Киберпрестъпниците стават все по-добре организирани и специализирани във всяка отделна фаза от веригата на своите деяния. Те са добре оборудвани да разработват и изпълняват прицелени атаки, използвайки софтуер за откуп и ексфилтрация на данни за бързо осигуряване на приходи. Инструментите за атаки и информацията за целите се събират и споделят лесно чрез затворени канали, което затруднява центровете за киберзащита в мисията им да идентифицират атаките навреме и да предотвратят пробиви, разказва Пиерпаоло Али, директор за Южна Европа, Русия, CIS, CEE & Израел в CyberRes – Micro Focus Line of Business, и един от водещите лектори на конференцията InfoSec SEE 2022, организирана от COMPUTER 2000 Bulgaria на 19-22 юни в комплекс Lighthouse Golf & Spa Resort България.
„Днес по-важно от всякога е познаването на корпоративната “стойка“ в сигурността,” казва Али. Това включва познаването на нивото на риска на фирмените приложения, данните, нивото на съответствие с регулациите, наличието на ясна визия не само за това, което се случва в компанията, но и в други подобни компании в други части на света. Подобна яснота помага за формиране на ясни процеси, които могат да бъдат прилагани както за превенция, така и в отговор на конкретни кибератаки.
Г-н Али, бизнес-ръководителите по цял свят говорят за „голямото напускане“ – тенденцията служителите да напускат работодателите, които не зачитат нуждата от по-добър баланс между работа и личен живот. Това влияе ли на киберсигурността?
Въпросната тенденция е скорошна социална нагласа, която се наблюдава в глобален мащаб, особено през последните години. Капиталистическият модел вече не е идеалният за някои сегменти от населението, особено в най-развитите страни, качеството на живот като ценност вече не е обвързано с печалбата или материалното благополучие. Имайки предвид това, и като се има предвид „малката“ общност на специалистите по киберсигурност, излиза вярно, че тенденцията може да засегне и тази специфична група работници. И това ще създава проблеми.
Наскоро Bloomberg написа в статия относно пропастта в киберзнанията, че броят на свободните работни места в този сектор е 600 000 само в САЩ. Статията разкри, че отворените позиции за работа са се удвоили за една година. А според анализ на Оксфордския университет, европейските компании изобщо не са в състояние да запълнят липсата на експерти в киберсектора.
Следователно през следващите няколко години този недостиг на умения ще доведе до страдание за компаниите. Това може да предизвика тревожна ситуация в случай на високо ниво на активност на киберпрестъпността, която, както знаем, достига своя пик във времена на политическа или хуманитарна криза. Компаниите ще трябва да се насочат към прилагане на сериозни политики за задържане на своите вътрешни таланти, като предлагат изгодни условия на труд, които също биха могли да имат отношение към качеството им на живот.
В старанието си да са добре защитени, много организации са внедрили десетки различни решения за ИТ сигурност. И все пак има пробиви, течове на данни, непланирани прекъсвания – защо се случва това?
Не е изненадваща тази тенденция на увеличаване на кибератаките, понасяни от компаниите, която изглежда не отговаря на очакванията, свързани с по-мащабните инвестиции в различни решения. Разочарованието възниква от неправилно познаване на света на „нападателите“: погрешно се смята, че големите компании винаги имат по-голям капацитет от малката група от ярки и много интелигентни млади хора.
Но сценарият се промени преди няколко години! Киберпрестъпленията сега се изпълняват от групи, които са истински бизнес-компании. Те имат огромни приходи (криптовалути, печалби от киберпрестъпления), които непрекъснато реинвестират в технологии и в човешки ресурси.
Някои от най-добрите експерти (не всички, слава Богу) работят от тъмната страна. Те имат капацитет за технологични открития и бързи промени, каквито големите компании нямат, нациите нямат. Затова въпросните експерти винаги са една крачка напред.
Именно поради тази причина вече не говорим за защита, а за устойчивост. Наясно сме с факта, че е невъзможно да бъдем напълно защитени. Затова е необходимо да променим отношението си и да се обърнем към технологиите, които са в състояние да правят нещо повече от това да блокират нападателите, да знаем как ефективно да се справим с щетите в случай на атака. Това е целта на киберустойчивостта. В глобален мащаб тя вече зае мястото на киберсигурността. Това предполага пространство, което изначално е по-свързано с това на корпоративния бизнес, отколкото с ИТ света.
Киберустойчивостта – това е отношението, готовността винаги да можем да предоставяме услугата и да сме способни да продължим да правим бизнес дори по време на или след атака, която вече не можем да изключим от своите бизнес-планове, но която трябва да изследваме и да сме готови да я изстрадаме с подходящите технологии и организационна позиция.
Сега, когато ИТ сигурността е толкова сложно нещо, как могат организациите да се справят с това?
