Компаниите за ИТ сигурност вече се опитват да не се движат една крачка зад хакерите, а разработват технологии за откриване и спиране на непознати, таргетирани атаки, казва Анелия Костадинова
(снимка: личен архив)
Пандемията COVID 19 наложи две основни промени в организацията на бизнеса: отдалечената работа и използването на облачни среди. Но когато работим от разстояние, често се пропуска критична част от пластовата защита на киберсигурността, сподели в интервю Анелия Костадинова, управител на дистрибутора КОМПЮТЪР 2000 България. Подобно на Covid-19, и кибератаките са пандемия. Готови ли са организациите и доставчиците на ИТ сигурност да се справят с това предизвикателство?
Г-жо Костадинова, киберсигурността винаги е била гореща тема за ИТ индустрията и клиентите, които тя обслужва, но напоследък значимостта ѝ нарасна, най-вече заради пандемията COVID-19 и отдалечената работа. Кои, според вас, са най-актуалните заплахи за бизнеса и организациите от публичния сектор?
Всъщност пандемията COVID-19 и кибератаките имат много общо: И двете по същество са пандемии. Точно като епидемията от коронавирус, атаките срещу киберсигурността също се случват в глобален мащаб и то на всеки няколко секунди. Точно както коронавирусът се разпространява от човек на човек, така и зловредният софтуер може бързо да се разпространи от компютър на компютър и от мрежа в мрежа. Кибератаките имат потенциал да съсипят един бизнес, точно както COVID-19 пандемията стопира бизнеса навсякъде.
Има много доклади за това кои са основните киберзаплахи през последните две години. Независимите изследователски институти се обединяват около следните: фишингът, който се използва за кражба на лични данни и ценна информация – има съвременни фишинг платформи, които са толкова опростени за използване, че дори човек без технически познания може да ги ползва и да стане „хакер”; отдалечените атаки, атаките през мобилни устройства чрез зловредни мобилни приложения; умните домашни уреди, дори един необезопасен рутер могат да се окажат точка, през която да проникне зловредният софтуер; изкуственият интелект също се използва от киберпрестъпниците, за да изготвят фишинг атаки, да събират данни, да имитират нормални процеси.
Пандемията COVID 19 наложи две основни промени в организацията на бизнеса: отдалечената работа и използването на облачни среди. Когато работим от разстояние, често се пропуска критична част от пластовата защита на киберсигурността. В допълнение към това, мобилните устройства често могат да скриват знаци, показващи потенциални фишинг атаки и други заплахи за киберсигурността. Cloud Jacking-ът вероятно ще се превърне в една от най-популярните заплахи през 2020 г., поради нарастващата зависимост на бизнеса от облачните компютри.
Атаките по метода на инжектиране на зловреден код – директно в кода на дадено приложение или чрез допълнителни .dll библиотеки – са водещи сред атаките срещу облачните платформи. Тези атаки – вариращи от използване на многопоточно скриптиране до инжектиране на зловреден код в SQL бази от данни – се прилагат за шпионаж, поемане на контрол и дори модифициране на файлове с чувствителна информация, разположени в облачни среди.
Друга сериозна заплаха са атаките с цел извличане на информация и данни от организациите, които в голям процент от случаите са трудно откриваеми. Те могат да извличат малки количества данни за дълъг период от време, но носят огромен риск за репутацията и интелектуалната собственост на засегнатите компании.
Готови ли са компаниите за ИТ сигурност да се справят с усложнената ситуация, от една страна, и има ли разбиране за сериозността на проблемите от страна на клиентите, от друга?
Ситуацията досега винаги е била следната: хакерските организации разработват нови типове заплахи, които не са срещани никога досега, атакуват конкретни организации и след като бъде анализирана атаката, компаниите за ИТ сигурност разработват методология за предотвратяване на бъдещи такива атаки.
В последно време обаче компаниите за ИТ сигурност се опитват да не се движат една крачка зад хакерите, а разработват технологии за откриване и спиране на най-опасните, непознати, таргетирани атаки. Някои от използваните технологии са „sandbox” системи, машинно обучение, решения за анализиране на процесите на крайните точки, анализ на поведението на потребителите и т.н.
