Rozmowa z Łukaszem Kajdanem – Regional Sales Managerem CEE w firmie Radware.
Dlaczego edukacja na temat bezpieczeństwa jest tak ważna?
Edukacja jest istotna we wszystkich dziedzinach życia, natomiast bezpieczeństwo jest jednym z elementów IT, który jest nacechowany ogromną dynamiką zmian. Szeroki zakres zagadnień, które można zaszufladkować generalnie jako security, powoduje, że coraz trudniej o ekspertów specjalizujących się w wielu aspektach, a raczej termin bezpieczeństwo zaczyna uwzględniać coraz więcej specyficznych podgrup, które notabene, są wynikową zmieniających się trendów. W większości przypadków rozmawiamy z innymi osobami o bezpieczeństwie aplikacyjnym, ochronie infrastruktury przed DDoS, czy też migracją i zabezpieczeniem środowisk chmurowych. Zauważamy też, że ze względu na brak wiedzy o zmieniających się trendach w konkretnych aspektach, pewne zagadnienia związane z bezpieczeństwem są bagatelizowane. Znakomitym przykładem jest ochrona przed DDoS, która przez wiele firm jest stosowana tylko w ujęciu ochrony przed atakiem wolumetrycznym. Natomiast od kilku lat zauważamy, że ciągle wzrasta ilość wektorów wykorzystywanych przez atakujących i atak wolumetryczny jest często tylko zasłoną dymną, mającą odwrócić uwagę klienta od faktycznego celu, jakim może być uzyskanie danych dostępowych do serwisów klienta, w efekcie pozwalając na kradzież danych wrażliwych. Tego typu ataki są wykonywane z wykorzystaniem sieci globalnych BOTnetów, a atakujący w ich trakcie korzystają z różnych mechanizmów w tym samym czasie, aby uzyskać określony cel.
Jak zmieniał się krajobraz cyberzagrożeń w ciągu ostatnich 2 lat?
Zmieniło się wiele, przede wszystkim jeśli chodzi o intensywność korzystania przez nas z Internetu, co nie pozostaje bez wpływu na bezpieczeństwo. Więcej urządzeń w sieci, często niezabezpieczonych w odpowiedni sposób powodowało, że każdy z nas mógł się stać częścią botnetu. Dzieci, w wielu przypadkach miały pierwszą styczność z komputerem, a pracując w bezpieczeństwie wiemy, że jedno nieuważne kliknięcie w link, może spowodować instalację złośliwego kodu na naszym urządzeniu i jego zainfekowanie.
Radware zbiera wiele statystyk, wykorzystując własną globalną infrastrukturę. Dzięki temu zauważyliśmy wzrost ilości ataków aplikacyjnych o kilkadziesiąt procent, porównując je do analogicznego miesiąca rok wcześniej oraz poziomu skomplikowania ataków. Zmiany które następują, są zbyt dynamiczne, aby człowiek mógł samodzielnie nad nimi zapanować i manualnie zabezpieczyć infrastrukturę, dlatego coraz powszechniej w systemach klasy DDoS, WAF, BOT Management, wykorzystywane są mechanizmy uczenia maszynowego, behawiorystyki, a nawet blockchain. Automatyzacja umożliwia nam skuteczną analizę dużo większych zbiorów danych, ograniczając ilość false positives do absolutnego minimum. Wiedząc jak wielką zmorą dla firm jest blokowanie użytkowników legitymizowanych, wprowadziliśmy wyśrubowane parametry SLA dla naszych usług, tym samym gwarantując klientom maksymalną wartość (na poziomie kilku procent), co tylko obrazuje, czego oczekują nowoczesne organizacje i jak cenny jest każdy klient utracony przez błędne zablokowanie przez rozwiązanie bezpieczeństwa.
Kolejną ważną zmianą jest cyfrowa transformacja. Wiele firm, z którymi rozmawialiśmy jeszcze w 2019 nawet nie rozważało migracji do chmury, a teraz posiadają lub budują środowiska wielochmurowe. W tym miejscu warto nawiązać do pierwszego pytania odnośnie edukacji – migracja do chmury jest dla wielu organizacji ogromnym przedsięwzięciem i wypłynięciem w nieznane. Często klienci migrujący do chmur publicznych podchodzą do bezpieczeństwa po macoszemu i w większości przypadków jest to spowodowane brakiem wiedzy o tym, jak tworzyć efektywne i bezpieczne infrastruktury wielochmurowe. Warto nadmienić, że termin „cloud agnostic security” jest nadal dla wielu z nich czymś nieznanym, a w tak dynamicznie zmieniającym się świecie powinien być najwyższym priorytetem dla zapewnienia ciągłości działania organizacji, bez względu na to, gdzie znajdują się zasoby klienta.
