Masowa, cyfrowa transformacja, szeroka współpraca biznesowa na globalną skalę, dynamiczna ewolucja zagrożeń oraz nowe regulacje związane z zapewnieniem zgodności z określonymi wymaganiami wymuszają nowe podejście do bezpieczeństwa IT oraz cyberbezpieczeństwa. Tradycyjny model polegający na ochronie sieciowego perymetru już się nie sprawdza. Podział na to, co „zaufane” i „niezaufane” przeszedł do historii. Odpowiednio zmotywowany cyberprzestępca zawsze jest w stanie znaleźć słabe ogniwo, które umożliwi przeniknięcie do wnętrza systemu i rozpoczęcie kolejnych etapów ataku. Dlatego strategicznymi priorytetami stają się teraz: zabezpieczenie danych poprzez monitorowanie ruchu w sieci, wbudowanie bezpieczeństwa w aplikacje i urządzenia, kontrolowanie przywilejów użytkowników oraz zastosowanie mechanizmów dostępu opartych na rolach. To nowe podejście kształtują i wzbogacają innowacyjne technologie: analityka Big Data, sztuczna inteligencja oraz uczenie maszynowe.

Obszar potencjalnych ataków powiększa się, zagrożenia są coraz bardziej złożone, a ich konsekwencje coraz bardziej poważne. Posiadamy zbyt wiele punktowych rozwiązań, z których każde ma własną konsolę zarządzającą. Poszczególne systemy nie współdzielą informacji, tworząc architekturę silosową.

„Bezpieczeństwo musi zostać wbudowane w ogólną strategię organizacji związaną z zarządzaniem danymi. Gdziekolwiek są dane, tam musi być bezpieczeństwo. To oznacza fundamentalną zmianę w sposobie myślenia o bezpieczeństwie” – mówił Ronen Shpirer, Senior Manager, Solutions Marketing w Fortinet, podczas sesji plenarnej otwierającej konferencję „Advanced Threat Summit 2017”. Jego zdaniem, potrzebne są nowe, elastyczne, rozwiązania, które będą adaptować się do konkretnej sytuacji i rozwiązań, oraz do konkretnych miejsc, gdzie znajdują się dane. „Jednocześnie wszystkie elementy systemu będą ‘świadome’ istnienia pozostałych i będą wymieniać ze sobą informacje. Wreszcie działanie całości musi być zautomatyzowane – udział człowieka zwiększa ryzyko błędów” – dodał Ronen Shpirer.

Wszystkie zmiany powinny znaleźć wyraz w nowej strategii cyberbezpieczeństwa – spójnej ze strategią biznesową organizacji, dopasowanej do celów przedsiębiorstwa, posiadanych zasobów, miejsca firmy na rynku oraz pozycji działu bezpieczeństwa w przedsiębiorstwie. Jak zbudować dobrą strategię, radziła Ewa Piłat, Chief Technology Security Officer w Vodafone UK. Z jej wiedzy i doświadczenia wynika, że dla osiągnięcia sukcesu wymagane jest zaangażowanie zarządu, zbudowanie odpowiednich kompetencji i wdrożenie narzędzi wspierających. Potrzebne jest przy tym regularne aktualizowanie strategii i uwzględnienie czynników zewnętrznych, m.in. trendów technologicznych i nowych regulacji prawnych. Jako najczęściej popełniane błędy można wskazać: oderwanie strategii cyberbezpieczeństwa od strategii firmy, inicjowanie projektu jej tworzenia bez zapewnienia udziału zarządu i wyższego kierownictwa oraz zaniechania w jej cyklicznej aktualizacji.

Integralnym czynnikiem strategii powinno być także cykliczne testowanie poszczególnych jej elementów. „Testować, testować i jeszcze raz testować” – przekonywał Darron Gibbard, Chief Technical Security Officer and Managing Director w Qualys. Nawet najlepsze i najbardziej szczegółowe plany będą całkowicie nieprzydatne, jeśli ludzie nie będą ich bardzo dobrze znali i nie będą regularnie ćwiczyć ich realizacji w praktyce.

