni go pierwszym botnetem w historii. Było to bardzo prymitywne narzędzie. Rozprzestrzeniało się na inne urządzenia i odbierało polecenia za pośrednictwem czatów IRC. Jego kontrolerzy wykorzystywali sieć zainfekowanych urządzeń do przeprowadzania ataków typu DDoS (rozproszona odmowa usługi – Distributed Denial-Of-Service). Wzrost popularności robaków Robaki wciąż stanowią część arsenału hakerów, choć nie są już tak powszechne jak 20 lat temu. Różnią się od wirusów tym, że do ich rozprzestrzeniania nie jest potrzebna ingerencja człowieka. We wczesnych latach dwutysięcznych zainfekowanie robakiem było zazwyczaj dość łatwo zauważalne, ponieważ często uniemożliwiało korzystanie z urządzenia. Robaki zużywały coraz więcej mocy obliczeniowej komputera i ostatecznie zatrzymywały pracę na zainfekowanej maszynie. Ich działanie było wykorzystywane m.in. do prowadzenia ataków DoS (odmowa usługi). Gdy złośliwy kod rozprzestrzenił się np. na całą firmę, zakłócał jej funkcjonowanie, niezależnie od tego, czy taka była intencja twórców robaka. 2000: I LOVE YOU Nowe tysiąclecie rozpoczęło od dużego zainteresowaniem mediów robakiem I LOVE YOU, który w rekordowym tempie rozprzestrzeniał się po całym świecie. Został on stworzony przez studenta z Filipinów – Onela De Guzmana. I LOVE YOU rozprzestrzeniał się przy użyciu wielu mechanizmów. Przede wszystkim był wysyłany do użytkowników za pośrednictwem poczty elektronicznej jako złośliwy załącznik „LOVE-LETTER-FOR-YOU.txt.vbs””. Po otwarciu przez zaatakowanego robak przeszukiwał książkę adresową Microsoft Outlook i wysyłał wiadomości e-mail, podszywając się pod ofiarę i replikując się jako załącznik. To nowatorskie podejście spowodowało zainfekowanie milionów komputerów w ciągu kilku dni. Wiele osób zaufało e-mailom pochodzącym od znanych im osób. Ta metoda jest nadal wykorzystywana jako część strategii hakerów, np. autorów Emoteta. 2003: Blaster (MSBlast, lovesan) W sierpniu 2003 r. wielu firmowych i biznesowych użytkowników było już podłączonych do internetu za pomocą łącza szerokopasmowego. Stało się to powodem rekordowych w skali ataków robaków i podobnych narzędzi. 11 sierpnia tego roku pojawił się Blaster (znany również jako MSBlast i lovesan). Użytkownicy byli zszokowani, gdy ich komputery nagle zaczęły wyświetlać „niebieski ekran śmierci” (Blue Screen Of Death) i restartować się. Nie wiedzieli wtedy, że ich praca została przerwana przez robaka Blaster. Był to pierwszy globalny atak typu Denial-of-Service. Blaster był wyjątkowo uciążliwy. Jego działania nie przerywało nawet ciągłe restartowanie komputera. Zaczynało się ono wtedy od początku, prowadząc do kolejnego wyłączenia urządzenia. Wykorzystywał on do rozprzestrzeniania się lukę w procesach systemów Windows XP i 2003. Celem robaka było przeprowadzenie ataku typu SYN flood na witrynę windowsupdate.com, aby uniemożliwić komputerom dostęp do aktualizacji. Na szczęście dla Microsoftu autor popełnił błąd i pokierował Blastera do niewłaściwej domeny. W rzeczywistości urządzenia do pobierania aktualizacji korzystały z domeny windowsupdate.microsoft.com. Intencje autorów Blastera zostały ujawnione w komunikacie zawartym w kodzie złośliwego oprogramowania: I just want to say LOVE YOU SAN!! billy gates why do you make this possible ? Stop making money and fix your software!! Co ważne, Blaster nie infekował urządzeń, na których przed 11 sierpnia zostały zastosowane odpowiednie poprawki. Ten przykład wyraźnie pokazuje, jak ważne jest natychmiastowe aktualizowanie urządzeń. Niestety, do dzisiaj wielu użytkowników nadal ignoruje tę zasadę. 2004: MyDoom Był to najszybciej rozprzestrzeniający się robak pocztowy w historii, który do tej pory pozostaje pod tym względem rekordzistą. Wyprzedził nawet słynnego I LOVE YOU.
Historia rozwoju cyberprzestępczości (część I – Wczesne lata) Pojęcie „wirusa komputerowego” znane jest obecnie większości osób na świecie, włącznie z dziećmi. Zwykle kojarzy się ono z czymś destrukcyjnym dla sprzętu, danych i usług, na których wszyscy polegamy. Wirusy komputerowe, podobnie jak ich biologiczne odpowiedniki, również replikują się i mogą być przenoszone z jednego gospodarza na drugiego, co powoduje problemy – od irytujących po destrukcyjne. Niedawno obchodzone było 50-lecie powstania pierwszego złośliwego kodu, co jest okazją do przedstawienia najbardziej istotnych w historii wirusów, robaków i innych zagrożeń – od czasów przedinternetowych do obecnego świata botnetów i oprogramowania ransomware. Poniżej znajduje się przegląd opracowany przez ekspertów z firmy Fortinet. 1971: Pierwszy dowód możliwości stworzenia wirusa Zanim powstał internet, w USA istniała sieć ARPANET (Advanced Research Projects Agency Network), która została uruchomiona w 1967 r. jako próba połączenia zdalnych komputerów. Pierwsze komputery zostały podłączone w 1969 roku. Już dwa lata później inżynier Bob Thomas z amerykańskiej firmy badawczo-rozwojowej BBN, bazując na niemal 30-letniej koncepcji niemieckiego matematyka Johna von Neumanna stworzył wirusa o nazwie „The Creeper”. Rozprzestrzeniał się on za pomocą protokołu sieciowego pomiędzy komputerami podłączonymi do sieci ARPANET. Jego celem nie było działanie w złych intencjach, lecz sprawdzenie czy zakodowana w nim wiadomość „I’m the creeper, catch me if you can!” (Jestem pnączem, złap mnie, jeśli potrafisz!) będzie w stanie samodzielnie replikować się pomiędzy urządzeniami sieci. Cel został osiągnięty. 1982: Pierwszy wirus dla komputerów Mac Wbrew powszechnemu przekonaniu, że na sprzęcie firmy Apple nie ma wirusów, to właśnie w tym środowisku zadebiutowały pierwsze cyfrowe szkodniki atakujące komputery osobiste. Pierwszym znalezionym „na wolności” wirusem był „Elk Cloner”, opracowany dla komputerów Apple II – był umieszczany w sektorze startowym dyskietki, skąd kopiował się do pamięci komputera, a stamtąd samoczynnie na inne, czyste nośniki. Jego autorem był piętnastolatek, który pisał takie programy, aby płatać figle swoim znajomym. Przy pięćdziesiątym uruchomieniu Elk Cloner wyświetlał użytkownikowi zabawny wierszyk. 1986: Pierwszy wirus na PC „Brain” na zawsze zmienił świat bezpieczeństwa informacji. Pochodził z Pakistanu, ale szybko rozprzestrzenił się na cały świat, do Europy i Ameryki Północnej. Został opracowany przez braci Amjada Farooqa Alvi i Basita Farooqa Alvi, autorów oprogramowania medycznego. Stworzyli oni wirusa ładującego ostrzeżenie dla osób korzystających z jego pirackich kopii. Ponieważ nie było wtedy internetu, wirus rozprzestrzeniał się dzięki interakcji międzyludzkiej, poprzez kopiowanie dyskietek. Wirus ten nie niszczył danych, ale uniemożliwiał uruchomienie komputera i wyświetlał powiadomienie zawierające m.in. numer telefonu braci Farooq Alvi, z którymi należało skontaktować się w celu usunięcia problemu. Twierdzą oni, że chcieli, aby osoby dotknięte problemem zadzwoniły do nich w celu omówienia sposobu legalnego uzyskania ich oprogramowania. Ich genialny plan okazał się tak skuteczny, że zostali zasypani telefonami z całego świata. 1988: Robak Morris Jego nazwa pochodzi od nazwiska autora, Roberta Morrisa. Robak ten nie był złośliwy i został stworzony jako dowód, że replikacja kodu bez ingerencji użytkownika jest możliwa (co odróżnia go od wirusa, który wymaga „wsparcia” człowieka). Morris obawiał się, że administratorzy systemów poddadzą robaka kwarantannie i zignorują infekcję. Zaprogramował go więc tak, aby był trwały. Nie było jednak sposobu na zatrzymanie procesu samoreplikacji, więc robak powodował duże obciążenie urządzeń, uniemożliwiając ich działanie, a także wywoływał w sieciach zjawisko Denial-of-Service (DoS – odmowa świadczenia usługi), rozprzestrzeniając się z maszyny na maszynę. Z tego powodu Robert Morris został pierwszą osobą skazaną na podstawie ustawy o oszustwach i nadużyciach komputerowych. Później jednak stał się odnoszącym sukcesy przedsiębiorcą i otrzymał posadę w Massachusetts Institute of Technology (MIT). 1989: Pierwszy na świecie ransomware AIDS stał się pierwszym na świecie zaobserwowanym oprogramowaniem ransomware. Został wysłany fizyczną pocztą (!) do badaczy błyskawicznie rozprzestrzeniającego się wówczas na całym świecie wirusa AIDS za pośrednictwem 20 tys. zainfekowanych dyskietek, na których znajdował się kwestionariusz na temat AIDS. Jednak przy dziewięćdziesiątym ponownym uruchomieniu dyskietki zmieniała ona nazwy plików na zaszyfrowane ciągi znaków i ukrywała je przed użytkownikiem. Następnie na ekranie pojawiało się żądanie zapłaty na skrytkę pocztową w Panamie 189 dolarów za roczną „gwarancję bezpieczeństwa” lub 385 dolarów za dożywotnią. Akceptowane były tylko czeki bankowe, czeki kasjerskie lub przekazy pieniężne. 1992: Michelangelo W wirusie tym, dedykowanym Michałowi Aniołowi, zaprogramowano „bombę zegarową”, czyli instrukcję, która miała aktywować się 6 marca, w dniu urodzin artysty. Jej celem było zniszczenie sektora rozruchowego dysków, co uniemożliwiało uzyskanie dostępu do danych lub w ogóle uruchomienie komputera. Wirus, podobnie jak jego poprzednicy, rozprzestrzeniał się za pośrednictwem dyskietek. Został wykryty parę tygodni przed 6 marca, dzięki czemu udało się nagłośnić jego destrukcyjny charakter – był to pierwszy przypadek wirusa, któremu media głównego nurtu poświęciły tak wiele uwagi, co przyczyniło się do wzrostu sprzedaży oprogramowania antywirusowego na całym świecie. Pojawiło się wówczas wiele ostrzeżeń dla użytkowników, aby pozostawili swoje komputery w tym dniu wyłączone lub zmienili datę w swoich maszynach na dzień naprzód, aby uniknąć zagrożenia. 1994-95: Pierwsze ataki phishingowe Wraz z rozpowszechnieniem się internetu w Stanach Zjednoczonych, dzięki uruchomieniu takich serwisów, jak America Online (AOL), CompuServe i Prodigy, wzrastała liczba oszustw i phishingu. Ponieważ konta zapewniające dostęp do internetu były wówczas płatne i stosunkowo drogie, wiele osób było zainteresowanych kradzieżą danych uwierzytelniających. W serwisach komunikacyjnych poświęconych nielegalnemu oprogramowaniu zaczęto handlować aplikacjami służącymi do odłączania użytkowników od internetu, kradzieży danych ich kont oraz do generowania losowych numerów kart kredytowych. Jednym z najsłynniejszych programów był AOHell (gra słów nawiązująca do nazwy AOL), który zawierał kreator kont, wykorzystujący losowo utworzone numery kart kredytowych, co zapewniało możliwość otwarcia konta za darmo na miesiąc. Aplikacja AOHell zawierała też jeden z pierwszych mechanizmów phishingu. Zautomatyzowane boty wysyłały masowo wiadomości z prośbą o zweryfikowanie danych uwierzytelniających konto, twierdząc, że np. wystąpił problem z rachunkami. Aby kontynuować rozmowę z botem, ofiara musiała „zweryfikować swoją tożsamość”, podając nazwę użytkownika i hasło. Informacje te były następnie zbierane przez twórców programu AOHell i wykorzystywane lub sprzedawane w celu uzyskania darmowego dostępu do konta i rozsyłania spamu.
