CyberbezpieczeństwoPolecane tematy
Nadal będziemy się mierzyć z rozwojem ataków opartych na socjotechnice
Executive ViewPoint
Z Tomaszem Rot, dyrektorem sprzedaży na Europę Środkowo-Wschodnią w Barracuda Networks, rozmawiamy o tym, jak skutecznie bronić się przed cyberzagrożeniami; w jaki sposób zabezpieczyć środowisko Office 365; o powszechności ataków za pośrednictwem poczty elektronicznej i ochronie przed nimi; a także o tym, jak połączyć rozproszone systemy zabezpieczeń; problemie manipulowania użytkowników w mediach społecznościowych i kierunku, w którym rozwiną się cyberzagrożenia.
Firma – w czasie użytkowania platformy Office 365 – zaczyna orientować się, że dramatycznie wzrasta ilość dokumentów przechowywanych np. na OneDrive czy SharePoint, a Microsoft nie ma obecnie w ofercie backupu, który zabezpiecza dane przed najczęstszym powodem ich utraty, czyli przypadkowym usunięciem przez użytkownika. Inna grupa klientów poszukuje bardziej zaawansowanych narzędzi podnoszących bezpieczeństwo użytkowników właśnie przed nadużyciami opartymi na socjotechnice oraz umożliwiających automatyczne reagowanie na zaistniały incydent, np. identyfikację przejętych kont.
Jak zadbać o skuteczną politykę bezpieczeństwa w organizacji, aby chronić się przed cyberzagrożeniami?
Zapewne nie ma ku temu jednej, prostej ścieżki. Na jakie aspekty należy jednak zwrócić szczególną uwagę? Głównym wyzwaniem jest ciągła ewolucja zagrożeń. Dlatego o bezpieczeństwie musimy myśleć jak o procesie, a nie o statycznych politykach, które raz opracowane – nawet jeśli są najlepsze – bez ciągłej analizy mogą szybko okazać się nieskuteczne. Nie możemy już tylko polegać na sprawdzonych zabezpieczeniach opartych wyłącznie np. na statycznych regułach, reputacjach czy nawet rozwiązaniach typu sandbox. Oczywiście nadal będą one stanowić podstawę systemu bezpieczeństwa, ale działają w oderwaniu od kontekstu prowadzonej komunikacji i zawodzą w wypadku ataków wykorzystujących elementy socjotechniki. Dlatego ważna jest edukacja personelu na temat tego, jakie zachowania mogą być dla firmy niebezpieczne oraz – a może przede wszystkim – wyrabianie nawyków chroniących przed nadużyciami. Istotne jest zatem, aby wdrażane rozwiązania technologiczne wspierały podejście do budowania wielowarstwowych systemów bezpieczeństwa opartych na procesie analizy i edukacji.
Czy rzeczywiście odczuwalny jest, zwłaszcza wśród klientów sektora MŚP, wzrost zainteresowania zabezpieczeniami środowiska Office 365? A jeśli tak, to w jaki sposób można zabezpieczyć to konkretne środowisko?
Od kilku lat nasi przedsiębiorcy, mimo typowego dla regionu Europy Środkowo-Wschodniej sceptycyzmu w stosunku do nowych rozwiązań, coraz chętniej przenoszą się do chmury Office 365/Microsoft 365. Naturalnie rośnie też zapotrzebowanie na serwisy wypełniające obszary, których nie zabezpiecza Microsoft. Najczęściej spotykany scenariusz to taki, w którym firma – w czasie użytkowania platformy Office 365 – zaczyna orientować się, że dramatycznie wzrasta ilość dokumentów przechowywanych np. na OneDrive czy SharePoint, a Microsoft nie ma obecnie w ofercie backupu, który zabezpiecza dane przed najczęstszym powodem ich utraty, czyli przypadkowym usunięciem przez użytkownika. Inna grupa klientów poszukuje bardziej zaawansowanych narzędzi podnoszących bezpieczeństwo użytkowników właśnie przed nadużyciami opartymi na socjotechnice oraz umożliwiających automatyczne reagowanie na zaistniały incydent, np. identyfikację przejętych kont.
Na czym polega specyfika ochrony środowiska Office 365?
Pod względem bezpieczeństwa stawia ona kilka wyzwań m.in. dlatego, że coraz częściej właśnie konto Office 365 służy do autentykacji użytkowników w innych serwisach. Z jednej strony zwiększa to ich komfort, ale stwarza też nowe zagrożenia. Jeśli przestępcom uda się przejąć konto, często uzyskują dostęp do danych, do których wcześniej nie mieliby dostępu. Ponadto Office 365 to platforma kolaboracyjna, gdzie gromadzone i wymieniane są kluczowe dla funkcjonowania firmy dokumenty. Niestety często, bez odpowiedniego zabezpieczenia w postaci backupu, narażone są one na przypadkowe skasowanie przez użytkownika. Musimy zatem – w przypadku Office 365 – łączyć ochronę użytkowników z ochroną danych.
Istotnym problemem są obecnie, w czasie pandemii, ataki na pocztę elektroniczną. Jakie są ich rodzaje i skala, jakie mogą być ich skutki i wreszcie, które z tych ataków są najbardziej groźne?
Ataki z wykorzystaniem poczty elektronicznej to ponad 90% wszystkich rejestrowanych incydentów bezpieczeństwa IT. Szacuje się, że w Polsce co roku ich ofiarami zostaje ponad 10 mln użytkowników. To pokazuje skalę problemu. W ostatnio opublikowanym przez Barracuda Networks e-booku „13 zagrożeń poczty elektronicznej, o których powinieneś wiedzieć” wyróżniliśmy 5 podstawowych kategorii zagrożeń. Są to: spam, malware, wyciek danych, phishing i podszywanie się, najczęściej pod markę lub domenę. Należy pamiętać, że w celu przeprowadzenia skutecznej kampanii cyberprzestępcy najczęściej wykorzystują kombinację kilku typów ataków. Każdy z nich może okazać się kluczowy i doprowadzić organizację do wymiernych strat finansowych. Globalnie mówi się nawet o 600 mld USD rocznie.
W jaki sposób można bronić się przed atakami wymierzonymi w środowiska poczty elektronicznej? Jakimi możliwościami dysponują tu rozwiązania Barracuda Networks?
Mając na uwadze szeroką gamę zagrożeń, jaką dysponują cyberprzestępcy i ich niewyczerpaną kreatywność, systemy bezpieczeństwa powinny być wielowarstwowe. Powinny szybko adaptować się do naszej organizacji. W dużym uproszczeniu, taki system powinien opierać się na 3 filarach. Pierwszy z nich to tradycyjne zabezpieczenia oparte na regułach, black i white listach, rozwiązaniach typu sandbox oraz filtrach antyspamowych, takich jak dobrze znana bramka mailowa Barracuda ESS. Drugi rodzaj zabezpieczeń, np. Barracuda Sentinel – oparty np. na API usługi Office 365 – musi stale monitorować skrzynki użytkowników i na podstawie modeli statystycznych rozpoznawać anomalie w komunikacji oraz przejęte konta, czyli chronić przed zagrożeniami, które pozostają niewidoczne dla bramki pocztowej. Trzecim filarem jest włączenie – poprzez edukację użytkowników – swego rodzaju aktywnego systemu rozpoznawania i zgłaszania zagrożeń pojawiających się w ich skrzynkach, komunikatach SMS czy rozmowach telefonicznych. Funkcje te oferuje Barracuda PhishLine. W Barracuda Total Email Protection do tych trzech obszarów dodajemy jeszcze narzędzia do automatycznego reagowania na rozpoznane zagrożenia znajdujące się w skrzynkach czy innych folderach poczty – Barracuda Forensic and Incident Response.
Obecnie dane zbierane i przetwarzane są w wielu różnych miejscach, jak je zatem skutecznie zabezpieczać? W jaki sposób połączyć rozproszone systemy zabezpieczeń?