Повечето организации на нашия пазар разбират сериозността на проблема и се опитват всячески да предприемат мерки, използвайки някои от най-напредналите технологии, предоставени от нашите вендори. Други не са толкова запознати, но ние като дистрибутор, заедно с вендорите, сме предприели кампания да обучаваме безплатно партньорите си и техните клиенти за последните тенденции в киберсигурността.
Вашата компания КОМПЮТЪР 2000 България работи от 25 години в сферата на ИТ сигурността. Това е огромен опит на един труден пазар. Какво ще посъветвате клиентите, така че да могат по-спокойно да посрещнат предизвикателствата, свързани с подсигуряване на защитата на техните информационни системи?
Киберсигурността е градивен процес, изграден от множество слоеве. Нашият съвет към клиентите е да работят постъпково за изграждане на своята киберсигурност, започвайки и покривайки на първо време базовия слой от технологии.
Гръбнакът на всяка система за киберсигурност са базовите, традиционни технологии като защита на крайни точки и мрежови защитни стени, както и наблюдение и одит на мрежовите процеси и ИТ средите.
Като втора стъпка се явяват напредналите технологии за справяне с непознати атаки, като се разчита на първия слой да отсее голямата част от познатите заплахи, така че тези специализирани решения да анализират само важните данни, които другите решения пропускат.
В най-горния слой е необходимо наличието на системи за корелация и анализ на събитията от всички други решения за сигурност, като например SIEM технологиите и изграждането на SOC. Тук вече може да се говори за по-специализирани технологии, като например решения против изтичане на данни, анализ на потребителското поведение и т.н.
Виждаме сред технологичните ви партньори една дузина големи имена в ИТ сигурността като FireEye, Bitdefender, Radware, Micro Focus, Forcepoint и други. Това е предпоставка да покриете целия спектър от решения, но все пак кои са водещите акценти в дейността ви като доставчик на ИТ сигурност?
Обикновено провеждаме среща с потенциалните клиенти, за да установим, какво е текущото им ниво на киберсигурност и къде са пропуските, които трябва да запълнят. Водим се от този анализ, за да преценим кои решения и технологии са приложими за дадена ситуация.
Bitdefender предоставят отлични традиционни решения за защита на крайни точки, най-добри в своя клас във всички тестове на AV Test.
Hillstone Networks пък предоставят иновативни мрежови защитни стени от ново поколение, които включват голям набор от интелигентни, самообучаващи се технологии.
Netwrix е вендорът, които препоръчваме за одит на промените в ИТ средите и класифициране на данните в тях.
SolarWinds предоставят набор от инструменти за наблюдение и управление на мрежовата среда.
Carbonite е вендор, който предоставя отлични решения за миграция на ИТ средите и за бекъп на данните в тях.
В най-високия клас препоръчваме решенията на FireEye за справяне с непознати заплахи, тъй като те разполагат с най-голямата експертиза и са отличени като компания номер едно по време на наградите Cybersecurity Excellence Awards, които се провеждат в Лондон. И тази година FireEye спечели най-високите отличия Gold във всичките 5 категории, в които бяха номинирани: Best Cybersecurity Company, Best Cybersecurity Podcast for Verodin’s Cybersecurity Effectiveness Podcast, Best Email Security, Best Endpoint Security, Best Threat Intelligence Operations.
Тук бихме поставили и решенията за защита от изтичане на данни на Forcepoint, които са лидерите на пазара, решенията на Radware за справяне с DDoS атаки и балансиране на мрежовия трафик и много други.
Нашите основни акценти са в анализирането на проблемите на клиентите, създаване на канал за дистрибуция на въпросните решения чрез мрежа от партньори-риселъри, както и обучението на тези клиенти и партньори относно наличните технологии за киберсигурност. Това, с което се гордеем особено много, е силният екип от системни инженери, които могат да извършват тестове в реална среда, могат да имплементират и осигуряват поддръжка заедно с вендорите ни.
Влезлият в сила преди повече от две години Общ регламент относно защитата на данните, известен като GDPR, вдигна доста високо летвата на изискванията за ИТ сигурност. Какво означаваше това във вашата работа с клиентите, какво се промени и какви са резултатите?
Разбира се, регламентът има позитивен ефект върху бизнеса с решения за киберсигурност, тъй като разчита на тези технологии да спомогнат за налагането му.
