Listopadowa konferencja „Advanced Threat Summit” koncentruje się na kluczowych, najbardziej aktualnych zagadnieniach związanych z bezpieczeństwem cyfrowym organizacji. W tym roku motywem przewodnim jest cloud computing. W środowiskach chmury publicznej działa coraz więcej systemów biznesowych. Do chmury przenosi się także coraz więcej rozwiązań bezpieczeństwa. To otwiera nowe możliwości, ale kreuje też wiele nowych wyzwań, zwłaszcza w związku z rosnącą popularnością automatyzacji oraz coraz powszechniejszym stosowaniem algorytmów sztucznej inteligencji. Podczas „AT Summit 2019” dyskutowane będą także zagadnienia dotyczące tradycyjnych zagrożeń w obszarze cyberbezpieczeństwa, przede wszystkim w kontekście nowych technologii, takich jak: automatyzacja, sztuczna inteligencja czy Robotic Process Automation. Interesujące dla profesjonalistów odpowiadających za bezpieczeństwo cyfrowe organizacji będą z pewnością tematy odnoszące się do kwestii pojawiających się na styku z bezpieczeństwem fizycznym.

Jedną z najważniejszych zmian zachodzących w ostatnich latach w biznesowym IT jest coraz większe wykorzystanie infrastruktury chmury publicznej oraz platform i oprogramowania udostępnianego w postaci usług. Firmy przenoszą swoje obciążenia, w miarę jak wykorzystywane wcześniej systemy wychodzą z użycia. Ma to ogromny wpływ na wszelkie kwestie związane z cyberbezpieczeństwem. Może wydawać się, że zapewnianie bezpieczeństwa w chmurze nie różni się zbytnio od tego, z czym mieliśmy do czynienia wcześniej w środowiskach biznesowych. Przy dokładniejszej analizie okazuje się jednak, że trzeba ponownie przemyśleć wiele zagadnień dotyczących zarządzania bezpieczeństwem. Specyfika poszczególnych dostawców oraz różnice wynikające z wyboru konkretnych usług sprawiają, że nie ma rozwiązań, które pasują wszystkim.

Maciej Lelusz, Prezes Inleo

„Nasilanie się procesów migracyjnych jest naturalne, tak samo jak naturalne jest to, że na sile przybierają działania marketingowe dostawców cloud computingu. Nie należy im jednak ulegać. Przede wszystkim trzeba się zastanowić, czy wszystko warto migrować do chmury, a jeśli nie, to co należy migrować. Nie każda aplikacja czy środowisko mają w niej rację bytu” – mówi Maciej Lelusz, prezes firmy Inleo. Podczas „AT Summit 2019” będzie on opowiadał o bezpieczeństwie oraz ryzyku procesu migracji infrastruktury i aplikacji do chmury publicznej, a w szczególności o zagrożeniach nieoczywistych. 

Nie chodzi przy tym o kwestie rygorystycznych regulacji prawnych. Bardzo często informacje o tym, że czegoś nie można przenieść, są nieprawdziwe. Praktyka pokazuje, że wiele obostrzeń można ominąć. W przypadku innych barier trzeba po prostu policzyć ryzyko. Zawsze jednak najważniejsze jest zastanowienie się, co warto przenieść i w jaki sposób.

Podczas swojego wystąpienia Maciej Lelusz opowie o tym, jak migrować do chmury publicznej – na poziomie całego stosu aplikacji, z uwzględnieniem maszyn wirtualnych zawierających serwery aplikacyjne, czy też bazodanowe wraz z zasobami dyskowymi, konfiguracją sieci i zabezpieczeń. Powie także, jak to zrobić dobrze i gdzie kryją się potencjalne ryzyka.

Migracja to nieznana droga. Wyruszając w nią, trzeba dobrze zabezpieczyć sobie możliwości powrotu. Opracowanie planu B, który wykorzystamy w sytuacji, kiedy trzeba będzie wrócić do środowiska on-premise, jest konieczne.