Wraz z rozpoczęciem działań wojennych w Ukrainie, zaobserwowano szereg domniemanych cyberataków dokonywanych przez różne grupy cyberprzestępcze. Zespoły badawcze Trend Micro Research zweryfikowały dane wewnętrzne i raporty zewnętrzne, aby zebrać dokładne informacje, które można wykorzystać do wzmocnienia ochrony przed tymi atakami. Na tej podstawie powstał dokument zawierający zestaw IOC oraz screenshotów z ataków powiązanych z konfliktem w Ukrainie. TUTAJ możecie pobrać PDF z listą i opisem wyselekcjonowanych IOC. Więcej informacji znajdziecie na blogu Trend Micro, który będzie na bieżąco aktualizowany ? https://lnkd.in/d8Hv5DCv
Fortinet, partner merytoryczny CSO Council – zaprezentował nową edycję FortiGuard Labs Global Threat Landscape Report. Dane dotyczące zagrożeń z drugiej połowy 2021 r. obrazują wzrost automatyzacji i szybkości ataków. Świadczy to o rosnącym zaawansowaniu strategii uporczywych cyberataków, które są bardziej destrukcyjne i nieprzewidywalne. Ponadto, hakerzy coraz bardziej wykorzystują rozszerzające się możliwości przeprowadzenia ataku na osoby pracujące w modelu hybrydowym oraz hybrydową infrastrukturę IT.
Raport FortiGuard Labs: Ataki z użyciem ransomware’u zdarzają się dziesięć razy częściej niż rok temu Raport FortiGuard Labs: Ataki z użyciem ransomware’u zdarzają się dziesięć razy częściej niż rok temu Działania podmiotów z sektora publicznego i prywatnego, mające na celu przerwanie łańcuchów dostaw cyberprzestępczości, nabierają tempa [Warszawa, 16.09.2021] Fortinet, globalny lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, przedstawił najnowszą edycję raportu Global Threat Landscape, opracowanego przez analityków FortiGuard Labs. Dane dotyczące zagrożeń zaobserwowanych w pierwszej połowie 2021 r. wskazują na znaczny wzrost liczby i poziomu wyrafinowania ataków skierowanych przeciwko osobom prywatnym, przedsiębiorstwom oraz krytycznej infrastrukturze. Na celowniku cyberprzestępców nadal znajduje się rosnąca liczba osób pracujących i uczących się zdalnie. Podjęta w odpowiednim czasie współpraca pomiędzy organami ścigania, a także podmiotami z sektora publicznego i prywatnego daje szansę na zakłócenie działań cyberprzestępców w drugiej połowie 2021 roku. Oto najważniejsze informacje z raportu za pierwsze półrocze 2021 r: W cyberatakach typu ransomware chodzi o coś więcej niż pieniądze Dane FortiGuard Labs wskazują, że aktywność oprogramowania ransomware w czerwcu 2021 r. była ponad dziesięć razy wyższa niż rok temu. Świadczy to o konsekwentnym i stałym wzroście popularności tego narzędzia. Incydenty z użyciem ransomware’u sparaliżowały łańcuchy dostaw wielu przedsiębiorstw, szczególnie w branżach o krytycznym znaczeniu. Bardziej niż kiedykolwiek wpłynęły na życie codzienne, handel, produktywność pracowników itd. Cyberprzestępcy najczęściej atakowali przedsiębiorstwa z sektora publicznego, branży telekomunikacyjnej, motoryzacyjnej, produkcyjnej oraz dostawców zarządzanych usług bezpieczeństwa (MSSP). Niektórzy jednak zmienili swoją strategię i odchodzą od inicjowania ataku poprzez wiadomości e-mail. Obecnie szczególne znaczenie ma dla nich zdobywanie danych zapewniających dostęp do sieci korporacyjnych i sprzedawanie ich, co przekłada się na rozwój modelu usługowego Ransomware-as-a-Service (RaaS). Kluczowy wniosek jest taki, że ransomware pozostaje oczywistym i aktualnym zagrożeniem dla wszystkich firm, niezależnie od ich branży i wielkości. Muszą one przyjąć zatem proaktywne podejście do bezpieczeństwa ‒ stosować rozwiązania do ochrony urządzeń końcowych w czasie rzeczywistym, wykrywania incydentów i automatycznego reagowania na nie, wraz z podejściem Zero Trust Access, segmentacją sieci i szyfrowaniem. Jedna na cztery firmy wykryła malvertising W ubiegłym półroczu cyberprzestępcy najchętniej wykorzystywali techniki scareware oraz malvertising. Bazujące na nich ataki dotknęły ponad 25% firm. W tym kontekście należy zwrócić uwagę zwłaszcza na rodzinę trojanów Cryxos, które na zainfekowanych lub złośliwych stronach wyświetlały oszukańcze powiadomienia. Chociaż duża część wykrytych przypadków jest prawdopodobnie połączona z innymi podobnymi kampaniami wykorzystującymi JavaScript, to uznaje się je za malvertising. Cyberprzestępcy próbują tym samym zareagować na popularność powszechnie praktykowanego hybrydowego trybu pracy i nauki, co przekłada się na zmianę trendów w ich taktyce. Teraz dążą już nie tylko do przestraszenia ofiary, ale też do wymuszenia na niej spełnienia swoich żądań. Ważne jest zatem edukowanie użytkowników sieci i zwiększenie ich świadomości na temat cyberbezpieczeństwa, aby zapobiec atakom typu scareware i malvertising. Trendy dotyczące botnetów wskazują, że cyberprzestępcy atakują brzeg sieci Gwałtowne nasilenie aktywności odnotowano z kolei w przypadku botnetów. W ciągu pół roku odsetek podmiotów, które wykryły je w swojej sieci, wzrósł z 35% do 51%. Związane jest to z wykorzystywaniem przez cyberprzestępców złośliwego kodu o nazwie TrickBot. Pierwotnie był to trojan bankowy, ale został rozwinięty do postaci wyrafinowanego zestawu narzędzi do przeprowadzania wieloetapowych ataków. Wprowadzenie zdalnego trybu pracy i nauki, a wraz z tym zmiana codziennych nawyków, dla cyberprzestępców wciąż stanowią okazję do działania. Z tego powodu najbardziej rozpowszechnionym botnetem był Mirai atakujący urządzenia Internetu rzeczy (IoT) używane przez osoby pracujące lub uczące się w domu. W 2020 roku wyprzedził botneta zdalnego dostępu Gh0st i utrzymuje pozycję lidera także w 2021 roku. Gh0st natomiast stanowi nadal poważne zagrożenie – umożliwia on przejęcie pełnej kontroli nad zainfekowanym systemem, przechwytywanie na żywo obrazu z kamery internetowej i mikrofonu oraz pobieranie plików. Dlatego, aby chronić sieci i aplikacje, potrzebne jest stosowanie podejścia Zero Trust Access. Znaczne ograniczenie uprawnień dostępu zabezpiecza rozwiązania IoT i inne urządzenia podłączone do sieci. Zaburzenie funkcjonowania środowisk cyberprzestępczych przekłada się na zmniejszenie liczby zagrożeń Chociaż cyberprzestępcy stają się coraz bardziej skuteczni, w 2021 r. walka z nimi przyniosła pewne sukcesy. W czerwcu twórca TrickBota został postawiony w stan oskarżenia pod wieloma zarzutami. Udało się również wyeliminować Emotet, jeden z najbardziej złośliwych programów w historii. Znaczącym krokiem było także podjęcie działań, które mają na celu przerwanie operacji związanych z należącym do kategorii ransomware oprogramowaniem Egregor, NetWalker i Cl0p. Stanowi to znaczący impuls do dalszej walki z cyberprzestępczością, głownie dla rządów z całego świata i organów ścigania. Ponadto, duży rozgłos, który towarzyszył niektórym atakom, spowodował wycofanie się z działalności kilku operatorów ransomware. Dane FortiGuard Labs wykazały spowolnienie aktywności cyberprzestępców po wyłączeniu Emoteta. Ataki związane z wariantami TrickBot i Ryuk jeszcze się zdarzały, jednak ich skala była mniejsza. Świadczy to o tym, jak trudno jest natychmiast wyeliminować cyberzagrożenia lub wykorzystywane przez nie łańcuchy dostaw w całości, jednakże wspomniane wydarzenia stanowią ważne osiągnięcia. Cyberprzestępcy preferują techniki unikania oraz eskalację uprawnień Skrupulatna analiza danych dotyczących cyberzagrożeń pozwala na wyciągnięcie wniosków na temat tego, jak obecnie ewoluują techniki ataków. FortiGuard Labs badało specyficzne funkcje wykrytego złośliwego oprogramowania poprzez uruchomienie jego próbek, aby przyjrzeć się zaimplementowanym przez cyberprzestępców mechanizmom zachowania. W efekcie sporządzono listę negatywnych rezultatów, które złośliwe oprogramowanie mogłoby spowodować, gdyby zostało uruchomione w docelowych środowiskach IT. Z tego eksperymentu wynika, że przestępcy dążyli między innymi do eskalacji uprawnień, unikania mechanizmów ochronnych, przemieszczania się pobocznymi wobec wewnętrznych systemów ścieżkami oraz wykradania danych. Aż 55% zaobserwowanych funkcji eskalacji uprawnień wykorzystało technikę przechwytywania wywołań systemowych (hooking), zaś w 40% przypadków obecne były mechanizmy wstrzykiwania procesów. Przykłady te pokazują, że w działalności cyberprzestępców istnieje oczywisty nacisk na stosowanie taktyki unikania obrony i eskalacji przywilejów. Dzięki tym obserwacjom, chociaż techniki te nie są nowe, zespoły ds. cyberbezpieczeństwa będą lepiej przygotowane do obrony przed przyszłymi atakami. Zintegrowane i korzystające z mechanizmów na sztucznej inteligencji (AI) platformowe podejście do bezpieczeństwa, bazujące na informacjach o zagrożeniach, jest niezbędne wobec zmieniającej się sytuacji, przed którą stoją dziś przedsiębiorstwa. Skuteczność działania zapewni tylko partnerstwo, szkolenia, a także bazująca na sztucznej inteligencji prewencja oraz wykrywanie incydentów i reagowanie na nie Chociaż instytucje rządowe i organy ścigania podejmowały wspólne akcje przeciw cyberprzestępczości w przeszłości,
The internet of things (IoT) continues to influence many aspects of today’s society. IoT devices are increasingly being used in homes and businesses to improve user experience and innovate services. The continuing growth of the IoT makes it an irresistible target for cybercriminals — thus shaping the threat landscape and the cybercrime underground.
