“Решенията, базирани на AI, ще станат жизненоважна част от архитектурата и екипите за сигурност”, казва Мо Кашман, старши директор за регион ЕМЕА в Trellix (снимка: личен архив)
Ковид “преподаде” на организациите много уроци за необходимостта от устойчивост. Тя може да се постигне с адаптивност и системно мислене – това е подходът, необходим за справяне със сложните заплахи, включително киберзаплахите. Преходът към устойчив резултат може да започне днес, като се отдалечим от подхода, който се основава само на превенция на киберзаплахите, сподели в интервю Мо Кашман, старши директор за регион EMEA в американската компания Trellix. Разговаряме с него за сложния пейзаж на киберсигурността в условия на световни кризи, за ролята на изкуствения интелект и човешкия фактор.
Г-н Кашман, когато McAfee и FireEye се обединиха, новата компания Trellix се фокусира върху откриването и реагирането на заплахи с помощта на XDR, задвижван от изкуствен интелект и автоматизация. Сякаш изпреварихте вълната, защото днес, почти две години след това сливане, изкуственият интелект е основна тема. Възможна ли е сега ефективна киберзащита без изкуствен интелект (AI)?
Изкуственият интелект поставя няколко ключови предизвикателства пред кибер-защитниците. Злонамерените участници ще използват AI технологии, за да създадат по-ефективни кибератаки като фишинг и неоткриваем зловреден софтуер. AI също така създава нови повърхности за атака, като набори от данни, и може да изложи организациите на повишен риск от кражба на интелектуална собственост без правилен контрол на сигурността.
Въпреки това виждаме и много положителни начини, по които AI може да подобри киберзащитата. Той може да “въоръжи” анализаторите по сигурността с по-добри ръководства за разследване, да автоматизира създаването на наръчници за киберзащита за идентифициране на нови методи за атаки и да се справи с недостига на таланти чрез подсилване на екипите по сигурността с допълнителни възможности.
От няколко години Trellix използва AI в своите EDR и XDR решения за откриване на заплахи. И макар че ефективната киберзащита включва много повече от използване на AI и способности за машинно обучение, решенията, базирани на AI, ще станат жизненоважна част от архитектурата и екипите за сигурност на организациите, тъй като глобалните киберзаплахи се развиват в мащаб по-бързо отколкото човешките екипи могат да ги управляват.
На скорошно събитие на Trellix в София заявихте, че настоящият подход към киберсигурността трябва да бъде преразгледан. От какво е продиктувана тази Ваша убеденост за необходимостта от промяна?
Става дума за постигане на устойчивост на бизнеса като резултат от програмата за киберсигурност на организацията. Ковид “преподаде” на организациите много уроци за необходимостта от устойчиво мислене на хората и бизнеса. Устойчивостта предполага адаптивност и системно мислене като ключови стълбове на дизайна. Това е подходът, необходим за справяне със сложните заплахи, включително киберзаплахите, пред които са изправени организациите днес. Преходът към устойчив резултат може да започне днес, като се отдалечим от подхода, който се основава само на превенция на киберзаплахите.
Организациите могат да възприемат системно базиран подход към своята архитектура за киберсигурност. Например, защитата срещу рансъмуер изисква имейл, крайна точка, мрежа, защита на данните, SecOps, служители и лидерски екипи в организациите да работят заедно като система за постигане на организационна устойчивост срещу този тип заплаха. Zero Trust и XDR са страхотни примери за системно-базирано мислене при проектиране на архитектурата за сигурност, което помага на организациите да се адаптират по-бързо към всяка нова заплаха.
Служителите днес използват различни канали за комуникация – електронна поща, месинджъри, чатове и т.н. Въпреки това, според проучване на Trellix, електронната поща остава източник номер едно на кибератаки. Защо този традиционен канал е толкова уязвим и удобен за нападателите?
Имейлът остава основното бизнес приложение за организациите навсякъде по света, както и най-добрият първоначален вектор за достъп при много кибератаки. Вярвам, че имейлът, спрямо други приложения за сътрудничество, остава по-уязвим и привлекателен за участниците в заплахата, поради няколко причини.