Musimy zadbać, aby poziom zabezpieczeń w rozproszonych lokalizacjach, które korzystają z usług SaaS – np. Office 365 czy Salesforce – był na równie wysokim poziomie co siedziba główna, a dane zabezpieczone bez względu na ich lokalizację. Wymaga to wdrożenia i administrowania wieloma rozwiązaniami bezpieczeństwa, co dodatkowo obciąża budżet IT oraz zwiększa ryzyko błędnej konfiguracji systemów zabezpieczeń. Jest to zresztą najczęstszą przyczyną np. wycieku danych. Z tego powodu wielu producentów zabezpieczeń od pewnego czasu forsuje model jednej, zarządzanej centralnie platformy bezpieczeństwa. Moim zdaniem nie jest to remedium na i tak przeciążonych już pracą administratorów, których pozyskanie na rynku jest coraz trudniejsze i coraz bardziej kosztowne. Poza tym zupełnie inaczej zarządza się zaporą sieciową, inaczej ochroną aplikacji, a jeszcze inaczej zabezpieczeniami platformy Office 365. Skuteczniejszą odpowiedzią na te wyzwania, szczególnie w sektorze MŚP, jest automatyzacja i tworzenie narzędzi intuicyjnych, które pozwolą administratorom na szybkie wdrożenie rozwiązania, bez konieczności spędzania tygodni na kosztownych szkoleniach.
Hatem Naguib, COO Barracuda Networks, powiedział – w kontekście prognozowanego w najbliższym czasie rozwoju technicznego, który ma spowodować przekształcenie nowej technologii w groźną cyberbroń – „uważam, że media społecznościowe powinny być odpowiedzialne za niektóre mechanizmy obronne, aby takiemu stanowi rzeczy skutecznie zapobiec”. Jak można by rozwinąć tę myśl?
Wszyscy pamiętamy rok 2016 i kontrowersje związane z kampaniami dezinformacyjnymi rozpowszechnianymi właśnie za pomocą platform społecznościowych, co miało mieć wpływ na końcowy wynik wyborów np. w USA. Od lat dyskutowane jest ryzyko związane z wykorzystaniem technologii „deepfake”, w celu manipulowania opinią społeczną, czy olbrzymich sieci botów dystrybuujących fałszywe informacje w sieci. To właśnie od gigantów, takich jak Facebook, Twitter, Google czy Microsoft, oczekuje się wdrożenia narzędzi chroniących użytkowników przed manipulacjami. Niestety, jeżeli nawet z technicznego punktu widzenia byłoby to możliwe, to z moralnego punktu widzenia ocieramy się już o cenzurę i ograniczanie prawa do otwartej debaty publicznej. Poza tym nawet najlepsze narzędzia AI nie potrafią odczytać kontekstu, w jakim pojawia się dana informacja, a to może doprowadzić do blokowania np. treści satyrycznych.
Jak Pan sądzi, w jakim kierunku rozwiną się cyberzagrożenia w najbliższych latach? Jakiego rodzaju ataki staną się najgroźniejsze?
Niezmiennie pozostaną nimi te, które okażą się skuteczne. Ale mówiąc poważnie, myślę, że nadal będziemy się mierzyć z postępującym rozwojem ataków opartych na socjotechnice. Obecnie żyjemy w hiperpołączonym świecie, gdzie systemy nieustannie wymieniają się informacjami poprzez interfejsy API, a zakłócenie jednego serwisu może pociągnąć łańcuch zależności i nie do końca przewidywalne skutki. Niestety z badań wynika, że ponad 90% takich serwisów albo w ogóle nie ma zabezpieczeń, albo są one nieadekwatne do istniejących zagrożeń. To jest z pewnością obszar, w którym będzie w najbliższym czasie dochodzić do coraz większej liczby ataków.
Artykuł ukazał się na łamach Raportu ITwiz BEST100 edycja 2020. Zamów poniżej: