CyberbezpieczeństwoPolecane tematy
Najważniejsze kompetencje specjalistów cyberbezpieczeństwa nowej generacji
Z Maciejem Cieślą, Head of Cyber Security w HackerU, rozmawiamy o szkoleniach specjalistów z zakresu bezpieczeństwa IT; najważniejszych potrzebach organizacji w zakresie cybersecurity; skutecznym zabezpieczaniu danych w wielu miejscach; bezpieczeństwie przetwarzania danych osobowych; obecnych trendach technologicznych z zakresu cyberbezpieczeństwa; tym na co należy zwrócić szczególną uwagę przy zabezpieczaniu danych w środowisku chmurowym; atakach na źle skonfigurowane kontenery; trendach i zagrożeniach, które bezpośrednio wpływają na łańcuch dostaw, największych zagrożeniach płynących ze strony cyberprzestępców oraz o tym dlaczego firmy z Izraela stały się jednym z czołowych na świecie dostawców technologii bezpieczeństwa IT.
Jakie są obecne trendy technologiczne z zakresu cyberbezpieczeństwa?
Znaczna uwaga środowiska jest obecnie mocno skupiona na kwestiach związanych z IoT, kryptowalutami, rozwiązaniami kwantowymi i sztuczną inteligencją, ale także sieciowymi grami komputerowymi Virtual Reality. Są to kwestie rozwojowe. To także elementy, gdzie w niedalekiej przyszłości coraz więcej będziemy słyszeć o 0day’ach i nowych identyfikatorach CVE. I tak, AI przejmuje pracę zaprogramowanych automatów, kwanty na pewien czas mogą odwrócić nasze spojrzenie w pewnych aspektach na kryptografię, a IoT i kryptowaluty coraz bardziej nas otaczają, pomagając w codziennym życiu.
Obecnie powstaje coraz więcej frameworków oraz narzędzi automatycznych, które zastępują pracę ludzi. Firmy, które tworzą takie narzędzia zaczynają również przygotowywać certyfikację i kursy do ich obsługi. Tak, aby wykształcić specjalistów skupionych na ich własnych rozwiązaniach. Warto wspomnieć również o kwestii samej pracy. Obecnie pozostaje ona w podobnym schemacie jak dotychczas. Główne zadania pentesterów to realizacja testów penetracyjnych aplikacji webowych, aplikacji mobilnych oraz infrastruktury – serwery, hosty i audyty konfiguracji oraz kodu źródłowego.
Jakie natomiast są obecnie najważniejsze potrzeby organizacji w zakresie cybersecurity?
Potrzeby organizacji można wymieniać bez końca. Ale gdyby spróbować je podsumować to można wymienić trzy: potrzeba realizacji celów biznesowych – funkcjonalność, bezpieczeństwo firmy i klientów oraz zgodność z normami i standardami. Pierwsza jest oczywista i nie wymaga wyjaśnień. Natomiast jeśli chodzi o dwie pozostałem, to dochodzimy do kwestii informowania i edukacji klientów oraz dostarczania takich rozwiązań, w których nie są oni w stanie „nic namieszać”. Bo tak, jak nie jest niczym trudnym utworzyć kampanię informacyjną czy zorganizować szkolenie z ekspertem od cyberbezpieczeństwa, tak sporym wyzwaniem jest dostarczenie klientom takich narzędzi, dzięki którym będą oni w stanie się bezpiecznie komunikować i przetwarzać dane.
Problemami, z którymi organizacje muszą się mierzyć na co dzień, jest zgodność ze standardami i normami. Przez ostatnie kilka lat zrobiło się głośno o europejskim GDPR i polskim odpowiedniku, RODO. Ale coraz więcej organizacji chce mieć zgodność też z innymi standardami – bezpiecznym przetwarzaniem informacji – ISO 27001, bezpiecznym zarządzaniem jakością w kontekście infrastruktury medycznej – ISO 13485 albo systemem zarządzania jakością – ISO 9001. Często wymóg ten jest związany z realizacją konkretnego projektu.
A czy potrzeby te związane są nadal z zapewnieniem bezpiecznego środowiska pracy?