„Pierwsza istotna kwestia, nad jaką warto się zastanowić, myśląc o tym, czy plan B jest potrzebny, to możliwość wystąpienia problemów z płynnością finansową. Czasem kłopoty tego typu są jedynie przejściowe. Kiedy mamy środowisko on-premise, rozwiązanie jest proste – nie płacimy rachunków, a jeśli nawet środowisko przestanie działać, to wciąż będzie szansa, że będą tam dalej nasze dane. Kiedy odzyskujemy płynność, spłacamy długi i wracamy do normalnego działania. W chmurze może się okazać, że nie mamy już do czego wracać” – mówi Maciej Lelusz.

Zwraca on jednocześnie uwagę, że działy IT zwykle nie wiedzą, jaka jest płynność finansowa organizacji, do której przenoszą swoje zasoby. Zwykle nikt o tym nie informuje do momentu, kiedy może być już zbyt późno na podjęcie jakichkolwiek działań w obszarze informatycznym. Inny potencjalny problem to kwestia nagłego zaprzestania świadczenia usługi przez operatora chmury, np. w wyniku nałożenia embarga. 

Niezwykle istotne przy rozważaniu migracji do chmury jest także to, kto jest właścicielem tworzonych mechanizmów bezpieczeństwa. Część rozwiązań z pewnością należy kupić, jednak np. przetrzymywanie kluczy szyfrujących w usłudze dostarczanej przez dostawcę chmury może być ryzykowne.

Migracja do chmury to zawsze nieznana droga. Wyruszając w nią, trzeba dobrze zabezpieczyć sobie możliwości powrotu. Opracowanie planu B, który wykorzystamy w sytuacji, kiedy trzeba będzie wrócić do środowiska on-premise, jest konieczne.

Atak z automatu

Migracja do chmury, środowiska hybrydowe, a do tego rosnąca liczba ataków sprawiają, że istotnymi narzędziami w arsenale specjalistów odpowiedzialnych za cyberbezpieczeństwo w firmach stają się: automatyzacja, robotyzacja i sztuczna inteligencja. O automatyzacji symulacji zagrożeń i anomalii sieciowych na bazie ATT&CK Framework opowie podczas „AT Summit 2019” Leszek Miś, Principal IT Security Architect i założyciel firmy Defensive Security. Działania symulujące rzeczywiste zachowanie cyberprzestępców pozwalają na lepsze zrozumienie aktualnego stanu bezpieczeństwa sieci, walidację środowiska SOC i rozwiązań analitycznych typu SIEM oraz usprawnienie reakcji na incydenty. 

Rynek BAS (Breach and Attack Simulation) to stosunkowo nowy, ale zarazem jeden z najbardziej wartościowych i przyszłościowych obszarów szerokiego świata Cyber Security. Usystematyzowane podejście symulacyjne w ujęciu technologicznym pozwala na bezpieczne uruchamianie powtarzalnych, strategicznych i ukierunkowanych działań, złożonych i połączonych w logiczną całość, tym samym dostarczanych jako definicje taktyk, technik i procedur współczesnych atakujących.

Leszek Miś, Principal IT Security Architect, Founder, Defensive Security

„Podstawową wartością płynącą z usług lub posiadania rozwiązania wspierającego symulacje zagrożeń jest możliwość ciągłej weryfikacji i dostarczania automatycznych testów pokrycia detekcji ataków z uwzględnieniem obecnie wykorzystywanego stosu technologicznego rozwiązań IT Security. Nie powinniśmy czekać na atak z nadzieją, że będziemy w stanie go wykryć. Wymagane jest podejście proaktywne. Lepsza obsługa incydentów bezpieczeństwa poprzez zmniejszenie ilości zdarzeń ‘fałszywie pozytywnych’, czy też usprawnienie korelacji zdarzeń na warstwie sieciowo-systemowej poprzez możliwość generowania objawów infekcji sieci i systemów to tylko kilka przykładów osiąganych korzyści” – tłumaczy Leszek Miś.

Integralnym elementem działań symulacyjnych powinien być również transfer zaawansowanej wiedzy technicznej w postaci warsztatów laboratoryjnych, a także dostarczenie rozbudowanej dokumentacji technicznej na temat poszczególnych faz ataków oraz generowanych anomalii sieciowych w ujęciu ofensywnym i defensywnym.