Sztuczna inteligencja przeciwko cyberprzestępcom, czyli jak ogniem zwalczyć ogień Sztuczna inteligencja (AI) znajduje coraz szersze zastosowanie. Jest obecna w wielu dziedzinach codziennego życia – od zakupów online po ochronę zdrowia. Niestety, wykorzystują ją także cyberprzestępcy, którzy dzięki tym mechanizmom wzmacniają skuteczność swoich ataków. Aby podjąć skuteczną walkę, zespoły ds. cyberbezpieczeństwa powinny zatem skupić się na zrozumieniu tych technik i na bazie tej wiedzy projektować strategię działania. Już w 2018 r. organizacja Electronic Frontier Foundation przestrzegała przed możliwością złośliwego zastosowania sztucznej inteligencji[1]. I rzeczywiście, mechanizmy te coraz częściej stają się dużym zagrożeniem dla bezpieczeństwa cyfrowego, gdyż dzięki nim cyberprzestępcy potrzebują mniej czasu na włamanie się do sieci. Zwykle operacja ta trwała nawet kilka miesięcy, zaś obecnie – kilka dni. Z powodu tak dużej skuteczności wzrasta liczba ataków bazujących na sztucznej inteligencji i uczeniu maszynowym. Skrócenie czasu potrzebnego na przeprowadzenie złośliwych działań przekłada się też na obniżenie związanych z nimi kosztów. W tym kontekście sytuację administratorów utrudnia możliwość dokonania przez cyberprzestępców automatyzacji całego procesu mapowania sieci, odkrywania potencjalnych celów, znajdowania w nich luk bezpieczeństwa, a nawet przeprowadzania niestandardowych ataków. – Sztuczna inteligencja w rękach atakujących stanowi coraz większe zagrożenie dla bezpieczeństwa sieci i danych. Sytuację pogarsza możliwość wykorzystania przez nich tzw. inteligentnych rojów oraz tworzenia zautomatyzowanych i bazujących na skryptach zagrożeń. To wszystko w zawrotnym tempie zwiększa szybkość i skalę cyberataków – ocenia Derek Manky z FortiGuard Labs firmy Fortinet. Konieczność stosowania zintegrowanej architektury bezpieczeństwa W wielu przedsiębiorstwach architektura ochronna nie jest dostosowana do obrony przed atakami bazującymi na sztucznej inteligencji. Głównym problemem jest stosowanie w jednym środowisku nawet kilkudziesięciu punktowych produktów zabezpieczających sieć, często pochodzących od różnych producentów. Utrudnia to uzyskanie pełnego obrazu poziomu ochrony, ponieważ wymagane jest ręczne integrowanie danych z wielu aplikacji. W takiej sytuacji niemożliwa jest skuteczna i skoordynowana reakcja na cyberatak obejmujący całą sieć. Co więcej, zespoły ds. cyberbezpieczeństwa często nie nadążają z wykrywaniem zagrożenia, ponieważ przestępcy stają się coraz szybsi i minimalizują czas potrzebny na przeprowadzenie ataków. To z kolei powoduje powstawanie tzw. luki wykrywalności naruszenia bezpieczeństwa (Breach Detection Gap), określanej jako okres od momentu włamania do sieci, aż do wykrycia incydentu. Dane przedstawione w dokumencie Ponemon Cost of a Data Breach Report 2020[2] wskazują, że czas ten może wynieść średnio nawet 280 dni. Według tego raportu, przeciętny koszt naruszenia bezpieczeństwa danych na świecie wynosi 3,86 mln dolarów. Skala tego zjawiska pokazuje, jak ważne jest zintegrowanie posiadanych zabezpieczeń. Czego zespoły ds. bezpieczeństwa IT mogą nauczyć się od cyberprzestępców? W branży cyberbezpieczeństwa stale brakuje dużej liczby specjalistów. Pozyskanie odpowiednio wykwalifikowanych pracowników w tym obszarze jest dla firm poważnym problemem. Szczególnie trudno jest znaleźć osoby, które znają się na sztucznej inteligencji. Tymczasem, wraz z jej rozwojem, cyberprzestępcy opracowują coraz bardziej skuteczne, bazujące na tym mechanizmie techniki. Wykorzystywane w cyberatakach samouczące się rozwiązania pozwalają nie tylko na szybkie znalezienie luk w zabezpieczeniach. Umożliwiają także dobieranie na bieżąco najskuteczniejszego w danej sytuacji złośliwego kodu oraz aktywne neutralizowanie prób jego zablokowania. – Wykorzystując sztuczną inteligencję oraz łącząc ją z nowymi metodami ataków, np. rojami botów, cyberprzestępcy zyskują możliwość segmentacji ataku. Jego poszczególne elementy funkcjonalne mogą być przypisane do różnych członków roju, aby umożliwić interaktywną komunikację i przyspieszyć tempo ataku. Trzeba jednak zaznaczyć, że może być on też przeprowadzony przez pojedynczego przestępcę, więc nie zawsze jest potrzebne angażowanie większej grupy ludzi – opisuje Derek Manky. Cyberprzestępcy posługują się coraz bardziej złożonymi i wyrafinowanymi technikami, co przekłada się na wzrost efektywności ich działania. Dlatego strategia bezpieczeństwa również powinna być wzmocniona o zastosowanie rozwiązań wykorzystujących sztuczną inteligencję. Zespoły ds. cyberbezpieczeństwa powinny zapomnieć o zasadzie, że ognia nie gasi się ogniem. W tym przypadku jest odwrotnie. Wyrównanie szans w walce z cyberprzestępcami będzie możliwe tylko wtedy, gdy metodyka ich działania zostanie zaadaptowana do celów działań ochronnych. Jest to istotne zwłaszcza w sytuacji niedoboru specjalistów na rynku. Wykorzystanie potencjału sztucznej inteligencji może usprawnić pracę zespołów ds. bezpieczeństwa i chociaż trochę zmniejszyć odczuwanie negatywnych skutków luki kompetencyjnej. [1] https://www.eff.org/deeplinks/2018/02/malicious-use-artificial-intelligence-forecasting-prevention-and-mitigation [2] https://www.ibm.com/security/data-breach
Whitepaper Praktyczny przewodnik dla kadry zarządzającej dotyczący ograniczeniu ryzyka utraty danych
WYWIADY
Chmura i automatyzacja – nieunikniona transformacja technologiczna w cyberbezpieczeństwie – Rozmowa z Pawłem Malakiem, Trend Micro
Jak skutecznie i efektywnie zarządzać incydentami? Systemy SIEM nadal stanowią fundamentalne narzędzie, na którym opiera się działanie SOC, ale coraz częściej specjaliści tam zatrudnieni zaczynają być przytłoczeni ilością incydentów, które trzeba obsłużyć. Rozwiązaniem tego problemu są systemy SOAR, które pozwalają nie tylko na automatyzowanie części zadań wykonywanych w SOC ale także umożliwiają wiele więcej – mówi Maciej Iwanicki, Business Development Manager – SOAR, SIEM, EDR w Fortinet. Dlaczego zarządzanie incydentami stanowi istotny element całej strategii cyberbezpieczeństwa? Maciej Iwanicki [MI]: Zarzadzanie incydentami stanowi istotny etap w całym łańcuchu działań związanych z cyberbezpieczeństwem. Wstępem do zarządzania incydentami musi być monitorowanie i zbieranie informacji we własnym środowisku. Z drugiej strony zarządzanie incydentami umożliwia reagowanie na ataki. Nie wszystkie ataki w ten sposób uda się powstrzymać, ale można zdecydowanie ograniczyć ich wpływ na organizacje. Jakie narzędzia technologiczne wspierają zarządzanie incydentami? MI: Jednym z elementów wykorzystywanych natywnie przy monitorowaniu i zbieraniu zdarzeń są rozwiązania klasy SIEM, czyli Security Information and Event Management. Mają one dwa fundamentalne zadania. Przede wszystkim zbierają i zapisują długookresowo dziesiątki albo setki tysięcy zdarzeń, jakie mają miejsce w firmowej sieci. Po drugie, SIEM koreluje te zdarzenia. Z całego tego oceanu informacji wyławiane jest to, co najbardziej istotne, tzw. incydenty bezpieczeństwa. Czasem SIEM jest narzędziem pracy dla osób zajmujących się bezpieczeństwem w organizacjach, ale najczęściej jest on obsługiwany przez zespół SOC, czyli Security Operations Center. SIEM jest ich głównym narzędziem. Czy to wszystko? Czy SIEM wystarczy? MI: Właśnie już nie. Głównym problemem w pracy SOC jest ilość incydentów bezpieczeństwa, którymi trzeba się zająć. Pomimo działania SIEM i prezentowania wyłącznie najbardziej istotnych skorelowanych incydentów, nadal jest ich bardzo dużo. Zbyt dużo nawet dla składających się z wielu specjalistów zespołów SOC. Znaczna część z incydentów, którymi muszą się zająć ma niewielkie znaczenie dla organizacji a część to tzw. false positive, czyli zdarzenia, które zostały zakwalifikowane jako incydenty przez pomyłkę. Większość specjalistów pracujących w SOC-ach to pasjonaci, zainteresowani przede wszystkim rozkładaniem poważnych ataków na czynniki pierwsze, włącznie z analizą wsteczną, która skupia się na określaniu sposobu, w jaki zagrożenie dotarło do organizacji. Tacy ludzie szybko zaczynają być sfrustrowani przez zalew nieistotnych zdarzeń i false positive’ów, którymi muszą się zajmować. To poważny problem. I właśnie dlatego pojawiło się kolejne narzędzie, jako – w pewnym sensie – rozwinięcie dla SIEM. To SOAR, czyli Security Orchestration, Automation and Response, narzędzie, które ma za zadanie zautomatyzować część działań wykonywanych w SOC-ach i uwolnić specjalistów od rutynowych, manualnych czynności. Na czym polega działanie SOAR? MI: Zadaniem SIEM jest zebranie maksymalnie dużej ilości informacji i z nich wyłowić, skorelować to co istotne. SOAR natomiast nie pracuje na milionach zdarzeń, tylko na wyselekcjonowanych incydentach, których lista to efekt filtra, jaki stanowi SIEM. Weźmy za przykład przypadek phishingu zgłaszany do SOC przez szeregowego pracownika. To typowy przypadek. Jednym z istotnych elementów strategii obrony przed atakami tego typu, jest informowanie osób odpowiedzialnych za bezpieczeństwo o tego typu próbach. Takich zdarzeń jest zwykle dużo. Zwykli ludzie nie są w stanie na 100% ocenić czy faktycznie mają do czynienia z phishingiem, czy nie, ale to jest OK, bo nie zawsze jest to proste zadanie. Z punktu widzenia SOC wiąże się to jednak z wykonaniem w przypadku każdego zgłoszenia serii czynności, takich jak sprawdzenie nadawcy, jego reputacji, reputacji linków itd. Jeśli trzeba to wykonać ręcznie, to czasochłonne i nużące. Jeśli jednak takie zgłoszenie ”przejdzie” przez SOAR, to część z tych prac zostanie wykonana automatycznie. Zgłoszenie, które ostateczne dotrze do specjalisty będzie wzbogacone o istotne informacje, dzięki czemu będzie on mógł błyskawicznie podjąć decyzję