WIEDZA

The internet of things (IoT) continues to influence many aspects of today’s society. IoT devices are increasingly being used in homes and businesses to improve user experience and innovate services. The continuing growth of the IoT makes it an irresistible target for cybercriminals — thus shaping the threat landscape and the cybercrime underground.

Sztuczna inteligencja przeciwko cyberprzestępcom, czyli jak ogniem zwalczyć ogień Sztuczna inteligencja (AI) znajduje coraz szersze zastosowanie. Jest obecna w wielu dziedzinach codziennego życia – od zakupów online po ochronę zdrowia. Niestety, wykorzystują ją także cyberprzestępcy, którzy dzięki tym mechanizmom wzmacniają skuteczność swoich ataków. Aby podjąć skuteczną walkę, zespoły ds. cyberbezpieczeństwa powinny zatem skupić się na zrozumieniu tych technik i na bazie tej wiedzy projektować strategię działania. Już w 2018 r. organizacja Electronic Frontier Foundation przestrzegała przed możliwością złośliwego zastosowania sztucznej inteligencji[1]. I rzeczywiście, mechanizmy te coraz częściej stają się dużym zagrożeniem dla bezpieczeństwa cyfrowego, gdyż dzięki nim cyberprzestępcy potrzebują mniej czasu na włamanie się do sieci. Zwykle operacja ta trwała nawet kilka miesięcy, zaś obecnie – kilka dni. Z powodu tak dużej skuteczności wzrasta liczba ataków bazujących na sztucznej inteligencji i uczeniu maszynowym. Skrócenie czasu potrzebnego na przeprowadzenie złośliwych działań przekłada się też na obniżenie związanych z nimi kosztów. W tym kontekście sytuację administratorów utrudnia możliwość dokonania przez cyberprzestępców automatyzacji całego procesu mapowania sieci, odkrywania potencjalnych celów, znajdowania w nich luk bezpieczeństwa, a nawet przeprowadzania niestandardowych ataków. – Sztuczna inteligencja w rękach atakujących stanowi coraz większe zagrożenie dla bezpieczeństwa sieci i danych. Sytuację pogarsza możliwość wykorzystania przez nich tzw. inteligentnych rojów oraz tworzenia zautomatyzowanych i bazujących na skryptach zagrożeń. To wszystko w zawrotnym tempie zwiększa szybkość i skalę cyberataków – ocenia Derek Manky z FortiGuard Labs firmy Fortinet. Konieczność stosowania zintegrowanej architektury bezpieczeństwa W wielu przedsiębiorstwach architektura ochronna nie jest dostosowana do obrony przed atakami bazującymi na sztucznej inteligencji. Głównym problemem jest stosowanie w jednym środowisku nawet kilkudziesięciu punktowych produktów zabezpieczających sieć, często pochodzących od różnych producentów. Utrudnia to uzyskanie pełnego obrazu poziomu ochrony, ponieważ wymagane jest ręczne integrowanie danych z wielu aplikacji. W takiej sytuacji niemożliwa jest skuteczna i skoordynowana reakcja na cyberatak obejmujący całą sieć. Co więcej, zespoły ds. cyberbezpieczeństwa często nie nadążają z wykrywaniem zagrożenia, ponieważ przestępcy stają się coraz szybsi i minimalizują czas potrzebny na przeprowadzenie ataków. To z kolei powoduje powstawanie tzw. luki wykrywalności naruszenia bezpieczeństwa (Breach Detection Gap), określanej jako okres od momentu włamania do sieci, aż do wykrycia incydentu. Dane przedstawione w dokumencie Ponemon Cost of a Data Breach Report 2020[2] wskazują, że czas ten może wynieść średnio nawet 280 dni. Według tego raportu, przeciętny koszt naruszenia bezpieczeństwa danych na świecie wynosi 3,86 mln dolarów. Skala tego zjawiska pokazuje, jak ważne jest zintegrowanie posiadanych zabezpieczeń. Czego zespoły ds. bezpieczeństwa IT mogą nauczyć się od cyberprzestępców? W branży cyberbezpieczeństwa stale brakuje dużej liczby specjalistów. Pozyskanie odpowiednio wykwalifikowanych pracowników w tym obszarze jest dla firm poważnym problemem. Szczególnie trudno jest znaleźć osoby, które znają się na sztucznej inteligencji. Tymczasem, wraz z jej rozwojem, cyberprzestępcy opracowują coraz bardziej skuteczne, bazujące na tym mechanizmie techniki. Wykorzystywane w cyberatakach samouczące się rozwiązania pozwalają nie tylko na szybkie znalezienie luk w zabezpieczeniach. Umożliwiają także dobieranie na bieżąco najskuteczniejszego w danej sytuacji złośliwego kodu oraz aktywne neutralizowanie prób jego zablokowania. – Wykorzystując sztuczną inteligencję oraz łącząc ją z nowymi metodami ataków, np. rojami botów, cyberprzestępcy zyskują możliwość segmentacji ataku. Jego poszczególne elementy funkcjonalne mogą być przypisane do różnych członków roju, aby umożliwić interaktywną komunikację i przyspieszyć tempo ataku. Trzeba jednak zaznaczyć, że może być on też przeprowadzony przez pojedynczego przestępcę, więc nie zawsze jest potrzebne angażowanie większej grupy ludzi – opisuje Derek Manky. Cyberprzestępcy posługują się coraz bardziej złożonymi i wyrafinowanymi technikami, co przekłada się na wzrost efektywności ich działania. Dlatego strategia bezpieczeństwa również powinna być wzmocniona o zastosowanie rozwiązań wykorzystujących sztuczną inteligencję. Zespoły ds. cyberbezpieczeństwa powinny zapomnieć o zasadzie, że ognia nie gasi się ogniem. W tym przypadku jest odwrotnie. Wyrównanie szans w walce z cyberprzestępcami będzie możliwe tylko wtedy, gdy metodyka ich działania zostanie zaadaptowana do celów działań ochronnych. Jest to istotne zwłaszcza w sytuacji niedoboru specjalistów na rynku. Wykorzystanie potencjału sztucznej inteligencji może usprawnić pracę zespołów ds. bezpieczeństwa i chociaż trochę zmniejszyć odczuwanie negatywnych skutków luki kompetencyjnej. [1] https://www.eff.org/deeplinks/2018/02/malicious-use-artificial-intelligence-forecasting-prevention-and-mitigation [2] https://www.ibm.com/security/data-breach  