Като подготовка за стартиране на GDPR регламента всички компании започнаха да акцентират много сериозно върху изграждането и надграждането на тяхната киберсигурност и въвеждане на множество технологии, които да улеснят всички процеси. В противен случай те трябва да извършват тези процеси ръчно и трудоемко – ако нямат, например, решения като Netwrix Auditor за одит на ИТ промените, което предоставя необходимите отчети за GDPR автоматично, за броени минути.
В момента у нас сякаш има известно затишие около GDPR регламента и привеждането на компаниите във вида, който да отговаря напълно на условията му. GDPR все още е актуална тема за киберсигурността, но наблюденията ми са, че организациите вече се стремят към изграждане на такива системи, тъй като са осъзнали необходимостта и предимствата от тях, а не само за да покрият изискванията на регламента.
Над 90% от организациите смятат, че нивото на кибератаките през следващата година не само няма да намалее, а дори ще нарасне. Ние от КОМПЮТЪР 2000 като дистрибутор на решения за киберсигурност сме на същото мнение. Факт е, че над половината от организациите смятат и то с основание, че не са готови или не биха се справили адекватно при настъпване на сериозна кибератака срещу тях. Над 1/3 от организациите пък никога не са тествали или обновявали своите мерки за киберсигурност в последните 12 или повече месеци.
Трябва да работим заедно с организациите, за да намалим тези притеснителни тенденции, да защитим техните данни и най-вече репутация, особено във времето на глобална пандемия, когато злонамерените хакерски групировки опитват по всякакъв начин да се възползват от създалата се ситуация.
Вероятно все по-често ще слушаме за „сигурност като услуга”, предвид глобалната тенденция за изнасяне на ресурси и приложения в облака. Какво е съотношението между т.нар. „on-premise” решения и облачните услуги във вашите проекти за ИТ сигурност? Има ли рецепта при избора на едното или другото решение?
Облачните услуги и сигурността като услуга са сред водещите тенденции за киберсигурност, но в България конкретно все още се наблюдава едно недоверие към такъв тип решения.
От една страна, на голяма част от организациите, предимно в държавния сектор, им е забранено по регламент да използват каквито и да било облачни услуги, което изключва този модел на лицензиране и приложение. От друга, въпреки, че се стараем да обясним, например, че данните на клиентите не се изпращат в четим, суров вид в тези облачни среди и че те не крият рискове от злоупотреба с информацията им, доста организации са все още скептични към модела „сигурност като услуга”.
Най-голямото предимство на този модел за организациите е, че не изисква наличие на специализирана ИТ среда и на ИТ експерти, които да я управляват, за да се възползват от най-напредналите технологии за киберсигурност, а това значително намалява разходите им.
Все още предпочитаният модел в България е „on-premise”, но ние следим ситуацията, за да не изпуснем момента, когато повечето компании ще решат да преминат към модела „сигурност като услуга”, да сме в готовност и да можем да им предоставим необходимите решения и да покрием техните изисквания и потребности.
Организирате най-голямата конференция за киберсигурност на Балканите InfoSec SEE, но тази година се оказа предизвикателство за провеждането на подобни събития, предвид пандемията. Какви са плановете ви в новите условия?
InfoSec SEE 2020 беше планирана за април месец, но поради пандемията я отложихме за 8 и 9 октомври 2020 г. Конференцията се наложи като най-успешният и голям форум за обсъждане на решения за киберсигурност. Това не е стандартна конференция, а събитие, в което участват експерти на световно ниво; място, където организациите могат да учат безплатно, да общуват и обменят опит по най-актуалните проблеми на киберсигурността.
Новото тази година е, че конференцията ще бъде организирана като търговско изложение, с много възможности за „нетуъркинг” и много забавления, свързани с киберсигурността. Това е събитие за всички специалисти по киберсигурност, което те чакат с нетърпение.
Бих искала да поканя вашите читатели да заповядат на това единствено по рода си събитие на 8 и 9 октомври в хотел Риу Правец. Събитието е безплатно за всички участници, ще има и безплатен транспорт и през двата дена до мястото на събитието. Повече информация ще бъде публикувана на сайта на конференцията – InfoSec SEE 2020.