Jakie są największe zagrożenie dla małych i średnich przedsiębiorstw w tym zakresie? Jak się przed tym zabezpieczać?
Przede wszystkim nie obawiajmy się ochrony w chmurze producenta, bo dla MŚP jest ona jedynym rozsądnym kierunkiem. Wiele firm planując projekt np. dotyczący ochrony aplikacyjnej, nie zdaje sobie sprawy, jak wiele nakładów pracy będzie wymagane nie tylko w trakcie wdrożenia, ale także przy utrzymaniu systemu. Pamiętajmy, że aplikacje są poddawane ciągłym zmianom i mechanizmy bezpieczeństwa powinny być do nich dostosowane. Automat zrobi wiele, natomiast czynnik ludzki nadal jest niezmiernie istotny. Dla małych i średnich firm samo zatrudnienie eksperta może być niemałym wyzwaniem, a ciągłe szkolenia i podnoszenie kwalifikacji specjalistów na koszt pracodawcy nie gwarantuje, że pracownik zostanie z nami na dłużej. Niedostępność personelu może mieć wpływ na zaburzenie skuteczności działania systemów bezpieczeństwa. W przypadku usług, zewnętrzny dostawca jest odpowiedzialny za dotrzymanie parametrów SLA i musi zapewnić odpowiedni poziom ochrony.
Jakie trendy w zakresie cyberbezpieczeństwa będą dominować w najbliższym czasie?
Obserwując globalne trendy, musimy pogodzić się z cloud agnostic security. Ciężko wymienić wszystkie dostępne technologie w bezpieczeństwie, nie mówiąc o byciu w nich wszystkich ekspertem. Widzimy taki trend np. w usługach typu SOCaaS, które są już dosyć popularne w kraju. To samo tyczy się ochrony aplikacyjnej – nie zapominajmy, że wraz z usługą kupujemy dostęp do technologii, ale i najlepszych ekspertów z wiedzą tajemną producenta.
Nie zapominajmy o open banking / PSD2 – pomimo ogromnego zaawansowania prac dotyczących udostępniania API zauważamy, że jest to nadal duże zagrożenie dla firm i ogromne pole do działania dla cyberprzestępców – w tym aspekcie również konieczna jest edukacja.
Warto nadmienić, że atakujący coraz częściej wykorzystują mechanizmy imitujące zachowanie ludzkie, które jest niezmiernie trudne do wykrycia, nawet popularna captcha jest teraz mechanizmem, który bezproblemowo jest obchodzony przez automat.
Nie zapominajmy też o niesłabnących kampaniach ransom DDoS, regularnie odświeżanych przez kolejne grupy przestępcze, które co ciekawe, mają już nawet swoich naśladowców liczących na szybki zysk. Tu też nastąpiła pewna zmiana, ponieważ do tej pory atakujący stosowali tylko ataki wolumetryczne, natomiast coraz częściej spotykamy się z sytuacją, gdzie przestępcy informują, że będą atakować do skutku (zwiększając wielkość ataku) lub stosować wiele wektorów, również aplikacyjnych – niewykrywalnych przez wiele systemów anty DDoS. Co ciekawe, kwoty okupu są dostosowane do lokalnych możliwości rynku, tj. atakujący będą żądać więcej kryptowalut od banku amerykańskiego niż polskiego, ale nadal mówimy tu o kwotach idących w miliony (do tej pory w regionie widzieliśmy okupy pomiędzy 20, a 50 BTC).
Co jest dla Ciebie największym zaskoczeniem w zmieniającym się świecie cyberbezpieczeństwa?
Coraz częstsze ataki na instytucje pożytku publicznego, a także organizacje non-profit pokazują, że cyberprzestępcy nie mają hamulców. Ataki na Komisję Europejską czy Wikipedię, są najlepszymi przykładami.
Nie ukrywam, że byłem pod ogromnym wrażeniem kreatywności, jaką wykazują atakujący w trakcie kampanii, przed którymi skutecznie chroniliśmy klientów, co tylko potwierdza, że w bezpieczeństwie: „good enough is not enough”.
Kolejnym zaskoczeniem jest zmiana modelu biznesowego dostawców rozwiązań, którzy od lat przyzwyczajali klientów do sprzedaży fizycznych urządzań, natomiast ze względu na ogromną dynamikę zmian, procesy migracji do chmur publicznych, coraz częściej pojawiają się usługi i bezpieczeństwo w formie subskrypcji (obecnie można dostać nawet fizyczne urządzenia w modelu subskrypcyjnym, np. na rok i później zwrócić lub zamienić je na większy/mniejszy model). To pokazuje, że klienci – poza samym podniesieniem poziomu ochrony – oczekują dużo większej elastyczności w formach rozliczania i skalowania infrastruktur.