Whitepaper Praktyczny przewodnik dla kadry zarządzającej dotyczący ograniczeniu ryzyka utraty danych

50 lat temu inżynier Ray Tomlinson wysłał pierwszą na świecie wiadomość e-mail. Był to krok milowy dla rozwoju komunikacji cyfrowej, która połączyła cały świat. Ułatwiła ona nie tylko kontakty międzyludzkie, ale także zmieniła sposób działalności wielu firm. Jednak, wraz ze wzrostem popularności poczty elektronicznej, zwiększyła się także skala wykorzystania jej do cyberataków. Warto wiedzieć zatem, jak zapewnić bezpieczeństwo poczty elektronicznej, zarówno prywatnej, jak i w swoim miejscu pracy.

W czasie pandemii znacząco rozwinęło się wykorzystanie usług opieki zdrowotnej w modelu cyfrowym, co stworzyło nowe możliwości działania dla przestępców. Sytuacja stała się szczególnie niebezpieczna, ponieważ cyberataki na placówki ochrony zdrowia mogą nieść ze sobą zagrożenie dla pacjentów. Istnieją jednak sposoby ochrony, a najbardziej skutecznym jest wdrożenie wielowarstwowej strategii bezpieczeństwa.

Wszystko wskazuje na to, że w 2021 roku chmura będzie w centrum zainteresowania specjalistów IT i cybersecurity. Dlatego Fortinet partner CSO Council – zapytał ponad 500 specjalistów ds. cyberbezpieczeństwa z różnych branż, jak reagują na zagrożenia bezpieczeństwa w #chmurze. Prezentujemy bardzo ciekawe wyniki tego badania!

Metody włamań zmieniają się coraz szybciej, ale cel wdrażanych zabezpieczeń pozostaje ten sam. Aby ograniczyć ryzyko ataków, należy zapobiec jak największej liczbie cyberzagrożeń, wykrywając i eliminując włamania jak najszybciej, aby zminimalizować poniesione szkody i koszty.

The coronavirus (Covid-19) pandemic has changed the way many organizations operate as remote work has become the norm. However, moving from a customary office to a home-based workstation — potentially as a long-term arrangement — poses new security risks for businesses as more threat actors attempt to capitalize on Covid-19-related unease.