czy sprawa zasługuje na uwagę czy nie. Podobnie zresztą dzieje się ze wszystkimi zdarzeniami uznanymi za incydent przez system SIEM. SOAR będzie je uzupełniać o dodatkowe informacje, które pozwolą specjaliście w SOC przejść od razu do sedna sprawy. Czyli SOAR automatyzuje proste, rutynowe czynności wykonywane w SOC? MI: Tak, ale nie tylko. Wracając do wcześniejszego przykładu, kiedy zgłoszenie phishingu trafi do SOAR, system sprawdzi reputację nadawcy, reputacje domeny nadawcy oraz zawartych w wiadomości linkach, a jeśli wszystko będzie w normie, to zamknie zdarzenie automatycznie bez angażowania specjalistów oraz automatycznie wyśle wiadomość do pracownika z podziękowaniami za zgłoszenie. SOAR oferuje jednak o wiele więcej. System automatycznie dokumentuje kroki, które przy analizie danego incydentu są wykonywane przez analityków. Dzięki temu o wiele łatwiejsze staje się szkolenie nowych pracowników SOC. Co więcej, mamy dokumentację do obowiązujących procesów, które powstają wewnątrz organizacji, a jeśli mamy to dobrze opisane, to o wiele łatwiej doskonalić te procesy. Zresztą SOAR cały czas ewoluuje. W ofercie Fortinet rozwiązanie tej klasy jest obecne od kilku lat. W tym czasie stale się doskonaliło i rozwijało równolegle wraz z rozwojem rozwiązań SIEM. Niemniej dzisiaj źródłem zasilającym SOAR w zdarzenia wcale nie musi być SIEM. Może to być dowolne inne źródło. Czy SOAR jest potrzebny w każdym SOC-u? MI: Gartner mówi, że SOAR jest potrzebny w SOC, który składa się z więcej niż 5 specjalistów. Ponad 5 osób, to oznacza, że ilość incydentów jest duża. Stąd potrzebne jest narzędzie, które ma pomóc w ich obsłudze. Ja jestem jednak zdania, że nie można używać tego jako sztywnego kryterium. Wszędzie tam, gdzie brakuje ludzi o odpowiednich kompetencjach z zakresu cyberbezpieczeństwa, a to jest notoryczny problem w skali globalnej, tam SOAR może okazać się rozwiązaniem dla wielu problemów. SOAR może wspierać mniejsze zespoły. Nie zastąpi człowieka, ale da więcej czasu specjalistom na wykonywanie innych, ciekawszych zadań. Czy SOAR jest popularny w SOC-ach organizacji w Polsce? MI: Obserwujemy globalny wzrost zainteresowania rozwiązaniami SOAR. Głównym czynnikiem napędzającym to zainteresowanie jest potrzeba automatyzacji, odciążania ludzi o rutynowych, manualnych czynności. W Polsce sytuacja jest podobna, z tą różnicą, że dedykowane centra SOC powstawały o wiele później niż w USA czy krajach Europy Zachodniej. Pierwszym elementem technologicznym, który jest potrzebny w SOC z pewnością jest SIEM. Każda organizacja, która potrzebuje SOC z pewnością ma tyle zdarzeń, że nie da się ich przeglądać na poszczególnych urządzeniach. Dlatego w pierwszej kolejności skupiano się właśnie na tych systemach. Z czasem rośnie dojrzałość SOC, wzrastają kompetencje, ale zwiększa się też ilość zdarzeń i incydentów, rośnie złożoność systemów i zmienia się krajobraz zagrożeń. Nie można w nieskończoność skalować
W tak dużej firmie jak Grupa Allegro incydenty bezpieczeństwa zdarzają się non stop. O tym, ile osób czuwa nad bezpieczeństwem użytkowników, jak testuje się czujność pracowników, a także o specyfice pracy z incydentami rozmawiamy z Michałem Wieruckim, CSO Grupy Allegro.
At the heart of cybersecurity is data Today’s distributed enterprises present amplified challenges for security teams who need to react to rapidly evolving hybrid workforces and ever-expanding SaaS applications. Data is the building block of today’s digitized economy, and the opportunities for innovation and malice around it are incalculable. The future of network security is Secure Access Service Edge – SASE, and to lead with data is paramount – says Marcin Dąbrowski, Territory Account Manager – Sales, EMEA, Forcepoint. Forcepoint identifies its approach to security as data-first. How should this be understood? Marcin Dąbrowski [MD]: Forcepoint is executing our vision for the industry’s most comprehensive Data-first SASE offering that delivers risk-based data security everywhere, over every channel, to give customers consistent enforcement anywhere their people work. Our data-first SASE strategy is the way forward for organizations today, and the organization is accelerating investment and development in the industry’s only Data-first SASE offering. We are cloud-first and hybrid-ready. Forcepoint provides security for hybrid and rapidly evolving computing environments, with converged security offerings delivering secure network access, protection of precious information assets, and delivery of unified, secure access and data protection that spans on-premises, hybrid, and cloud. Data-first SASE ensures customers can secure data access and usage by closing down attacks and opening up data use. Today’s reality is that people are working from everywhere, and progressive organizations must protect precious information assets in perimeter-less networking environments. In this new reality, should the strategy of defense against cyber threats change? What technologies are key to ensuring security today? MD: Our customers operate in a constantly evolving threat landscape, and cyber risks remain one of the top risks facing businesses. The threat landscape is exponentially vast, and attackers are becoming more sophisticated and aggressive. For perspective, today, we’re seeing ransomware attacks every 11 seconds, and more than 80% of organizations that pay ransom are attacked a second time. This is magnified by a business integrity crisis. We are seeing massive investments in cybersecurity spending – $60Bn global spend in 2020 according to Gartner – yet attacks continue apace. If it were measured as a country, then cybercrime — which is predicted to inflict damages totaling $6 trillion USD globally in 2021 — would be the world’s third-largest economy after the U.S. and China. We do need to approach security in a new way. The expansive distributed environment of business combined with the people perimeter we’ve seen come to the forefront this past year has created a wholesale shift in how companies must approach cybersecurity. As employees generate, access, and share more data remotely through cloud apps, the number of security blind spots balloons. Digital transformation is remaking the IT landscape: even before the COVID-19 pandemic, the “Unbound Enterprise” had begun to emerge, with operations less limited by physical or network infrastructures. The pandemic has only accelerated this trend. In the future, the workforce will have even more autonomy within the decentralized cultures that develop as business leaders find new ways to drive collaboration and creativity. How are Forcepoint data protection solutions evolving? MD: The recent Forcepoint acquisitions of Cyberinc and Deep Secure are just the beginning of the many investments in the months and years ahead as Forcepoint executes our mission to strategically build, partner, and acquire technologies to innovate the industry’s best-in-class SASE architecture that helps secure and enable our customers’ business. Cyberinc’s intelligent remote browser isolation (RBI) technology offers companies the ability to safely browse web content without any risk from browser-borne malware. Deep Secure’s Threat Removal platform ensures the safe exchange of information with trusted and untrusted sources by disarming and reconstructing file payloads at wire speed. Forcepoint also recently acquired Bitglass. Is this a significant acquisition in the context of our conversation? MD: Absolutely, this is a significant acquisition. The acquisition of Bitglass will be the third technology acquisition for Forcepoint this year as the company executes its mission to strategically build, partner, and acquire technologies that deliver the industry’s best-in-class SASE architecture. With this acquisition, Forcepoint will be delivering a best-in-class SSE platform featuring state-of-the-art Cloud Access Security Broker (CASB), Secure Web Gateway (SWG), and Zero Trust Network Access (ZTNA) combined with Data Loss Prevention (DLP) all managed seamlessly from a single console. Today Forcepoint is the only Secure Access Service Edge (SASE) company to incorporate advanced capabilities such as enterprise-class DLP, true Zero Trust Content, Disarm and Reconstruction (CDR), advanced Remote Browser Isolation (RBI), and pioneering SD-WAN technology. We will continue to add new capabilities over time, from Forcepoint directly as well as our technology partner ecosystem, to deliver the most robust set of integrated security capabilities from a cloud-native platform with the elasticity to expand and contract as business needs change. Making security easier to deploy and operate is what customers are asking for, and we look forward to making this a reality in 2022. Not only has technology changed, but also the role of CSOs? Are they “enablers” of innovation in organizations? MD: In recent WSJ Intelligence research we commissioned, we found that 74% of CEOs and CISOs had reallocated funds to cybersecurity during 2020, and 45% have accelerated digital transformation. This presents opportunities but also challenges: when 90% of leaders believe the biggest challenge is securing anywhere workers and cloud services, it’s clear that infrastructure or access-oriented security tools will no longer be able to keep up with the needs of the unbound enterprise. Our research found that the business and security landscape has forever changed: and now cybersecurity is permanently in the boardroom. 74% of companies surveyed reallocated funds to cybersecurity programs during COVID-19, and 53% recognized the need to more tightly integrate cybersecurity capabilities across traditional product boundaries. It took the pandemic to make CEOs sit up and take notice of cybersecurity. But, leaders now see cybersecurity as the key to business advantage, with 45% stating they have greatly accelerated digital transformation as a result of the pandemic, 48% reporting cybersecurity’s bigger role in enabling innovation, and 41% agreeing that it delivers a
