Październik to europejski miesiąc cyberbezpieczeństwa. EXATEL, jak co roku, wykorzystuje ten czas do popularyzowania wiedzy o bezpieczeństwie w cyberprzestrzeni. Naszym celem jest nie tylko przestrzeganie przed potencjalnymi zagrożeniami, ale również promowanie odpowiedzialnego korzystania z sieci. W ramach cyklu podcastów porozmawiam z ekspertami departamentu cyberbezpieczeństwa na temat trendów i zagrożeń w obszarze security oraz o tym, jak EXATEL wychodzi im naprzeciw. Zapraszam, Sylwia Buźniak, Senior HR Business Partner EXATEL.

[00:00:35]

Dzień dobry. W dzisiejszym odcinku moim i państwa gościem jest Kamil Suska, zastępca dyrektora departamentu cyberbezpieczeństwa w EXATEL. Cześć Kamil.

• Dzień dobry państwu, cześć Sylwia.

Kamil, zaprosiłam cię, ponieważ chciałabym porozmawiać o trendach w cyberbezpieczeństwie. Wiadomo, chwytliwy temat, ale twoja perspektywa i ocena dzisiejszego rynku jest dla mnie bardzo interesująca.

• Chciałbym powiedzieć dzisiaj o trzech. Pierwszy to, który obserwuję, to dążenie w kierunku usystematyzowania zarządzania podatnościami.

A co to znaczy?

• To proces, bardzo ważny, który w uproszczeniu polega na identyfikacji programowania komponentów tego oprogramowania w infrastrukturze oraz ich wersjami i dzięki temu klient wie jakie posiada podatności, my jesteśmy w stanie wskazywać priorytetyzacje najpilniejszych mitygacji, to znacznie, znacznie poprawia poziom bezpieczeństwa. Jako przykład jaskrawy czemu to jest ważne to mógłbym wskazać podatność w komponencie Log4j z grudnia ubiegłego roku. Log4j to jest komponent Apache, często wykorzystywany w oprogramowaniu, służący do zapisywania dzienników zdarzeń i tutaj taką ciekawostką jest to, że w ciągu pierwszych siedemdziesięciu dwóch godzin od opublikowania podatności, zidentyfikowano ponad osiemset tysięcy infekcji na świecie przy wykorzystaniu tej podatności, a na GitHubie pojawiło się ponad sześćdziesiąt exploitów na nie opartych.

Bardzo ciekawy przykład. Skoro już wspomniałeś akurat o tych atakach z wykorzystywaniem Log4j, to jak zarządzanie podatnościami mogłoby przed tym uchronić?

• Jeśli klient miałby poprawnie wdrożony i obsługiwany system zarządzania podatnościami, posiadałby od razu informacje jakie elementy jego infrastruktury posiadają ten podatny komponent i mógłby szybko podejmować decyzje co do likwidacji lub minimalizacji ryzyka. W sytuacji kiedy takiego systemu nie ma, tak naprawdę zaczyna się wtedy paniczne poszukiwanie, zastanawianie się, przeglądanie dokumentacji czy wykonywanie skanów i to, to powoduje, że tracimy więcej czasu, a ten czas jest bardzo istotny, właśnie tak jak w tym wskazanym przykładzie, osiemset tysięcy infekcji w ciągu siedemdziesięciu dwóch godzin.

Yhm, okej, pierwszy. A mógłbyś podać następny trend?

• Sądzę, ze drugim, o którym warto powiedzieć jest popularyzacja podejścia Zero Trust.

A, czyli nie zasada ograniczonego zaufania, zasada zerowego zaufania?

• Tak, tak, dokładnie. To jest podejście, które jest już znane od kilkunastu lat, ale ostatnio zyskuje na popularności i w tym podejściu zakładamy, że nie ma elementów naszej infrastruktury, trzeba pamiętać, jakkolwiek dziwnie to nie zabrzmi, że człowiek też jest elementem właśnie infrastruktury, którym możemy w stu procentach ufać.

A jak wychodzimy naprzeciw?