Fortinet prezentuje wyniki najnowszego „Global Threat Landscape Report”   Cyberprzestępcy ukierunkowali swoje działania przede wszystkim na osoby pracujące zdalnie, aby uzyskać dostęp do firmowych sieci i poufnych danych [Warszawa, 07.09.2020] Fortinet, światowy lider w dziedzinie zintegrowanych i zautomatyzowanych rozwiązań cyberochronnych, zaprezentował wyniki najnowszego półrocznego raportu FortiGuard Labs Global Threat Landscape Report. Wydarzenia o globalnym zasięgu stwarzają nowe możliwości: Cyberprzestępcy już wcześniej odwoływali się do bieżących wydarzeń, korzystając z nich jako z przynęty socjotechnicznej. W pierwszej połowie 2020 r. wznieśli się jednak na kolejny poziom. Zarówno hakerzy tworzący ataki phishingowe, jak też współpracujący z rządami znaleźli wiele sposobów, aby na ogromnę skalę skorzystać na pandemii. Wśród najpopularniejszych kampanii znalazły się ataki phishingowe, oszustwa polegające na podszywaniu się w korespondencji elektronicznej pod innych pracowników firmy, ataki, za którymi stały instytucje rządowe oraz, oczywiście, ransomware. Globalny charakter pandemii ułatwił zwiększenie zakresu i metod ataków. Pokazuje to, jak szybko przestępcy są w stanie zareagować na wydarzenia mające wpływ na społeczeństwa na całym świecie, aby zwiększyć siłę rażenia ataków.   Firmowe sieci trafiły do domów: Wzrost liczby zdalnych pracowników niemal natychmiast sprawił, że zmieniły się proporcje, w jakich łączność przez sieć z zasobami IT odbywała się lokalnie oraz przez Internet. Cyberprzestępcy natychmiast wykorzystali tę okazję. W pierwszej połowie 2020 r. na szczycie listy ataków wykrywanych przez rozwiązania IPS (Intrusion Prevention System) znalazły się próby włamania do wielu modeli routerów klasy konsumenckiej oraz urządzeń IoT. Ponadto, wśród botnetów dominowały Mirai i Gh0st, które umożliwiały atakowanie poprzez stare i nowe podatności sprzętów Internetu rzeczy. Trendy te są godne uwagi, ponieważ pokazują, w jaki sposób zasięg sieci rozrósł się i trafił do gospodarstw domowych. Cyberprzestępcy poszukiwali tam urządzeń, które umożliwiałyby dostęp do infrastruktury sieciowej przedsiębiorstw. Firmy muszą się więc przygotować i podjąć konkretne kroki w celu ochrony swoich użytkowników, urządzeń i informacji w sposób podobny, jak zabezpieczają firmowe sieci.     Przeglądarki celem cyberprzestępców: Rosnąca popularność pracy zdalnej otworzyła przestępcom bezprecedensową szansę, aby na wiele sposobów wykorzystać rozwiązania IT osób pracujących z domu. Zauważono między innymi, że liczba kampanii phishingowych, w których manipulatorskie komunikaty dostarczane były przez strony internetowe, przewyższyła liczbę ataków tego typu dokonywanych tradycyjnie poprzez zwykłą pocztę e-mail. Phishing na stronach internetowych był najbardziej popularny w styczniu i lutym, a dopiero w czerwcu wypadł z pierwszej piątki. Może to świadczyć o próbach przeprowadzania takich ataków, gdy najbardziej narażone na nie osoby otwierają strony internetowe w domu. Pokazuje to, że nie tylko przeglądarki, ale też urządzenia coraz częściej będą głównym celem cyberprzestępców, ponieważ nadal kierunkują oni ataki na pracowników zdalnych.   Ransomware wciąż jest groźne: Dobrze znane zagrożenia, takie jak ransomware, nie utraciły popularności w ciągu ostatnich sześciu miesięcy. Wiadomości i załączniki o tematyce związanej z COVID-19 były stosowane jako przynęta w wielu różnych kampaniach. Zaobserwowano np. oprogramowanie ransomware, które przed zaszyfrowaniem danych nadpisywało główny rekord rozruchowy komputera (Master Boot Record, MBR). Ponadto nastąpił wzrost liczby ataków, w których dane firmy będącej ofiarą nie tylko były szyfrowane, ale także wykradane i wykorzystywane do szantażu. Cyberprzestępcy grozili, że je upublicznią, jeśli nie otrzymają okupu. Ten sposób postępowania