W bezpieczeństwie nic nie jest ważniejsze niż człowiek – Przemysław Dęba
Nowy perymetr to tożsamość O specyficznym sposobie zabezpieczenia środowisk hybrydowych, bezpieczeństwie w różnych modelach chmury oraz nowej strategii cyberbezpieczeństwa rozmawiamy z Michałem Ciemięga, Regional Sales Mangerem w CyberArk. Migracja do chmury, wszystkich jej modeli – od IaaS po SaaS – tworzy nowe wyzwania w zakresie bezpieczeństwa. Co to oznacza dla CSO? Michał Ciemięga [MC]: Przede wszystkim konieczność przyjęcia nowej strategii bezpieczeństwa. Środowiska hybrydowego, w szczególności takiego, które obejmuje aplikacje klasy SaaS, nie można po prostu otoczyć zaporą ogniową. Chmura powoduje, że dane zostają wyprowadzone poza bezpieczny obszar otoczony ‘murem ochronnym’ – nie tylko do naszego środowiska w chmurze, ale w wielu przypadkach do środowiska zarządzanego przez inną firmę. Zresztą nie tylko migracja danych spowodowała rozszczelnienie perymetru. W dużej mierze dołożyła się pandemia, która spowodowała wyjście użytkowników poza chronione środowisko firmowe. Znaczna część pracowników łączy się dzisiaj z aplikacjami i korzysta z firmowych zasobów spoza wewnętrznej infrastruktury i ten model pracy już znami zostanie. Samo grodzenie się już więc nie wystarczy. Na czym polega ta nowa strategia? MC: Naszym zdaniem fundamentem nowej strategii bezpieczeństwa musi być ochrona tożsamości. Dzisiaj większość poważnych ataków bazuje właśnie na wykradzionej tożsamości. Bardzo często jeden zestaw – login i hasło – pasuje do wielu aplikacji i systemów z których korzysta użytkownik. Co istotne, problem nie dotyczy wyłącznie tych uprzywilejowanych, ale wszystkich użytkowników. Sama ochrona tożsamości uprzywilejowanej miała sens kilka lat temu, ale dzisiaj granice pomiędzy użytkownikami się rozmyły i trzeba zabezpieczyć wszystkich. Jeśli przestępca wykradnie dowolną tożsamość, to będzie miał dostęp do środowiska, w którym będzie szukał tego, co go interesuje i posuwał się krok po kroku do swojego celu. Dlatego trzeba przyjąć, że nowym perymetrem w środowiskach hybrydowych czy multi-cloud jest tożsamość. Jak zatem należy dzisiaj chronić tożsamość? MC: Na początek musimy wiedzieć czy użytkownik, który korzysta z danych czy aplikacji to faktycznie ten użytkownik, za którego się podaje. Hasło i login są niewystarczające. Konieczne jest silne uwierzytelnianie. Dodanie kolejnego składnika to dobry krok, ale warto go odpowiednio dobrać. W przypadku ludzi optymalna jest biometria. Dzięki temu możemy się upewnić, że po drugiej stronie siedzi człowiek, któremu przyznano dostęp. Jest jedno ‘ale’. We współczesnych środowiskach mamy dodatkowo mnóstwo robotów programowych. Dlatego nie można skupiać się wyłącznie na ludziach. Jeśli przekażemy hasło i login zewnętrznej firmie czy automatowi, to znowu nie wiemy kto się loguje. Tak jak ludzi najlepiej identyfikować z wykorzystaniem biometrii, robota można identyfikować przy użyciu hashu, choć są także inne metody. W ten sposób wyeliminujemy sytuację, że przekazujemy login i hasło, a później przez pół roku korzysta z tego zestawu zarówno robot, admin i nie wiadomo jeszcze kto. Tymczasem można wykorzystać mechanizm, że robot przy każdym logowaniu, uwierzytelniania się w centralnym systemie zarządzania poświadczeniami i dzięki temu dostaje unikatowe, zmieniające się cyklicznie hasło. Czy to już wystarczy? MC: Kiedy wiemy już kto się loguje i do czego, dobrze jest dodać dodatkowe zabezpieczenie dotyczące zakresu przyznawanego dostępu i czasu. Mianowicie dajemy najmniejszy możliwy dostęp i tylko wtedy, kiedy on jest niezbędny – i to niezależnie czy mówimy o ludziach czy robotach. W większości przypadków użytkownicy potrzebują do wykonywania swoich obowiązków dostępu wyłącznie do określonych funkcji i to w godzinach pracy biurowej, np. od 9 do 17. Bardzo często jest tak, że administratorzy systemów operacyjnych nie potrzebują pełnego dostępu administracyjnego, a i tak go otrzymują. Przez to wielu użytkowników może zrobić o wiele więcej niż to wynika z zakresu ich obowiązków. W to wszystko wplata się model Zero Trust, czyli założenie, że już zostaliśmy zaatakowani i przestępca ma dostęp do naszego środowiska. Warto w tym kontekście zadać sobie pytanie: dlaczego ufamy swoim pracownikom? Dotyczy to zwłaszcza dużych firm, zatrudniających kilkaset czy kilka tysięcy osób. Czy mamy pewność, że choćby jeden spośród aktualnych pracowników czy osób zatrudnianych nie ma złych zamiarów? Czasem przemiana z dobrego w złego użytkownika następuje w bardzo krótkim czasie – decydują pieniądze albo emocje. Dlatego myśląc o atakach zewnętrznych, przygotujmy się również na ataki wewnętrzne. Ufajmy użytkownikom, ale dawajmy im ograniczony dostęp, kontrolujmy go i monitorujmy to, co robią. Tu pojawia się jednak problem: jak kontrolować i monitorować to, co robią setki czy tysiące użytkowników… MC: Oczywiście, człowiek tego nie jest w stanie ogarnąć. Nawet armia ludzi. Potrzebne są automaty, które będą sprawdzać, czy użytkownicy nie robią czegoś, co wykracza poza ustaloną politykę bezpieczeństwa albo ich zachowanie zaczyna odbiegać od normy – technologie User Behavior Analytics stają się coraz bardziej popularne. Automat w przypadku wykrycia nieprawidłowości może podnieść alarm albo zablokować sesję. Co jeszcze należy wziąć pod uwagę? MC: Dla niektórych organizacji szczególne znaczenie ma wypełnianie ustalonych norm w kontekście audytów. W rozproszonych środowiskach kwestia mamy coraz więcej danych, aplikacji, automatów. Dlatego potrzebny jest jeden, centralny system, który pozwoli generować raporty potrzebne dla audytorów. Każda firma, która zapewni już odpowiedni poziom bezpieczeństwa, zaczyna myśleć o kosztach. Jeśli możemy szybko, kilkoma kliknięciami wygenerować raporty potwierdzające, że spełniamy wymogi, zamiast robić to ręcznie, to mamy dużą oszczędność. W tym momencie część firm powie: fajnie jest mieć wszystko w jednym miejscu, ale boimy się vendor lockingu. Naszym zdaniem, jeśli ktoś decyduje się na wdrożenie systemu klasy Privileged Access Management, to w jakiś sposób, chcąc nie chcąć i tak wiąże się z jednym dostawcą. Lepiej więc rozwinąć ochronę tożsamości i mieć łatwiejsze raportowanie, niż walczyć z vendor lockingiem, bo konsekwencją jest walka z wieloma innymi kwestiami. W każdym razie, naszym zdaniem, warto to przemyśleć i zastanowić się co jest lepsze zarówno z punktu widzenia bezpieczeństwa jak i z czystko ekonomicznych pobudek, bo wdrożenie jednej platformy adresującej wiele obszarów w większości przypadków jest po prostu tańsze niż utrzymywanie kilku różnych rozwiązań. Wszystko składa się w jedną spójną całość, ale pojawia się inny problem: czy firmy posiadają odpowiednie kompetencje i doświadczenie, żeby to wszystko zrealizować? MC: To oczywiście poważne wyzwanie. Ze naszej strony mogę zaproponować darmową usługę dla klientów, która polega na wsparciu w przygotowaniu długofalowego programu ochrony tożsamości. Nie sprzedajemy tej usługi, ani nie zobowiązujemy klientów, którzy z niej korzystają do późniejszego zakupu naszych rozwiązań. Powstająca w jej wyniku roadmapa nie jest oparta na żadnych konkretnych produktach. CyberArk ma ponad
Krajobraz cyberbezpieczeństwa 2021: nowe wyzwania, nowe rozwiązania Tempo migracji do chmury nie spada. Ze względu na pandemię przenoszenie obciążeń z firmowych centrów danych do środowisk cloud dodatkowo przyspieszyło. Nie oznacza to jednak, że obawy dotyczące bezpieczeństwa chmury zniknęły. Zwłaszcza że masowa praca zdalna znacznie powiększyła powierzchnię ataku. O głównych wyzwaniach dotyczących chmury w kontekście bezpieczeństwa i o kluczowych technologiach mówi Paweł Wojciechowski, Business Development Manager w Fortinet. Niedawno opublikowany został, opracowany przez Cybersecurity Insiders przy wsparciu Fortinet, raport 2021 Cloud Security opierający się na globalnym badaniu przeprowadzonym wśród 572 specjalistów ds. cyberbezpieczeństwa. Jaki obraz bezpieczeństwa chmury wyłania się z tej publikacji? Paweł Wojciechowski [PW]: Nie będzie dla nikogo zaskoczeniem, że większość organizacji, aż 71%, realizuje strategię hybrydową lub multi-cloud – to najlepsza droga, która prowadzi do łatwiejszej integracji usług, zwiększania możliwości skalowania i zapewnia ciągłość działania biznesu. Wśród kluczowych barier utrudniających szybszą migrację uczestnicy badania wymieniali: brak pełnej widoczności – 53%, brak kontroli – 46% i brak zasobów ludzkich lub wiedzy specjalistycznej – 39%, a także wysokie koszty – 35%. Największym ryzykiem związanym z bezpieczeństwem chmury według 67% specjalistów ds. cyberbezpieczeństwa pozostaje błędna konfiguracja usług. Zaraz za nią plasuje się wyciek wrażliwych danych – 59%, a dalej nieautoryzowany dostęp i niezabezpieczone interfejsy/API – 49%.. Co to wszystko oznacza w praktyce? PW: Wszyscy doskonale rozumieją, że środowiska wielochmurowe zwiększają złożoność i rodzą nowe wyzwania związane z bezpieczeństwem. To normalne, że boimy się wycieku danych. Ale moim zdaniem… … kluczowym problemem jest brak wysokiej klasy specjalistów od bezpieczeństwa, ludzi, którzy posiadają odpowiednie umiejętności i rozumieją jak poszczególne technologie ze sobą współpracują. Nie przez przypadek zła konfiguracja usług cloud pozostaje na szczycie listy największych ryzyk. Jeśli mówimy o czymś więcej niż lift and shift, to sukces transformacji