• Podstawa to jest budowanie świadomości, ale żeby mówić o budowaniu świadomości pracowników w naszej organizacji, to najpierw musimy zacząć budować tą świadomość w kadrze zarządzającej no i w kadrze technicznej i tutaj bym wskazał jako taką usługę, która służy właśnie do budowania tej świadomości kierowniczej i technicznej, usługę rekonesansu bezpieczeństwa.

A mógłbyś bardzo ogólnie, tak, bo to jest jedna z naszych usług, jest ona znana i opisywana przez nas na naszej stronie również, na czym polega?

• To jest nisko kosztowa usługa, w której wysyłamy do klienta zespół złożony z Pentesterów i Audytora procesowo-proceduralnego i ten zespół stara się w maksymalnie krótkim czasie zidentyfikować najbardziej ważkie problemy klienta.

Jasne. Czy coś dodatkowo jeszcze robimy?

• Jeśli mów… jeśli już mamy tą świadomość wśród kadry zarządzającej i kadry technicznej, to wtedy możemy przejść do tego dalszego etapu, czyli do budowania świadomości w całej organizacji i tutaj proponujemy działania szkoleniowe, które mogą, możemy podzielić na w sumie trzy. Pierwsze, no to są testy phishingowe, czyli przesyłamy wiadomość, która ma wyglądać jak, jak najbardziej prawdziwie, ale w tej wiadomości ukrywamy…

[00:05:12]

Yhm.

• Pojedyncze elementy, po których pracownicy mogą się zorientować, że to jest phishing i później przedstawiamy taki też krótki materiał szkoleniowy do tej wiadomości phishingowej, w której, w której pracownicy mogą zidentyfikować gdzie popełnili błąd. No i szkolenia awarenessowe, te szkolenia awarenessowe z kolei proponujemy w dwóch modelach, pierwszy model no to jest tradycyjne szkolenie, które jest prowadzone przez trenera doświadczonego.

Yhm.

• A drugi model to jest platforma szkoleniowa, w której pracownicy mogą się szkolić samodzielnie. Oczywiście te wszystkie trzy elementy najlepiej ze sobą łączyć, żeby działać komplementarnie, niemniej, no takie oferujemy.

Rozumiem. A jak to się ma do sytuacji na rynku?

• Ataki phishingowe według raportu CERT Polska stanowią prawie siedemdziesiąt siedem procent wszystkich incydentów, więc tutaj pole do popisu jest, jest zdecydowanie duże i bardzo dużo znanych incydentów zaczynało się właśnie od phishingu, czy też speed phishingu.

Jasne, dzięki. No proces, sam proces budowania świadomości to nie jest epizod, to jest, to są działania systematyczne, ciągłe i często wieloletnie, tak? Ważne jest to odświeżanie wiedzy, systematyzowanie, no i utrwalanie. I trzeci trend, co powiesz, co według ciebie jest trzecim trendem w obszarze cyber?

• Ostatnio gorącym tematem są ataki na łańcuchy dostaw.

Czyli rozumiem, że to trend dotyczący branży logistycznej?

• Również, ale niekoniecznie. Jeśli mówimy o cyberbezpieczeństwie to, to w naszym łańcuchu dostaw jest każdy zewnętrzny komponent, czyli wszyscy podwykonawcy, którzy pośrednio lub bezpośrednio dostarczają nam oprogramowanie lub świadczą usługi w naszej infrastrukturze, należą do naszego łańcuchu, łańcuchu dostaw i tak naprawdę, jeśliby się zastanowić, to ten trend również bardzo mocno koresponduje z poprzednim trendem, o którym mówiliśmy, czyli podejściem Zero Trust.

A czemu atakujący uderzają w dostawców zamiast bezpośrednio w organizacje, które obierają na cel?

• Tak i pierwsze dwie główne motywacje, które mi przychodzą do głowy to albo chęć osiągnięcia dużej skali ataku, czyli atakując jedną firmę, jeden podmiot, możemy ten atak rozdystrybuować na wszystkich jego klientów, którym dany komponent, jaki zainfekujemy, dostarcza.

Yhm.

• A drugą motywacją może być łatwiejsza próba wejścia do zabezpieczonej infrastruktury, czyli w sytuacji, w której mamy organizację, która jest bardzo dobrze zabezpieczona i atakujący próbuje się do niej włamać.

Sprytne.

• Może podejść do tej sprawy w ten sposób, że jeśli nie jest w stanie się włamać bezpośrednio to włamie się do jakiegoś dostawcy, podwykonawcy i w ten sposób osiągnie swój cel.

Ciekawe. A mógłbyś podać tutaj jakieś przykłady, albo jakie są trendy na rynku, czy jest jakiś trend wzrostowy akurat dla, dla tego typu ataków?

• Firma Argon Security opracowywała raport, w której wzrost roku, w stosunku, w roku dwudziestym pierwszym w stosunku do roku dwa tysiące dwadzieścia, to było trzysta procent.

To trzykrotnie, to bardzo dużo, okej.

• I jeśli mówisz, pytasz o przykłady, to trzeba wspomnieć o bardzo popularnym i głośnym ataku, z grudnia dwu tysięcznego dziewiętnastego roku, czyli ataku na firmę SolarWinds, to jest globalny dostawca rozwiązań IT i w tym wypadku atakujący zainfekowali bibliotekę Dell, wykorzystywaną w oprogramowaniu dostarczanym do klientów, przez co ten efekt skali, jak i również w tym wypadku wejście do wielu dobrze zabezpieczonych organizacji był osiągnięty. A drugi przykład to jest taki przykład, o którym szczątkowe informacje możemy znaleźć, ale, ale to jest przykład właśnie mówiący o tym, próbie dostania się do bardzo dobrze zabezpieczonej infrastruktury i tu jest, to był atak na dostawcę systemu operacyjnego dla samolotów F-35.

No ten trend jest wyjątkowo ciekawy, tak? Bo z jednej strony jest wyzwaniem dla podwykonawców, a z drugiej dla zamawiających. Gdzie możemy szukać, jakby źródła, źródła problemu?

• Znowu wracamy do braku świadomości.

Yhm.

• Tutaj do braku świadomości zamawiających, którzy koncentrują się na cenie, funkcjonalności, ale zapominają o specyfikacjach, o wymogach co do dostawców w zakresie cyberbezpieczeństwa, chociaż ten trend się powoli zmienia i w związku z tym, że się zmienia wśród zamawiających, to pojawia nam się wyzwanie dla, dla dostawców, którzy muszą spełniać coraz bardziej rygorystyczne wymagania zamawiających.

Omówiliśmy sobie te trzy trendy. Czy ty widzisz, jakby, momenty, albo punkty wspólne dla nich? Jakby przenikanie się tych trendów między sobą?

• Tak, tak, tak, naprawdę, znaczy te wszystkie trzy trendy się przenikają, jeśli byśmy sobie wzięli top dziesięć trendów, też by się przenikały, bo cyberbezpieczeństwo to jest proces, do którego musimy podchodzić kompleksowo, punktowe działanie może dawać jedynie złudzenie, że coś robimy, a działanie kompleksowe realnie zwiększa nasze szanse zabezpieczenia przed atakującym.

A zdanie podsumowujące, przed jakimi wyzwaniami w takim razie stoi branża cyber?

• Sądzę, że największym wyzwaniem w tej chwili jest ograniczony dostęp do kadr i z tym wyzwaniem się, się wiążą chyba wszystkie, wszystkie organizacje, dlatego wzywanie również nam się przenika z tymi trendami, o których mówiliśmy, czyli o wyborze dostawcy, który ma te wykwalifikowane kadry, sam dba o swoje cyberbezpieczeństwo, no i jest dostawcą, któremu, któremu można zaufać, jest, jest zaufanym partnerem.

Dzięki. Bardzo przyjemna rozmowa.

• Dziękuję Sylwia. Do widzenia państwu.