Nowe technologie, nowe metody i wektory ataku, nowi aktorzy na scenie teatru cybernetycznej „wojny” – dzisiaj praktycznie żadna organizacja nie jest w stanie uniknąć włamania. Powszechna zaczyna być także świadomość, że nie da się ochronić wszystkiego. Działania w obszarze cyberbezpieczeństwa są tym trudniejsze, że na rynku brakuje wykwalifikowanych specjalistów. Zwłaszcza mniejszym organizacjom bardzo trudno jest pozyskać wysokiej klasy ekspertów. Do tego dochodzą kolejne regulacje prawne, które dla wielu organizacji stanowią poważne wyzwanie – finansowe i organizacyjne. Dynamika zdarzeń w obszarze cyberbezpieczeństwa sprawia też, że zmienia się rola CSO i specjalistów ds. bezpieczeństwa. Pojawiają się nowe szanse i otwierają nowe możliwości, ale rośnie ryzyko, z którym trzeba sobie radzić a potencjalne konsekwencje incydentów są coraz poważniejsze. Tematyka wystąpień podczas konferencji „Advanced Threat Summit 2018” stanowiła doskonałą tego ilustrację. W jej trakcie blisko pół tysiąca praktyków cyberbezpieczeństwa z różnych branż dyskutowało o najnowszych trendach, kluczowych wyzwaniach i przełomowych technologiach.

CSO musi obecnie spodziewać się niespodziewanego. Któż mógłby pomyśleć, że sposobem włamania będzie aktualizacja prostego systemu księgowego? Kto by wpadł na to, że drogą mającego poważne konsekwencje ataku może być system wentylacyjny? Dlatego, choć ochrona i prewencja nadal są ważne, coraz więcej organizacji koncentruje się na doskonaleniu wykrywania zagrożeń i reagowania na incydenty. Przy tym popularyzacja usług as-a-Service sprawia, że jednym z priorytetów staje się zabezpieczanie chmury i rozwiązań mobilnych.

W obliczu braków kadrowych i wzrostu skali oraz złożoności zagrożeń duże nadzieje wiązane są z technologiami takimi jak machine learning czy automatyzacja. Wkrótce – jeśli jeszcze nie są – staną się one standardowym komponentem rozwiązań bezpieczeństwa IT. Na razie sprawdzają się w wąskim zakresie zastosowań – maszyny przejmują dobrze zdefiniowane, czasochłonne, żmudne zadania, pełniąc rolę jedynie wspomagającą człowieka. Możliwe jednak, że wkrótce będą w stanie zrobić znacznie więcej. Obszary zastosowania narzędzi tego typu to m.in.: klasyfikacja danych, przewidywanie zagrożeń, reagowanie na incydenty, analizowanie złośliwego oprogramowania czy szeroko rozumiana analityka obszaru bezpieczeństwa. Postęp w tych dziedzinach wiąże się jednak równocześnie ze wzrostem zagrożeń – z nowości technologicznych będą mogli także skorzystać przestępcy.

Piotr Kalbarczyk, dyrektor Departamentu Cyberbezpieczeństwa, PKO Bank Polski

Dlatego – na co podczas „Advanced Threat Summit 2018” zwracał uwagę Piotr Kalbarczyk, dyrektor Departamentu Cyberbezpieczeństwa w PKO Bank Polski – nie można zapominać o sprawach fundamentalnych i wszystkim dobrze znanych: „podstawowej higienie” w obszarze bezpieczeństwa. Warunkiem osiągnięcia wysokiego poziomu bezpieczeństwa jest codzienne dokładanie starań w zakresie standardowych działań, takich jak: instalowanie łatek, aktualizacja systemów czy dbanie o poprawność konfiguracji.

CSO musi obecnie spodziewać się niespodziewanego. Dlatego, choć ochrona i prewencja nadal są ważne, coraz więcej organizacji koncentruje się na doskonaleniu wykrywania zagrożeń i reagowania na incydenty.