zależy od specjalistów, którzy rozumieją chmurę i potrafią nową architekturę aplikacji zaprojektować i uruchomić w optymalny dla tej aplikacji sposób. Prawdopodobnie dlatego aż 78% ankietowanych specjalistów ds. cyberbezpieczeństwa uważa, że bardzo pomocne lub niezwykle pomocne jest posiadanie jednej platformy bezpieczeństwa w chmurze, która oferuje pojedynczy pulpit nawigacyjny i umożliwia konfigurację polityk w celu spójnej i kompleksowej ochrony danych w całej chmurze. Czy zabezpieczanie chmury aż tak bardzo różni się od ochrony środowisk tradycyjnych? PW: To zależy. Jeżeli spojrzymy na większość wykorzystywanych rozwiązań bezpieczeństwa, to są one znane i wykorzystywane od lat. Natomiast w przypadku chmury zawsze należy pamiętać o modelu współdzielonej odpowiedzialności, w którym dostawca i korzystający z chmury mają swoje obowiązki w zakresie bezpieczeństwa. Ponadto każda chmura jest trochę inna. W szczególności widać to w natywnych rozwiązaniach bezpieczeństwa oferowanych przez dostawcę chmury. Migrując do chmury, kiedy mamy środowisko hybrydowe lub multi-cloud, można skorzystać z natywnych rozwiązań bezpieczeństwa oferowanych przez dostawców chmur, ale wówczas tworzymy oddzielne systemy bezpieczeństwa dla każdej z chmur. Tymczasem… …spójność całego systemu zabezpieczeń dla środowisk hybrydowych i multi-cloud jest niezwykle ważna. Zwiększa poziom ochrony, ułatwia pracę, zmniejsza koszty i pozwala automatyzować działania w wybranych obszarach. Nie wspominając o tym, że część tych rozwiązań, np. firewalle, ma zdecydowanie mniejszy stopień zaawansowania i zakres funkcjonalny w stosunku do specjalizowanych rozwiązań od dostawców bezpieczeństwa. Na czym polegają te nowe zagrożenia, o których Pan wspomniał? PW: Coraz więcej aplikacji jest udostępnianych na zewnątrz organizacji, coraz więcej danych jest udostępnianych na zewnętrz, coraz więcej danych jest tworzonych i przechowywanych na zewnętrz, w aplikacjach SaaS wszystkie te aplikacje i dane wymagają ochrony. To z kolei oznacza konieczność wykorzystywania specjalizowanych narzędzi. Idealnie, kiedy te narzędzia są częścią centralnego systemu cyberbezpieczeństwa lub można je łatwo z nim zintegrować. Kluczową kwestią jest bowiem widoczność całego środowiska i spójność systemu cyberbezpieczeństwa, co zostało potwierdzone w raporcie, o którym wcześniej wspominaliśmy Jak sobie radzić z tymi wyzwaniami? Czy można liczyć na wsparcie technologii? PW: Zdecydowanie, technologia ma do odegrania ogromną rolę. Zwłaszcza że jak powiedzieliśmy, rośnie poziom złożoności, zwiększa się powierzchnia ataku, a specjalistów brakuje. Narzędzia, które w zautomatyzowany sposób sprawdzają błędy, rekomendują wprowadzenie zmian, technologie zapewniające spójny, całościowy obraz środowiska są nieocenione z punktu widzenia cyberbezpieczeństwa. Oczywiście technologia nie rozwiąże wszystkich problemów. Jeśli ktoś tworzy pulę pamięci masowej w chmurze i źle przydzieli uprawnienia, to może się okazać, że cały świat ma dostęp do firmowych danych. Automat może to szybko wychwycić i albo poinformować o błędnej konfiguracji, albo naprawić błąd, a przynajmniej zablokować dostęp do czasu interwencji człowieka. W przypadku bardziej złożonych błędów nie można zastąpić specjalisty. Wracamy zatem do kluczowego – w moim odczuciu – wyzwania braku specjalistów i w tym kontekście konieczności zapewniania spójnego bezpieczeństwa w skali całego środowiska. Dlatego, my jako dostawca technologii cyberbezpieczeństwa, rozwijamy nasze rozwiązania i dostarczamy bogatą w funkcjonalność zintegrowaną platformę cyberbezpieczeństwa, jaką jest Fortinet Security Fabric. Dzięki temu zapewniamy spójne bezpieczeństwo aplikacji, gdziekolwiek się one znajdują. Jedna platforma oznacza bowiem bardziej efektywne zarządzanie. Nie zastąpi specjalisty, ale pozwala znacznie złagodzić brak ludzi z odpowiednimi kompetencjami Dziękujemy za rozmowę! Paweł Wojciechowski Stanowisko: BDM Firma: FortinetZ branżą IT związany od ponad 25 lat. Doświadczenie zdobywał pracując m.in. dla Hewlett-Packard, EMC i Symantec, będąc odpowiedzialny za rozwój biznesu w Polsce, jak również Austrii, Czechach, Słowacji i krajach bałtyckich. Absolwent Politechniki Warszawskiej, University of Bristol oraz programu MBA w Szkole Biznesu Politechniki Warszawskiej. Obecnie w firmie Fortinet pełni funkcję Business Development Manager.
Eksperci Fortinet o socjotechnicznych atakach w postcovidowej rzeczywistości Spowodowane pandemią nagłe przejście na telepracę zaskoczyło wiele przedsiębiorstw, a brak odpowiedniego przygotowania naraził ich sieci na zagrożenia. Działania manipulacyjne cyberprzestępców, obecne w licznych atakach phishingowych i spearphishingowych, zaczęły bowiem koncentrować się wokół obaw użytkowników komputerów związanych z COVID-19. Teraz, gdy wiele firm ponownie zmienia model pracy, konieczne jest rozważenie, jak wpłynie to na bezpieczeństwo ich infrastruktury IT. Analitycy Derek Manky i Aamir Lakhani z FortiGuard Labs, działającego w strukturach firmy Fortinet, wyjaśniają, jak w czasie pandemii zmodyfikowane zostały techniki działań socjotechnicznych oraz wskazują, co firmy muszą zrobić, aby zabezpieczyć środowiska pracy hybrydowej. Czym spotykane obecnie zagrożenia socjotechniczne różnią się od tych z początku pandemii? Derek: Mamy za sobą już ponad 15 miesięcy pandemii. Zakładałem, że po takim czasie zabiegi socjotechniczne związane z COVID-19 będą coraz mniej popularne. Analiza naszych danych wskazuje jednak, że liczba ataków, szczególnie prowadzonych z wykorzystaniem wiadomości e-mail, pozostaje na podobnym poziomie. Różnica polega jedynie na wykorzystywanych do manipulacji tematach. Na początku dotyczyły one głównie pracy zdalnej. Obecnie koncentrują się na ponownym otwarciu biur i kwestiach związanych ze szczepieniami. Popularne jest podszywanie się pod pracowników działów bezpieczeństwa IT. Aamir: Również oczekiwałem zmniejszenia liczby ataków wykorzystujących temat COVID-19. Biorąc jednak pod uwagę skuteczność, jaką miały niektóre z nich, trudno się dziwić, że kwestie związane z pandemią wciąż są popularne. Cyberprzestępcy po prostu dostosowują swoje przynęty do aktualnej sytuacji i wykorzystują nowe tematy. Niestety, ludzie często nie traktują tych ataków tak poważnie, jak powinni. Na przykład, powrót do pracy stacjonarnej przekłada się na większą liczbę wiadomości phishingowych od przestępców podszywających się pod korporacyjnych specjalistów IT. Należy się spodziewać, że te e-maile będą zgodne z korporacyjnymi wytycznymi dotyczącymi bezpieczeństwa. Przykładowo, będą nakazywać pracownikom ostrożność wobec podejrzanych wiadomości, a jednocześnie będą zachęcać do kliknięcia w znajdujące się w nich złośliwe łącza. Dlatego działy IT w każdej firmie muszą pamiętać o dzieleniu się z pracownikami wiedzą o cyberzagrożeniach i odpowiednio ich uczulać na zagrożenia. W jaki sposób cyberprzestępcy zmieniają taktykę działania, gdy coraz więcej firm przechodzi na hybrydowe modele pracy? Aamir: Chociaż coraz więcej osób jest zaszczepionych, a świat wraca do poczucia „normalności”, to o COVID-19 wciąż codziennie słyszymy w mediach. Cyberprzestępcy to wykorzystują, dostosowując jedynie przynęty do popularnych aktualnie tematów. Pojawiają się jednak również nowe taktyki, związane z powrotem do biur. Co zaskakujące, rośnie popularność modelu Ransomware-as-a-Service, w którym cyberprzestępcy dokonują włamania, a następnie oferują „usługi konsultingowe” – w zamian za okup deklarują ujawnienie firmowym specjalistom, w jaki sposób uzyskali dostęp do sieci. W niektórych przypadkach kampanie te przynoszą miliony dolarów zysku. To naprawdę interesująca zmiana w podejściu cyberprzestępców, ponieważ do tej pory próbowali wpłynąć na emocje atakowanego, a teraz oferują im pomoc, oczywiście z korzyścią dla siebie. Derek: Warto zauważyć, że wiele informacji, których ujawnienie może mieć negatywne konsekwencje, przekazywanych jest przez ich posiadaczy dobrowolnie. Cyberprzestępcy mogą uzyskać dostęp do tych danych i wykorzystać je do przeprowadzenia ataków typu spear phishing. Niektóre informacje przesyłane między pracownikami również mogą zawierać poufne informacje korporacyjne i dane umożliwiające identyfikację konkretnej osoby. W takiej sytuacji cyberprzestępcy nie mają już wiele pracy – wystarczy pobranie dokumentów i informacji publicznie udostępnionych. O czym zarządy przedsiębiorstw powinny pamiętać przy tworzeniu planów bezpieczeństwa dopasowanych do nowych modeli pracy? Aamir: Jeżeli firma wysyła jakieś dane do usługodawcy lub dostawcy, trzeba zastanowić się w jaki sposób są one przetwarzane. Czy partnerzy dbają o ochronę poufnych informacji przed zagrożeniami? To są trudne pytania, które należy zadać już na samym początku współpracy. Kupując produkty IoT pytajmy o ich zabezpieczenia, możliwość dostania się do nich z innych sieci, sposób komunikowania z innymi urządzeniami – to wszystko jest bardzo ważne. Właściwie należy się zastanowić, czemu nie zadajemy tych pytań na co dzień, również sobie. Czy przekazując dalej otrzymaną wiadomość e-mail nie udostępniamy jakichś poufnych informacji? Derek: Ważne jest, aby współpracować i reagować na zagrożenia. Kluczowa jest jednak kwestia zaufania. Jeśli nadawca złośliwych wiadomości e-mail jest sfalsyfikowany i rozsyłane są one rzekomo przez korporacyjny zespół, pracownicy muszą dysponować odpowiednią wiedzą, aby zidentyfikować je jako potencjalne zagrożenie i zweryfikować tożsamość nadawcy. Model zero trust jest tutaj bardzo ważny, bo zmniejsza przestrzeń, w ramach której mogą działać cyberprzestępcy. To rozwiązanie było kluczowe podczas przejścia na pracę zdalną i powinno zostać zastosowane również w przypadku pracy hybrydowej.
