Niezbędna technologia jest dostępna. Potrzeba pojedynczej konsoli, która obejmie wszystkie elementy i źródła danych. Później należy skoncentrować się po prostu na nudnej robocie. Rozmowa ze Stuartem McKenzie, wiceprezesem Mandiant, FireEye.

Czego w zakresie cyberbezpieczeństwa nauczył nas rok 2017?

W tym roku mogliśmy zaobserwować dalszą ewolucję w zakresie aktywnych podmiotów i źródeł zagrożeń. Mamy do czynienia z coraz większą liczbą działań z krajów, których nie uznaje się za światowe mocarstwa. Obserwujemy wzrost wyrafinowania Irańczyków, którzy działają na coraz większą skalę. Jesteśmy celem nieustannych ataków Korei Północnej. Przy tym Koreańczycy obierają sobie nietypowe cele. Byli powiązani z WannaCry oraz atakami na transfery międzybankowe. To sugeruje, że próbują w ten sposób pozyskiwać pieniądze. To przykład zacierania się granic pomiędzy różnymi grupami podmiotów prowadzących działania w cyberprzestrzeni – pod względem celów i motywacji.

Rok 2017 będzie prawdopodobnie znaczący ze względu na ataki przy wykorzystaniu destrukcyjnego, złośliwego oprogramowania na terenie Europy. Wcześniej występowało to na Bliskim Wschodzie. Działania tego typu obserwowaliśmy przez lata w Arabii Saudyjskiej. Pierwszy atak Shamoon został przeprowadzony w 2012 roku. Teraz doświadczyliśmy czegoś podobnego w Europie. Ransomware i destrukcyjny kod dotarły na Stary Kontynent. Sądzę, że ten trend będzie się nasilać.

Prawdopodobnie kolejny znaczący trend to nasilenie operacji propagandowych. Rosja w otwarty sposób uprawia propagandę na Twitterze, Facebooku i w innych mediach społecznościowych. Działania tego typu się wzmagają. Nie jest to nowość, propaganda istniała zawsze. Nowością jest nachalność tych działań oraz, być może, towarzysząca im naiwność odbiorców. Wydaje się, że wszyscy bezrefleksyjnie akceptują wiadomości tego typu. Wiele mediów opisuje zdarzenia, które zostały nam podane przez roboty. Należy zastanowić się nad edukacją w tym obszarze.

Wspomniał Pan o ataku Shamoon w 2012 roku. Dlaczego wcześniej nie było podobnych ataków w Europie?

Jeśli spojrzymy na oryginalny atak Shamoon, to zobaczymy, że mieliśmy do czynienia z Irańczykami, którzy doszli do wniosku, że mogą nie kryć swoich działań. W owym czasie Chiny i Rosja nie decydowały się na taką otwartość. Kiedy badaliśmy przypadki rosyjskich ataków na terenie Unii Europejskiej czy w USA, mieliśmy do czynienia z „duchami”. Wiedzieliśmy, że nastąpił atak, badaliśmy go, ale sprawcy już dawno zniknęli. Wykorzystywali oni bardzo zaawansowane technologie, głównie działające w pamięci, które zostawiają niewiele śladów.

W ciągu ostatniego roku mogliśmy zaobserwować, zwłaszcza u Rosjan, przekonanie, że ani Europa, ani Ameryka nie są dostatecznie silne, żeby nałożyć na nich sankcje. Postanowiły, że będą działać zdecydowanie i prawie całkiem otwarcie. Takie właśnie podejście od wielu lat mieli Irańczycy.

Rosjanie rozumieją, że Europa jest prawdopodobnie obecnie za bardzo skoncentrowana na GDPR i zmianach krajobrazu politycznego. To, co byłoby nie do zaakceptowania, powiedzmy, pięć lat temu, dzisiaj nie spotka się ze zdecydowaną reakcją. Możemy się spodziewać, że wkrótce także inne kraje zaczną napinać swoje muskuły i pokazywać, co potrafią. Podobnie cyberprzestępcy dostrzegli, jak niewiele rządy są w stanie zrobić, żeby ich powstrzymać. Egzekwowanie prawa pomiędzy różnymi jurysdykcjami jest bardzo trudne. Cyberprzestępcy oceniają, że stosunek ryzyka do potencjalnej nagrody jest obecnie dla nich bardzo korzystny.

Wiele organizacji przekazało w outsourcing monitoring bezpieczeństwa, myśląc, że dokonano zarazem outsourcingu ryzyka. To błędne przekonanie. Warto przemyśleć, co przekazuje się w outsourcing. Nie można przekazać swoich stacji roboczych i oczekiwać, że ktoś będzie nimi zarządzał.

Czy Rosja jest dziś głównym zagrożeniem w skali globalnej?

Nie dotarło to do szerokiej publiczności, ale znaczący był także atak przeprowadzony przez APT10. To chińska grupa, która naruszyła bezpieczeństwo globalnych łańcuchów dostaw. W ciągu kilku ostatnich lat niewiele słyszało się o Chinach w tym kontekście. Nie mieliśmy do czynienia z atakami na masową skalę, takimi, jakie można było obserwować w 2012 roku, przed dojściem Xi Jinpinga do władzy. Od 2006 do 2012 roku mieliśmy do czynienia z wieloma atakami i cyberszpiegostwem prowadzonym przez grupy z Chin. Wówczas FireEye raportował, że udało się nam powstrzymać wiele chińskich ataków, ale większość obserwatorów nie traktowała tego poważnie. Tymczasem była to prawda.

