Ландшафтът на киберзаплахите непрекъснато се развива, нападенията стават все по-сложни и специализирани. Стъпвайки на презумпцията, че „въпросът не е дали, а кога” ще бъдат атакувани, организациите могат драстично да намалят въздействието на едно успешно нападение, сподели в интервю Майк Харт, вицепрезидент на американската компания за киберсигурност Mandiant. Той е сред топ лекторите на най-голямата на Балканите конференция за информационна сигурност InfoSec SEE 2021, която ще се проведе на 30 септември и 1 октомври в Правец.
Г-н Харт, след година и половина пандемия, която постави ИТ отделите под огромно напрежение, поради новите условия в организацията на бизнеса, можем ли да кажем, че бурята в киберсигурността отмина или тепърва облаците ще се сгъстяват?
Пандемията отклони фокуса – от разширяването на новите защити и еволюцията на контрола на сигурността към възможности за повече отдалечено работещи служители. Продължаващата пандемия даде възможност на много организации да се справят с тези проблеми, но усилията бяха насочени главно към осигуряване на последователност на средствата за контрол, които така или иначе вече съществуваха за някои служители. С намаляването на бюджетите, поради необходимите в тази посока ресурси и усилия, новите проекти често пъти биват задържани, докато се намерят още бюджет и ресурси. Новото „нормално” за много работещи означава, че приоритетите ще се променят и в бъдеще, така че бурята при сигурността не е отминала и нейните последици ще се усещат занапред, в продължение на няколко години.
Вероятно и клиентите, и доставчиците на решения за киберсигурност „помъдряха” в новата Covid реалност. Какво научихте Вие през този период, за да защитите по-добре клиентите си, и има ли нещо, което клиентите все още не успяват да разберат?
Първият принцип е да разберем правилно основите – осигуряване на неща като многофакторно удостоверяване, гарантиране, че технологиите за работа от разстояние са „закърпени” до текущите нива в рамките на организацията и продължаване на информирането за заплахите. В много случаи служителите се чувстват сигурни в работна среда, защото знаят, че са защитени и че има контрол на място. Когато преминат към работа от къщи, необходимите контроли може да са различни, но за домашната среда често се смята, че не е нужно да бъде толкова сигурна. Това може да се използва – и се използва – от нападателите, които търсят слабости и най-лесната точка за проникване в дадена организация.
Въпреки нарастването на атаките, особено от рансъмуер, много организации все още не вярват, че те са възможна цел („ние сме твърде малки, за да бъдем интересни, нямаме добре позната, видима марка”). Най-голямото притеснение е, че нападателите не подбират и след като рансъмуерът бъде разгърнат, организациите, особено малкият и средният бизнес, не разполагат с изпитани планове за кризисно управление, за да ограничат обхвата на щетите и да реагират бързо.
Мотото на InfoSеc SEE 2021 е „Устойчивост и адаптация на киберсигурността”. Какво е вашето разбиране за всяко едно от тези понятия? Изглежда сериозно предизвикателство да се съчетаят в стабилен, работещ механизъм?
В Mandiant разглеждаме устойчивостта на киберсигурността като способност за бързо разпознаване и ограничаване на атаки, което осигурява непрекъснатост на бизнеса или поне способност той да се върне възможно най-бързо към нормална, сигурна работна среда. Стъпвайки на презумпцията, че „въпросът не е дали, а кога”, устойчивостта позволява на организациите драстично да намалят въздействието на една успешна атака. Оценката на програмите за сигурност, които включват външни страни като вериги за доставки и външни съветници, помага да се увеличи устойчивостта на организацията към съществуващи и нововъзникващи заплахи.
Ландшафтът на заплахите непрекъснато се развива, тъй като нападенията стават все по-сложни и специализирани. Има форуми, където зловредният софтуер и достъпът до организациите са нещо обичайно и различните, специализирани групи често си сътрудничат за постигане на обща цел, споделяйки наградата си или определяйки цените за достъп и използване на малуер, преди мишените им да бъдат пробити. Възможността за адаптиране към непрекъснато нарастващата сложност, използвайки например подхода, базиран на разузнаването, помага на организациите да намалят повърхността за атака, да предвиждат по-добре атаките и да реагират по-бързо, когато те се случат.
Къде виждате по-сериозни проблеми за киберсигурността – в публичния или в частния сектор? Как оценявате нивото на готовност и ресурсите за справяне с предизвикателствата?
Днес и публичният, и частният сектор са обект на засилени атаки. Фокусът на медиите се промени през последните няколко години към рансъмуер, но геополитическите атаки не са спрели. Примери като кампании за влияние, финансирани от национални правителства с цел промяна на общественото възприятие, често пъти преди избори, се увеличават. Освен това наблюдавахме нападатели, които са спонсорирани на държавно ниво, следвайки политически мотивирани програми през нормалното работно време и финансово мотивирани атаки извън редовното им работно време. Сътрудничеството между публичния и частния сектор е може би най-важният аспект в борбата с тези заплахи. Докато няма последствия за нападателите, атаките ще продължат.
И миналата година, и сега конференцията се провежда в хибриден формат – присъствено и онлайн, както впрочем вече работят и много от технологичните бизнеси. Смятате ли, че пандемията изигра ролята на катализатор за този начин на работа и хибридният модел ще се запази и в бъдеще?
Може би това е прекалено често използвано клише, но „новото нормално” вече стана нормално. Независимо от желанието за срещи отново лице в лице и общуване с други хора, бюджетните ограничения и приоритети накараха организациите да се адаптират към хибриден модел. Не виждам изгледи този модел в бъдеще да се върне към състоянието от преди пандемията.
Ако трябва да откроите три топ заплахи за сигурността в момента, кои ще бъдат те?
Несъмнено на първо място е рансъмуер, постоянно присъстваща заплаха за организации от всякакъв мащаб. Наградите, появата на криптовалутите като средство за разплащане и липсата на последствия за участниците в заплахите продължават да правят рансъмуера доходоносен бизнес модел.
Шпионажът е второто, тъй като нации като Русия се стремят да запазят или спечелят стратегическа роля в регионалните и световните дела. Атаките срещу правителства, критични национални инфраструктури и икономически сили ще продължат. Кампаниите за въздействие върху общественото мнение нараснаха експоненциално през последните години и ще продължат да се увеличават.
Кражбата на интелектуална собственост продължава, тъй като светът става все по-малък. Придобиването на стратегическо предимство на пазара води до резултати, които имат дългосрочни ефекти и формират икономиките за години напред.
Сега Mandiant е отделна компания. Какви са плановете ви за нововъзникващите източноевропейски пазари, особено за нашия регион?
Източна Европа остава ключов пазар за Mandiant в бъдеще. Със силни връзки и сътрудничество между националните правителства и САЩ, Mandiant като американска компания се ангажира да подкрепи текущите усилия за защита срещу и противодействие на заплахите от държавно-спонсорирани изпълнители, насочени към правителствата и бизнеса в Източна Европа.
Нашите инвестиции и ангажимент да подкрепяме страните в региона се подновяват и ние вярваме, че знанията, които Mandiant предоставя със своето разузнаване в областта на киберзаплахите и способността на организациите да автоматизират разпознаването и реагирането, ще продължат да бъдат от полза за местните икономики. Нашите местни партньорства са основна част от ангажимента ни към Източна Европа и няма да се влияят от разделянето на FireEye и Mandiant.
Решенията на американската компания се доставят у нас от COMPUTER 2000 Bulgaria – официален дистрибутор на Mandiant за България и Македония.