Dla osiągnięcia sukcesu w budowaniu strategii cyberbezpieczeństwa wymagane są: zaangażowanie zarządu, zbudowanie odpowiednich kompetencji i wdrożenie narzędzi wspierających. Nie można też pomijać czynników zewnętrznych, m.in. trendów technologicznych i nowych regulacji prawnych.

Nowy krajobraz

Zbliżający się ku końcowi rok 2017 pokazuje, jak ważną rolę w cyberbezpieczeństwie odgrywają: strategia, planowanie i testowanie. Europejczycy dopiero kilka miesięcy temu przekonali się, jakie spustoszenie mogą spowodować ataki prowadzone z wykorzystaniem narzędzi ransomware oraz disruptive malware. Specjaliści od bezpieczeństwa na Bliskim Wschodzie mieli taką świadomość już przynajmniej od kilku lat. Mówili o tym Stuart McKenzie, Vice President, oraz Muks Hirani, Technical Director w Mandiant, firmie należącej do FireEye. Przekonywali, że w przyszłości należy spodziewać się nasilenia ataków tego typu. Co więcej, choć dotychczas stanowiły one domenę zorganizowanych grup sponsorowanych przez państwa, teraz można oczekiwać, że narzędzi pozwalających na ich realizację zaczną również używać zwykli przestępcy. Eksperci z Mandiant zwracali przy tym uwagę, że jeśli uda się wykryć próbę ataku na jednym z etapów przygotowawczych, można mu skutecznie zapobiec. W przeciwnym wypadku będzie to niemożliwe.

Z kolei Leszek Tasiemski, VP, Rapid Detection Center, R&D Radar & RDS w F-Secure, opowiadał o nowych paradygmatach ataków i obrony w świecie, w którym środowiska informatyczne stają się „hybrydą pomiędzy publiczną chmurą a tradycyjną twierdzą”. Coraz większą rolę w obszarze bezpieczeństwa IT i cyberbezpieczeństwa odgrywa sztuczna inteligencja albo, mówiąc bardziej precyzyjnie, uczenie maszynowe. Nowa technologia oznacza jednak i nowe wyzwania. Znane są już sposoby „oślepiania”, oszukiwania i wprowadzania w błąd systemów uczenia maszynowego poprzez stopniowanie sygnałów. Oczywiście, pojawiają się także szanse na zastosowania w narzędziach używanych do obrony. Niektóre z nich pozwalają na wykrywanie ataków w czasie zbliżonym do rzeczywistego – z potwierdzeniem przekazywanym klientom w ciągu 30 minut.

Leszek Tasiemski zwracał jednak uwagę, że technologia ta, chociaż bardzo przydatna, to przynajmniej na razie nie jest w stanie w pełni zastąpić człowieka. To ostatecznie ludzie, eksperci muszą zweryfikować wyselekcjonowane automatycznie przypadki i zatwierdzić przekazanie informacji o zdarzeniu klientowi. Niemniej przyspieszenie, które można dzięki niej osiągnąć, jest spektakularne.

Technologia sztucznej inteligencji, chociaż bardzo przydatna, na razie nie jest w stanie w pełni zastąpić człowieka. To ostatecznie eksperci muszą zweryfikować wyselekcjonowane automatycznie przypadki i zatwierdzić przekazanie informacji o zdarzeniu klientowi.

Bezpieczny development

Dużo uwagi podczas konferencji „Advanced Threat Summit 2017” poświęcono także problematyce jak najwcześniejszego włączania kwestii bezpieczeństwa w procesy produkcji oprogramowania. Zwracał na to uwagę m.in. gen. Włodzimierz Nowak, członek zarządu, dyrektor ds. prawnych, bezpieczeństwa i zarządzania zgodnością w T-Mobile Polska. Mówił, że konieczna jest zmiana sposobu myślenia inżynierów. Ich obowiązkiem jest projektowanie rozwiązań technicznych z uwzględnieniem wymagań bezpieczeństwa. Zaniechania w tym obszarze, próby zapewnienia bezpieczeństwa dopiero w końcowej fazie prac nad nowymi aplikacjami oznaczają zwykle duże koszty lub konieczność akceptowania ryzyka związanego z wprowadzeniem do produkcji kodu, który nie gwarantuje odpowiedniej jakości pod względem bezpieczeństwa.

