Październik to europejski miesiąc cyberbezpieczeństwa. EXATEL, jak co roku, wykorzystuje ten czas do popularyzowania wiedzy o bezpieczeństwie w cyberprzestrzeni. Naszym celem jest nie tylko przestrzeganie przed potencjalnymi zagrożeniami, ale również promowanie odpowiedzialnego korzystania z sieci. W ramach cyklu podcastów porozmawiam z ekspertami z departamentu cyberbezpieczeństwa na temat trendów i zagrożeń w obszarze security oraz o tym, jak EXATEL wychodzi im naprzeciw. Zapraszam, Sylwia Buźniak, Senior HR Business Partner EXATEL.
[00:00:33]
W dzisiejszym odcinku podcastu, moim i państwa gościem jest Marek Makowski, inżynier z departamentu cyberbezpieczeństwa odpowiedzialny za rozwój TAMY, naszego autorskiego antyDDoSa. Cześć Marek.
- Cześć, dziękuję za zaproszenie.
Marek, chciałabym z tobą porozmawiać o TAMIE, szeroko rozumianej TAMIE i jakby rozwoju TAMY w ostatnim czasie. Start komercyjny TAMY nastąpił w listopadzie dwa tysiące dziewiętnastego roku, jak sobie TAMA radzi?
- Miło, że pamiętasz ten ważny dla nas moment, w którym wystartowaliśmy faktycznie komercyjnie, w listopadzie dwa tysiące dziewiętnastego. No od tego czasu bardzo dużo się zmieniło i w dalszym ciągu się zmienia. Same początki to oczywiście po przejściu na produkcję naszego rozwiązania, to przede wszystkim przepinanie klientów z komercyjnego rozwiązania, które mieliśmy do tego momentu na nasze, na nasze autorskie, no i tam oczywiście spełnianie wymagań, wymagań klientów. No ten proces zajął nam trochę, bo o ile dobrze kojarzę to zakończył się z końcem września dwa tysiące dwudziestego roku.
Czyli prawie rok czasu.
A o jakiej skali mówimy? Ilu klientów było przepinanych w tym czasie?
- Klientów dokładnie nie pamiętam, w okolicach sto, stu usług mieliśmy do, do przepięcia. To różnica jest taka, że jeden klient może posiadać oczywiście większ, więcej niż jedną usługę, czyli jeśli ma kilka lokalizacji lub kilka dostępów do Internetu to każdy z dostępów do Internetu oczywiście powinien być objęty osobną ochroną przed atakami DDoS. Także w ten sposób mniej więcej to wyglądało.
Yhm. TAMA jest już usługą, tak? Jest produktem, który świadczymy… który sprzedajemy klientom, natomiast wiemy, że teraz rozwijamy TAMĘ w projekcie ARFA.
Powiedz nam na czym polegają te nowe funkcjonalności i jak zbierać je… skąd bierzecie wymagania?
- Mamy projekt ARFA, dofinansowany ponownie z NCBRu. Jest to projekt, przy którym skupiamy się na rozwoju istniejących funkcjonalności, no bo, jakby, TAMA przede wszystkim w swoim pierwotnym celu miała chronić nas przed atakami głównie wolumetrycznymi, czyli takimi, które najłatwiej odpierać z punktu widzenia operatora telekomunikacyjnego. Jak ktoś świadczy usługi tego typu to zdecydowanie jest w stanie to skuteczniej zrobić niż klient końcowy, który ma zwykle jakieś tam jednak łącze dostępowe mniejszej przepustowości, niż, niż suma łączy posiadanych przez, przez danego operatora. To jakby te funkcjonalności oczywiście tutaj chcieliśmy rozwijać, ale chcieliśmy również pójść, pójść dalej i zacząć adresować problem również ataków aplikacyjnych, no i w ramach tego projektu opracowujemy takie, takie rozwiązanie, przez nas już nazwany EGIDĄ, to będzie kolejny, kolejny element tego, tej ochrony warstwowej, tak? Kolejna warstwa, którą wprowadzimy, dzięki której będziemy w stanie analizować ruch przede wszystkim in-linowo i na ten ruch nakładać odpowiednie reguły w zależności od tego, no, jakie są wymagania, wymagania klienta.