należy traktować jako nowy, znaczący trend. Prowadzi on do wzrostu ryzyka nie tylko utraty dostępu do danych, ale także ujawnienia tych najbardziej wrażliwych. W skali globalnej podczas ataków ransomware nie oszczędzono żadnej branży, a statystyki pokazują, że wśród pięciu najbardziej poszkodowanych rodzajów przedsiębiorstw znalazły się firmy telekomunikacyjne, dostawcy usług płatniczych, placówki edukacyjne, rządowe i technologiczne. Niestety, rośnie też popularność oprogramowania ransomware sprzedawanego jako usługa. Oznacza to, że raczej nie należy oczekiwać spadku popularności tego typu zagrożeń.   Środowiskom OT zagraża nie tylko Stuxnet: W czerwcu minęło 10 lat od powstania złośliwego narzędzia Stuxnet, które odegrało kluczową rolę w ewolucji zagrożeń bezpieczeństwa technik operacyjnych (OT). Obecnie sieci OT nadal pozostają celem cyberprzestępców – pokazało to m.in. wykryte na początku tego roku oprogramowanie ransomware EKANS. Przykładem zagrożenia polegającego na wykradaniu poufnych informacji ze szczególnie chronionych sieci jest też oprogramowanie szpiegowskie Ramsay. Częstotliwość występowania zagrożeń ukierunkowanych na systemy kontroli procesów przemysłowych typu SCADA i ICS jest mniejsza niż w przypadku środowisk informatycznych, ale nie umniejsza to znaczenia tego trendu.   Informacje o lukach nadal w cenie: Lektura listy CVE pokazuje, że w ciągu ostatnich kilku lat wzrosła liczba luk wykrytych w rozwiązaniach IT, co wywołało dyskusję na temat priorytetowego traktowania aktualizacji mających na celu ich załatanie. Mimo że w roku 2020 liczba wykrytych luk będzie prawdopodobnie rekordowa, to równocześnie – jak do tej pory – bardzo niewiele z nich zostało wykorzystanych przez cyberprzestępców (wskaźnik ten może być najniższy w 20-letniej historii tworzenia list CVE, tymczasem w 2018 roku wyniósł on aż 65%). Jednocześnie ponad jedna czwarta firm odnotowała próby ataków bazujących na lukach opisanych na listach CVE już 15 lat temu. Wynika z tego, że wykorzystanie przez cyberprzestępców opublikowanych informacji o lukach i stworzenie na ich bazie złośliwych narzędzi nadal wymaga czasu, ale jest to popularny sposób atakowania.   Sieć sięgająca gospodarstw domowych także powinna być zabezpieczona Instytucje wywiadowcze i badawcze mogą pomóc w uzupełnieniu wiedzy o aktualnych cyberzagrożeniach poprzez dostarczenie szczegółowych informacji o aktualnych trendach oraz dogłębnych analiz metod ataku, informacji o zlecających je podmiotach i nowych taktykach. Nigdy w historii nie istniało większe zapotrzebowanie na rozwiązania dla pracowników zdalnych, które zapewniałyby bezpieczny dostęp do kluczowych zasobów, a jednocześnie wysoką skalowalność. Jedynie platforma zaprojektowana, aby zapewnić kompleksowy wgląd w infrastrukturę i ochronę przed różnymi rodzajami cyberataków (w tym w środowiskach sieciowych, aplikacyjnych, wielochmurowych lub mobilnych) jest w stanie zabezpieczyć współczesne, szybko zmieniające się sieci.   „Przez pierwszych sześć miesięcy 2020 roku byliśmy świadkami bezprecedensowych zmian związanych ze sposobami dokonywania cyberataków. Ich dramatycznie szybko rosnąca skala oraz ewolucja metod przeprowadzania dowodzą sprawności hakerów w szybkim dostosowywaniu ich taktyki do obecnych wydarzeń skupionych wokół pandemii COVID-19 w celu zmaksymalizowania zysku. Jeszcze nigdy nie było tak bardzo oczywiste jak teraz, dlaczego przedsiębiorstwa muszą rozszerzyć zakres ochrony sieci, uwzględniając także gospodarstwa domowe i inne miejsca, z których pracownicy zdalnie wykonują swoje obowiązki. Niezwykle ważne jest, aby podejmowane działania, mające na celu ochronę ich danych, urządzeń oraz domowych sieci miały charakter długoterminowy. Rozsądne jest również rozważenie przyjęcia w świecie cyfrowym takiej samej taktyki wobec wirusów, jaką przyjmujemy w

