Czas zablokować kanały wdzierania się hakerów do wnętrza firmy

Partnerem publikacji jest Trend Micro
opublikowano: 29-06-2022, 12:47
aktualizacja: 29-06-2022, 14:52
Play icon
Posłuchaj
Speaker icon
Close icon
Zostań subskrybentem
i słuchaj tego oraz wielu innych artykułów w pb.pl

Rozmowa ze Sławomirem Decem, cybersecurity sales engineer w Trend Micro Polska.

W walce z hakerami potrzebne jest nastawienie proaktywne i umiejętność wyprzedzania ataków. Trend Micro realizuje inicjatywę ZDI (Zero Day Initiative), która angażuje wszystkich chętnych ekspertów w wyszukiwanie błędów i podawanie do wiadomości publicznej informacji o lukach, groźnych dla cyberbezpieczeństwa.

Sławomir Dec
cybersecurity sales engineer w Trend Micro Polska

Na jaką ocenę zasługuje zdolność organizacji biznesowych w Polsce do przeciwdziałania incydentom bezpieczeństwa, płynącym z cyberprzestrzeni?

Jest analogia między zabezpieczeniami fizycznym i w świecie wirtualnym. Pewne osiedle mieszkaniowe było ogrodzone, monitorowane i strzeżone przez profesjonalistów ochrony, ale gdy pewnej nocy z osiedla zniknął samochód to okazało się, że ochrona nie ma sobie nic do zarzucenia, a zapisy z monitoringu są w tej sprawie bezużyteczne. Podobnie jest z zabezpieczeniami IT – jakaś ramowa ochrona w podstawowym zakresie może nie wystarczyć. Inaczej jest w sektorach regulowanych. Podmioty należące do nich są z ustawy zobligowane do wdrożenia solidnych zabezpieczeń i tylko z tego powodu są bardziej odporne na ataki z cyberprzestrzeni. Wiele jest firm, które decydują się na wdrożenie solidnej cyberochrony, ale dopiero po tym, jak zostały zaatakowane i doświadczyły różnego typu strat i zniszczeń, spowodowanych przez atak. Wtedy pierwszym krokiem jest ocena tych obszarów ryzyka, które priorytetowo należy zabezpieczyć, np. wszystkie kanały komunikacji z otoczeniem. Z reguły należy przeprowadzić w firmie szkolenia z cyberbezpieczeństwa, które mogą wiązać się z podjęciem przez poszczególnych pracowników dodatkowych zobowiązań w celu np. eliminacji ryzyka kradzieży danych, czy bezpiecznego użytkowania rozwiązań IT w firmie.

Jak opisać rolę i funkcję firmowych narzędzi TI (threat intelligence)do przeciwdziałania zagrożeniom?

Mowa o pewnego rodzaju ośrodkach wiedzy o aktualnych cyberzagrożeniach, np. o skompromitowanych adresach IP, URL czy stronach internetowych. Można je powołać wewnątrz firmy i samodzielnie wciąż wzbogacać z myślą, by na podstawie zgromadzonej i aktualizowanej wiedzy o wektorach ataków i ich charakterystyce uszczelniać narzędzia cyberochrony w firmie. W tym zakresie firma może też korzystać z agregatorów TI. Z reguły mają one postać specjalistycznych aplikacji, które udostępniają bazy danych reputacyjnych i pakiety informacji o zagrożeniach i umożliwiają ich pobieranie oraz zarządzenie ich lokalnym zastosowaniem. Firma może też korzystać z okresowych raportów, tworzonych przez wyspecjalizowane podmioty, np. przez branżowe ośrodki CERT działające na potrzeby telekomunikacji czy finansów, itp.

Skoro nie wszystkie alerty sygnalizują zagrożenie, którego nie wolno zlekceważyć to jak wśród strumienia alertów zidentyfikować te, które wymagają natychmiastowego przeciwdziałania?

Umiejętność wyodrębniania wśród zagrożeń IT takich, które w gruncie rzeczy nie stwarzają istotnego niebezpieczeństwa (false positive), ale mogą skupić na sobie uwagę i pochłaniać czas oraz pieniądze jest kluczowa. Dlatego praca nad określeniem reguł działania systemu ochrony SIEM (Security Information and Event Management) zmierza do tego, by system SIEM przesiewał próby ingerencji i sygnalizował zagrożenie tylko w uzasadnionych przypadkach. Potrzebna jest też znajomość własnej infrastruktury i zasobów IT oraz zdolność szczególnej ochrony tych obszarów, które mają krytyczne znaczenie dla firmy. Wiadomo, że im częściej podnoszony jest alarm przeciwpożarowy tym mniejsza jest zdolność do odpowiedniej reakcji w przypadku zaistnienia prawdziwego pożaru. Podobnie jest z systemem zabezpieczeń – on musi być czujny, ale nie przeczulony.

Jakie pożytki dla wzmocnienia swojego cyberbezpieczeństwa firma może czerpać z usług chmurowych?

