CTI, czyli Cyber Threat Intelligence, to oparta na faktach wiedza o istniejących lub mających się wkrótce pojawić ryzykach. Pozwala podejmować lepsze decyzje potrzebne do obrony i neutralizowania zagrożeń. Pozwala na proaktywną ochronę mającą fundamentalne znaczenie we współczesnym, cyfrowym środowisku biznesowym – mówi prof. Jerzy Surma, kierownik studiów podyplomowych Zarządzanie Cyberbezpieczeństwem w Instytucie Informatyki i Gospodarki Cyfrowej w Szkole Głównej Handlowej, członek Rady Nadzorczej BZWBK.

W swoim wystąpieniu podczas konferencji „AT Summit 2016” mówił Pan, że w pełni zautomatyzowane CTI to kwestia przyszłości. Czy warto korzystać z tego typu rozwiązań? Co możemy dzięki nim osiągnąć?

Jest uzasadnione, aby stosować tego typu systemy i prowadzić działania określane jako Cyber Threat Intelligence (CTI) w sytuacjach, kiedy organizacja jest narażona na systemowe ataki w cyberprzestrzeni. To niezwykle istotny element strategii, która nie polega wyłącznie na reagowaniu, ale również na antycypowaniu ataków.

Co można osiągnąć dzięki CTI? Ograniczamy fałszywe alarmy poprzez eliminację nieistotnych incydentów, nadajemy priorytety do instalacji aktualizacji, ustalamy przepływ właściwych danych do systemu SIEM (Security Information and Event Management – przyp. red.), co umożliwia skuteczną korelację danych, a także identyfikujemy zagrożenia i w tym kontekście zyskujemy możliwość zapobiegania atakom. Określamy również priorytety alertów dla zespołu SOC (Security Operations Center – przyp. red.), co umożliwia koncentrację na rzeczywistych zagrożeniach.

Informacje z systemu CTI pozwalają na dogłębne poznanie intencji i motywów działania grup przestępczych, umożliwiają decydentom zrozumienie aktualnych zagrożeń, a dzięki temu poprawną alokację budżetów oraz pracowników dla ochrony krytycznych zasobów. Wreszcie możemy poprawnie zarządzać ryzykiem operacyjnym poprzez antycypację prawdopodobnych zagrożeń i komunikację ich do zarządu w celu podjęcia działań zapobiegawczych.

Na ile skuteczne są dostępne dzisiaj na rynku systemy? Co stanowi ich największy mankament?

Na rynku amerykańskim istnieje szereg firm, które próbują penetrować dark internet. Starają się dowiedzieć, o czym dyskutują grupy przestępcze, jakie podatności są na ich celowniku, jakich narzędzi używają, jakie są potencjalne cele. Dzięki temu są w stanie przewidywać, co się może wkrótce wydarzyć. Mają na swoim koncie kilka spektakularnych sukcesów. Przykładowo firma Recorded Future, posiadająca platformę, która całościowo zbiera takie dane, analizując rosyjskie fora dyskusyjne była w stanie przewidzieć wektory ataków, użyte narzędzia, a nawet wskazać potencjalne cele.

Problem polega na tym, że ludzie po drugiej stronie barykady, nasi przeciwnicy, wiedzą, jak działa iniwigilacja w internecie. Trzecia liga podziemnego świata może nie mieć świadomości skali monitorowana. Jeśli jednak mówimy o pierwszej lidze, to oni doskonale zdają sobie sprawę, że odbywa się takie automatyczne zbieranie informacji. Ci najlepsi są na to wyczuleni. Jeśli dostrzegą, że znaleźli się pod lupą, znikają albo konfabulują. Innymi słowy – i to jest problem fundamentalny – to sposób na niedzielnych hakerów. Jesteśmy w stanie zebrać dużo informacji o stosunkowo prostych zagrożeniach i niewiele o tych najbardziej poważnych.

Chciałbym przy tym zaznaczyć, że mówię o zbieraniu informacji w sposób automatyczny, o narzędziach wykorzystujących metody eksploracji danych (data mining). Jeśli zaczynamy mówić o ekspertach, white hackerach, którzy wchodzą incognito na takie fora, to sytuacja się zmienia. Tacy „szpiedzy” mogą naprawdę wiele, są skuteczni. To są jednak punktowe działania.

„Informacje z systemu CTI pozwalają na dogłębne poznanie intencji i motywów działania grup przestępczych, umożliwiają decydentom zrozumienie aktualnych zagrożeń, a dzięki temu poprawną alokację budżetów oraz pracowników dla ochrony krytycznych zasobów.”

Czy uważa Pan, że obecne postępy w obszarze metod eksploracji danych, sztucznej inteligencji mogą coś zmienić w zakresie walki z zagrożeniami?

Jestem sceptyczny. Zajmuję się tematyką sztucznej inteligencji od prawie 30 lat. Średnio co 10 lat obserwowałem już falę medialnych zachwytów nad postępami w tym obszarze. To, co się dzieje obecnie, to w moim odczuciu tylko następna fala, która wezbrała dzięki spektakularnym osiągnięciom metod maszynowego uczenia się w zakresie analizy dużych wolumenów danych behawioralnych, systemów rekomendacyjnych i analityki prowadzonej na danych dotyczących klientów. Czy to jednak przełom, który pozwoli na penetrowanie w wyrafinowany sposób środowiska hakerskiego pod kątem potencjalnych ataków? Mam poważne wątpliwości.

Jakie są inne sposoby na proaktywność w obszarze cybersecurity? Co robić, żeby wyprzedzać działania cyberprzestępców?

To jest trudne zadanie. Mamy oczywiście do dyspozycji całą klasę systemów określanych jako open source intelligence. Umożliwiają one prowadzenie wywiadu na podstawie publicznie dostępnych źródeł. Wykorzystywane są dosyć powszechnie przez państwowe służby, ale też wywiad gospodarczy.

Na popularyzację zasługują rozmaite formy współpracy, pozwalające na wymianę tego typu informacji wywiadowczych pomiędzy organizacjami. W tym wypadku mamy do czynienia nie tylko z informacjami publicznie dostępnymi, ale także zdobywanymi przez firmy specjalizujące się w cybersecurity, które prowadzą rozpoznanie grup przestępczych. Są na rynku organizacje, które budują bazy takich informacji. Istnieją możliwości integrowania tych danych, zbierania ich w postaci dziedzinowych raportów, które w ramach danego sektora czy branży prezentują pewne tendencje i pozwalają wyłapywać zagrożenia.

„Z punktu widzenia pojedynczej organizacji zbudowanie zespołu specjalistów cyber therat intelligence jest bardzo trudne i kosztowne, ale zbudowanie takiego zespołu na poziomie sektora czy branży może być opłacalne.”

Na czym konkretnie polega współpraca między różnymi organizacjami? Jakie są jej efekty?

Przykładem może być współpraca sektora finansowego. Cyberbezpieczeństwo to jeden z obszarów, który można określić jako wspólny interes, w którego ramach można i należy współdzielić wiedzę, ostrzegać innych uczestników rynku. Z punktu widzenia pojedynczej organizacji zbudowanie zespołu specjalistów cyber therat intelligence jest bardzo trudne i kosztowne, ale zbudowanie takiego zespołu na poziomie sektora czy branży może być opłacalne.

Takie podejście pozwala zmniejszyć koszty pozyskania informacji, a zarazem zdobyć wiedzę, która umożliwia proaktywność – np. dostrzec wcześniej, że jakaś grupa hakerska poszukuje informacji na temat pewnej podatności, co jest groźne dla całego sektora. Na marginesie warto dodać, że hakerzy zwykle szukają najsłabszego ogniwa. Nie próbują wchodzić na Mount Everest. Jeśli da się coś zrobić szybciej i taniej, tym lepiej. To stricte biznesowe podejście, które polega na optymalizowaniu kosztów versus maksymalizacja przychodów.

„Na popularyzację zasługują rozmaite formy współpracy sektorowej, pozwalające na wymianę informacji wywiadowczych pomiędzy różnymi organizacjami, na przykład bankami.”

Na jakim etapie znajduje się organizowanie takiej współpracy sektorowej w Polsce?

Sektor finansowy współpracuje w ramach Związku Banków Polskich (ZBP). To najbardziej zaawansowana próba budowy takiej wspólnoty w Polsce – chodzi o współdzielenie wiedzy i partycypowanie w kosztach. Formalnie prace nad tą ideą są w realizacji. Jest przyzwolenie największych banków w Polsce, żeby je kontynuować.

Są jednak i inne sektory, w których taka współpraca jest niezbędna. Przede wszystkim odnosi się to do infrastruktury krytycznej. Sądzę, że jak tylko uporządkowane zostaną wszystkie kwestie związane z cyberbezpieczeństwem w naszym kraju, szybko dojdzie do takiej współpracy i powstaną sektorowe SOC.