Druga część mojego pytania brzmiała skąd bierzecie wymagania. Czyli jak… na jakiej podstawie podejmujecie decyzje, że płyniecie w tym kierunku.
- Tak, no to wymagania są brane z kilku źródeł. Pierwszym jest oczywiście nasze, nasze doświadczenie w mitygowaniu ataków, które na co dzień widzimy, bo tak nadmienię tylko, że TAMA w obecnym, w obecnym wydaniu mityguje w okolicach pi razy drzwi tysiąca ataków w ciągu miesiąca. No to zdecydowanie jest już to produkt wygrzany i możemy powiedzieć, że, że działający. No ale oczywiście jak się mityguje takie tysiąc ataków, no to jakieś wnioski na pewno z każdego z tych ataków mogą zostać wyciągnięte i są pewne rzeczy, które na pewno jeszcze można poprawiać, więc nad takimi elementami pracujemy non stop, wyciągamy wnioski i staramy się, jakby, przekładać je na wymagania biznesowe dla naszych, dla naszych deweloperów, żeby, żeby szło to w odpowiedni, w odpowiednią stronę. Innym źródłem inspiracji w którą stronę powinno to pójść, są oczywiście wymagania klienckie.
[00:05:20]
Yhm.
- No bo klienci mają oczywiście swoją, swoją specyfikę, my chcemy przede wszystkim zapewnić usługę ochrony, to znaczy nie dać zarządzanej platformy i „kliencie, zdecyduj co tam jest tobie potrzebne”, tylko analiza wspólna nasza i klienta tego co po stronie klienta jest i jakby dobranie najnowszych zasobów i środków, żeby, żeby ochronę tej infrast… tej infrastruktury klienta zapewnić. No i tutaj oczywiście znowu wychodzą różne, w trakcie warsztatów z klientami, wychodzą różne elementy, które można zrobić jeszcze lepiej, albo w ogóle je zrobić, bo na przykład o czymś, czegoś tam wcześniej nie uwzględnialiśmy, no i, na tej zasadzie oczywiście budujemy cały, cały zestaw funkcjonalności, nad którymi właśnie w tej chwili pracujemy. Także tam, jakby to, będzie, będzie taki EGIDA, czyli ten nasz element in-linowy, będzie, będzie realizował faktycznie funkcjonalności, które są takim podzbiorem naszej, naszej wiedzy, wymagań klientów i no takich elementów jeszcze projektowych i deweloperskich, no bo oczywiście deweloperzy też tutaj mają zdecydowanie swoje, swoje pomysły jak, jak niektóre rozwiązania powinny zostać zrealizowane, żeby, żeby były skuteczne.
Yhm. Mówisz w liczbie mnogiej, powiedz, z kim na co dzień pracujesz po tej, po tej stronie nie deweloperskiej, wytwórczej, ale po stronie departamentu cyberbezpieczeństwa?
- Przede wszystkim z administratorami systemu, naszymi, najlepszymi we wszechświecie i okolicach, no i oczywiście z pierwszą linią, która tak naprawdę ma podjąć jak najszybszą reakcję w odniesieniu do tego, co się w systemie oczywiście zadziało, tak? Jeżeli alarm jest podniesiony no to, to ci ludzie tam mają według określonego scenariusza, ustalonego z klientem zareagować, czy to poinformować go, że mitygacja została rozpoczęta, bo ustalenie było takie, że atak będzie mitygowany automatycznie, czy też podjąć dialog z klientem w celu ustalenia, przekazania raportu i ustalenia, czy ta mitygacji powinna być włączona czy nie, bo na przykład może być tylko i wyłącznie false positivem, no i po stronie tego zespołu oczywiście należy ustalenie tego, tego z klientem, no i potrzebują do tego najlepszych narzędzi, żeby oczywiście ten proces przeprowadzić jak najszybciej, bo, no, jest to system odpowiadający za cyberbezpieczeństwo, jakkolwiek byśmy tych ataków DDoS nie traktowali, bo niektórzy traktują je odrobinę z przymrużeniem oka, ale jest to poważne zagrożenie jednak, mogące wyłączyć infrastrukturę, w tym oczywiście infrastrukturę podmiotów będących częścią infrastruktury krytycznej, więc tutaj te czasy reakcji są, są istotne i jest bardzo ważne, żeby, żeby każdy miał komfort pracy z tym systemem i był w stanie tam działać skutecznie także to są te osoby z departamentu cyberbezpieczeństwa, ale oczywiście, no, tak jak wspominałem, są jeszcze klienci, są pozostali interesariusze, bo możemy tutaj mówić o również wymaganiach ze strony naszej architektury, która pewnie jest w stanie nam też dostarczyć wielu wyzwań rozwojowych, no i tak jak mówiłem, klienci, nie?
Yhm, jasne, dzięki. Wspomniałeś, że antyDDoS i w ogóle DDoS mogą być różnie traktowane, jednak są ważne. Jacy klienci powinni zainteresować się usługą antyDDoS? Niezależnie od tego, czy to jakby TAMA, czy inny produkt, tak?
- To chyba każdy, kto, kto posiada łącze internetowe i tak naprawdę to łącze stanowi istotny element ciągłości działania danego podmiotu. No bo jeżeli, jeżeli tak i jeżeli ktoś przeprowadzi, przeprowadzi atak i jest w stanie wyłączyć infrastrukturę danego podmiotu z, z działania na krótszy czy dłuższy czas, to zaczyna się tak naprawdę problem. Pandemia i, no, sytuacja z dwudziestego czwartego lutego o ile dobrze pamiętam, czyli jednak konflikt zbrojny w bezpośrednim naszym sąsiedztwie no pokazały, że, że te ataki zdecydowanie przybierają na sile, jest zauważalny wzrost liczby przeprowadzonych kampanii DDoSowych i tak naprawdę każdy może już w tej chwili stać się celem, oczywiście no w przypadku pandemii jak przechodziliśmy wszyscy na pracę zdalną, w tym nauka odbywała się w tym trybie, to z racji tego, że gdzieś tam ten sektor edukacji również wspieramy jako firma i świadczymy tam usługi, to widzieliśmy, że jednostki oświatowe są przeprowadzane, albo powiązane z tym obszarem, gdzie są przeprowadzane ataki. Konflikt zbrojny w Ukrainie pokazał, że, no, pozostałe, pozostałe podmioty jakby też tutaj stają się często celem, także działamy na różnych polach.
[00:10:47]
Jasne. Wspomniałeś o przeszłości, a powiedz na zakończenie już, jak prognozujesz przyszłość, tak? W co warto, na co warto zwracać uwagę, jakie są twoje refleksje, takie osobiste?
W przypadku ataków DDoS, tak.
- Przede wszystkim chyba powinniśmy się skupić na tym, żeby jednak ta ochrona była wielowarstwowa, czyli oczywiście, no, jeżeli chodzi o ochronę przed atakami wolumetrycznymi, no to tutaj, no, przede wszystkim ochrona zapewniona przez operatora świadczącego usługę dostępu do Internetu, taka podstawa podstaw, a później już wszystkie te systemy, które pozwolą nam odpierać ataki wolumetryczne, czy w formie usług dostarczonych również przez, przez operatorów, czy przez, już przez własny sprzęt, jeżeli oczywiście podmiot jest na tyle duży, że powinien sobie, może sobie pozwolić na własne siły i środki w ramach takiej, w ramach takiej ochrony. No ale to podejrzewam, że będą już tematy kolejnych podcastów, co możemy zrobić w razie czego my, jeśli taki, taki podmiot zasobów i środków w tym zakresie nie posiada, no tutaj pewnie też nie tylko my, ale są podmioty, które są w stanie pomóc i jeżeli, jeżeli istnieją potrzeby, a one istnieją to przede wszystkim nie bagatelizowałbym zagrożenia, to znaczy, jeżeli nie wiemy, to przede wszystkim zwróćmy się do kogoś kto wie i będzie w stanie nas w razie czego wesprzeć w, w poradzeniu sobie z ewentualnym problemem. Bo te problemy są realne, one występują, to nie kwestia tego czy nas kiedyś ktoś zaatakuje, tylko od jakiego czasu już siedzi w naszej sieci, nie? To jakby-
Jasne.
- Adresujmy tego, tego typu problemy. Jeśli nie posiadamy wiedzy, znajdźmy kogoś, kto będzie w stanie nas wesprzeć w tym zakresie.
Jasne, dzięki za temat na kolejny podcast, miło, że wpadłeś, dzięki bardzo.