Ostatnio wzrosła liczba ataków DDoS na infrastruktury ISP oraz klientów z sektora finansowego. Wiele z nich, było poprzedzone żądaniem okupu. Analiza mechanizmów wykorzystywanych przez atakujących dostępna w raporcie ERT

WYWIADY

Eksperci Fortinet o socjotechnicznych atakach w postcovidowej rzeczywistości Spowodowane pandemią nagłe przejście na telepracę zaskoczyło wiele przedsiębiorstw, a brak odpowiedniego przygotowania naraził ich sieci na zagrożenia. Działania manipulacyjne cyberprzestępców, obecne w licznych atakach phishingowych i spearphishingowych, zaczęły bowiem koncentrować się wokół obaw użytkowników komputerów związanych z COVID-19. Teraz, gdy wiele firm ponownie zmienia model pracy, konieczne jest rozważenie, jak wpłynie to na bezpieczeństwo ich infrastruktury IT. Analitycy Derek Manky i Aamir Lakhani z FortiGuard Labs, działającego w strukturach firmy Fortinet, wyjaśniają, jak w czasie pandemii zmodyfikowane zostały techniki działań socjotechnicznych oraz wskazują, co firmy muszą zrobić, aby zabezpieczyć środowiska pracy hybrydowej. Czym spotykane obecnie zagrożenia socjotechniczne różnią się od tych z początku pandemii? Derek: Mamy za sobą już ponad 15 miesięcy pandemii. Zakładałem, że po takim czasie zabiegi socjotechniczne związane z COVID-19 będą coraz mniej popularne. Analiza naszych danych wskazuje jednak, że liczba ataków, szczególnie prowadzonych z wykorzystaniem wiadomości e-mail, pozostaje na podobnym poziomie. Różnica polega jedynie na wykorzystywanych do manipulacji tematach. Na początku dotyczyły one głównie pracy zdalnej. Obecnie koncentrują się na ponownym otwarciu biur i kwestiach związanych ze szczepieniami. Popularne jest podszywanie się pod pracowników działów bezpieczeństwa IT. Aamir: Również oczekiwałem zmniejszenia liczby ataków wykorzystujących temat COVID-19. Biorąc jednak pod uwagę skuteczność, jaką miały niektóre z nich, trudno się dziwić, że kwestie związane z pandemią wciąż są popularne. Cyberprzestępcy po prostu dostosowują swoje przynęty do aktualnej sytuacji i wykorzystują nowe tematy. Niestety, ludzie często nie traktują tych ataków tak poważnie, jak powinni. Na przykład, powrót do pracy stacjonarnej przekłada się na większą liczbę wiadomości phishingowych od przestępców podszywających się pod korporacyjnych specjalistów IT. Należy się spodziewać, że te e-maile będą zgodne z korporacyjnymi wytycznymi dotyczącymi bezpieczeństwa. Przykładowo, będą nakazywać pracownikom ostrożność wobec podejrzanych wiadomości, a jednocześnie będą zachęcać do kliknięcia w znajdujące się w nich złośliwe łącza. Dlatego działy IT w każdej firmie muszą pamiętać o dzieleniu się z pracownikami wiedzą o cyberzagrożeniach i odpowiednio ich uczulać na zagrożenia. W jaki sposób cyberprzestępcy zmieniają taktykę działania, gdy coraz więcej firm przechodzi na hybrydowe modele pracy? Aamir: Chociaż coraz więcej osób jest zaszczepionych, a świat wraca do poczucia „normalności”, to o COVID-19 wciąż codziennie słyszymy w mediach. Cyberprzestępcy to wykorzystują, dostosowując jedynie przynęty do popularnych aktualnie tematów. Pojawiają się jednak również nowe taktyki, związane z powrotem do biur. Co zaskakujące, rośnie popularność modelu Ransomware-as-a-Service, w którym cyberprzestępcy dokonują włamania, a następnie oferują „usługi konsultingowe” – w zamian za okup deklarują ujawnienie firmowym specjalistom, w jaki sposób uzyskali dostęp do sieci. W niektórych przypadkach kampanie te przynoszą miliony dolarów zysku. To naprawdę interesująca zmiana w podejściu cyberprzestępców, ponieważ do tej pory próbowali wpłynąć na emocje atakowanego, a teraz oferują im pomoc, oczywiście z korzyścią dla siebie. Derek: Warto zauważyć, że wiele informacji, których ujawnienie może mieć negatywne konsekwencje, przekazywanych jest przez ich posiadaczy dobrowolnie. Cyberprzestępcy mogą uzyskać dostęp do tych danych i wykorzystać je do przeprowadzenia ataków typu spear phishing. Niektóre informacje przesyłane między pracownikami również mogą zawierać poufne informacje korporacyjne i dane umożliwiające identyfikację konkretnej osoby. W takiej sytuacji cyberprzestępcy nie mają już wiele pracy – wystarczy pobranie dokumentów i informacji publicznie udostępnionych. O czym zarządy przedsiębiorstw powinny pamiętać przy tworzeniu planów bezpieczeństwa dopasowanych do nowych modeli pracy? Aamir: Jeżeli firma wysyła jakieś dane do usługodawcy lub dostawcy, trzeba zastanowić się w jaki sposób są one przetwarzane. Czy partnerzy dbają o ochronę poufnych informacji przed zagrożeniami? To są trudne pytania, które należy zadać już na samym początku współpracy. Kupując produkty IoT pytajmy o ich zabezpieczenia, możliwość dostania się do nich z innych sieci, sposób komunikowania z innymi urządzeniami – to wszystko jest bardzo ważne. Właściwie należy się zastanowić, czemu nie zadajemy tych pytań na co dzień, również sobie. Czy przekazując dalej otrzymaną wiadomość e-mail nie udostępniamy jakichś poufnych informacji? Derek: Ważne jest, aby współpracować i reagować na zagrożenia. Kluczowa jest jednak kwestia zaufania. Jeśli nadawca złośliwych wiadomości e-mail jest sfalsyfikowany i rozsyłane są one rzekomo przez korporacyjny zespół, pracownicy muszą dysponować odpowiednią wiedzą, aby zidentyfikować je jako potencjalne zagrożenie i zweryfikować tożsamość nadawcy. Model zero trust jest tutaj bardzo ważny, bo zmniejsza przestrzeń, w ramach której mogą działać cyberprzestępcy. To rozwiązanie było kluczowe podczas przejścia na pracę zdalną i powinno zostać zastosowane również w przypadku pracy hybrydowej.  

