CyberbezpieczeństwoPREZENTACJA PARTNERA

Bierzemy udział w wyścigu z cyberprzestępcami, którzy nieustannie identyfikują nowe możliwości ataku

Executive ViewPoint

Z Łukaszem Miedzińskim, dyrektorem IT w Departamencie Attack Surface Management w Grupie ING, rozmawiamy o: specyfice pracy w tej jednostce; działalności zespołu pentesterów; geopolityce jako jednym z ryzyk dla sektora bankowości; największych obecnie zagrożeniach występujących w sektorze finansowym; o sposobach ochrony klientów i pracowników banków; koncepcji Layers Security; wykorzystaniu sztucznej inteligencji do identyfikacji zagrożeń oraz o wpływie NIS2 na sektor bankowy.

Bierzemy udział w wyścigu z cyberprzestępcami, którzy nieustannie identyfikują nowe możliwości ataku

Czym zajmuje się Pan, pracując w De­partamencie Attack Surface Manage­ment? Jak jest on duży? Czy pracuje dla całej Grupy ING?

Powstał on całkiem niedawno. Jest jed­nostką świadczącą usługi dla 26 krajów w Grupie ING. Odpowiadam w nim za pol­ską część organizacji, którą budowałem przez ostatnich kilka lat. Obecnie liczy ona ok. 160 osób. Co do zakresu naszej działal­ności, to jest dość złożony, choć oczywiście skoncentrowany na cyberbezpieczeństwie.

Departament tworzą bowiem zarówno zespoły, które w sposób automatyczny wykrywają podatności przez tzw. Vulne­rability Scanning, jak i zespół odpowiada­jący za testy penetracyjne, czyli testowa­nie efektywności naszych zabezpieczeń. Mamy też w strukturach zespoły dewe­loperskie oraz te skoncentrowane na roli Security Officera, czyli definiowaniu po­lityk bezpieczeństwa i stałej weryfikacji zgodności z nimi. W skrócie, pokazujemy to, w jaki sposób powinniśmy zabezpie­czać nasze systemy.

Ponadto, od roku 2023 bardzo mocno je­stem skoncentrowany na obszarze Cyber Security Protection. Odpowiada on za glo­balną implementację zabezpieczeń pre­wencyjnych, tzw. Preventing Controls, dla systemów i środowisk, zarówno w prze­strzeni chmurowej, jak i on premise.

Na czym dokładnie polega Preventing Controls?

Preventing Controls polega na zdefinio­waniu i zaimplementowaniu zabezpieczeń systemów w taki sposób, aby uniemożliwić nieautoryzowane działania. Przykładowo, możemy tak skonfigurować stację robo­czą, aby pracująca na niej osoba nie miała możliwości bezpośredniego wysłania pli­ków poza organizację, np. na Google Drive. Zastosowane narzędzie nie ma wykrywać tego typu prób i wysyłać do nas powiado­mień, tylko z góry zapobiegać usiłowa­niom naruszenia bezpieczeństwa.

Jak liczna jest grupa pentesterów w departamencie? Jak wygląda jej działalność?

Mówimy o obszarze Offensive Security, a grupa ta liczy obecnie ok. 40 osób. Są to wysokospecjalizowani w cyberbezpie­czeństwie inżynierowie, którzy symulują ataki na systemy Grupy ING. Odbywa się to w kilku etapach. W pierwszej kolejno­ści wspomniani specjaliści badają, w jaki sposób można przełamać cyberzabezpie­czenia naszej organizacji na poziomie in­frastruktury. W kolejnym przeprowadzają próby przełamania zabezpieczeń aplikacji. Zarówno tych, które ING dostarcza klien­tom, jak i tych wykorzystywanych przez pracowników Grupy ING wewnątrz.