Inteligentne maszyny na horyzoncie

Szef Google stwierdził niedawno, że sztuczna inteligencja będzie miała większy wpływ na nasz świat niż elektryczność czy ogień. Nikt nie ma wątpliwości, że odmieni ona także branżę cyberbezpieczeństwa. Jest przy tym bardzo prawdopodobne, że nastąpi to szybciej niż się spodziewamy. Mimo to, wydaje się, że większość przedstawicieli środowiska cybersecurity nie zdaje sobie sprawy z nadchodzących zagrożeń.

Menny Barzilay, CTO, Cyber Research Center, Tel-Aviv University

„Niewiele osób na świecie rozumie istotę i skalę problemów, z jakimi wkrótce przyjdzie się wszystkim mierzyć. Sztuczna inteligencja to domena uniwersytetów i instytucji naukowych. Tam ma swoją genezę większość nowości w tym obszarze. Biznes nie rozumie dobrze tych problemów. Dlatego warto postawić na wykorzystanie wiedzy akademickiej oraz bliską współpracę z badaczami i naukowcami” – przekonywał Menny Barzilay, CTO w Cyber Research Center działającym w ramach Tel-Aviv University.

Do tych technologii dostęp będą mieli także przestępcy. „Hackowanie przy wsparciu sztucznej inteligencji jest łatwiejsze niż obrona przy jej pomocy. Nasze obecne systemy nie są na to gotowe a jednocześnie brakuje środków na ich zastąpienie. Wkrótce będziemy mieć do czynienia z hakowaniem na masową skalę, w ramach którego maszyny będą szukały w internecie podatności do wykorzystania. Najlepszym rozwiązaniem tego problemu jest przyjęcie podejścia Security by Design” – mówił Menny Barzilay.

Bezpieczeństwo wbudowane w software

Aleksander Ludynia Aleksander Ludynia, Security Director, AC Project

Zastosowanie podejścia Security by Design oznacza nie tylko ograniczenie ryzyka i zapewnienie wyższego poziomu bezpieczeństwa, ale także oszczędności, zgodność z regulacjami prawnymi oraz… mniej frustracji dla zespołu programistycznego – przekonywał Aleksander Ludynia, Security Director w AC Project, podczas wystąpienia w sesji „Wizje i realizacje”.

Jego zdaniem, w praktyce często mamy do czynienia z „odkładaniem bezpieczeństwa na później”, skupianiem się wyłącznie na testach penetracyjnych. Powszechny jest brak świadomości zagrożeń, dominuje założenie, że programiści „znają się na bezpieczeństwie”. Tymczasem właśnie takie podejście jest źródłem wielu poważnych problemów.

Dlatego bezpieczeństwo musi zostać wbudowane w cały cykl rozwoju oprogramowania:

1. od etapu planowania – wyznaczenie osoby/zespołu odpowiedzialnego za bezpieczeństwo, identyfikacja kluczowych regulacji i przepisów, wstępne określenie technologii i procesów;
2. przez analizę i mapowanie wymagań bezpieczeństwa wynikających z regulacji, norm, oczekiwań klientów, najlepszych praktyk, rozwiązań konkurencyjnych i ryzyka,
3. projektowanie – przełożenie wyników analizy na mechanizmy bezpieczeństwa w połączeniu z modelowaniem zagrożeń (wymaga to stałej współpracy pomiędzy programistami a bezpiecznikami),
4. implementację – wytyczne, konsultacje, szkolenia dla programistów dotyczące zasad bezpiecznego kodowania, przegląd fragmentów kodu;
5. testowanie dynamiczne i statyczne – testy penetracyjne, automatyzacja testów, weryfikacja komponentów zewnętrznych, ocena zaadresowania modelowanych zagrożeń;
6. aż po utrzymanie – zarządzanie znanymi podatnościami, zarządzanie ryzykiem, monitoring, sprawna obsługa incydentów, okresowa weryfikacja.