Jeśli nie rozumiesz co się stało, nie wiesz jak się bronić Największe wyzwanie w obszarze cyberbezpieczeństwa i analizy poincydentowej to dzisiaj masowa praca zdalna. Systemy, które zapewniały ochronę wcześniej, dzisiaj już tak dobrze nie działają. Potrzeba nowych rozwiązań, które pozwolą odpowiedzialnym za bezpieczeństwo zespołom na zdalne zabezpieczanie i analizowanie informacji po incydentach – rozmowa z Michałem Ceklarzem, odpowiedzialnym za Cybersecurity w regionie CEE w firmie OpenText.   OpenText to duża organizacja z szerokim portfolio rozwiązań dotyczących szeroko rozumianego zarządzania i przepływu informacji w firmie. Jak wygląda oferta w zakresie cyberbezpieczeństwa? Michał Ceklarz [MC]: Dział bezpieczeństwa powstał w wyniku przejęcia w 2017 r. firmy Guidance Software, która oferowała stworzone na potrzeby organów ścigania rozwiązanie pozwalające na przechowywanie i przetwarzanie informacji cyfrowych stanowiących dowody w sprawach w sposób akceptowany przez sądy. Budowa tego rozwiązania stanowiła odpowiedź na rosnące znaczenie dowodów elektronicznych we wszystkich dochodzeniach, nie tylko w sprawach związanych z cyberprzestępczością. Taka jest geneza Encase, technologii która bardzo szybko stała się faktycznym standardem wykorzystywanym przez organy ścigania. EnCase został rozwinięty przez OpenText po przejęciu Guidance Software. W jakim kierunku było rozwijane to oprogramowanie? MC: OpenText dostrzegł, że nie tylko organy ścigania chcą i potrzebują analizować dowody elektroniczne. Dlatego dopasował EnCase do potrzeb firm komercyjnych, które coraz częściej prowadzą wewnętrzne dochodzenia w związku z niewłaściwymi zachowaniami swoich pracowników, ale także analizy dostępnych dowodów po zaistnieniu incydentów takich jak np. ataki ransomware. EnCase Endpoint Investigator oferuje praktycznie te same możliwości co systemy dla organów ścigania, ale bez reżimu regulacji prawnych, których częścią jest rekwirowanie sprzętu. Wynika to z faktu, że organizacja musi zachować ciągłość pracy pomimo wystąpienia incydentu. Analiza i działania naprawcze muszą być prowadzona bez zakłócania działania użytkownika, a najlepiej w ogóle bez jego wiedzy i zaangażowania. Przy tym EnCase Endpoint Investigator dostarcza nie tylko narzędzia niezbędne do prowadzenia dochodzenia, ale także technologię EDR (EnCase Endpoint Protection), która pozwala na wykrywanie zagrożeń nie tylko na podstawie sygnatur, ale także zestawów zachowań np. określonych grup cyberprzestępczych APT. Na stacji roboczej instalowany jest niewielki agent, który działa podobnie do rootkita – pozostaje niewidoczny dla systemu operacyjnego, ale zapewnia możliwość kompletnej analizy z poziomu systemowego. Pozwala to np. na wykonywanie migawek systemu, które dostarczają informacji o tym jak wygląda system w danej chwili i co się na nim znajduje. Umożliwia także zapobieganie atakom, ponieważ wykrywa np. atak ransomware, uniemożliwia uruchomienie aplikacji i blokuje połączenie z serwerem, na którym odbywa się szyfrowanie. Po incydencie można sprawdzić skąd wziął się plik. Do tego można przeprowadzić powiązaną analizą w skali całej organizacji i wykryć infekcje na innych stacjach.     Czy agent musi być obecny na stacji roboczej? MC: Agent instalowany na stacji roboczej to idealny scenariusz, ponieważ pełni funkcję EDR oraz umożliwia analizę po incydencie. Można jednak również zainstalować agenta już po incydencie. Nie zapobiegnie to atakowi, ale pomoże zrozumieć dlaczego do niego doszło i wyeliminować jego źródło na przyszłość. Połączenie mechanizmów obronnych z analizą post-incydentową często nazywamy „Digital Forensic Incident Responce” – DFIR. Jeśli agent działał na stacji już wcześniej, jest oczywiście łatwiej. Można np. porównać migawki z kolejnych dni, żeby ustalić kiedy pojawił się plik i jak dalej działał. To pozwala na wykorzystanie go także nie tylko w związku z cyberatakami, ale także w sprawach miękkich. Klienci wykorzystują EnCase także do wykrywania nadużyć i oszustw. Przykładowo można wykryć, że choć pracownik jest uprawniony do dostępu do określonych danych, to jednak sięga do nich częściej niż powinien, albo zaczyna je gromadzić na dysku – nie chodzi nawet o to, że zamierza coś złego, ale robi to dla wygody, a nie powinien, bo zwiększa się ryzyko ich wycieku. Zdarza się, że EnCase potwierdza niewinność pracownika podejrzewanego o jakieś niezgodne z prawem czy procedurami działanie. Co można osiągnąć dzięki wykorzystaniu EnCase? MC: W większości firmy skupiają się raczej na wykrywaniu i zapobieganiu atakom. Jednocześnie zwykle zapominają o korzyściach z analiz prowadzonych po wystąpieniu incydentu. Szkoda, ponieważ taka analiza dostarcza wskazówek, jak się zabezpieczyć przed atakiem w przyszłości. W praktyce scenariusz ataku ransomware jest taki, że jeśli nie udało się go wykryć przed zaszyfrowanie, to pozostaje jedynie ponowna instalacja stacji roboczej, która najczęściej, jakiś czas później, znowu staje się celem ataku. Dzieje się tak dlatego, ponieważ tak naprawdę nie wiemy dlaczego doszło do ataku. Tymczasem mamy do czynienia z tą samą stacją i tym samym użytkownikiem, który raczej nie zmienił swoich przyzwyczajeń i sposobu działania. Jeśli nie analizujemy sytuacji po incydencie, to nie rozumiemy co się stało  i nie wiemy jak przeciwdziałać podobnym sytuacjom w przyszłości. Tak było właśnie w głośnej sprawie Sony: firma skupiała się na maksymalnie szybkim przywróceniu działania, nie analizując co dokładnie się wydarzyło i kończyło się to ponowną kompromitacją systemu. Trwało to blisko 10 tygodni. Dlaczego tak się dzieje? MC: Dzisiaj skuteczny atak wiąże się z tzw. lateral movement, czyli rozprzestrzenianiem się zagrożenia z jednej stacji na całą organizację. Jeśli mamy do czynienia z zaawansowanym atakiem, to rzadko jest on wykrywany od razu. Raczej dzieje się to dopiero, kiedy zainfekowana jest większość infrastruktury w organizacji. Jeśli tego nie wiemy co się stało, nie znamy całego kontekstu, to nie jesteśmy w stanie szybko przywrócić normalności. Podnosimy kilka stacji, ale za chwilę mamy zwykle powtórkę. Potwierdza to także historia Solar Winds. O ataku nie informowała pierwsza ofiara, ale firmy, których atak dotknął w konsekwencji tego pierwszego ataku. Właśnie dlatego tak się dzieje, ponieważ firmy skupiają się przede wszystkim na wykrywaniu i zapobieganiu. Jeśli jednak im się to nie udaje, a praktyka dowodzi, że czasem tak się dzieje, to brak analizy po incydencie bywa kosztowny. Nie rozumiemy zagrożenia, nie wiemy dlaczego doszło do incydentu i nie wiemy jak zareagować, działamy w ciemno. Jak pandemia wpłynęła na ten obszar cyberbezpieczeństwa? MC: Pojawienie się na masową skalę pracowników zdalnych sprawiło, że wszystkie zabezpieczenia, w które firmy inwestowały przez lata, przestały zapewniać im ochronę. Nie mamy kontroli nie tylko nad sprzętem wykorzystywanym przez pracowników zdalnych, ale także nad chmurą. W tej sytuacji wykrywanie incydentów jest znacznie trudniejsze niż wcześniej, a jeszcze trudniejsza jest analiza po incydencie. Kiedyś można było po prostu podejść do biurka pracownika, odłączyć komputer od środowiska, zabrać go do