Oczywiście. Zawsze podstawą będzie właśnie bezpieczne środowisko pracy. Obecnie trend zmierza ku dominującemu modelowi pracy zdalnej. Zmiana organizacji pracy i często użytkowanych systemów ją wspierających wiąże się z nowymi wyzwaniami, ale też i zagrożeniami. I tutaj znów wracamy do tematyki szkoleń oraz dostarczenia bezpiecznego oprogramowania dla pracowników. Bez tego, ryzyko wycieku danych lub ataku na firmę znacznie rośnie.
Jak skutecznie zabezpieczać dane przetwarzane w wielu różnych miejscach?
Często jest niestety tak, że gdy organizacja przechowuje dane w kilku lokalizacjach zarządzanych przez różnych dostawców, to każdy z nich inaczej rozumie kwestię bezpieczeństwa. Dla jednego bezpiecznym szyfrowaniem w locie będzie po prostu SSL, dla drugiego TLS, a trzeci doprecyzuje, że ma na myśli TLSv1.2. Często bezpieczeństwo skupia się też na ogólnikowych stwierdzeniach typu: “deklarujemy, że jest bezpiecznie”. Do tej pory jeszcze wiele firm na pytanie: “jak zabezpieczacie proces X?” odpowiada: “A po co to zabezpieczać? Jeszcze nikt się tu nie włamał”. Cóż, pozostaje czekać.
Jedne z ważniejszych kwestii podczas zabezpieczania danych w różnych lokalizacjach to: ustalenie odpowiednich procedur zarządzania danymi – realizacja połączeń, procesów – oraz stosowanie się do nich, korzystanie z aktualnych narzędzi do realizacji połączeń, np. Klient VPN czy synchronizacja poziomu bezpieczeństwa, np. do wszystkich lokalizacji łączymy się poprzez SSHv2, przesyłając dane protokołem TLSv1.2. Ponadto istotna jest weryfikacja bezpieczeństwa w lokalizacjach – poprzez cykliczne testy penetracyjne i zadania Red Teamowe – oraz utwardzanie, monitorowanie, archiwizowanie, backupowanie i cykliczna weryfikacja wspomnianych procesów przez wyspecjalizowany zespół.
A jakie rozwiązania z zakresu IT należy wdrożyć w firmie, aby zapewnić bezpieczeństwo przetwarzania danych osobowych?
Przede wszystkim należy zacząć od właściwego zdefiniowania danych osobowych. Czym one w rzeczywistości są? Jakie są procesy ich przetwarzania? Skąd i dokąd są przesyłane? Ile czasu i w jakich lokalizacjach są one przetrzymywane? Itd. Do tego dochodzą jeszcze procedury zbierania danych i informowania klientów. Oznacza to zatem dużo planowania i papierkowej roboty. Następnie należy przeprowadzić analizę i zastosować zabezpieczenia adekwatnie do zebranych informacji. Jednak nie dla każdego klienta będą działać standardowe rozwiązania. Bezpieczeństwo bardzo często “kłóci się” z biznesem, co znaczy, że sporo rozwiązań security jest po prostu zbyt drogich do zaimplementowania dla firmy.
Wiele organizacji natomiast bazuje na podstawach bezpieczeństwa, tym samym zabezpieczając, czasami nieświadomie, właśnie dane osobowe przed wyciekiem np. poprzez szyfrowanie wszystkich dysków stacji roboczych, stosowanie wszędzie silnego szyfrowania TLSv1.2. W ten sposób przy ataku MiTM zmniejszamy do minimum ryzyko odczytania wrażliwych danych.
Warto także pamiętać o aktualizowaniu wszystkich aplikacji, usług i systemów, instalowaniu oprogramowania z funkcją zabezpieczenia przed zagrożeniem typu ransomware oraz cyklicznych kopiach zapasowych. Popularność ransomware jest związana z jego niezwykłą skutecznością. To trend, który będzie się stale rozwijał. W zeszłym roku co 14 sekund przeprowadzany był na świecie tego typu atak. Obecnie liczba ta zmalała już do 11 sekund. W tej kwestii będzie tylko coraz gorzej.
W Polsce z chmury obliczeniowej korzysta już blisko 25% przedsiębiorstw, ale wciąż wiele organizacji nie wie jak skutecznie zabezpieczać dane w tym środowisku. Co w tej materii by Pan radził?