Teraz, przez ostatnie 18 miesięcy, chińska grupa APT10 infiltrowała globalne łańcuchy dostaw. Udało się jej uzyskać informacje kluczowe dla biznesu prowadzonego przez wiele organizacji. To niebezpieczny czas dla biznesu. Wiele organizacji przekazało w outsourcing monitoring bezpieczeństwa, myśląc, że dokonano zarazem outsourcingu ryzyka. To błędne przekonanie. Warto przemyśleć, co przekazuje się w outsourcing. Nie można przekazać swoich stacji roboczych i oczekiwać, że ktoś będzie nimi zarządzał.

Podczas „Advanced Threat Summit 2017” wielokrotnie mówiono, że należy zabezpieczać raczej dane, a nie zasoby fizyczne. Ludzie zaczynają to rozumieć. Po części to efekt GDPR i będzie dużym wyzwaniem dla wielu organizacji.

Firmy muszą skoncentrować się na łączeniu informacji zamiast analizowania logów z wielu źródeł. Prawdopodobnie najważniejszą rolę odegra w tym analityka zagrożeń. Posiadanie „jednego ekranu” będzie priorytetem dla wielu organizacji. Pozwoli on naprawdę zrozumieć, co się dzieje w danej chwili.

Nie wymienił Pan jeszcze żadnych technologii. Czy są jakieś nowości, które pojawiły się w ciągu ostatnich miesięcy, na które warto zwrócić uwagę?

Szczerze mówiąc, kluczem jest integracja informacji na jednym ekranie. Dzięki temu można połączyć wszystkie działania w obszarze bezpieczeństwa i naprawdę zrozumieć, co się dzieje w danej chwili. Dla nas oznacza to migrację w kierunku FireEye Helix, który integruje wszystkie nasze informacje, a także produkty bezpieczeństwa wszystkich pozostałych dostawców. Dzięki temu otrzymujemy jeden ekran, na którym można obserwować, co się dzieje. To kluczowa sprawa.

Organizacje nie muszą poszukiwać nowości. Większość problemów, o których mówimy, została już rozwiązana. Mamy przyzwoite technologie uczenia maszynowego i wykrywania anomalii. Są wystarczające. Nie musimy wracać do pracy nad nimi. Na rynku dostępne są bardzo dobre produkty do ochrony końcówek. Jednym z nich jest HX. Dobrze pokryty jest obszar sieci.

Organizacje muszą natomiast skoncentrować się na łączeniu informacji zamiast analizowania logów z wielu źródeł. Prawdopodobnie najważniejszą rolę odegra w tym analityka zagrożeń. Spodziewam się, że posiadanie takiego „jednego ekranu” będzie priorytetem dla wielu organizacji. Dalej pozostaje już tylko skoncentrowanie się na nudnej robocie – instalowaniu łatek, zarządzaniu użytkownikami, upewnianiu się, że wycofujemy z użycia przestarzałe systemy operacyjne. Niezbędna technologia jest dostępna. Trzeba przestać szukać srebrnej kuli.

Dlaczego zabezpieczenie stacji końcowych jest tak ważne?

Jeśli nie jesteśmy w stanie kontrolować końcówek, wówczas nie ma nadziei na to, że będziemy w stanie zarządzać siecią. Zbyt wiele organizacji polega na ochronie antywirusowej. Tymczasem to zaledwie cyberhigiena. To podstawa i nic więcej. Ochrona antywirusowa zapewnia ochronę przed najbardziej oczywistymi, najbardziej widocznymi, prostymi atakami. Z pewnością jednak nie wystarcza. Porządna technologia ochrony końcówek jest w stanie zablokować zaawansowane zagrożenia, a następnie umożliwia prowadzenie dochodzenia.

Jeśli nie jesteśmy w stanie kontrolować końcówek, wówczas nie ma nadziei na to, że będziemy w stanie zarządzać siecią. Zbyt wiele organizacji polega na ochronie antywirusowej. Tymczasem to zaledwie cyberhigiena. To podstawa i nic więcej.

Czego Europa może dziś nauczyć się od innych regionów świata w kontekście cybrebezpieczeństwa?

Możemy nauczyć się wiele od Amerykanów, zwłaszcza w obszarze raportowania naruszeń bezpieczeństwa. Informowanie opinii publicznej o naruszeniach w odpowiedzialny sposób jest szczególnie ważne. Trudno uwierzyć, patrząc na liczbę upublicznionych zdarzeń, że w Unii Europejskiej jest tak niewiele ataków. Wiemy z pewnością, że ataków jest więcej, ale nikt nie jest zobligowany, żeby o nich informować. Przez to prawdopodobnie organizacje nie koncentrują się dostatecznie na tym obszarze – bo nie jest to sprawa publiczna. Wyciągnięcie wniosków z doświadczeń amerykańskich w tym zakresie uważam za istotne.

Trudno uwierzyć, patrząc na liczbę upublicznionych zdarzeń, że w Unii Europejskiej jest tak niewiele ataków. Wiemy z pewnością, że ataków jest więcej, ale nikt nie jest zobligowany, żeby o nich informować. Przez to prawdopodobnie organizacje nie koncentrują się dostatecznie na tym obszarze – bo nie jest to sprawa publiczna.

Czego możemy spodziewać się w 2018 roku?

Wzrosną trudności związane z określaniem źródeł ataków. Sądzę, że będzie coraz trudniej odróżniać atakujących oraz określać, co jest ich ostatecznym celem. Właśnie dlatego niezwykle ważne będzie zrozumienie przez organizacje, że kluczem jest ochrona sieci, a nie przesadne zastanawianie się nad tym, „kto, co i dlaczego”.