Źródło: Aleksander Ludynia, prezentacja „Security by Design w praktyce. Tworzenie oprogramowania”

Podobno szachowy mistrz świata, Garri Kasparow, już w 1996 r., podczas pierwszego pojedynku z komputerem Deep Blue, miał świadomość, że kończy się pewna epoka w rozwoju ludzkich możliwości. Pomimo tego, że ostatecznie zwyciężył, jego pierwsza przegrana partia dała mu do myślenia: jeśli komputer choć raz jest w stanie pokonać mistrza, to oznacza, że wkrótce będzie mógł wygrywać z człowiekiem za każdym razem. Jego przeczucie sprawdziło się rok później: Kasparow uległ, Deep Blue triumfował – komputer wygrał drugie starcie z mistrzem. A kiedy maszyna raz osiągnie dominującą pozycję, już nigdy jej nie odda.

Według Menny’ego Barzilaya, dzisiaj jesteśmy w podobnej sytuacji w dziedzinie cyberbezpieczeństwa. Chociaż komputery nie są jeszcze w stanie pokonać człowieka w hackerskich pojedynkach typu Capture the Flag, to już sam fakt że są w ogóle są w stanie konkurować z najlepszymi ekspertami od cyberbezpieczeństwa na świecie, zwiastuje nadejście nowej ery. Jeszcze w nią nie weszliśmy – uczenie maszynowe, uczenie głębokie to jeszcze nie sztuczna inteligencja, niemniej ostatnie osiągnięcia, np. w obszarze widzenia komputerowego czy komunikacji w języku naturalnym, to prawdziwe kamienie milowe. „Połączenie tych nowych technologii otwiera ogromne możliwości. Ostatecznie spodziewam się, że sztuczna inteligencja przyniesie więcej dobrego niż złego, ale w krótkim terminie możemy oczekiwać większej ilości zagrożeń niż korzyści” – mówił Menny Barzilay.

Internet nie został bowiem zaprojektowany z myślą o bezpieczeństwie. Nie to jest jednak najgorsze. Większym problemem jest fakt, że nie można tego naprawić. Konieczna byłaby wymiana wszystkich urządzeń, a to nie jest możliwe. Co więcej, do tej niebezpiecznej infrastruktury podłączamy nowe urządzenia. Cały czas dokonujemy drobnych zmian, ale nie wpływają one zasadniczo na poprawę bezpieczeństwa sieci. Sztuczna inteligencja może spowodować radykalną zmianę, której potrzebujemy. Niemniej podstawowa zasada mówi: zmiana zawsze równa się nowym szansom, ale i nowym zagrożeniom.

Sztuczna inteligencja przyniesie ostatecznie więcej dobrego niż złego, ale w krótkim terminie możemy oczekiwać większej ilości zagrożeń niż korzyści.

Potrzeba nowego podejścia

O jakich zagrożeniach mówimy? Cyberprzestępcy będą mogli wykorzystywać sztuczną inteligencję na potrzeby realizowanych ataków. Można wyobrazić sobie nie tylko złośliwe, ale zarazem „rozumne” oprogramowanie. Tzw. bariera wejścia w technologię jest stosunkowo niska. Dostępne są liczne, zaawansowane narzędzia w modelu open source, z których chętnie korzystają atakujący.

Janusz Żmudziński, wiceprezes, Polskie Towarzystwo Informatyczne

To jednak nie wszystko. „Przestępcy mogą atakować samą sztuczną inteligencję. W napędzającym ją oprogramowaniu znajduje się ogromna liczba błędów, które nie są szybko poprawiane. Można wyobrazić sobie także zatruwanie danych treningowych do uczenia maszynowego. Do tego dochodzą kwestie etyczne i zagrożenia dla prywatności” – podkreślał Janusz Żmudziński, wiceprezes Polskiego Towarzystwa Informatycznego. Jako przykład podawał realizowany przez Ministerstwo Obrony USA projekt broni autonomicznej Maven – współpracy przy jego rozwoju odmówili pracownicy Google. Wymieniał także chińskie projekty związane z systemem kredytu społecznego, okularów do rozpoznawania twarzy czy sieci monitoringu wizyjnego.