Първата е опростената му наличност. Активните корпоративни имейл адреси са лесно достъпни за нападателите. Служителите излагат своите бизнес имейл адреси в социални медии, като LinkedIn, при достъп до безплатен Wi-Fi на летището, в професионални публикации и произволен брой онлайн услуги. Нападателите могат да получат тези потвърдени (верифицирани) имейл адреси чрез хакове или да ги закупят от други киберпрестъпници. Потвърденият имейл, съчетан с друга информация, им помага да създават много ефективни имейли за фишинг.
“Организациите са изправени пред необходимостта от изграждане на устойчивост в лицето на ескалиращите киберзаплахи. Те трябва да приемат Zero Trust като свои насоки за архитектура на сигурността”, казва Мо Кашман
(снимка: личен архив)
Това води до следващата причина – недостатъчния контрол на сигурността. По мое мнение, защитата на имейлите остана на заден план през последните години, тъй като организациите се фокусираха върху други области, например сигурността на крайните точки. Те разчитат на вградената защита срещу нежелана поща и злонамерен софтуер в своите пакети за продуктивност на работното място или на доставчици на облачни услуги, за да покрият заплахите за сигурността, пренасяни от имейлите. Тези пакети са по-малко ефективни срещу усъвършенстваните техники за фишинг и компрометиране на бизнес имейли, използвани от нападателите днес. Това оставя организациите с тънка линия на защита и продължаващо излагане на сложни атаки с рансъмуер.
И накрая, това е човешкият фактор. Хората проверяват имейли на мобилни устройства, комуникират в три или повече приложения наведнъж и отделят по-малко време да проверяват съдържание, което може да е подозрително. Организациите трябва да имат стабилна програма за обучение на служителите, която се фокусира върху разпознаването и докладването на фишинг.
Нападателите ще използват най-лесните и надеждни входни точки, за да постигнат първо влизане. Докато използването на имейл остава високо и сигурността е слаба, те ще продължат да експлоатират този канал. Очаквайте тази тенденция да продължи.
Trellix изповядва концепцията за “жива сигурност” (living security) – технология, която се учи и адаптира, за да защити операциите на клиентите. Как я реализирате на практика? Панацея ли е вашата XDR платформа в борбата срещу киберзаплахите?
Макар да вярвам, че никое решение не може да отговори на всички нужди за сигурност на една организация, аз наистина смятам, че дизайнерската философия на Trellix за „жива сигурност“ и начина, по който е вградена в платформата на Trellix и решението XDR, ще помогнат на организациите да откриват и да се адаптират към нови заплахи по-бързо.
Като пример за „жива сигурност“, Trellix XDR непрекъснато съпоставя регистрационните файлове (логовете) на организацията с индикаторите за разузнаване на заплахи в реално време на Trellix и класифицира инцидентите въз основа на рискови резултати, които се изчисляват динамично на базата на множество фактори. Това ще помогне на организациите автоматично да откриват и приоритизират отговори на най-новите заплахи.
Освен това организациите могат да използват същото разузнаване за заплахи, за да проверят състоянието на своите крайни точки и контролите за мрежова сигурност, което им помага да адаптират тяхната защита и автоматично да намалят излагането на нововъзникващи заплахи.
И накрая, Trellix XDR използва ръководства за разследване с активиран AI, които помагат на анализаторите динамично да задават въпроси за планини от данни и така значително подобряват способността им да разследват по-бързо заплахите от киберинциденти.
Това са само няколко примера за това как Trellix прилага концепцията за „жива сигурност“ за решаване на практически проблеми с разширено откриване на заплахи, разследване и овластяване на талантите.
В последните години светът скача от една криза в друга. След пандемията от Ковид дойде войната в Украйна. Тези катаклизми несъмнено оказват влияние върху пейзажа на киберсигурността. Какво се промени в подходите и целите на киберпрестъпниците?
Световният икономически форум обясни, че постковидният свят на взаимосвързани геополитически, екологични, обществени, технологични и икономически кризи е създал състояние на Поликриза. В тази текуща ситуация на Поликриза, привидно несвързани кризи си взаимодействат, създавайки сложна глобална ситуация с огромно въздействие. Техният доклад за глобалния риск за 2023 г. идентифицира киберпрестъпността и кибернесигурността като десетте най-големи рискове.
Актьорите в киберзаплахите разбират тази ситуация и се адаптират за постигане на своите цели. Например, рансъмуер атаките вече са тройна заплаха, включваща изнудване, унищожаване на данни или прекъсване на системата. Виждали сме нападатели да преместват целите си към по-малки предприятия. В скорошна блог публикация на Trellix данните сочат, че почти 50% от атаките с рансъмуер са били срещу компании с по-малко от 500 служители. Тези атаки сега засягат широк спектър от рискови категории и бизнеси навсякъде по света.
Второ, видяхме групи за киберпрестъпност като Conti да вземат страна в конфликта и публично обещават подкрепа за руското правителство. Това може да доведе до повече атаки срещу критична инфраструктура или правителствени системи в страните от НАТО и Украйна. И с бързото наближаване на президентските избори в САЩ можем да очакваме повече информационни операции за повлияване на общественото мнение в полза на кандидати, които са срещу допълнителна подкрепа за Украйна.
И накрая, киберпрестъпниците все повече се насочват към веригите за доставки. В исторически план тези атаки са били срещу по-малки компании от веригата за доставка на софтуер като SolarWinds. Сега обаче те се пренасочват към големи доставчици на облачни услуги като Microsoft. Това е тревожна тенденция, която може да подкопае доверието в реномирани доставчици.
Рансъмуерът и фишингът са най-често споменаваните киберзаплахи. Продължава ли тяхното господство или има други видове киберзаплахи, които застрашават бизнеса и обществения сектор?
Както бе споменато по-горе, киберпрестъпниците адаптираха възможностите си за рансъмуер и разшириха целевия диапазон, за да включат малки предприятия. В настоящите икономически и геополитически несигурни времена организациите може да нямат необходимия бюджет за подобряване на способностите си за киберзащита, така че е вероятно рансъмуерът да продължи да доминира през следващите няколко години.
Има обаче и други червени флагове, които трябва да се вземат предвид. В доклада на Trellix за заплахите от юни 2023 г. подчертахме нарастващата заплаха от национални държавни актьори, като Китай доминира на сцената. APT актьори, свързани с Китай, генерират почти 80% от дейността на националните държави. Trellix очаква Китай да увеличи злонамерените кибер усилия с цел шпионаж, икономическо предимство и разрушителни дейности срещу САЩ, Тайван и техните съюзници.
По отношение на векторите за първоначален достъп, фишингът все още доминира и се използва в повечето рансъмуер или APT атаки. Въпреки това измамният достъп чрез облачна инфраструктура е във възход. Най-доминиращият метод тук е чрез валидни акаунти. Организациите трябва да се съсредоточат върху подобряване на програмите за управление на идентичността и достъпа, както и върху откриването на заплахи при необичайна активност в акаунта.
Бихте ли дали няколко съвета на организациите как да защитят средата си и по този начин да я направят по-устойчива?
Навсякъде в статията дотук подчертахме необходимостта от изграждане на устойчивост в лицето на ескалиращите киберзаплахи, поставени в контекста на световната Поликриза. Организациите трябва да приемат Zero Trust (нулево доверие) като свои насоки за архитектура на сигурността в опит да изградят устойчивост. Според NIST, Zero Trust е развиващ се набор от парадигми за киберсигурност, които преместват защитата от статични, базирани на мрежа периметри, за да се съсредоточат върху потребителите, активите и ресурсите. Това е до голяма степен системно базиран подход към сигурността, който поддържа постигането на устойчивост.
Друга практическа стъпка, която организациите трябва да предприемат, включва оценка на зрелостта на техните операции по сигурността. Способността за проактивно идентифициране, преследване и бърза реакция на инцидент със сигурността е ключов фактор за устойчивост и тази функция обикновено е в рамките на екипа за операции по сигурността. Вярвам, че XDR решенията и по-ефективното използване на информация за заплахи трябва да бъдат част от всеки план за подобрение.
И накрая, всеки разговор за устойчивост трябва да се фокусира върху хората. Ключова промяна в мисленето не е да говорите за „недостиг или липса на таланти“, а да се съсредоточите върху овластяването на талантите. Преди да погледнете извън организацията, важно е първо да разгледате новаторски начини за повишаване на уменията на текущия ви талант чрез външно или вътрешно обучение, използване на автоматизация и решения с активиран AI, провеждане на реалистични упражнения и наставничество.
Интервюто е подготвено със съдействието на КОМПЮТЪР 2000 България – официален дистрибутор на Trellix за България и Северна Македония.