Огромна част от критичните мерки за киберсигурност, необходими днес, не изискват инвестиции – само знание, казва Михал Островски, старши директор за EMEA в Trellix
(снимка: личен архив)
Пандемията отминава – но заплахите за киберсигурността не. Развилнeли се по време на коронавирусната криза, виртуалните опасности не само не стихват, но и се променят динамично. На прицел са всякакви организации, но особен обект на интерес са телекомуникационните компании, транспортът и корабоплаването, както и правителствените органи, казва Михал Островски, старши директор за EMEA в компанията за киберсигурност Trellix. Той е един от лекторите на регионалната конференция за киберсигурност InfoSec SEE 2022, която дистрибуторът COMPUTER 2000 Bulgaria организира на 19-22 юни в комплекс Lighthouse Golf & Spa Resort България.
Trellix доставя адаптивни, иновативни решения за киберсигурност за предприятия и организации по целия свят, като комбинира висококвалифицираните екипи на McAfee Enterprise и FireEye. На практика, клиенти на Trellix са 78% от компаниите в индекса Fortune Global 500. С опит от 35 години на пазара, компанията обслужва 40 хиляди клиента, разполага с екип от над 4000 служители, а годишните ѝ приходи възлизат на 1,7 млрд. долара.
Г-н Островски, киберпрестъпността и киберсигурността еволюираха бързо през последните 2,5 години. Коя е най-голямата киберзаплаха днес? Външна ли е или вътрешна?
Все още е външна. При наличието на толкова много различни организирани хакерски групи наблюдавахме огромен ръст на финансово мотивирани хакерски кампании по време на пандемията. Сега, предвид руската агресия срещу Украйна, руските APT* групи станаха най-активните сред всички държавно спонсорирани нападатели по света.
Разбира се, повишаването на осведомеността за киберсигурността трябва да бъде основен приоритет за всички организации – както правителствени, така и комерсиални. Определено неосведоменият служител може да се превърне в заплаха за всяка компания.
В последния доклад на Trellix се казва, че „ние бавно излизаме от пандемията“; означава ли това, че киберзаплахите намаляват? Или просто се променят?
За съжаление това означава само, че атаките продължават да се променят. Хакерите ще продължат да атакуват и ще се адаптират към всяка нова ситуация. По време на пандемията наблюдавахме много финансови атаки, като Log4Shell е перфектен пример за тях. Успоредно с руската военна агресия ние забелязахме, че в киберпространството фокусът се измести към кампании за въоръжаване на киберзаплахи срещу украинската инфраструктура, но също и срещу европейските правителствени институции и европейската критична инфраструктура.
Според Вас, кой тип киберзаплаха има най-голямо влияние сега, след пандемията?
Въпреки че правоприлагащите агенции успяха доста сполучливо да се справят с няколко кампании за рансъмуер наскоро, рансъмуерът все още представлява голяма заплаха за всяка организация. Опустошителната му природа със сигурност го поставя в списъка като най-голям приоритет за всяка компания.
Най-често атакуваните с рансъмуер сектори през миналата година бяха бизнес-услугите, организациите с нестопанска цел и държавните институции. Най-популярните рансъмуер фамилии бяха Lockbit, Cuba, Conti и Ryuk.
Друга заплаха, която бих искал да подчертая, е дейността на националните държави. Наблюдавахме огромно увеличение на активностите на APT групите. Предвид геополитическата ситуация в България тези дейности трябва да се следят отблизо и да се прилагат контрамерки. Дейността на APT 29 – според мен най-сложната група в света – се е увеличила с над 30% в края на 2021 г. През последните няколко месеца Cobalt Strike, един от инструментите, използвани от участниците в държавно спонсорираните групи, е регистриран два пъти по-често от преди. Разрушителният характер на тези дейности, мотивирани на национално ниво, може да се види от факта, че най-вероятните цели за APT групите са станали телекомуникационните компании, транспортът и корабоплаването, както и правителствените органи.
Кои са основните изводи от последния доклад за заплахите на Trellix?
Предвид нарастването на кибератаките през последните няколко месеца и тяхното разнообразие, смятам, че е от съществено значение да се прилагат контрамерки, за да се сведе до минимум рискът от успешна атака. Организациите трябва да разгледат внимателно всички тактики, техники и процедури, използвани от групите на руските национални държави, за да защитят средата си от проникване.