Mikko Hypponen, Chief Research Officer, F-Secure

Do grona ekspertów, którzy mają obawy związane z wykorzystaniem przez hackerów sztucznej inteligencji można zaliczyć także Mikko Hypponena, Chief Research Officer w F-Secure. Uważa on, że wkrótce sytuacja może stać się poważna. „Na razie nie obserwujemy jeszcze ataków wykorzystujących technologię machine learning. Jeśli jednak sytuacja się zmieni i takie ataki się pojawią, będziemy mieli do czynienia ze znaczącym wyzwaniem. Wówczas będzie naprawdę źle” – mówił Mikko Hyponnen podczas wystąpienia zatytułowanego „Gdzie jesteśmy i dokąd zmierzamy”.

Zastanawiał się m.in. jak zabezpieczyć dziesięć miliardów nowych urządzeń, które w ciągu najbliższej dekady mają zostać podłączone do sieci. Dzisiaj praktycznie wszystkie urządzenia elektroniczne stają się komputerami. Jeśli jakiś sprzęt można określić jako „smart” – jak np. smart phone, smart TV czy smart watch – to oznacza, że jest on podatny na atak.

Dzięki wykorzystywaniu sztucznej inteligencji do ataków można wyobrazić sobie nie tylko złośliwe, ale zarazem „rozumne” oprogramowanie. Tzw. bariera wejścia w technologię jest stosunkowo niska. Dostępne są liczne, zaawansowane narzędzia w modelu open source.

Dlatego potrzebne jest nowe podejście. Nie sprawdza się tradycyjny „model sejfu”, który buduje się przy wykorzystaniu rozmaitych narzędzi, żeby trzymać w nim swoje najcenniejsze zasoby. Wszyscy wolimy myśleć, że nikt nie dostanie się do sejfu. Należy jednak założyć, że do tego dojdzie i przygotować się na włamanie. Nikt zazwyczaj nie spodziewa się, że zostanie zaatakowany przez niewinnego chatbota na stronie WWW – tymczasem tak to właśnie się odbywa.

„Stara mądrość o budowaniu bezpieczeństwa jako sejfu musi zostać zmieniona. Skoro nikt nie dostanie się do sejfu, to po co nam wykrywacz ruchu w sejfie? To błędne myślenie. Dlatego potrzebne są sensory. Pozwalają one wykrywać nietypowe działania. I choć czasem mogą generować fałszywe alarmy, to przynoszą o wiele więcej korzyści niż problemów. Taki fałszywy alarm pokazuje, że system działa, jest czujny” – mówił Mikko Hypponen.

Paweł Łakomski, Technology Solution Professional, Microsoft

Na nieadekwatność starych metod zwracali także uwagę: Paweł Łakomski, Technology Solution Professional w Microsoft oraz Przemysław Zębik, Doradca Technologiczny w Microsoft. Ich zdaniem, nowe wektory ataków i nowe ich metody związane z IoT czy łańcuchem dostaw wymagają nowego podejścia i zastosowania nowych rozwiązań. Na przestrzeni ostatnich kilku lat pojawiło się wiele technologii pozwalających zabezpieczyć się przed nowymi zagrożeniami. Wizja bezpieczeństwa w dobie inteligentnych technologii proponowana przez Microsoft opiera się na analityce chmurowej, wykorzystaniu machine learning i zaawansowanej automatyzacji.

Przemysław Zębik, doradca technologiczny, Microsoft

Przykładem zastosowania takich inteligentnych mechanizmów może być analizowanie danych o zdarzeniach i logów oraz prognozowanie na tej podstawie możliwych scenariuszy ataków i przygotowywanie potencjalnych odpowiedzi na nie. Paweł Łakomski zwracał jednak uwagę, że machine learning niesie ze sobą też pewne wyzwania. Wymaga wykorzystania bardzo dużych próbek i zastosowania długiego treningu, w przeciwnym wypadku będziemy narażeni na dużą ilość fałszywych alertów. Dlatego z praktycznego punktu widzenia optymalnym podejściem wydaje się zawężenie obszaru ochrony i skupienie się wyłącznie na krytycznych zasobach.