Jeśli nie rozumiesz co się stało, nie wiesz jak się bronić Największe wyzwanie w obszarze cyberbezpieczeństwa i analizy poincydentowej to dzisiaj masowa praca zdalna. Systemy, które zapewniały ochronę wcześniej, dzisiaj już tak dobrze nie działają. Potrzeba nowych rozwiązań, które pozwolą odpowiedzialnym za bezpieczeństwo zespołom na zdalne zabezpieczanie i analizowanie informacji po incydentach – rozmowa z Michałem Ceklarzem, odpowiedzialnym za Cybersecurity w regionie CEE w firmie OpenText. OpenText to duża organizacja z szerokim portfolio rozwiązań dotyczących szeroko rozumianego zarządzania i przepływu informacji w firmie. Jak wygląda oferta w zakresie cyberbezpieczeństwa? Michał Ceklarz [MC]: Dział bezpieczeństwa powstał w wyniku przejęcia w 2017 r. firmy Guidance Software, która oferowała stworzone na potrzeby organów ścigania rozwiązanie pozwalające na przechowywanie i przetwarzanie informacji cyfrowych stanowiących dowody w sprawach w sposób akceptowany przez sądy. Budowa tego rozwiązania stanowiła odpowiedź na rosnące znaczenie dowodów elektronicznych we wszystkich dochodzeniach, nie tylko w sprawach związanych z cyberprzestępczością. Taka jest geneza Encase, technologii która bardzo szybko stała się faktycznym standardem wykorzystywanym przez organy ścigania. EnCase został rozwinięty przez OpenText po przejęciu Guidance Software. W jakim kierunku było rozwijane to oprogramowanie? MC: OpenText dostrzegł, że nie tylko organy ścigania chcą i potrzebują analizować dowody elektroniczne. Dlatego dopasował EnCase do potrzeb firm komercyjnych, które coraz częściej prowadzą wewnętrzne dochodzenia w związku z niewłaściwymi zachowaniami swoich pracowników, ale także analizy dostępnych dowodów po zaistnieniu incydentów takich jak np. ataki ransomware. EnCase Endpoint Investigator oferuje praktycznie te same możliwości co systemy dla organów ścigania, ale bez reżimu regulacji prawnych, których częścią jest rekwirowanie sprzętu. Wynika to z faktu, że organizacja musi zachować ciągłość pracy pomimo wystąpienia incydentu. Analiza i działania naprawcze muszą być prowadzona bez zakłócania działania użytkownika, a najlepiej w ogóle bez jego wiedzy i zaangażowania. Przy tym EnCase Endpoint Investigator dostarcza nie tylko narzędzia niezbędne do prowadzenia dochodzenia, ale także technologię EDR (EnCase Endpoint Protection), która pozwala na wykrywanie zagrożeń nie tylko na podstawie sygnatur, ale także zestawów zachowań np. określonych grup cyberprzestępczych APT. Na stacji roboczej instalowany jest niewielki agent, który działa podobnie do rootkita – pozostaje niewidoczny dla systemu operacyjnego, ale zapewnia możliwość kompletnej analizy z poziomu systemowego. Pozwala to np. na wykonywanie migawek systemu, które dostarczają informacji o tym jak wygląda system w danej chwili i co się na nim znajduje. Umożliwia także zapobieganie atakom, ponieważ wykrywa np. atak ransomware, uniemożliwia uruchomienie aplikacji i blokuje połączenie z serwerem, na którym odbywa się szyfrowanie. Po incydencie można sprawdzić skąd wziął się plik. Do tego można przeprowadzić powiązaną analizą w skali całej organizacji i wykryć infekcje na innych stacjach. Czy agent musi być obecny na stacji roboczej? MC: Agent instalowany na stacji roboczej to idealny scenariusz, ponieważ pełni funkcję EDR oraz umożliwia analizę po incydencie. Można jednak również zainstalować agenta już po incydencie. Nie zapobiegnie to atakowi, ale pomoże zrozumieć dlaczego do niego doszło i wyeliminować jego źródło na przyszłość. Połączenie mechanizmów obronnych z analizą post-incydentową często nazywamy „Digital Forensic Incident Responce” – DFIR. Jeśli agent działał na stacji już wcześniej, jest oczywiście łatwiej. Można np. porównać migawki z kolejnych dni, żeby ustalić kiedy pojawił się plik i jak dalej działał. To pozwala na wykorzystanie go także nie tylko w związku z cyberatakami, ale także w sprawach miękkich. Klienci wykorzystują EnCase także do wykrywania nadużyć i oszustw. Przykładowo można wykryć, że choć pracownik jest uprawniony do dostępu do określonych danych, to jednak sięga do nich częściej niż powinien, albo zaczyna je gromadzić na dysku – nie chodzi nawet o to, że zamierza coś złego, ale robi to dla wygody, a nie powinien, bo zwiększa się ryzyko ich wycieku. Zdarza się, że EnCase potwierdza niewinność pracownika podejrzewanego o jakieś niezgodne z prawem czy procedurami działanie. Co można osiągnąć dzięki wykorzystaniu EnCase? MC: W większości firmy skupiają się raczej na wykrywaniu i zapobieganiu atakom. Jednocześnie zwykle zapominają o korzyściach z analiz prowadzonych po wystąpieniu incydentu. Szkoda, ponieważ taka analiza dostarcza wskazówek, jak się zabezpieczyć przed atakiem w przyszłości. W praktyce scenariusz ataku ransomware jest taki, że jeśli nie udało się go wykryć przed zaszyfrowanie, to pozostaje jedynie ponowna instalacja stacji roboczej, która najczęściej, jakiś czas później, znowu staje się celem ataku. Dzieje się tak dlatego, ponieważ tak naprawdę nie wiemy dlaczego doszło do ataku. Tymczasem mamy do czynienia z tą samą stacją i tym samym użytkownikiem, który raczej nie zmienił swoich przyzwyczajeń i sposobu działania. Jeśli nie analizujemy sytuacji po incydencie, to nie rozumiemy co się stało i nie wiemy jak przeciwdziałać podobnym sytuacjom w przyszłości. Tak było właśnie w głośnej sprawie Sony: firma skupiała się na maksymalnie szybkim przywróceniu działania, nie analizując co dokładnie się wydarzyło i kończyło się to ponowną kompromitacją systemu. Trwało to blisko 10 tygodni. Dlaczego tak się dzieje? MC: Dzisiaj skuteczny atak wiąże się z tzw. lateral movement, czyli rozprzestrzenianiem się zagrożenia z jednej stacji na całą organizację. Jeśli mamy do czynienia z zaawansowanym atakiem, to rzadko jest on wykrywany od razu. Raczej dzieje się to dopiero, kiedy zainfekowana jest większość infrastruktury w organizacji. Jeśli tego nie wiemy co się stało, nie znamy całego kontekstu, to nie jesteśmy w stanie szybko przywrócić normalności. Podnosimy kilka stacji, ale za chwilę mamy zwykle powtórkę. Potwierdza to także historia Solar Winds. O ataku nie informowała pierwsza ofiara, ale firmy, których atak dotknął w konsekwencji tego pierwszego ataku. Właśnie dlatego tak się dzieje, ponieważ firmy skupiają się przede wszystkim na wykrywaniu i zapobieganiu. Jeśli jednak im się to nie udaje, a praktyka dowodzi, że czasem tak się dzieje, to brak analizy po incydencie bywa kosztowny. Nie rozumiemy zagrożenia, nie wiemy dlaczego doszło do incydentu i nie wiemy jak zareagować, działamy w ciemno. Jak pandemia wpłynęła na ten obszar cyberbezpieczeństwa? MC: Pojawienie się na masową skalę pracowników zdalnych sprawiło, że wszystkie zabezpieczenia, w które firmy inwestowały przez lata, przestały zapewniać im ochronę. Nie mamy kontroli nie tylko nad sprzętem wykorzystywanym przez pracowników zdalnych, ale także nad chmurą. W tej sytuacji wykrywanie incydentów jest znacznie trudniejsze niż wcześniej, a jeszcze trudniejsza jest analiza po incydencie. Kiedyś można było po prostu podejść do biurka pracownika, odłączyć komputer od środowiska, zabrać go do
W cyberbezpieczeństwie potrzeba ludzi ciekawych świata i ze zdolnościami do uczenia się. Najbardziej cenię współpracowników z pasją, którzy chętnie podejmują nowe wyzwania. Jako szef, chcę być jak najbliżej swojego zespołu, ułatwiać mu realizację zadań. W środowisku chmurowym w Polsce mamy jeszcze wiele do zrobienia – mówi Adam Marczyński, Chief Security Officer w firmie Operator Chmury Krajowej (OChK).
WYDARZENIA
7 marca spotkaliśmy się po raz pierwszy w 2023 roku w gronie Chief Security Officerów w ramach społeczności CSO Council, aby porozmawiać o najgorętszym obecnie temacie – dyrektywie NIS2 i jej wpływie na funkcjonowanie przedsiębiorstw.
Nowe wyzwania, szybsza ewolucja cyberbezpieczeństwa Ochrona przestrzeni cyfrowej staje się z roku na rok coraz trudniejsza. Przestępcy są coraz bardziej wyrafinowani, używają coraz bardziej zaawansowanych narzędzi i dzięki temu coraz lepiej potrafią monetyzować swoje różnorodne aktywności. Sprzyjają temu przyspieszający rozwój technologiczny i powszechna digitalizacja. Na przykład powstanie kryptowalut ułatwiło odbieranie okupów po skutecznych atakach ransomware. Najgorsze jest jednak to, że celem coraz częściej staje się infrastruktura krytyczna. O tym, jaka jest przyszłość cyberbezpieczeństwa i jak powinna wyglądać transformacja branży i działających w niej ekspertów, żeby poziom bezpieczeństwa się nie pogarszał, dyskutowali uczestnicy ostatniego spotkania CSO Council. „Żyjemy w naprawdę szalonych czasach. Ataki wciąż się nasilają, ransomware jest praktycznie wszechobecny, a cyberbezpieczeństwo w formie, w jakiej było znane dotychczas, już nie działa. Jedno z głównych wyzwań, z jakim się wszyscy mierzą, polega na tym, że w ciągu ostatnich lat nasi przeciwnicy stali się coraz lepsi w swoim cyberprzestępczym fachu, a wykorzystywane przez nich narzędzia są coraz bardziej zaawansowane. W mojej ocenie obrońcy są nawet kilka lat do tyłu względem atakujących. Dlatego jeśli chcemy wykrywać ataki szybciej, musimy zastanowić się nad wykorzystaniem nowego zestawu technologii, nad nowymi sposobami współpracy i lepszym użyciem danych, które posiadamy” – mówił Michael Ehrlich, CTO, IronNet, podczas CSO Council. Niestety, perspektywy na przyszłości nie napawają optymizmem. Nie widać końca tej nierównej walki. Cyberbezpieczeństwo z pewnością pozostanie w najbliższej przyszłości potężnym wyzwaniem. Atakujący, niezależnie od tego, czy mówimy o zwykłych kryminalistach czy grupach sponsorowanych przez państwa, nadal będą mieli przewagę. Nie dlatego, że to naprawdę inteligentni ludzi, ani dlatego, że mają dostęp do ogromnych funduszy, ale przede wszystkim dlatego, że działają poza prawem i nie muszą stosować się do żadnych reguł. Na to nigdy nie będą mogli pozwolić sobie obrońcy. Tymczasem właśnie regulacje prawne i biurokracja stanowią często główną przyczynę zbyt wolnej reakcji obronnej. Wyzwaniem