Те трябва: да търсят „копиеносни“ фишинг атаки, използващи съкратени URL адреси за злонамерени домейни; да наблюдават активността на пробивите тип груба сила; да прилагат многофакторна автентификация за всеки потребител без изключение; да следят за експлоатиране на публични системи чрез проверки на CVE; да деактивират всички портове и протоколи, които не са от съществено значение за бизнес-дейностите – особено тези, свързани с отдалечени услуги; да блокират инструментите с отворен код, използвани при вече наблюдавани атаки като UltraVNC и други подобни. Всички стъпки, споменати по-горе, не изискват инвестиции. Те могат да бъдат направени от всяка организация. И все пак изненадващо много атаки все още се случват именно благодарение на гореспоменатите източници.
Предоставянето на решения за киберсигурност днес означава много инвестиции в изследвания. Каква част от общия бюджет на една компания за ИТ сигурност обикновено отива за научноизследователска и развойна дейност?
Пейзажът в киберсигурността продължава да се променя. Всяка компания, предлагаща решения в това пространство, трябва да положи максимални усилия за постоянно развитие на своето портфолио. Трябва да можем да изградим „жива сигурност“, което означава, че тя трябва да бъде адаптивна към постоянна промяна.
Средната стойност за индустрията е малко под 11% за разходите за научноизследователска и развойна дейност.
Машинно обучение, изкуствен интелект – това са модерни думи, използвани за описване на процес, при който софтуерът може да се адаптира сам и да взема решения въз основа на дадени данни. Въпреки че машините ще продължават да стават все по-добри в този процес, силно вярвам, че винаги ще има нужда от човешко взаимодействие и човешко решение относно най-важните аспекти на киберсигурността.
Trellix използва технологии с машинно обучение от дълго време, по-рано както от страна на McAfee, така и на FireEye. Тези технологии присъстват в, общо взето, цялото портфолио от решения. Като се имат предвид нарастващият обем на трафика, нарастващият брой атаки и инциденти, Trellix използва изкуствен интелект, за да филтрира сигналите и да определи тези, които имат най-голямо значение. Едно от най-големите предизвикателства на съвременната киберсигурност е как да намерите тази „игла в купа сено“. И ние правим точно това – работейки с „големите данни“, ние сме в състояние да съпоставим серии от събития и да определим кои са тези, които изискват незабавна реакция. Разбира се, че изкуственият интелект е от съществено значение за постигането на тази цел.
Тъй като все повече и повече части от живота ни стават дигитални и управлявани от данни (например свързани/автономни автомобили, интелигентни HVAC системи в сгради и т.н.), очаквате ли скорошни промени в пейзажа на киберзаплахите?
Живеем в невероятни времена, в които технологиите ни помагат във всеки аспект от живота ни: комуникации, транспорт, здравеопазване, ежедневен живот. Всичко свързано вече е тук – за съжаление с това идват и нови заплахи, които вече не са ограничени до ИТ или OT инфраструктурата. Всичко, което съдържа някакъв софтуер, може да бъде хакнато. Независимо дали става дума за кола, интелигентни домашни устройства, хирургически роботи….
Ето защо трябва да приложим концепцията за „изместване на сигурността вляво“. Сигурният дизайн се превърна в един от елементите на всеки производствен процес на „умно“ устройство.
Последните проучвания показват, че повечето организации вече са приели стратегия за „хибриден облак” по отношение на ИТ. Кой е най-големият риск за сигурността сега, когато корпоративните данни и процеси „живеят” в хибридна облачна среда?
Не мисля, че облакът представлява заплаха, различна от локалната инфраструктура. Най-голямото предизвикателство е да мога да защитя данните, където и да са – така че да разбера какво всъщност се случва с моите данни в облачни или хибридни среди. Независимо дали го искаме или не, ние вече живеем в облачния свят. Най-големият риск от облака е липсата на видимост и контрол върху данните в облака. И точно върху това трябва да бъде съсредоточена облачната сигурност.
___________________________
* APT – Advanced persistent threat – скрита заплаха, нападение в „стелт“ режим, при което злонамереният играч получава достъп до компютърна мрежа, но остава незабелязан за неопределено време. Смята се, че най-често такива атаки са спонсорирани на държавно ниво. В по-ново време терминът се отнася и до хакерски групи, които не са спонсорирани на държавно ниво и осъществяват широкомащабни и целенасочени пробиви заради специфични цели.
Дистрибутор на Trellix за България и Македония е COMPUTER 2000 Bulgaria