Nikt zazwyczaj nie spodziewa się, że zostanie zaatakowany przez niewinnego chatbota na stronie WWW – tymczasem, tak to właśnie się odbywa.

Totalna automatyzacja

Wizję wykorzystania analityki, automatyzacji i machine learning podzielają także inne firmy, w tym wiele startupów. O automatycznym wykrywaniu incydentów mówił podczas konferencji Alex Vaystikh, CTO i współzałożyciel firmy SecBI. Analiza ruchu sieciowego to doskonałe pole do działania dla zaawansowanych mechanizmów analitycznych. Dlaczego? Ponieważ bardzo trudno analizować tego typu dane – zbiory są ogromne, ciągle się zmieniają a przy tym dotyczą rozmaitych urządzeń i środowisk.

Alex Vaystikh, CTO i współzałożyciel, SecBI

Wykorzystanie analityki w połączeniu z machine learning pozwala na zdobycie niedostępnych w inny sposób informacji. Dotyczy to zwłaszcza najtrudniejszego obszaru – detekcji, ale także dochodzenia oraz prowadzenia poszukiwań. „Machine learning idealnie nadaje się do zastosowania w cyberbezpieczeństwie, ponieważ mamy do czynienia z coraz większą ilością danych. Na rynku brakuje odpowiednio wykształconych ludzi a powierzchnia ataku ciągle się powiększa” – zwracał uwagę Alex Vaystikh.

Tomasz Rot, Country Sales Manager, Barracuda

Mechanizmy machine learning pomagają powstrzymywać phishing chroniąc użytkowników poczty elektronicznej przed oddziaływaniem socjotechniki. „Blisko trzy na cztery ataki celowane zaczynają się od maila. Dlatego konieczne jest wykorzystanie zaawansowanych mechanizmów ochrony poczty nowej generacji. Przykładowo, technologia uczenia maszynowego bazująca na informacjach z 2,5 mln skrzynek pocztowych pomaga chronić przed atakami typu zero payload. Analizując 40 różnych składników zapewnia stosunek false-positive bliski 1 do miliona” – mówił Tomasz Rot, Country Sales Manager w Barracuda.

Mechanizmy machine learning pomagają powstrzymywać phishing chroniąc użytkowników poczty elektronicznej przed oddziaływaniem socjotechniki.

Chmura możliwości i ryzyk

Upowszechnienie wykorzystania usług chmurowych w biznesie postępuje w ogromnym tempie. Każdego dnia w firmach wypróbowuje się nowe rozwiązania cloud computing. Przy tym o wiele łatwiej je wdrożyć niż później wycofać z użycia. Najgorsze jest jednak to, że wchodzą one do organizacji bocznymi albo tylnymi drzwiami. Ich wykorzystania nie nadzoruje centralnie dział IT. Generuje to poważne wyzwania w obszarze bezpieczeństwa. Pracownicy korzystają z ofert różnych dostawców, których usługi nie są zabezpieczone w taki sam sposób.

Roy Scotford, Consulting Systems Engineer, Fortinet

„Zwłaszcza ochrona danych przechowywanych w aplikacjach typu SaaS stanowi coraz większe wyzwanie. Zapewnienie bezpieczeństwa w tym obszarze jest jednym z największych problemów dla CISO, ponieważ odpowiedzialność za bezpieczeństwo w chmurze spoczywa na użytkowniku a nie dostawcy. To sprawia, że dynamicznie rośnie rynek systemów CASB” – podkreślał Roy Scotford, Consulting Systems Engineer w Fortinet.

CASB, czyli Cloud Access Security Broker, to nowa klasa rozwiązań, które pozwalają na identyfikowanie wrażliwych danych i plików, rozszerzania na nie polityki w zakresie dostępu i udostępniania a także dostarczania raportów w zakresie ich wykorzystania. Zapewniają one także ochronę przed propagacją zagrożeń z chmury – wirusów i złośliwego oprogramowania. Chronią poza tym dystrybucję wrażliwych danych, niezależnie od tego czy jest celowa czy przypadkowa. System CASB dostarcza też narzędzi do audytowania usług SaaS i zapewniania ich zgodności z polityką bezpieczeństwa. W efekcie uzyskuje się pełen obraz aktualnej sytuacji oraz przejmuje kontrolę nad konsumpcją zasobów i ich konfiguracjami.