Ciekawym aspektem wystąpienia będzie odpowiedź na pytanie o kompetencje i narzędzia potrzebne do prowadzenia takich działań symulacyjnych – czy naprawdę APT jest dla każdego? „To nie jest takie proste, niestety. Wychodzę jednak z założenia, że poszczególne fazy APT możliwe są do zasymulowania w miarę prosty sposób i na wielu różnych warstwach pod warunkiem posiadania odpowiednich narzędzi czy rozwiązań oraz zrozumienia poszczególnych etapów ataku–symulacji, głównie pod kątem detekcji. Zrozumienie istotności profilowania zachowania sieci, systemów czy aplikacji, wykonywanie okresowej analizy RAM, korelacja zdarzeń oraz upewnienie się, że wymagane źródła danych, takie jak logi czy przynajmniej billing sieciowy na przykładzie flowów,  kolekcjonowane są poprawnie, to tylko dobry początek przygody. Symulacje w znaczący sposób mogą tutaj pomóc” – uważa Leszek Miś.

Narzędzi, które mogą pomóc osiągnąć kolejny poziom wtajemniczenia jest całe mnóstwo. Społeczność Open Source w istotny sposób przyczynia się do rozwoju rozwiązań symulacyjnych: Atomic Red Tests, Metta, Metasploit Automation czy w końcu MITRE ATT&CK Framework to tylko kilka wartych wspomnienia projektów, które automatyzują działania i pozwalają zgłębić poszczególne kroki i etapy ataku. „W Defensive Security również pracujemy nad tego typu produktem. Automatyzacja takiego procesu jest w zasadzie kluczem do sukcesu, ponieważ dzięki niej możemy otrzymywać realne wyniki bez specjalnego poświęcenia na to czasu, który dziś jest tak cenny” – podsumowuje Leszek Miś.

Działania symulujące rzeczywiste zachowanie cyberprzestępców pozwalają na lepsze zrozumienie aktualnego stanu bezpieczeństwa sieci, walidację środowiska SOC i rozwiązań analitycznych typu SIEM oraz usprawnienie reakcji na incydenty.

Innowacje – szanse, ale i zagrożenia

Wykorzystywanie nowych rozwiązań i innowacji technologicznych przynosi wiele korzyści, ale rodzi także ryzyko i tworzy nowe zagrożenia dla bezpieczeństwa. Można się zastanawiać, które innowacyjne technologie stwarzają dzisiaj największe zagrożenia: Robotic Process Automation, Machine Learning, rozwój oprogramowania prowadzony z wykorzystaniem algorytmów sztucznej inteligencji? A może wszystkie są jednakowo „niebezpieczne”, ponieważ wynika to z samej natury innowacji?

Grzegorz Długajczyk, Head of Technology Risk Team, ING Bank

„Innowacje technologiczne określane popularnym mianem AI, ML czy RPA, na co dzień wspierające procesy operacyjne wielu dojrzałych organizacji, zasadniczo wiążą się z nowymi, niejednokrotnie złożonymi zagrożeniami. Oczywiste jest, że przy nieodpowiednim zarządzaniu mogą prowadzić do destabilizacji biznesu, chaosu, a nawet erozji zaufania odbiorców oczekujących niezawodności oferowanych produktów lub usług. Nie ma jednak jednoznacznej odpowiedzi na pytanie, które rozwiązania wykorzystujące tzw. innowacje technologiczne stanowią dzisiaj największe zagrożenie lub które można bez zastanowienia wdrażać albo stanowczo z nich rezygnować” – mówi Grzegorz Długajczyk, Head of Technology Risk Team w ING Bank, który opowie podczas konferencji o ryzyku i bezpieczeństwie związanym z nowymi technologiami.

