„Има поговорка, че нападателите се движат със скоростта на светлината, а защитниците със скоростта на закона. Ето защо е изключително важно защитниците да въвеждат иновации с по-висока скорост от нападателите”, сподели в интервю Михал Островски, главен директор приходи в компанията SecureVisio. Той е един от водещите лектори на най-голямата конференция за киберсигурност в Югоизточна Европа – InfoSec SEE 2024, която се организира от COMPUTER 2000 България на 17 и 18 април в комплекс „Hyatt Regency Pravets Golf & SPA Resort” в Правец. Михаил Островски разказа за иновациите в киберсигурността, ролята на човешкия фактор и автоматизацията, киберустойчивостта и обучението по киберсигурност чрез геймификация.
Г-н Островски, Вие сте редовен участник в конференцията InfoSec. Преди две години казахте, че „ако някой ви нападне с пушка, не оръжието е проблем, а нападателят, и че всяка намеса трябва да е резултат от човешко действие, а не да се разчита на автоматичната реакция на системата”. Още ли мислите така днес, когато автоматизацията и изкуственият интелект имат все по-голяма роля от двете страни на барикадата – и в нападението, и в защитата. Какво се промени в пейзажа на киберсигурността в последните години?
Не мисля, че тези две разсъждения си противоречат. И двата елемента са много важни. Човешкият елемент е от решаващо значение за разбиране на причините за атаката, профила на нападателя, нивото на риск. И след това имате цялата автоматизация, AI, машинно обучение – всички тези страхотни инструменти, които помагат за автоматизиране на операциите, където можете да ги автоматизирате.
Коментарът ми отпреди две години беше конкретно за целенасочени атаки, извършвани предимно от APT (напреднали постоянни заплахи – бел.ред.) групи. Трябва да придобиете стратегически знания, които много често дори не са технически. Тази част трябва да бъде извършена от човек. В същото време трябва да използвате автоматизацията по интелигентен начин, например, за да можете да се защитите от същия вид атака в бъдеще. Съвременните решения за киберустойчивост използват емисии за разузнаване на заплахи чрез своите SIEM, SOAR или UEBA системи. Въпреки това огромна част от информацията за заплахи се събира ръчно от хора.
Много изследователски организации се опитват да изчислят щетите, които киберинцидентите причиняват на бизнеса. Ако оставим настрана доколко точни са тези изчисления – обикновено цифрите варират в широк диапазон – по-важно всъщност е как бизнесът може да намали риска и пораженията от пробиви в сигурността? Автоматичен анализ на въздействието в реално време, с отчитане на бизнес контекста на събитията – разкажете повече за тази уникална характеристика на SecureVisio?
На първо място, един от фундаментите в управлението на киберриска е предположението, че няма две компании с абсолютно еднакъв рисков профил. Може да има допирни точки, особено в едни и същи направления на дейност, но винаги ще имате ваш личен рисков профил, вашата рискова ДНК. Разбирането какви са тези рискове, количественото им определяне, картографирането на най-важните ви активи – вашите перли в короната – и след това определянето на приемливо ниво на риск за всеки сегмент от вашата инфраструктура, всичко това е основата за ефективно управление на риска.
SecureVisio има уникална способност да открива автоматично активи в инфраструктурата и да им задава нива на риск. И също така позволява на потребителя да присвои собствен риск на всеки един актив. Нашият интегриран модул за управление на риска (Integrated Risk Management Module) в рамките на SIEM (управление на информацията и събитията в сигурността – бел.ред.) гарантира, че правилата за корелация автоматично включват информацията за нови бизнес процеси и чувствителни данни. Цялата система е предназначена да помогне за автоматично изчисляване на нивото на риска въз основа на индивидуалния профил на организацията.
Новата модна дума ли е киберустойчивостта? Вашата лекция на InfoSec 2024 е на тази тема и по-специално Холистичният подход към киберустойчивостта. Какво означава киберустойчивост и как организациите могат да я постигнат?
Киберустойчивостта се отнася до способността на организацията да предвижда, издържа, да се възстановява и адаптира към неблагоприятните условия в киберсредата. Важното е, че този термин не се прилага само за защита срещу кибератаки, но и за системни повреди, нарушаване на данните и всички потенциални смущения, които биха могли да компрометират поверителността, целостта или наличността на данните.