Jakie wyzwania dla bezpieczeństwa tworzy model SaaS/IaaS?

* Shadow IT

– nie wiadomo ile usług SaaS jest wykorzystywanych w organizacji

* Informacje i kontrola

– brakuje informacji o tym, jakie dane i pliki są przechowywane w usługach SaaS/IaaS i komu są udostępniane

– kontrola nad konfiguracją zasobów IaaS jest ograniczona

* Egzekwowanie polityk i zgodność

– nie ma możliwości kontrolowania dostępu czy dystrybucji danych w aplikacjach SaaS

– nie wiadomo czy w przypadku SaaS utrzymane są standardy zgodności z regulacjami

– nie ma kontroli nad konsumpcją zasobów w IaaS

* Zagrożenia z chmury

– nie wiadomo czy informacje w chmurze są bezpieczne i nie stanowią zagrożenia dla użytkowników w wewnętrznej sieci

* Wcześniejsze dane w chmurze

– firewall jest pomocny, ale nie wiadomo co zostało zapisane w chmurze, zanim zaczęło to być monitorowane

Źródło: prezentacja Roya Scotforda, Consulting Systems Engineer w Fortinet, „Monitoring bezpieczeństwa w chmurze – perspektywa klienta i użytkownika”

O bezpieczeństwie w świecie „cloud first” z nieco innej perspektywy mówił Alex Teteris, Principal Technology Evangelist w Zscaler. Chmura i mobilność napędzają cyfrową transformację, ale jednocześnie wymuszają przy tym zmiany w podejściu do bezpieczeństwa.

Alex Teteris, Principal Technology Evangelist, Zscaler

„Tradycyjna architektura sieci i bezpieczeństwa – określana jako hub-and-spoke – dostarcza niezawodnego i bezpiecznego dostępu do aplikacji w centrum danych. Jednak przeniesienie aplikacji na nowoczesne platformy chmurowe skutkuje niewygodą dla użytkowników, rosnącą złożonością dla IT oraz wysokimi kosztami dla organizacji. W efekcie użytkownicy pomijają mechanizmy bezpieczeństwa i wzrasta ryzyko dla firmy” – zwracał uwagę Alex Teteris. Jego zdaniem, Internet staje się nową siecią korporacyjną, którą trzeba kontrolować i zabezpieczać. Użytkownicy chcą szybkiego, wygodnego i bezpiecznego dostępu a organizacje elastyczności i ograniczenia kosztów. To stawia przed ludźmi od bezpieczeństwa poważne wyzwania, z którymi będą musieli sobie coraz skuteczniej radzić.

Groźne jest to, że rozwiązania chmurowe wchodzą do organizacji bocznymi albo tylnymi drzwiami. Ich wykorzystania nie nadzoruje centralnie dział IT. Pracownicy korzystają z ofert różnych dostawców, których usługi nie są zabezpieczone w taki sam sposób.

Fakty i liczby: konsekwencje naruszenia bezpieczeństwa danych (Raport Ponemon Institute, lipiec 2018 r.)

3,86 mln USD – średni koszt wycieku danych

148 USD – średni koszt w przeliczeniu na ukradziony rekord

27,9% – prawdopodobieństwo ponownego wycieku danych w ciągu dwóch następnych lat

6,4% – średni całkowity roczny wzrost kosztów

4,8% – roczny wzrost kosztów per capita

Dzięki nawiązaniu współpracy z zespołem Incident Response można osiągnąć średnie oszczędności kosztów na poziomie 14 USD w przeliczeniu na pojedynczy rekord.

Źródło: prezentacja Daniela Donhefnera, IBM Security Services CEE Leader w IBM, „Trendy w cyberbezpieczeństwie – dziś i jutro”