Biznes w coraz szerszym zakresie użytkuje chmurę, nieraz bez wyraźnej swojej woli, np. gdy korzystamy z aplikacji biurowych to jednocześnie stajemy się użytkownikami usług chmurowych, bo aplikacje te są dostarczane z chmury i w chmurze mają swoje kopie bezpieczeństwa. Również ogół aplikacji do zabezpieczenia stacji roboczych i komputerów PC jest dostarczanych z chmury. Ma to swoje zalety, bo uwalnia firmę od konieczności budowania własnych zasobów sprzętowych i aplikacyjnych oraz ciągłego dbania o nie. Z drugiej strony firma otrzymuje usługę odpowiednio wyskalowaną i wciąż aktualizowaną, nie musi się martwić o konfiguracje i jest zwolniona z obowiązku zastosowania odpowiednich zabezpieczeń fizycznych, których wymagałyby zasoby własne, Wszystkie odpowiedzialności spoczywają bowiem na dostawcy chmury.

Oczywiście część firm, także ze względów regulacyjnych, posiada i użytkuje własne zasoby sprzętowo – aplikacyjne. Trend Micro zabezpiecza firmowe środowiska teleinformatyczne zarówno z chmury, jak i przy pomocy rozwiązań do zastosowania lokalnego.

Jaki obraz zagrożeń w cyberprzestrzeni wyłania się z analiz Trend Micro. Czy nawet wyspecjalizowane ośrodki SOC (security operation centres) nie radzą sobie z presją nieustannych ataków?

Trend Micro działa globalnie i zbiera informacje o zagrożeniach w cyberprzestrzeni z różnych kontynentów i krajów, dokonuje porównań i szczegółowych analiz. Dzięki temu ma bardzo szeroki ogląd sytuacji bezpieczeństwa IT i zdolność świadczenia specjalistycznej pomocy przy zabezpieczaniu przedsiębiorstw. Co roku Trend Micro wydaje raport, w którym zdaje sprawę o zagrożeniach w sieci. W raporcie za 2021 r. podkreśla konieczność zabezpieczenia się przed atakami ransomware, które za pomocą szyfrów blokują dane danej firmy i dopiero po opłaceniu żądanego okupu dokonują odszyfrowania i zwrócenia ich właścicielom. W minionym roku ofiarą tego rodzaju napaści padały najczęściej agendy i instytucje rządowe, sektor bankowy i podmioty działające w ochronie zdrowia. Hakerzy uderzali wykorzystując błędy w konfiguracjach systemów chmurowych. Braki kadrowe, braki inżynierów z umiejętnością pełnego konfigurowania usług chmurowych powodują powstawanie luk w zabezpieczeniach. Z drugiej strony usługi chmurowe stale i tak szybko się rozwijają, że za tym rozwojem nie nadążają odpowiednie narzędzia cyberbezpieczeństwa. Powstają więc błędy, luki, podatności. Nieraz hakerzy potrafią szybciej je odkryć i wykorzystać w swoim procederze, przed inżynierami odpowiedzialnymi za cyberbezpieczeństwo.

Raport Trend Micro za 2021 r. zaznacza, że wciąż ogromny strumień hakerskich ingerencji wdziera się do przedsiębiorstw przez zwyczajną pocztę elektroniczną. W porównaniu do lat 2019 i 2020 w minionym roku miał miejsce prawdziwy zalew spamu. Doszło do tego w okresie pandemii wraz z intensyfikacją komunikacji elektronicznej. W takim kontekście hakerzy uznali zdobycie danych otwierających im drogi do zasobów firm (loginów, haseł), czy wykradzenie tzw. tożsamości cyfrowej za szczególnie cenny łup.

Czy z hakerami można wygrać nieustannie ich goniąc?

Potrzebne jest nastawienie proaktywne i umiejętność wyprzedzania ataków. Trend Micro realizuje inicjatywę ZDI (Zero Day Initiative), która angażuje wszystkich chętnych ekspertów w wyszukiwanie błędów i podawanie do wiadomości publicznej informacji o lukach, groźnych dla cyberbezpieczeństwa. W 2021 r. udało się nam o 10 proc. zwiększyć liczbę odkrytych tego rodzaju luk. Na podstawie monitorowania zagrożeń w sieci wydajemy też rekomendacje i prognozy dotyczące możliwych wektorów ataku. Na 2022 r. podkreślamy wagę starannego konfigurowania usług chmurowych oraz wzmożenia ostrożności w korzystaniu z poczty elektronicznej, bo to jest najłatwiejszy i najtańszy kanał, przez który cyberprzestępcy przedostają się do wnętrza przedsiębiorstw.

Jak wzmacniać ośrodki SOC (security operations centre), by były zdolne skutecznie stawić czoła wciąż nowych zagrożeniom?

Stworzenie w firmie zespołu SOC to duże i kosztowne przedsięwzięcie, które zakłada zbudowanie trzypoziomowego zespołu składającego się z operatorów, analityków i ekspertów. Tymczasem od lat firmy narzekają na trudności w znalezieniu fachowców od cyberbezpieczeństwa. Liczba nieobsadzonych stanowisk pracy w sektorze cyberbezpieczeństwa w skali globu jest już liczona w milionach. Warto więc postawić na szkolenia. Niektóre firmy, zamiast tworzyć SOC, delegują swoich inżynierów do obsługi dedykowanych zadań z zakresu cyberbezpieczeństwa i przy wsparciu systemów EDR (Endpoint Detection and Response).

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Polecane