Jego zdaniem zapewnienie bezpieczeństwa danych powinno opierać się na podejściu „risk-based” i zawierać ocenę potencjalnego wpływu oraz prawdopodobieństwa wystąpienia ryzyka. Z drugiej strony, wdrażanie innowacji technologicznych jest tak niezawodne, jak należycie zostało zaprojektowane, wykonane i przetestowane. Innymi słowy, przykładowa sztuczna inteligencja jest tak niezawodna jak jej „nauczyciel”. Na negatywny wynik procesu jej uczenia może mieć wpływ wiele czynników, np.: słaby trening, błędny algorytm, zniekształcone dane czy luki w bezpieczeństwie etapu wytwórczego SDLC. Do tego mogą dojść inne czynniki wewnętrzne czy zewnętrzne, np.: 0-days, luki w procesach czy wystąpienie błędu po stronie człowieka. 

Zapewnienie bezpieczeństwa danych powinno być obecne na każdym etapie wdrażania nowych rozwiązań. Powinien to być proces ciągły i wbudowany w DNA organizacji. Musi koncentrować się na obszarach, takich jak: poufność, integralność i dostępność. Kryteria i wymagania kontrolne powinny być wyraźnie określone i dopasowane do miar przyzwolenia na ryzyko. Powinny być także regularnie monitorowane, stosownie do profilu zagrożeń i zmian otoczenia. 

„Kluczowy element mający wpływ na minimalizację ryzyka to stosowanie się do podstawowych zasad systemu zarządzania bezpieczeństwem informacji – zgodnie z zasadą Plan-Do-Check-Act. Dodatkowo ważne są:  należyta staranność, zdrowy rozsądek i – najważniejsze – wbudowanie procesów bezpieczeństwa w procesy operacyjne w sposób świadomy i efektywny. Ostatecznie nie możemy zapomnieć o ludziach, którzy są najważniejszym ogniwem całego łańcucha, jednakże najsłabszym, co może w konsekwencji skutkować wystąpieniem incydentu” – mówi Grzegorz Długajczyk.

Wdrażanie innowacji technologicznych jest tak niezawodne i bezpieczne, jak należycie zostało zaprojektowane, wykonane i przetestowane. Innymi słowy, przykładowa sztuczna inteligencja jest tak niezawodna jak jej „nauczyciel”.

W zaufanym gronie ekspertów

Ważną częścią „AT Summit” są sesje roundtables, które stanowią nie tylko okazję do zdobycia wiedzy i podzielenia się swoimi doświadczeniami, ale także nawiązania bezpośrednich relacji z innymi specjalistami i ekspertami. Niezwykle ciekawie zapowiada się moderowana przez Diogo Fernandesa, pełniącego funkcję Forensic and Cybersecurity Analyst w Booking.com, dyskusja poświęcona informatyce śledczej oraz o zmianach, jakie w tym obszarze generuje popularyzacja środowisk chmurowych.

Diogo Fernandes, Forensic and Cybersecurity Analyst, Booking.com

„Tradycyjna informatyka śledcza obejmuje dobrze zdefiniowane procedury spełniające wymogi łańcucha dowodowego i opisuje szereg narzędzi, a także technik mających na celu przejmowanie i pozyskiwanie urządzeń oraz zapisywanie ich obrazów. W zakresie reagowania na incydenty związane z cyberbezpieczeństwem narzędzia są obecnie wyposażone w funkcje zdalnego prowadzenia działań śledczych, dzięki czemu nadają się do ukierunkowanej analizy artefaktów w wielkoskalowych środowiskach zarządzanych zasobów” – mówi Diogo Fernandes.

Przenoszenie obciążeń obliczeniowych do środowisk zwirtualizowanych powoduje jednak zmianę paradygmatu informatyki śledczej, właśnie ze względu na efemeryczną, elastyczną i rozproszoną architekturę środowisk chmurowych. „To stwarza wyzwania związane z lokalizacją dowodów, ich pozyskiwaniem czy okresem użytkowania systemów bezagentowych. Zarazem jednak kreuje nowe możliwości w zakresie zachowania dowodów dzięki migawkom i kontrolowanemu monitorowaniu aktywności sieciowej. Informatyka śledcza oddziela się teraz od zapisywania krok po kroku kolejnych obrazów w praktykę dynamiczną” – tłumaczy Diogo Fernandes.

Tegoroczna konferencja „Advanced Threat Summit” odbędzie się 13–14 listopada 2019 w Warszawie. Szczegółowe informacje o programie znajdują się na stronie https://atsummit.pl .