W cyberbezpieczeństwie potrzeba ludzi ciekawych świata i ze zdolnościami do uczenia się. Najbardziej cenię współpracowników z pasją, którzy chętnie podejmują nowe wyzwania. Jako szef, chcę być jak najbliżej swojego zespołu, ułatwiać mu realizację zadań. W środowisku chmurowym w Polsce mamy jeszcze wiele do zrobienia – mówi Adam Marczyński, Chief Security Officer w firmie Operator Chmury Krajowej (OChK).

Rynek rozwiązań cyberbezpieczeństwa wykorzystujących uczenie maszynowe rozwija się bardzo dynamicznie. Niestety, niewiele wiadomo, czy i jak korzystają z technologii sztucznej inteligencji przestępcy i grupy sponsorowane przez państwa. O trendach, nowych rozwiązaniach i zagrożeniach związanych ze sztuczną inteligencją, uczeniem maszynowym oraz internetem rzeczy rozmawiamy z Januszem Żmudzińskim, ekspertem w obszarze bezpieczeństwa teleinformatycznego, członkiem Polskiego Towarzystwa Informatycznego i ISACA.

Atakujący mają określone cele. Aby skutecznie się bronić, musimy udaremniać ich realizację. Pamiętajmy też, że w przypadku systemów cyberfizycznych cele będą zawsze dotyczyć części fizycznej, a nie cyfrowej. Rozmowa ze Stefano Zanero, PhD, Associate Professor, Politecnico di Milano.

„Ustawa o KSC stwarza potencjał dla rozwoju polskiego sektora cyberbezpieczeństwa. Otwiera bowiem rynek usług w tym zakresie. Zapewnienie warunków do spełnienia jej wymogów jest w gestii każdego podmiotu uznanego za operatora usług kluczowych. Podejście bazujące na analizie ryzyka daje jednak szansę dopasowania zastosowanych rozwiązań do specyfiki konkretnej organizacji” – mówi Karol Okoński, Sekretarz Stanu w Ministerstwie Cyfryzacji, Pełnomocnik Rządu ds. Cyberbezpieczeństwa.

„Dzisiaj jesteśmy na etapie propagandy i oddziaływania informatycznego, a nie kinetycznego. Doświadczamy tego na co dzień w mniejszym lub większym stopniu. Należy to jednak traktować wyłącznie jako poligon – żołnierze muszą gdzieś ćwiczyć. Nadal nie wiemy jednak, co potencjalni agresorzy mają w zanadrzu” – mówił płk dr hab. inż. Piotr Dela, profesor nadzwyczajny w Zakładzie Cyberbezpieczeństwa Akademii Sztuki Wojennej, podczas wystąpienia na konferencji „InfraSEC 2019”. Zapytaliśmy go, jakie implikacje dla infrastruktury krytycznej ma wojna hybrydowa i jak się można zabezpieczyć przed działaniami dezinformacyjnymi oraz atakami w cyberprzestrzeni.

Operator usługi kluczowej musi zbudować mechanizm zarządzania bezpieczeństwem systemu informatycznego wspomagającego świadczenie tej usługi, również gdy bazuje ona na rozwiązaniach OT. Ustawa o krajowym systemie cyberbezpieczeństwa nie precyzuje, jakie działania mają być podjęte w odniesieniu do infrastruktury automatyki przemysłowej. Wybór odpowiednich środków leży w gestii poszczególnych operatorów. Muszą być adekwatne do oszacowanego ryzyka – mówi Robert Kośla, dyrektor Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji.

WYDARZENIA

Pełne zanurzenie w mrok DARKWEBA! Podczas wtorkowego spotkania CSO Council „Co piszczy w Darkwebie?” zeszliśmy tak głęboko w mroki Internetu jak nigdy do tej pory. Ekspert CERT Polska (nieco tajemniczy, bo do końca zachował swoja anonimowość) szybko przeszedł od slajdów do praktycznego demo – wejścia do przestępczego „cyberpodziemia”. Dla uczestników jest to temat ważny i ciekawy, ale dopiero duża skala organizacji i wyzwań bezpieczeństwa każe na poważnie na bieżąco śledzić to, co się dzieje w Darkwebie.     To stamtąd bowiem można odczytać obecne trendy i kierunki rozwoju cyberprzestępczości. Ile kont VPN jest dostępnych w Darknecie – pokazał nam @Adam Danieluk w swoim CyberEkspressie. Pokazał nam również jakie zostały nałożone na firmy, które nie wykazały się odpowiednią dbałością o Cyberbezpieczeństwo. Hm… Dziękujemy świetnym i bardzo tajemniczym (tym razem😊) Prelegentom spotkania, opiekunom dyskusji przy stolikach – którymi byli Piotr Kalbarczyk i Przemysław Dęba. Ale przede wszystkim Uczestnikom Spotkania za zaangażowanie i trudne pytania😊 Do zobaczenia na kolejnym spotkaniu CSO Council – już 12 października!  

CSO Council – spotkanie nad Wisłą Jak to mówią warszawiacy – “detalycznie i z faszonem” spędzili środowy wieczór Członkowie i Przyjaciele CSO Council na pokładzie warszawskiej barki. Jak dobrze się było spotkać, po miesiącach pełnych wytężonej pracy i zamknięcia w „home office-ach!” Była energia, uśmiech i nieoczekiwane spotkania!     Barka zacumowana vis a vis Zamku Królewskiego wręcz prowokowała do rozmów o tym, co ją otacza. Dlatego Maria Kamińska – specjalistka od bezpieczeństwa, ale i przewodnik warszawski – opowiedziała o dziejach warszawskiej syrenki, skarbach wyłowionych z Wisły, a opowieścią o zamachu na króla na pobliskim Starym Mieście wprowadziła nas w temat Mrocznych Storn Miasta! Zaraz potem do konkursu na temat Niebezpiecznej Warszawy stanęły 2 dzielne drużyny – Blue Team i Red Team! Które dzielnice są najmniej bezpieczne? Gdzie się znajduje warszawski Trójkąt Bermudzki, z którego nie wszyscy wracają… Czym „ po pracy” zajmował się warszawski kat? I jak porozumiewają się szemrane chłopaki z Pragi?   Szybko okazało się, że nawet najbardziej mroczne i niebezpieczne zakątki i historie Warszawy nie mają tajemnic przed ekspertami od cyberbezpieczeństwa! Blue Team zaskoczył wszystkich znajomością warszawskiej gwary i… wygrał konkurencję! Mówiąc krótko: klawe cwaniaki! Nie zabrakło wymiany doświadczeń, zabawnych zdjęć, oraz wspólnej degustacji wyśmienitych dań i trunków przygotowanych przez kucharza z barki.     W wyśmienitych humorach opuszczaliśmy gościnny pokład barki pod osłoną nocy. Ale… w tak doborowym towarzystwie, cóż nam mogło grozić?! Kolejny raz poczuliśmy, że CSO Council  tworzą nie tylko najlepszej klasy eksperci, ale również niezwykłe osobowości i serdeczni ludzie.  Dobrze być w CSO Council! Dziękujemy  Wam za to spotkanie!  Dobrych wakacji i do zobaczenia we wrześniu!  

Nowy rok = nowe pomysły i tematy na spotkania wybrane przez członków CSO Council. Pierwsze spotkanie dopiero  9 marca, ale już wiemy, że w naszej społeczności będzie się działo jeszcze więcej!  Zmienimy lekko formułę i ruszymy z nowymi inicjatywami, konkursem i nowym raportem płac w cybersecurity! Niezmienne będą nadal: wysoki poziom merytoryki i praktyczna wartość każdego spotkania. Naszymi gośćmi będą CSO, CISO i Security menedżerowie. Może spotkasz kogoś znajomego? Szczegóły tu

Majowe spotkanie CSO Council online, poświęcone było architekturze bezpieczeństwa jako ważnej i wciąż niedocenianej dziedzinie cyberbezpieczeństwa. Wspólnie zastanawialiśmy się, czym powinna być architektura cyberbezpieczeństwa i kto ma z się zajmować jej tworzeniem oraz utrzymaniem.

Kolejne spotkanie CSO Council online – już 21 kwietnia o godz. 16.00! Tym razem chcemy się skupić na bezpieczeństwie zdalnego środowiska pracy. Nie od dzisiaj wiadomo, że to człowiek jest najsłabszym elementem systemu bezpieczeństwa, Tym bardziej pracownik, który z domu – w słabo kontrolowanym środowisku, sięga po dane i systemy firmowe za pomocą sieci publicznych. Wiadomo też, że gdy obecne zagrożenie minie, to zdalna praca się w firmach rozgości na dobre. Pojawią się nowe wyzwania i priorytety działań dla szefa bezpieczeństwa w firmie. Czas powoli wychodzić z domu i z pandemii i  sięgać – choć w planach – dalej!  Porozmawiajmy o tym!  

„Paryż wart jest mszy!”  – powiedział kiedyś Henryk IV. A Kraków wart jest tego, by  na spotkanie w nim poczekać. Koronawirus pokrzyżował nam trochę plany, ale…  spotkania CSO Council w Krakowie NIE odwołujemy, a tylko „lekko” je przesuwamy na październik! Do zobaczenia w Krakowie, w bardziej sprzyjających okolicznościach – za to z równie dobrą energią i mocą #CSO Council! Bądźcie bezpieczni! Bądźcie zdrowi!    

Pierwsze spotkanie CSO Council online – już 2 kwietnia o godz. 16.00! O czym będziemy rozmawiać? O wyzwaniach, którym stawiliśmy czoła w czasie pandemii. O tym, z czym jeszcze przyjdzie nam się mierzyć. W obecnej sytuacji szef bezpieczeństwa to nie zawód.  Teraz – to misja! Dlatego bądźmy razem w tym czasie – mimo, że online.  

W cyberbezpieczeństwie potrzebne są kompleksowe, całościowe rozwiązania. Chodzi nie tylko o zapewnienie możliwości odpierania poszczególnych ataków lecz przede wszystkim o zapewnienie organizacji stanu stałej, wysokiej odporności na zagrożenia i mechanizmów zapobiegania rozprzestrzenianiu się cyberinfekcji. Skuteczne na tym polu mogą okazać się doświadczenia z zakresu biologii, historii czy epidemiologii. Mówili o tym uczestnicy marcowego spotkania CSO Council.

Po raz pierwszy CSO Council rusza w trasę, by odwiedzić najważniejsze ośrodki cybersecurity w Polsce! Tym razem zapraszamy do Krakowa, gdzie już 31 marca gościny CSO Council udzieli Bank HSBC. Tematem spotkania będzie wielowymiarowe spojrzenie na tematykę ataków ukierunkowanych – APT – w perspektywie Threat Intelligence, Threat Huntingu oraz Incident Response. Warto o tym rozmawiać, bo to jeden z kluczowych tematów dla kwestii bezpieczeństwa przedsiębiorstw i instytucji – dzieląc się doświadczeniami i najlepszymi praktykami. Zapraszamy! Więcej informacji o spotkaniu: https://csoc.pl/spotkania-regionalne/  

  Praca wre jak w ulu. Nowy rok = nowe pomysły i tematy na spotkania wybrane przez członków CSO Council. Pierwsze spotkanie dopiero 10 marca, ale już wiemy, że pobijemy ubiegłoroczne wyniki. Zarówno jeśli chodzi o liczbę spotkań – ich miejsce – (wyjeżdżamy poza Warszawę!) – liczbę ekspertów wykładowców. Zmienimy lekko formułę i ruszymy z nowymi inicjatywami. Niezmienne będą nadal: wysoki poziom merytoryki i praktyczna wartość każdego spotkania. Naszymi gośćmi będą CSO, CISO i Security menedżerowie. Może spotkasz kogoś znajomego. Szczegóły tu