Konsekwencje wycieku danych przez „dziurawe” aplikacje mogą być poważne. Przykłady można mnożyć. Michał Kurek, partner KPMG (Cyber Security), lider OWASP Warszawa, powoływał się na najświeższy z nich – Equifax. Niezabezpieczona podatność w Apache Struts2 była źródłem wycieku 143 mln wrażliwych danych osobowych. Rozwiązaniem tego typu problemów jest kompleksowe podejście do wbudowania bezpieczeństwa w procesy produkcji oprogramowania.

Zwłaszcza niezwykle popularne podejście DevOps wymaga wzbogacenia o element Sec(urity). Rewolucje zmiany i przyspieszenie wynikające z bliskiej współpracy między programistami a zespołami operacyjnymi mają konsekwencje w obszarze bezpieczeństwa. Mówił o tym m.in. Alex Wilson, DevSecOps Lead w CyberArk, zwracając szczególną uwagę na zarządzanie kluczami uwierzytelniającymi w kodzie aplikacji.

Kwestie bezpieczeństwa powinny być jak najwcześniej włączane w procesy produkcji oprogramowania. Próby wprowadzania zabezpieczeń dopiero w końcowej fazie prac nad nowymi aplikacjami oznaczają zwykle duże koszty lub konieczność zaakceptowania ryzyka, które nie gwarantuje odpowiedniego poziomu bezpieczeństwa.

Potrzebny Superbezpiecznik

Popularnym tematem pojawiającym się w wielu wystąpieniach było także RODO. Konsekwencjom rozporządzenia o ochronie danych osobowych poświęcona była dyskusji panelowa. Uczestnicy zwracali uwagę, że utrudni ono swobodny rozwój i prowadzenie biznesu, ograniczy innowacyjność. Mówili jednak też, że nie jest to sprawa nowa, że stanowi jedynie pewnego rodzaju uporządkowanie znanych, istniejących wcześniej zasad i dobrych praktyk.

Podczas debaty zarysowały się także różnice w postrzeganiu RODO przez specjalistów ds. bezpieczeństwa i prawników. Jeden ze zdiagnozowanych problemów dotyczył wyzwań komunikacyjnych. Obie grupy posługują się różnymi, niespójnymi aparatami pojęciowymi. Tymczasem komunikacja stanowi fundament sukcesu dla projektów związanych z RODO. W tym kontekście rozmawiano o nowych wymaganiach wobec tradycyjnych „bezpieczników”, a nawet tworzeniu nowego zawodu – menedżera ds. ochrony danych, który będzie łączył świat technologii i prawa, ponieważ skupienie się wyłącznie na jednym z tych obszarów to obecnie za mało.

Wszyscy zainteresowani rynkiem pracy w obszarze bezpieczeństwa IT mogli dowiedzieć się podczas konferencji o zapotrzebowaniu na usługi specjalistów w tym zakresie, wysokości wynagrodzeń oraz rotacji i metodach retencji ekspertów. Opowiadał o tym Paweł Biniarz z firmy Sedlak & Sedlak. Można też było posłuchać o pracy head hunterów i współpracy z nimi, a także o skutecznej komunikacji przedstawicieli działów bezpieczeństwa z innymi jednostkami w organizacjach. Ci, którzy wzięli sobie do serca konieczność poprawienia komunikacji z innymi menedżerami i zarządem w swojej firmie, mogli wziąć udział w warsztacie poświęconym sztuce przemówień publicznych prowadzonym przez Monikę Królak, założycielkę KMKM. Wysoka frekwencja sugerowała, że bezpiecznikom naprawdę zależy na podniesieniu swoich zdolności komunikacyjnych na wyższy poziom.