są także technologie i procedury. Michael Ehrlich powoływał się na słowa generała Keitha Alexandra, który przekonuje, że wiele narzędzi wykorzystywanych obecnie do obrony zostało zaprojektowanych do wykrywania tego, co już wiemy. Chodzi o to, że są oparte na sygnaturach, na adresach IP czy domenach, co do których wiemy, że są zagrożeniem. To wszystko jest oczywiście ważne, ale musimy przejść do świata, w którym narzędzia będą nam dostarczać informacji, jakich potrzebujemy, takich informacji, jakich wcześniej nie mieliśmy. Ten nowy świat musi być napędzany przez sztuczną inteligencję działającą w czasie rzeczywistym, a z drugiej strony musi opierać się na współpracy, ponieważ dzięki temu możemy zwiększać swoje szanse na szybsze i skuteczniejsze wykrywanie ataków. Ciągła ewolucja CISO Wszystkie zmiany wpływają na CISO, który musi mierzyć się w swojej pracy z nowymi wyzwaniami. Oczywiście, fundamentem pozostaje zarządzanie zagrożeniami. To nadal podstawowy obowiązek CISO. Dzisiaj jednak trzeba zajmować się także wieloma innymi kwestiami. W szczególności trzeba np. radzić sobie z brakami kadrowymi i kompetencyjnymi. „Rola CISO początkowo koncentrowała się na technice, ale szybko stawiane przed szefami ds. bezpieczeństwa informacji wymagania zaczęły wykraczać poza technologie. Umiejętności z zakresu zarządzania ludźmi i projektami, a także zdolność porozumiewania się z zarządem i innymi menedżerami C-level zaczęły być równie istotne. To jest chyba największa zmiana, jaka zaszła” – mówił podczas dyskusji panelowej Anuj Tevari, CISO, TMF Group. „Dla CISO, którzy wywodzą się z obszaru technicznego, zarzadzanie tymi wszystkimi nowymi wyzwaniami jest trudne. Zwłaszcza balansowanie między oczekiwaniami zarządu, zespołu i całej organizacji. Równie trudne jest także pozostawanie w bliskim kontakcie z biznesem i wyjaśnianie przedstawicielom jednostek biznesowych skomplikowanych kwestii technicznych” – przekonywał Olivier Noutet, Head of Cybersecurity and Digital Fraud, BNP Paribas. Są też pozytywne zmiany. Z pewnością o wiele większa jest świadomość zagrożeń oraz wyzwań. Dotyczy to zwłaszcza najwyższej kadry kierowniczej, co znacznie ułatwia działanie CISO. Z drugiej strony jednak rosną oczekiwania. „Ewolucja CISO i całego cyberbezpieczeństwa była w ostatnich latach bardzo szybka. Przeszliśmy od stricte technicznego doradztwa bez budżetu do funkcji, która dzisiaj dysponuje zwykle już pokaźnymi zasobami. Oznacza to jednak, że dzisiaj jest nieco trudniej. Bo ze względu na te budżety oczekiwania są coraz większe i efekty trzeba zapewnić od razu lub w nieodległej perspektywie czasowej. Wyzwaniem jest więc realizacja wieloletnich programów, które zaczyna się od zera, ponieważ nie można kilka lat czekać na zwiększanie cyberodporności” – mówił Andrea Pezzotti, Global Head Vulnerability Management & Technical Risks, Novartis. Współpraca jest kluczowa Na zakończenie uczestnicy panelu omawiali kwestię uruchamiania i rozszerzania współpracy w obszarze cyberbezpieczeństwa. Wszyscy zgodnie twierdzili, że ma ona kluczowe znaczenie i nie ma innej alternatywy. „Jeśli chodzi o współpracę, to nic nie zyskujemy, ukrywając problemy w obszarze cyberbezpieczeństwa. Jest wręcz odwrotnie. Przykładowo w sektorze bankowym wszyscy jesteśmy od siebie wzajemnie zależni. Jeśli zagrożenie jest poważne, możemy upaść wszyscy tak jak klocki domina. Dlatego bez współdzielenia informacji jesteśmy skazani na porażkę” – mówił Oliver Noutet. Na konieczność jak najszerszej współpracy, która nie ogranicza się do poszczególnych grup, sektorów czy krajów, zwracał natomiast uwagę Andrea Pezzotti. „Zagrożenia wykraczają dzisiaj daleko poza pojedyncze branże. Cyberprzestępcy, w odróżnieniu od grup sponsorowanych przez państwa, nie wybierają precyzyjnie ofiary. Biorą na cel wszystkich, bez wyjątku, działają oportunistycznie. Współdzielenie informacji jest więc kluczowe, i to nie tylko w obrębie poszczególnych branż, ale znacznie, znacznie szerzej. Przy tym istotne jest nie tylko to, co i z kim dzielimy, ale także jak szybko to robimy. Ponieważ ataki rozprzestrzeniają się dzisiaj z prędkością światła, równie szybko trzeba dzielić się informacjami” – podsumował Andrea Pezzotti.
Save the date! Mamy już plan – plan spotkań i tematów, które wybrali w ankiecie członkowie CSO Council. Zarezerwujcie terminy w kalendarzach! Ale to dopiero początek! O innych aktywnościach i działaniach społeczności napiszemy już wkrótce!
Pomóż innym – podziel się wiedzą – dołącz do Forum Dobrych Praktyk ONLINE! Zapraszam na wirtualne dyskusje podczas “Forum Dobrych Praktyk” już 22 i 23 listopada! Cel spotkań: chcemy stworzyć Bazę Dobrych Praktyk – zwięzłe kompendium rozwiązań, rekomendowane przez Szefów Bezpieczeństwa – czyli Członków i Przyjaciół CSO Council. Bazę dobrych praktyk zamieścimy w Raporcie podsumowującym tegoroczny ATS 2021 BEZ CIEBIE tego nie zrobimy! Dlatego… Do wyboru jest 10 tematów. Sprawdź, w którym z nich możesz być ekspertem/masz największe doświadczenie i podziel się wiedzą! Dlaczego warto wziąć udział w spotkaniach? Spotkania odbędą się w ramach konferencji Advanced Threat Summit 2021! Zarejestruj się na Forum Dobrych Praktyk, a otrzymasz bezpłatny udział i Pakiet Premium z nagraniami z konferencji – i aż 19 pkt CPE!
Pełne zanurzenie w mrok DARKWEBA! Podczas wtorkowego spotkania CSO Council „Co piszczy w Darkwebie?” zeszliśmy tak głęboko w mroki Internetu jak nigdy do tej pory. Ekspert CERT Polska (nieco tajemniczy, bo do końca zachował swoja anonimowość) szybko przeszedł od slajdów do praktycznego demo – wejścia do przestępczego „cyberpodziemia”. Dla uczestników jest to temat ważny i ciekawy, ale dopiero duża skala organizacji i wyzwań bezpieczeństwa każe na poważnie na bieżąco śledzić to, co się dzieje w Darkwebie. To stamtąd bowiem można odczytać obecne trendy i kierunki rozwoju cyberprzestępczości. Ile kont VPN jest dostępnych w Darknecie – pokazał nam @Adam Danieluk w swoim CyberEkspressie. Pokazał nam również jakie zostały nałożone na firmy, które nie wykazały się odpowiednią dbałością o Cyberbezpieczeństwo. Hm… Dziękujemy świetnym i bardzo tajemniczym (tym razem?) Prelegentom spotkania, opiekunom dyskusji przy stolikach – którymi byli Piotr Kalbarczyk i Przemysław Dęba. Ale przede wszystkim Uczestnikom Spotkania za zaangażowanie i trudne pytania? Do zobaczenia na kolejnym spotkaniu CSO Council – już 12 października!
CSO Council – spotkanie nad Wisłą Jak to mówią warszawiacy – “detalycznie i z faszonem” spędzili środowy wieczór Członkowie i Przyjaciele CSO Council na pokładzie warszawskiej barki. Jak dobrze się było spotkać, po miesiącach pełnych wytężonej pracy i zamknięcia w „home office-ach!” Była energia, uśmiech i nieoczekiwane spotkania! Barka zacumowana vis a vis Zamku Królewskiego wręcz prowokowała do rozmów o tym, co ją otacza. Dlatego Maria Kamińska – specjalistka od bezpieczeństwa, ale i przewodnik warszawski – opowiedziała o dziejach warszawskiej syrenki, skarbach wyłowionych z Wisły, a opowieścią o zamachu na króla na pobliskim Starym Mieście wprowadziła nas w temat Mrocznych Storn Miasta! Zaraz potem do konkursu na temat Niebezpiecznej Warszawy stanęły 2 dzielne drużyny – Blue Team i Red Team! Które dzielnice są najmniej bezpieczne? Gdzie się znajduje warszawski Trójkąt Bermudzki, z którego nie wszyscy wracają… Czym „ po pracy” zajmował się warszawski kat? I jak porozumiewają się szemrane chłopaki z Pragi? Szybko okazało się, że nawet najbardziej mroczne i niebezpieczne zakątki i historie Warszawy nie mają tajemnic przed ekspertami od cyberbezpieczeństwa! Blue Team zaskoczył wszystkich znajomością warszawskiej gwary i… wygrał konkurencję! Mówiąc krótko: klawe cwaniaki! Nie zabrakło wymiany doświadczeń, zabawnych zdjęć, oraz wspólnej degustacji wyśmienitych dań i trunków przygotowanych przez kucharza z barki. W wyśmienitych humorach opuszczaliśmy gościnny pokład barki pod osłoną nocy. Ale… w tak doborowym towarzystwie, cóż nam mogło grozić?! Kolejny raz poczuliśmy, że CSO Council tworzą nie tylko najlepszej klasy eksperci, ale również niezwykłe osobowości i serdeczni ludzie. Dobrze być w CSO Council! Dziękujemy Wam za to spotkanie! Dobrych wakacji i do zobaczenia we wrześniu!
Nowy rok = nowe pomysły i tematy na spotkania wybrane przez członków CSO Council. Pierwsze spotkanie dopiero 9 marca, ale już wiemy, że w naszej społeczności będzie się działo jeszcze więcej! Zmienimy lekko formułę i ruszymy z nowymi inicjatywami, konkursem i nowym raportem płac w cybersecurity! Niezmienne będą nadal: wysoki poziom merytoryki i praktyczna wartość każdego spotkania. Naszymi gośćmi będą CSO, CISO i Security menedżerowie. Może spotkasz kogoś znajomego? Szczegóły tu
Majowe spotkanie CSO Council online, poświęcone było architekturze bezpieczeństwa jako ważnej i wciąż niedocenianej dziedzinie cyberbezpieczeństwa. Wspólnie zastanawialiśmy się, czym powinna być architektura cyberbezpieczeństwa i kto ma z się zajmować jej tworzeniem oraz utrzymaniem.
Kolejne spotkanie CSO Council online – już 21 kwietnia o godz. 16.00! Tym razem chcemy się skupić na bezpieczeństwie zdalnego środowiska pracy. Nie od dzisiaj wiadomo, że to człowiek jest najsłabszym elementem systemu bezpieczeństwa, Tym bardziej pracownik, który z domu – w słabo kontrolowanym środowisku, sięga po dane i systemy firmowe za pomocą sieci publicznych. Wiadomo też, że gdy obecne zagrożenie minie, to zdalna praca się w firmach rozgości na dobre. Pojawią się nowe wyzwania i priorytety działań dla szefa bezpieczeństwa w firmie. Czas powoli wychodzić z domu i z pandemii i sięgać – choć w planach – dalej! Porozmawiajmy o tym!
„Paryż wart jest mszy!” – powiedział kiedyś Henryk IV. A Kraków wart jest tego, by na spotkanie w nim poczekać. Koronawirus pokrzyżował nam trochę plany, ale… spotkania CSO Council w Krakowie NIE odwołujemy, a tylko „lekko” je przesuwamy na październik! Do zobaczenia w Krakowie, w bardziej sprzyjających okolicznościach – za to z równie dobrą energią i mocą #CSO Council! Bądźcie bezpieczni! Bądźcie zdrowi!