Всичко е въпрос на подход. Повечето организации вече разполагат с няколко технологии за защита на своите активи, следвайки най-добрите практики за многослойна сигурност. Но дигиталната трансформация, преминаването към облака, приемането на микроуслуги, широкото разпространение на приложенията, управлявани от AI/ML, и други фактори дълбоко промениха начина на работа на ИТ. А решенията за сигурност трябва да бъдат опростени и актуализирани разумно, за да са адекватни на този нов пейзаж.
Първата стъпка е извършването на задълбочена оценка на активите, атакуемата повърхност, съществуващите защити, процедурите и процесите, уменията и ресурсите. След това, въз основа на резултатите, трябва да се приоритизират инвестициите, за да се допълнят или заменят най-остарелите технологии и да се използва възможно най-много AI/ML, за да се постига по-малко с повече. Нужно е да се възприемат решения за SOAR и да се добавят автоматизация и оркестрация към анализа на заплахите и управлението на инциденти.
Могат ли организациите да се доверят на предложенията за „сигурност като услуга“?
Не всички организации са равни по отношение на размер, бизнес-мисия, излагане на риск, “стойка” в киберсигурността и осведоменост. Затова няма универсален отговор. Общо взето управлението на сигурността, стратегията и управлението на риска трябва да си останат в рамките на компанията, а част от оперативната работа по сигурността, услугите за одит и наблюдение могат да бъдат възложени на външни изпълнители.
На пазара се предлагат няколко модела на услуги. Изборът трябва да се основава на репутацията на компанията, очакваните нива на обслужване, сложността на вътрешната среда на ИТ и данни, динамиката на компанията от гледна точна на сливания и придобивания и други важни събития.
Изнесените услуги никога не трябва да се превръщат в пречка за организацията. Тяхната задача е да опростяват процеса на управление на информационната сигурност с оптимизиране на разходите. И това не винаги се случва, затова Sec-aaS трябва да бъде внимателно оценявана за всеки отделен случай.
Мигрирането на ИТ сигурността в облака променя ли ролята и отговорностите на отделите за ИТ сигурност, на професионалистите по ИТ сигурност?
ИТ сигурността трябва да запази водещата си роля в настоящата епоха на бързи и силни трансформации. Преминаването към облака и бързото възприемане на публичния облак променя парадигмата в ИТ сигурността и разширява периметъра на действие на CISO и специалистите по сигурността. Данните и активите са разпределени в традиционни локални, облачни и SaaS системи – следователно прилагането на подходящо ниво на защита, превенция, наблюдение, одит и контрол на достъпа може да се окаже истинско предизвикателство.
Бизнесът и архитектурите се развиват по-бързо от сигурността и основната роля на ИТ отделите е да поддържат темпото на промените и да се справят с новите заплахи, които произтичат. По отношение на наборите от умения експертите по сигурността трябва постоянно да се усъвършенстват във връзка с боравенето с публични облаци, техните собствени механизми, функциите за сигурност, които предоставят, както и „тъмните петна”, които оставят. Традиционните познания за киберсигурността вече не са достатъчни.
Смятате ли, че „днешните атаки са насочени към хората, а не към технологиите“?
О, според мен днешните атаки са насочени към данните и основните активи чрез хората. Рансъмуер кампаниите са насочени към лица или компании, заключвайки данните, за да изкопчат плащане. Кибер-престъпниците се насочват към ИТ/OT/IoT системите, мрежите и всяка възможна входна точка, за да получат достъп до ценните данни, да ги ексфилтрират и бързо да ги превърнат в пари.
Атаките на националните държави работят на различно ниво и предотвратяването им е отговорност на правителствата и разузнавателните агенции.
За повечето организации най-добрата защита е комбинация от решения: внедряване и управление на база нулево доверие; солидно разузнаване на заплахи, откриване и реакция на ниво Център за кибернетична защита/SOC; подход за сигурност, ориентиран към данните, за защита на чувствителните данни и личната информация от пробиви; цялостен процес за сигурност на приложенията, внедрен и поддържан на ниво DevOps, за да се намали вътрешната атакуема повърхност на приложенията. И маниакално управление.
Ще участвате в InfoSec SEE 2022, най-големия форум за киберсигурност в нашия регион, организиран от COMPUTER 2000 Bulgaria, може ли да кажете няколко думи за вашето участие.
COMPUTER 2000 Bulgaria определено е един от най-добрите ни дистрибутори с добавена стойност, гордея се с тях и страхотната дейност, която извършват в региона, присъствието на това събитие за мен е чест, тъй като имам възможност накратко да представя CyberRes стратегия и план за бъдещето.
COMPUTER 2000 е дистрибутор на CyberRes, a Micro Focus line of business за България и Югоизточна Европа.