Wielu ludzi jest przekonanych, że o najbardziej niebezpiecznych atakach piszą gazety albo że najgroźniejsze są ransomware czy włamania, które powodują awarię sieci. W rzeczywistości najbardziej niebezpieczne są ataki „ciche”, o których nikt nie wie, kiedy przestępcy działają w firmowej infrastrukturze, a obrońcy nie zdają sobie z tego sprawy przez miesiące czy nawet lata. Zabezpieczenie się przed takimi przypadkami musi być priorytetem – przekonuje Andrea Pezzotti, Global Head of Vulnerability Management and Technical Risks w Novartis.

Mówiąc o nowoczesnych podejściu do zarządzania podatnościami w środowiskach on-premise i cloud, odwołuje się Pan do efektu motyla. Jak należy to rozumieć?

Podatności, które nie wydają się na pierwszy rzut oka poważne czy istotne, zupełnie inaczej wyglądają z punktu widzenia atakujących, a ich wykorzystanie może mieć znaczące konsekwencje – to efekt motyla. 

Przy tym nie wszystkie podatności występujące w infrastrukturze są oczywiste, dobrze widoczne. Trzeba doświadczonych, kompetentnych ludzi, którzy pomogą zrozumieć, jak zachowują się i jak działają cyberprzestępcy. Atakujący zwykle nie hałasują, nie działają w sposób widoczny, nie wpadają w zastawione na nich pułapki, wiedzą, jak działać skutecznie. Musimy pamiętać, że także w świecie cyberprzestępców, choć wszyscy są agresywni, są lepsi i gorsi specjaliści, którzy mają różne motywacje, a także dysponują różnymi budżetami. Dopiero, kiedy zdecydujemy, jakie ryzyko jesteśmy w stanie zaakceptować i przed jaką grupą atakujących chcemy się bronić, możemy działać skutecznie.

Podczas ATS 2019 mówił Pan także o tym, że czasem stosunkowo proste działania pozwalają rozwiązać 90% problemów bezpieczeństwa. Czy to przykład efektu motyla działającego w drugą stronę? 

Firmy chcą chronić swoje krytyczne zasoby, w tym kluczowe aplikacje. Oprogramowanie tego typu jest zwykle dobrze zabezpieczone. Żaden rozsądnie myślący cyberprzestępca nie będzie go atakował bezpośrednio. Raczej skupi się na aplikacji webowej działającej w internecie i użytkowniku domeny, który zarządza stroną. Od użytkownika domeny, eskalując uprawnienia i przeskakując na kolejne maszyny w domenie, napastnik jest w stanie dotrzeć w końcu w sposób niezauważony do kluczowych aplikacji. 

To także efekt motyla. Kluczowe zasoby są oczywiście bardzo ważne. Musimy jednak pamiętać, że ataki hakerskie zaczynają się najczęściej albo od kompromitacji konta użytkownika, w wyniku której wykorzystywane są jego loginy i hasła, albo na skutek błędu w konfiguracji systemu zabezpieczeń, albo w wyniku wycieku informacji i wykorzystania uprawnień. Można korzystać z pełnego arsenału zabezpieczeń, ale jeśli jeden z deweloperów popełni błąd i zapomni o skrypcie, w którym znajdują się niezaszyfrowane dane uwierzytelniające, to napastnicy wejdą frontowymi drzwiami i bez niezwykle kosztownych rozwiązań nie będzie można ich odróżnić od zwykłych użytkowników. Zidentyfikowanie obszarów, które są stosunkowo proste do zabezpieczenia, pozwala zapewnić firmie ochronę przed ogromną większością atakujących i ataków. 

Kluczowe zasoby są oczywiście bardzo ważne. Ataki hakerskie zaczynają się jednak najczęściej nie od próby ich zdobycia. Zaczynają się zazwyczaj albo od kompromitacji konta użytkownika, w wyniku której wykorzystywane są jego loginy i hasła, albo na skutek błędu w konfiguracji systemu zabezpieczeń, albo w wyniku wycieku informacji i wykorzystania uprawnień.

Co z tej perspektywy w podejściu do zarządzania podatnościami zmienia popularyzacja chmury?

Chmura zmienia nie tylko powierzchnię ataku, ale także percepcję i zachowania użytkowników systemów informatycznych. Z pewnej perspektywy zabezpieczanie chmury jest być może bardziej skomplikowane niż działania dotyczące tradycyjnej infrastruktury, ale z drugiej strony o wiele bardziej prawdopodobne jest, że sami popełnimy błąd w konfiguracji. Można przyjąć, że dostawca chmury zabezpiecza swoją infrastrukturę lepiej, niż jest to w stanie zrobić samodzielnie wiele firm. Poziom wewnętrznego bezpieczeństwa jest więc raczej wyższy w chmurze.

Nie da się ukryć, że cyberbezpieczeństwo to dodatkowy wysiłek względem wdrożenia w organizacji technologii IT. Dlatego nie wszyscy dostatecznie się do tego przykładają. Czasem nie są w stanie na przykład ze względu na presję czasu. Często firmy koncentrują się wyłącznie na produkcie, dostarczeniu go w terminie i budżecie, żeby biznes otrzymał oczekiwaną funkcjonalność. Zbyt często zapomina się, że bezpieczeństwo jest integralną częścią dostępności. Zmiana podejścia w tym zakresie jest konieczna.

Z pewnej perspektywy zabezpieczanie chmury jest być może bardziej skomplikowane niż działania dotyczące tradycyjnej infrastruktury, ale z drugiej strony o wiele bardziej prawdopodobne jest, że sami popełnimy błąd w konfiguracji.

Co jest najważniejsze w tym nowoczesnym podejściu do cyberbezpieczeństwa?

Najważniejsze jest zapewnienie sobie kompletnego wglądu w infrastrukturę. To wymaga zastosowania mechanizmów wykrywania bazujących na agentach. Dzięki temu widać znacznie więcej i obraz jest bogatszy, pełniejszy – to przynosi korzyści dla całej firmy. Kiedy wiadomo wszystko o samych zasobach i ich użytkownikach, mając na uwadze cykl życia zasobów i dostępne wsparcie techniczne, można o wiele więcej osiągnąć. Często działania podejmowane przez dział bezpieczeństwa postrzegane są jako wojna z resztą firmy. A przecież tak nie jest. Ludzie od bezpieczeństwa pomagają firmie podejmować właściwe decyzje.

Jest jeszcze druga niezwykle ważna kwestia: firmy posiadają całą masę urządzeń IoT oraz OT, które dzisiaj nie są właściwie zabezpieczone. Takie urządzenia, które zostały zaprojektowane bez jakiejkolwiek refleksji związanej z bezpieczeństwem, są w każdym biurze. Ludzie odpowiedzialni za bezpieczeństwo muszą się tym zająć, wykorzystać całą swoją wiedzę i włożyć w to serce, bo trzeba te urządzenia odsunąć tak daleko od firmowej sieci, jak to tylko możliwe.

Rozmawiał Rafał Jakubowski. 

Andrea Pezzotti był prelegentem podczas „Advanced Threat Summit 2019”. Relacje z konferencji można znaleźć na stronach: https://e-s-r.pl/2019/11/19/potrzebne-jest-holistyczne-podejscie-do-cyberbezpieczenstwa/ oraz https://e-s-r.pl/2019/11/27/bezpieczenstwo-chmury-nikt-nas-nie-zwolni-z-odpowiedzialnosci/.