По време на моята лекция ще се съсредоточа върху рамка, наречена CTEM – Continuous Threat Exposure Management (непрекъснато управление на излагането на заплахи – бел.ред.). Най-голямата разлика между наследените и съвременните решения в техния подход към управлението на киберсигурността е, че старите решения разчитат на периодични оценки или оценки в даден момент. Модерните решения трябва да могат да осигурят непрекъсната видимост, за да гарантират, че идентифицирането на уязвимостите и рисковете се извършва постоянно, което води до подобряване на нивото на киберсигурността. CTEM ни предоставя методология за ефективно комбиниране на инструменти и процеси, за да правим това.
Клиентските организации обикновено са изправени пред дилема: да разчитат на изцяло облачни решения за киберсигурност или на локални внедрявания. Вие, в SecureVisio, поддържате и двата типа решения. Какво съветвате клиентите при избора им на решение – кога е подходящ облакът и в кои случаи локалното внедряване е за предпочитане? Необратима ли е тенденцията към сигурност като услуга в облака?
Дилемата локално срещу облак е многопластова. Всяка организация е различна, така че трябва да се вземе предвид следното:
- Изисквания за сигурност – всяка организация има различни изисквания за сигурност, задължения за съответствие, чувствителност на данните и толерантност към риск;
- Ресурсни ограничения – какъв е бюджетът, какво е нивото на вътрешната експертиза;
- Оценка на риска – какви са потенциалните заплахи, свързани както с локалните, така и с облачните решения.
Има ситуации, когато данните трябва да останат вътре – определени правителствени институции, въпроси, свързани с националната сигурност, финансови организации, ключови компании за критична инфраструктура – това са примерите, при които би било много трудно да се изпрати всичко в облака. От друга страна, ако една компания има достатъчен оперативен бюджет и не се тревожи от рискове, свързани с изпращане на данните в облака, това може значително да подобри нейните операции по сигурността.
Ние от SecureVisio разбираме, че понякога данните трябва да останат вътре в организацията. Оттук произтича и напълно локалното решение. През втората половина на тази година ще можем да предоставим на клиентите и облачната версия на нашата платформа.
Какво е текущото състояние на иновациите в киберсигурността? Колко важни са те?
Иновациите са не само важни, но и от съществено значение за справяне с развиващия се пейзаж от заплахи и злонамерени участници. Има поговорка, че нападателите се движат със скоростта на светлината, а защитниците със скоростта на закона. Ето защо е изключително важно защитниците да въвеждат иновации с по-висока скорост от нападателите.
Наскоро Джордж Кърц, главен изпълнителен директор на Crowdstrike, заяви в едно от интервютата си, че има фундаментална разлика между иновацията и придобиването и, че последното може да бъде огромна болка за клиентите, тъй като води до необходимостта да се управляват изолирани решения и множество платформи.
Това, което видяхме през последните няколко години, е, че за големите компании е много по-лесно да придобият по-малки, за да получат липсваща функционалност, отколкото да разработят същата функционалност сами. Тази тенденция води до ситуация, при която теоретично един доставчик е в състояние да предостави на клиента пълен набор от функционалности, но не в рамките на една платформа, не в рамките на една конзола.
С огромни количества данни и съвременни заплахи, с необходимостта да се реагира в рамките на секунди, използването на изолирани инструменти за защита е рецепта за катастрофа. Ето защо е толкова важно да се правят иновации в рамките на една собствена платформа – така се гарантира пълният потенциал на отбранителните способности.
Научихме от организаторите на InfoSec, че „черешката на тортата” тази година е симулационната игра за вземане на решения „Cyber Fortress”, която обучава по киберсигурност чрез геймификация. Бихте ли повдигнали завесата пред това забавно предизвикателство за участниците в конференцията?
SecureVisio е горд спонсор на симулационната игра Cyber Fortress за участниците в конференцията. Играта е за изграждане на най-устойчивата ИКТ система за киберсигурност и ефективно реагиране на различни заплахи от киберпространството. Участниците са разделени на екипи с предварително определени бюджети, които могат да харчат за различни продукти и услуги. По време на всеки кръг отборите трябва да се защитават срещу атаки и да печелят точки.
Участвал съм в няколко събития на CyberFortress и това винаги е било супер вълнуващ начин за професионалистите по киберсигурност да обменят мнения и да се състезават.
Интервюто е подготвено със съдействието на COMPUTER 2000 България, официален дистрибутор на SecureVisio и организатор на конференцията InfoSec SEE 2024.