Powiedziałbym raczej, że dopiero 25%. Biorąc pod uwagę fakt, że chmura pozwala organizacjom zaoszczędzić czas i pieniądze, wspomniana liczba będzie dynamicznie rosnąć w ciągu kilku najbliższych lat. Natomiast kwestii technicznych, na które warto zwrócić uwagę podczas zarządzania bezpieczeństwem chmury jest wiele: od zarządzania kluczami, certyfikatami, hasłami czy użycia właściwych szablonów i konfiguracji maszyn wirtualnych w chmurze, poprzez procedury logowania zdarzeń oraz ich monitoring, aż po serię konfiguracji – szyfrowania danych w locie oraz dysków, kont do zarządzania poszczególnymi usługami w chmurze czy usług chmurowych, bezpośrednio dostępnych z poziomu zarządzania konfiguracją chmurową.
Na co zatem należy szczególnie zwrócić uwagę?
Wiele osób pyta często o kwestię bezpieczeństwa samych danych. I tak, jeśli trzymamy w chmurze, czy w jakimś innym serwisie publicznym dane wrażliwe, to uważam, że warto rozważyć jeszcze ich dodatkowe “opakowanie”, np. przy użyciu zaszyfrowanych paczek lub zaszyfrowanych kontenerów. Nie mylić z popularnym Dockerem.
Kolejną kwestią, która nurtuje wiele organizacji są kopie zapasowe – jeśli tylko to możliwe i zasoby na to pozwalają, zawsze warto trzymać kopie zapasowe w różnych lokalizacjach w formie zaszyfrowanej. Obecnie już mało kto wierzy w deklaracje dostawcy chmurowego, że szyfruje dane i nikt nie ma do nich dostępu oprócz klienta. Dodatkowa ostrożność nie zaszkodzi, choć niestety kosztuje.
A jeśli chodzi o kwestię bezpieczeństwa urządzeń i aplikacji klienckich, które używane są do realizacji połączenia z chmurą?
Możemy mieć najbezpieczniejszą konfigurację chmurową, najbezpieczniejszego dostawcę chmurowego, ale wszystkie te zabezpieczenia legną w gruzach, gdy administratorem naszej infrastruktury, usługi chmurowej nagle stanie się atakujący haker. Dlatego warto zacząć proces utwardzania od administracyjnych stacji roboczych i konfiguracji kont dostępowych z poziomu samej konfiguracji chmurowej.
Na znaczeniu zyskują ponoć ataki na źle skonfigurowane kontenery, czy tak rzeczywiście jest?
Bez znaczenia jest to czy są to fizyczne maszyny stojące w serwerowni lub w data center, „wirtualki” czy kontenery – wszystkie mogą zawierać źle skonfigurowane i podatne usługi. Kolejną kwestią jest administracyjny system zarządzania maszynami, kontenerami lub infrastrukturą. Bardzo często taka błędna konfiguracja jest spowodowana potrzebami biznesowymi. Najczęściej jest mało czasu, a aplikację trzeba już wdrażać na produkcję. Więc brany jest pierwszy lepszy kontener lub „wirtualka”.
Niektóre firmy oferują gotowe systemy, rzekomo w pełni bezpieczne i aktualne. Mają one jednak bardzo istotną wadę. Są one kompletnie niedopasowane do potrzeb biznesowych. Rzadko która aplikacja może być uruchomiona na takim “zabezpieczonym”, ale kompletnie „nieużywalnym” kontenerze. A już prawdziwa zabawa dopiero zaczyna się, gdy jeszcze taką prostą aplikację będziemy chcieli “spiąć” z bazą danych lub zaimplementować SSO. W takiej sytuacji łatwo o nadużycie w postaci: „trzymamy ten bezpieczny kontener dla audytora, na kontrolę, a w międzyczasie korzystamy z takiego, który po prostu działa”. Nie ma jednego na świecie, idealnego konterea, czy wirtualki dla każdej usługi lub aplikacji.
Podejściem, które cechuje się dużo większą skutecznością w przeciwdziałaniu atakom jest indywidualne podejście do infrastruktury, sieci, organizacji, aplikacji itp. Pozwala to właściwie dopasowować zalecenia hardeningowe do funkcjonalności i potrzeb biznesowych. W tym przypadku jesteśmy w stanie również zwrócić uwagę na problemy, z którymi mierzyła się i będzie się mierzyć dana organizacja w kontekście bezpieczeństwa.
Jakie widzi Pan obecnie największe zagrożenia płynące ze strony cyberprzestępców? Wynikający z pandemii chaos panujący w 2020 roku w wielu organizacjach i instytucjach, który ułatwiał działania przestępcze, chyba już minął?
Wszystkim znana jest obecna sytuacja na świecie. Szpitale, placówki medyczne to również obecne i przyszłe cele hakerów. Warto więc zwrócić uwagę na aspekt związany z socjotechniką, bo jej skuteczność bardzo często zależy od poziomu emocjonalnego stanu ofiary. A czasy pandemii to czasy podniesionego stresu, emocji i paniki. Ale nie tylko, ponieważ pandemia i zdrowie to jedno, a mamy przecież jeszcze kryzys ekonomiczny. To również emocje typu strach, przerażenie, niepokój, stres. Przestępcom dużo łatwiej w takich okresach manipulować ludźmi. Musimy więc być dużo bardziej ostrożni i czujni niż w latach tzw. dobrobytu. Zrozumienie wzajemnych powiązań pozwala nam przewidzieć, gdzie przestępcy będą próbowali uderzyć.
Kto zatem powinien się czuć zagrożony?
Obecnie widzimy choćby coraz większą informatyzację urzędów publicznych. Niestety, bardzo często kryterium wyboru danego oferenta jest albo ceną albo po tzw. “znajomości”. Oba podejścia charakteryzują się tym, że usługi realizowane w taki sposób nie cechują się najwyższym poziomem profesjonalizmu. Może nie zawsze prawdą jest, że “jaka cena, taka jakość”, ale jestem pewien, że w tym wypadku istnieje dość duże ryzyko, na które powinno się zwrócić uwagę.
Częstym problemem, z którym również wiele organizacji musi się zmierzyć jest realizacja testów penetracyjnych lub audytów przez firmy, które robią tylko skan podatności, deklarując, że wykonują manualne pentesty. Jak wspomniałem wcześniej, najskuteczniejszy atak to ten kierunkowy (APT – Advanced Persistent Threats), który najczęściej przeprowadzany jest manualnie, a nie przy wykorzystaniu masy automatów alarmujących wszystkie systemy bezpieczeństwa i administratorów w organizacji. Warto o tym pamiętać, gdy zlecamy przeprowadzenie testów penetracyjnych. Należy przemyśleć, czy potrzebujemy skan bezpieczeństwa, czy prawdziwe testy penetracyjne. Oczywiście te ostatnie mogą wydrenować budżet, ale będą odwzorowaniem tego co naprawdę mógłby spróbować zrobić haker.
Jeszcze inny z aspektów, na który warto zwrócić uwagę to kwestie związane z przeistoczeniem się fizycznej waluty – takiej jaką znamy – w kryptowaluty narodowe. Tutaj również pojawi się w przyszłości wiele zagrożeń, ale o szczegółach będziemy mogli porozmawiać dopiero za parę lat.
Specjaliści od cyberbezpieczeństwa wskazują także, że hakerzy coraz częściej atakować będą łańcuchy dostaw…
Łańcuch dostaw rzeczywiście jest jednym z najbardziej wrażliwych elementów w kontekście działania firmy. Gdy zostanie on w jakiś sposób przerwany, np. wyłączony zostanie system, poprzez który następuje weryfikacja towarów magazynowych lub w wyniku przejęcia kluczowego konta e-mail transporty zostaną wysłane w zupełnie inne miejsce, to straty dla organizacji są ogromne.
Gdy mówimy o łańcuchu dostaw to warto także wspomnieć o kwestii dostarczania oprogramowania i narzędzi IT. To nie zawsze musi być ciężarówka wioząca sprzęt fizyczny. To także nowe oprogramowanie księgowe, nowa wersja programu architektonicznego czy aktualizacja narzędzia menedżerskiego. Oprogramowanie to jest dostarczane przez sieć. Wystarczy atak MiTM, aby zakłócić taki łańcuch dostaw. Proste urządzenie typu Raspberry Pi wpięte do sieci powoduje, że zamiast poprawnej wersji oprogramowania otrzymamy aktualizację z małym dodatkiem, np. w postaci keyloggera, który zbiera informacje na temat wstukiwanych klawiszy. Tego typu działania mogą skutkować wyciekiem informacji z firmy, przejęciem danych strategicznych przez konkurencję czy publicznym ujawnieniem danych osobowych klientów.
A jeśli chodzi o trendy i zagrożenia, które bezpośrednio wpływają na łańcuch dostaw?
Warto podkreślić dwa aspekty. Pierwszy z nich jest dobrze znany – ransomware. Wszyscy dobrze pamiętamy Locky, WannaCry, Bad Rabbit czy Petya. Mimo posiadania najbardziej aktualnych systemów i oprogramowania, te malware’y wywołały niemałą panikę. A mówimy tylko o ujawnionych atakach. Nie znamy przecież pełnej ich liczby. Zapewniam natomiast, że tych, o których nie informuje się publicznie, jest całe mnóstwo.
Druga kwestia, to trend idący w kierunku płatnych zleceń wykonania takich ataków przez najemnych hakerów. Często koszt takiego ataku oscyluje w okolicach kilkunastu do kilkudziesięciu tysięcy złotych. Zyski z tymczasowego wyeliminowania konkurencji lub przejęcia ich planów strategicznych oscylują w okolicach od setek tysięcy do milionów złotych. A wykrywalność procederu jest bardzo niska. Tego typu smutne statystyki kuszą więc niektórych przedsiębiorców.
Jakie kompetencje – wobec takiej gamy, bardzo zróżnicowanych ataków – powinni mieć specjaliści ds. cyberbezpieczeństwa nowej generacji? Pytam w kontekście kursu Cyber Security, który HackerU organizuje wspólnie z Uniwersytetem Warszawskim.
To co charakteryzuje wysokiej klasy specjalistów to przede wszystkim podejście typu: “Na wszystko jest sposób” – There is always a way. Zawsze istnieje możliwość wejścia do systemu, aplikacji, usługi. Jeśli nie dziś, to jutro. Jeśli nie przy obecnej konfiguracji, to podczas kolejnej aktualizacji. Jeśli nie poprzez lukę w oprogramowaniu, to poprzez człowieka.
Natomiast jeśli chodzi o umiejętności stricte techniczne to chciałbym wspomnieć o kwestii dotyczącej researchu – umiejętności, która jest jedną z najważniejszych w IT, a szczególnie w cybersecurity. Obecnie to nie teoretyczna wiedza, regułki i definicje pozwalają skutecznie realizować zadania z bezpieczeństwa IT, a właśnie umiejętności praktyczne i szybkość wyszukiwania informacji. Kolejna kwestia to myślenie “out of the box”. Poziom technologiczny rośnie wykładniczo i aby móc skutecznie realizować operacje cybersecurity – np. w kontekście Red Teamingu – należy się non-stop rozwijać. Poznawanie nowych technologii uwalnia naszą kreatywność, a ta prowadzi do niecodziennych rozwiązań obecnych problemów.
Co Pan rozumie przez kreatywność?
Podejście, podczas którego zdejmujemy klapki z oczu, odrzucamy utarte schematy i siadamy do zadania. Na kursach, które prowadzę, oprócz wiedzy stricte technicznej, przekazuję moim studentom właśnie takie podejście do pracy. Dzięki niemu można być dużo bardziej skutecznym niż teoretyk sypiący definicjami z rękawa.
HackerU pochodzi z Izraela, jak to się stało, że tamtejsze firmy stały się jednym z czołowych na świecie dostawców technologii w zakresie bezpieczeństwa IT?
W latach 90. XX wieku Izrael znajdował się w tzw. okresie przejściowym. Państwo przekształcało gospodarkę z opartej wyłącznie na rolnictwie i przemyśle, w gospodarkę nowoczesnych technologii, w tzw. Start-Up Nation, którym jest do dziś. W związku z zagrożeniem atakami cybernetycznymi i tzw. cyberwojną, ideą HackerU – jaką kierowali się twórcy firmy – było wyszkolenie oraz przygotowanie personelu, który pomógłby skutecznie odpierać cyberataki wymierzone w kraj. Celem było zwiększenie poziomu narodowego cyberbezpieczeństwa. Kierownictwo firmy dostrzegło zapotrzebowanie kraju na specjalistów i skoncentrowało wysiłki na wypełnieniu tej luki. Firma zgromadziła czołowych izraelskich ekspertów cyberbezpieczeństwa, aby szkolić i przekazywać studentom jak najbardziej aktualną wiedzę i doświadczenie. I tak, w ciągu kilku lat od powstania, HackerU skierował na izraelski rynek setki cyberspecjalistów. Obecnie firma rozwija i tworzy ośrodki szkoleniowe na wszystkich kontynentach.