Na ostatnim etapie stosujemy najbardziej zaawansowane techniki przełamywania zabezpieczeń – tzw. Red Teaming – a więc symulację ataku hakerskiego. Przykładowo, chcemy sprawdzić, czy w Grupie ING istnieje możliwość wykonania nieautoryzowanego przelewu z kont bankowych klientów. W ra­mach tego celu są definiowane ścieżki, ja­kimi można wykonać takie operacje. Pen­tester zaczyna z zewnątrz, wykorzystując np. social media, identyfikuje osobę, która pozwoli mu uzyskać tzw. punkty styku do organizacji. W kolejnym kroku wykonuje na przykład operację phishingową, umożliwia­jącą uzyskanie dostępu do stacji roboczej. Dzięki zainfekowaniu stacji roboczej spraw­dza, czy istnieją luki wewnątrz organizacji, czy da się do jej systemów dostać w nieau­toryzowany sposób, i próbuje przeprowadzić atak zgodny z celem.

Następnie przygotowywany jest dokład­ny raport przedstawiający całą ścieżkę tego, w jaki sposób atak został wykona­ny, z detaliczną rekomendacją, jak można zabezpieczyć się przed nim w przyszłości. Ostatnia faza to praca wszystkich inży­nierów bezpieczeństwa nad tym, aby – na podstawie raportu – dokonać zmian w sys­temach i wdrożyć dodatkowe zabezpie­czenia – czy to w warstwie Preventive, czy Detective.

Jak dużo „dziur” w systemach IT wy­krywacie?

Jeśli chodzi o testy penetracyjne, to trzeba pamiętać, że oprócz nich wykonywane są również testy automatyczne – typu Source Code Review, Dynamic Code Review, czy­li SAST i DAST– realizowane na poziomie developmentu. W ich ramach podatności są na bieżąco wykrywane i poprawiane. Zanim dana aplikacja zostanie zaimple­mentowana produkcyjnie. Kolejna faza to już pentesty, w ramach których pentester próbuje zidentyfikować niewykryte wcze­śniej podatności.

Podatności zdarzają się więc bardzo czę­sto. Żaden z systemów produkcyjnych nie jest w 100% bezpieczny. To jest ro­dzaj walki z wiatrakami. Z jednej strony tworzone są nowe zabezpieczenia czy implementowane dodatkowe narzędzia zabezpieczające systemy. Z drugiej strony zaś osoby, które te zabezpieczenia łamią, wymyślając nowe techniki, znajdują nowe podatności i wykorzystują je.

Jestem zwolennikiem koncepcji Layers Security, czyli budowania warstw, które pozwalają zabezpieczyć system na każdym kroku. Model ten przynosi bardzo dobre efekty.

Mówi się, że jednym z kluczowych ry­zyk w bankowości jest dziś geopolity­ka. Czy po wybuchu wojny na Ukrainie zwiększyła się liczba cyberataków skierowanych przeciwko bankom? Czy zmienił się ich charakter?

Charakter cyberataków raczej się nie zmienił. Natomiast rzeczywiście początek wojny i jej pierwsza faza – marzec, kwie­cień i maj 2022 roku – wiązały się z bardzo dużym wzrostem ataków cyberprzestęp­ców. Były one jednak skoncentrowane na instytucjach oraz organizacjach rządo­wych. Podobnie jest teraz.

Trudno jest zresztą zidentyfikować jedno główne zagrożenie wynikające z geopoli­tyki. Oczywiście trzeba mieć takie ryzyka na uwadze, ale musimy skupiać się raczej na innych, większych zagrożeniach zwią­zanych z cyberbezpieczeństwem w sekto­rze finansowym.

Jakie zatem są te zagrożenia?

Występuje kilka obszarów, na których naj­bardziej się koncentrują cyberprzestępcy. Pierwszy z nich dotyczy użytkowników końcowych. Są to więc próby wyłudze­nia pieniędzy od klientów banku, którzy korzystają ze smartfonów czy aplikacji online, aby np. zrobić przelew za zakupy w sklepach internetowych. Jeden z ostat­nio bardzo popularnych ataków bazuje na wysyłkach SMS np. z prośbą o dopłacenie do przesyłki internetowej, w którym znaj­duje się link wymagający na dalszym etapie podania danych karty kredytowej. W ten czy inny sposób podając – czasem zupeł­nie nieświadomie – o jedną informację na zewnątrz za dużo, możemy stać się ofiarą bota, który co kilkanaście sekund będzie nam ściągał z konta niewielką kwotę. Na szczęście banki mają narzędzia, które próbują wykrywać tego typu próby wyłu­dzenia. Bez wątpienia jest to dziś bardzo wrażliwy obszar.

Drugi dotyczy prób ataków na systemy wi­doczne z poziomu internetu. Mogą to być np. aplikacje wykorzystywane do wykony­wania transakcji bankowych czy operacji na naszych systemach. Trzeci zaś dotyczy sytuacji, kiedy cyberprzestępcy starają dostać się do wewnętrznych systemów banku poprzez próbę zainfekowania stacji roboczej pracownika. Może to być zarówno zwykły pracownik operacyjny oddziału, jak i osoba zajmująca się IT, która ma większe uprawnienia w zakresie dostępów do sys­temów IT.

W pierwszym i ostatnim z obszarów naj­słabszym ogniwem jest człowiek. To on jest pierwszym punktem styku z organi­zacją i on jest najbardziej narażony na ataki, o których wspomniałem.

Odnotowujecie więcej ataków na in­frastrukturę IT czy aplikacje?

Zdecydowanie więcej ataków skierowa­nych jest na aplikacje bankowe i użyt­kowników końcowych niż bezpośrednio na nasze systemy. Wynika to z faktu, iż technologie związane z bezpieczeństwem mocno się rozwinęły i zaatakowanie wprost systemu teleinformatycznego z zewnątrz jest bardzo trudne. Częstszym sposobem uzyskania dostępu są próby ataków na klientów i pracowników banków.

Jeśli chodzi o testy penetracyjne, to trzeba pamiętać, że oprócz nich wykonywane są również przez nas testy automatyczne – typu Source Code Review, Dynamic Code Review, czyli SAST i DAST – realizowane na poziomie developmentu.

Jak więc chronić jednych i drugich?

Na pewno poprzez zwiększanie świado­mości z jakimi atakami mogą te osoby mieć do czynienia i jak mają na nie re­agować. Oczywiście musimy oddzielić warstwę użytkowników aplikacji, bo oni muszą mieć dużą świadomość tego, że nie mogą przekazywać danych do uwie­rzytelniania. Nie mogą też wykonywać operacji, które są inicjowane przez dzwo­niącą osobę, podającą się za pracownika banku. Świadomość takich zagrożeń jest bardzo ważna.

Natomiast z punktu widzenia rozwiązań technicznych, cały czas dzieje się coś nowego. Wciąż opracowywane są nowe techniki i próby ograniczenia ryzyka przez błędy użytkownika, jak np. analiza beha­wioralna.

Bezwzględnie musimy też pamiętać o tym, aby włączać w naszych aplikacjach uwie­rzytelnianie dwuskładnikowe MFA (Mul­ti-Factor Authentication). Ten prosty czynnik pozwala na znaczne obniżenie poziomu ryzyka. Poza tym warto włą­czyć dodatkowe funkcjonalności, które – w sposób automatyczny – będą wykry­wać niebezpieczne operacje.

W jaki sposób zabezpieczacie siebie wewnętrznie?

Jestem zwolennikiem koncepcji Layers Se­curity, czyli budowania warstw, które po­zwalają zabezpieczyć system na każdym kroku. Model ten przynosi bardzo dobre efekty. W ramach tej koncepcji w pierw­szej kolejności trzeba skoncentrować się na implementacji procesów bezpieczeństwa w wybranych obszarach.

Idąc po kolei, jeden z ważniejszych proce­sów polega na identyfikowaniu podatności, zarówno na warstwie infrastrukturalnej, jak i aplikacyjnej poprzez wykonywanie wspomnianego wcześniej Vulnerability Scanningu oraz SAST i DAST. Kolejny krok to aktywny monitoring systemów, w celu identyfikacji potencjalnych ataków, które w danym momencie są wykonywane. Z jed­nej strony ważna jest implementacja tego monitoringu na systemach operacyjnych i aplikacjach, a z drugiej – na urządzeniach użytkowników końcowych. Stosujemy do tego narzędzia Endpoint Detection Re­sponse. Dzięki temu monitorujemy to, co dzieje się na stacji roboczej i jesteśmy ostrzegani o próbach nadużyć.

Inny ważny punkt to wdrożenie zabezpie­czeń prewencyjnych, których głównym celem jest niedopuszczanie do tego, aby pewne operacje mogły być wykonywane na systemie. Mówimy zatem o nienadawaniu zbyt wysokich uprawnień czy nawet to­talnym blokowaniu pewnych aktywności, zwłaszcza jeśli mamy zespół, który jest mocno narażony na materializację ryzyka.

Niestety, obecnie mamy dość mocno utrudnione zadanie, jeśli chodzi o tę kwe­stię, ponieważ po pandemii większość osób pracuje w formie hybrydowej. Komputery pracowników nie są dziś włączone na stałe do sieci wewnętrznej, która jest lepiej chro­niona. Wszystkie systemy zabezpieczające powinny być zatem zaimplementowane bezpośrednio na stacji roboczej. Mam tu na myśli rozwiązania typu Cloud Proxy czy Protective DNS. Do tego dochodzą tech­niki EDR-owe do wykrywania aktywności cyberprzestępców.

Bardzo ważne jest również testowanie efektywności zabezpieczeń. Z jednej strony bowiem przez długi czas koncen­trujemy się na tym, aby je wdrożyć i mieć efektywne procesy. Z drugiej zaś musimy mieć świadomość, jak dobrze te zabezpie­czenia funkcjonują. Dlatego też wykony­wanie testów penetracyjnych, o których wspomniałem na początku, jest ważnym elementem całej układanki. Musimy mieć świadomość tego, gdzie są słabe punk­ty i na jakich działaniach powinniśmy się skupiać w kolejnym etapie.

Czy koncepcja Layer Security to must have, aby dobrze zabezpieczyć systemy bankowe?

To mocna podstawa. Ale oczywiście robimy dużo więcej. Jedna rzecz to opracowanie wszystkich procesów zabezpieczających, a druga to weryfikacja tego, czy one efek­tywnie działają. Poza tym cyberzagrożenia nieustannie ewoluują i nawet jeśli jeden proces działa dobrze, to może się okazać, że za trzy tygodnie trzeba go będzie zmie­nić, bo np. zmodyfikowano techniki cyberataków. Bierzemy więc udział w wyścigu z cyberprzestępcami, którzy nieustannie identyfikują nowe możliwości ataku.

Obszary, na których najbardziej się koncentrują cyberprzestępcy. Dotyczą one:

1. Użytkowników końcowych – są to więc próby wyłudzenia pieniędzy od klientów banku.

2. Prób ataków na systemy widoczne z poziomu internetu. Mogą to być np. aplikacje wykorzystywane do wykonywania transakcji bankowych czy operacji na naszych systemach.

3. Sytuacji, kiedy cyberprzestępcy starają dostać się do wewnętrznych systemów banku poprzez próbę zainfekowania stacji roboczej pracownika.

Z niedawnego raportu EY i Instytutu Finansów Międzynarodowych wyni­ka, że już 35% dyrektorów ds. ryzyka twierdzi, iż używa sztucznej inteli­gencji oraz uczenia maszynowego do identyfikowania zagrożeń w bankach. Jak to wygląda w Grupie ING?

Oczywiście też – na co dzień – mamy do czynienia z Artificial Intelligence i Machine Learning. Nie da się tego uniknąć, ponie­waż technologia ta pozwala nam automa­tyzować i ulepszać pewne procesy, a jeśli sprawdza się ona w innych obszarach IT, to czemu miałaby nie działać w obszarze bezpieczeństwa?

Najszerzej wykorzystujemy ją w obszarze detekcji, czyli do monitorowania systemów, ale także do budowania modeli, które po­prawiają wykrywalność zagrożeń. Jeśli mamy np. zbudowaną pewną linię bazową tego, co dzieje się na bieżąco w naszych systemach i tego, co jest w nich dozwolone, to algorytmy sztucznej inteligencji poma­gają nam później identyfikować anomalie, które wymagają reakcji.

Kolejny obszar zastosowania AI/ML to analiza ogromnej ilości danych z naszych procesów security. Dotyczą one analizy danych o podatnościach czy ogólnych in­formacji o systemach jakimi zarządzamy, jak są one skonfigurowane, czy też jakie aplikacje i narzędzia są tam zainstalowane. Analityka wsparta algorytmami sztucznej inteligencji pozwala nam wyłuskać to, na czym mamy się skoncentrować, jeśli cho­dzi o procesy zabezpieczania czy reakcji na anomalie, które zidentyfikujemy w ramach realizacji procesów bezpieczeństwa IT.

Generalnie sztuczna inteligencja to obecnie bardzo interesująca i rozwojowa technologia. Wszyscy zastanawiamy się, w jaki sposób moglibyśmy ją wykorzystać w jeszcze większym stopniu. Z drugiej stro­ny, coraz częściej myślimy też o tym, kiedy zacznie nam ona przeszkadzać i kiedy sami będziemy musieli trochę lepiej się przed nią zabezpieczać. Bo w równym stopniu, jak wspiera nasze działania, tak robi to też w przypadku cyberprzestępców, którzy na pewno będą ją wykorzystywać na większą skalę, przygotowując cyberatak.

Jak daleko idzie automatyzacja w Cy­berSec? Czy sztuczną inteligencją będzie się z czasem dało zastąpić co­dzienną pracę specjalistów ds. cyber­bezpieczeństwa, czy też pozostanie ona tylko technologią wspierającą ich pracę?

Na pewno nie jesteśmy jeszcze na tym etapie rozwoju, aby narzędzia te mogły całkiem zastąpić człowieka. W realizacji pewnych zadań są one pomocą, dzięki której można je wykonywać szybciej i bez dodatkowego nakładu pracy.

Natomiast wcale mnie nie zdziwi, jeśli za jakiś czas technologia ta będzie potrafiła zastępować człowieka w wykonywaniu określonych operacji. Jestem przekonany, że tak się stanie. Wszystko zależy jednak od poziomu zaawansowania danych ob­szarów cyberbezpieczeństwa. Są bowiem wśród nich takie, które wymagają wysokich kwalifikacji, i w których spojrzenie człowieka jest niezbędne.

Niedawno ogłoszono wejście w życie dyrektywy NIS2 dotyczącej cyberbez­pieczeństwa. Jakie działania będzie musiał podjąć sektor bankowy, aby jej sprostać?

Jesteśmy jeszcze na etapie szczegółowej analizy wymagań w niej przedstawionych. Według mojej, wstępnej oceny liczba zmian, które wprowadza NIS2 w stosunku do po­przedniczki z roku 2016, nie jest dla banków zbyt duża. Zresztą wydaje się, że dyrektywa ta jest bardziej skoncentrowana na sektorze publicznym i instytucjach rządowych.

Poza tym na sektor finansowy od wielu już lat nakłada się rygorystyczne wymogi doty­czące cyberbezpieczeństwa. Pewne procesy – jak opracowanie planów ciągłości działa­nia czy polityki zarządzania incydentami – które są zdefiniowane w NIS2, od dawna już mamy. Przypuszczam, że będą one wyma­gały jedynie dodania dodatkowych kroków czy nowych sposobów raportowania.

Nie spodziewałbym się większego przewro­tu związanego z tą dyrektywą w sektorze bankowym. Bardziej „inwazyjne” z tego punktu widzenia jest rozporządzenie DORA niż NIS2. I pewnie to w tej materii będziemy mieli trochę więcej pracy.

 

Artykuł ukazał się na łamach: Magazyn ITwiz 2/2023. Zamów poniżej:

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *