To jest 224. odcinek podcastu Porozmawiajmy o IT, w którym z moim gościem rozmawiam o tym, jak zarządzać podatnościami bezpieczeństwa w firmie. 

Sponsorem tego odcinka jest DAGMA Bezpieczeństwo IT. Notatkę, linki oraz transkrypcję do dzisiejszego odcinka znajdziesz pod adresem porozmawiajmyoit.pl/224. 

Podcast Porozmawiajmy o IT jest dostępny zupełnie za darmo. Obowiązuje tylko jedna zasada: Jeśli jesteś tu przynajmniej po raz drugi, to po pierwsze rozgość się, a po drugie odwdzięcz za te treści, wystawiając ocenę w Twojej aplikacji podcastowej lub polecając odcinek w social mediach. Dziękuję. 

Ja się nazywam Krzysztof Kempiński. Moją misją jest poszerzanie horyzontów ludzi z branży IT, co realizuję m.in. poprzez ten podcast. A teraz zapraszam Cię już do odcinka. 

Odpalamy! 

 

Cześć, mój dzisiejszy gość to Product Manager Home Security w DAGMA IT, odpowiedzialny za wsparcie i ekspansję sprzedaży platformy do zarządzania podatnościami Home Security na polskim rynku. Wspiera rozwój kanału partnerskiego, nadzoruje testy produktowe oraz bada potrzeby klientów. Jest odpowiedzialny za prowadzenie wszelkich działań wspierających rozwój produktu. Moim i Waszym gościem jest Patryk Ćwięczek.

Cześć, Patryk, bardzo miło mi gościć Cię w podcaście. 

 

Cześć, dzień dobry, dziękuję za wprowadzenie, nic więcej bym nie dodał od siebie. 

 

Cieszę się, że mamy to. Nie tak dawno, bo w 222. odcinku rozmawiałem z Dawidem Dziobkiem o tym, jak zapobiegać wyciekom danych z firm. Dzisiaj pozostajemy też w tym duchu, niejako będziemy kontynuować temat – jak bardzo ważny to się pewnie dzisiaj okaże, ale myślę, że też ostatnie sytuacje na rynku pokazują, że bardzo ważny. Mianowicie będziemy mówić o tym, jak skutecznie zarządzać podatnościami bezpieczeństwa w firmie. 

Zanim jednak do tego przejdziemy, to chciałbym Cię, Patryk, zapytać, czy słuchasz podcastów, może masz jakieś ciekawe audycje, o których chciałbyś tutaj powiedzieć? 

 

W zasadzie w tych tematach trochę jestem analogowy i w dalszym ciągu lubię radio, ponieważ jako dziecko dużo radia słuchałem, jakichś audycji radiowych, więc dopiero do podcastów się przekonuję i mam nadzieję, że po dzisiejszym spotkaniu rzeczywiście otworzy się dla mnie ten świat związany z podcastami. Tak że nie, do polecenia takich jakichś podcastów nie mam, wiem, że Raport o stanie świata, to taki bardzo popularny podcast, jeżeli nie przekręciłem nazwy, ale jakieś do polecenia, to niestety nie mam. 

 

To mam nadzieję, że się twoja przygoda faktycznie z podcastami zacznie. Zaczynasz od tej strony drugiej. Bo zazwyczaj jest tak, że słuchamy podcastów, później mamy okazję występować w podcastach, więc, że tak powiem, tutaj z wysokiego C, tym bardziej fajne rozpoczęcie tej przygody. 

Dobrze, Patryk, mamy dzisiaj mówić o tym, jak zarządzać podatnościami bezpieczeństwa, więc myślę, że warto rozpocząć od tego, żeby powiedzieć, czym w ogóle podatności bezpieczeństwa są i jakiego typu zagrożeniem, czyli dla kogo i w jaki sposób właśnie one są. 

 

Super pytanie. Ja właśnie, spotykając się z klientami, którzy nie zawsze mają jeszcze świadomość, czym są właśnie podatności, to chcę im tak wprost wyjaśnić i lubię przywoływać przykład pięty Achillesa, czyli takiej słabości, którą Achilles posiadał. W tym wypadku każdy system informatyczny, w każdym przedsiębiorstwie posiada jakąś taką słabość, jakąś taką piętę achillesową, i naszym zadaniem jest właśnie znaleźć tą piętę achillesową, zanim zrobią to niepowołane osoby, osoby z zewnątrz, więc na tym w zasadzie polegają podatności. 

Wynikają z ułomności systemów, z wad, które same w sobie posiadają, ale też zarazem z błędów konfiguracyjnych, naszych błędów ludzkich, które popełniamy, jakieś hasło słabe ustawimy, jakiś port zostawimy otwarty podczas konfiguracji i to są te podatności, które nie zawsze jesteśmy w stanie sami kontrolować, potrzebujemy narzędzia, które nam zaudytuje, zweryfikuje, czy na pewno wszystko jest okej. 

 

Rozumiem. A dla kogo one są zagrożeniem? Powiedziałeś tutaj o firmie ogólnie. Czy można powiedzieć, że są określone jednostki, jakieś oddziały firmy, jakieś fragmenty firmy, które są szczególnie wystawione na to ryzyko? 

 

Narzędzia do szukania, zarządzania podatnościami są skierowane dla każdej organizacji, która dba o swoje bezpieczeństwo i która chce być o krok przed cyberprzestępcami, czyli nie doprowadzić do właśnie incydentu. Więc nie ma tutaj znaczenia wielkość takiej organizacji, ponieważ każda organizacja składa się w dzisiejszych czasach z tych samych elementów, Czyli ma jakiegoś pracownika, ma jakąś chyba aplikację, choćby tę stronę komercyjną, ma właśnie jakieś środowisko sieciowe, jakąś stację roboczą, jakiś router, drukarkę, serwer, coś, co chciałaby chronić. I tutaj nie jest istotna wielkość, tylko bardziej świadomość. 

Może też dodatkowym aspektem są wymogi prawne, bo nieraz niektóre jednostki czy niektóre podmioty podlegają pod choćby KNF i muszą tutaj zarządzać podatnościami, więc to zależy, ale nie ma tutaj ukierunkowania, że zatrudniam 5 osób, to nie muszę zarządzać podatnościami, a zatrudniam 250, to już muszę. 

 

Pewnie się ze mną zgodzisz, ale takim pierwszym niezbędnym krokiem zarządzania czymkolwiek jest świadomość tego, wiedza o tym, żeby być w stanie faktycznie ten proces gdzieś z powodzeniem przeprowadzać. 

Myślę sobie, że podobnie jest z podatnościami bezpieczeństwa. Jeśli myślimy o podatnościach bezpieczeństwa, to myślimy o skanach podatności, czyli właśnie takim zdobywaniu informacji i wiedzy na temat tego, jakiego typu ułomności potencjalne nam grożą. Gdybyś może słówko powiedział o tym, czym są skany podatności?

 

Skany podatności są audytem, który weryfikuje, skanuje, to w zależności, o jakim środowisku mówimy, czy mówimy o elementach sieciowych, czy właśnie o aplikacjach, czy o samych pracownikach, jest to element, który pozwoli nam zweryfikować. Czyli jeżeli mówimy o środowisku sieciowym, elementach sieciowych, czy np. mamy aktualne wersje oprogramowania, z których korzystam. Aktualne aplikacje właśnie nie posiadają podatności, bo są zaktualizowane, wykluczone, są to jakieś ułomności, które były wcześniej znalezione. Czy jakieś tutaj błędy hasła, czy błędy konfiguracyjne, to wszystko powoduje, że poprzez taki skan, taki audyt dostajemy raport, który nas informuje na podstawie bazy.

Bo jeszcze kilka słów o tym, jak działają skany: mamy bazę podatności, która jest dziennie aktualizowana o podatności, które są potwierdzane przez producentów, przez osoby, które też szukają tych podatności, następnie są potwierdzane i dodawane do baz, z których producenci korzystają i weryfikują, czy w danym systemie, w danej sieci taka podatność występuje. 

Jeżeli występuje, to dostajemy informację, że drogi użytkowników, została znaleziona takiego rodzaju podatność, tak wpływa na poziom bezpieczeństwa, czyli tak zagraża, jeżeli nie zlikwidujesz tej podatności… i tutaj masz informację, jak taką podatność rozwiązać, czyli każdy raport szczegółowo daje Ci pełen obraz na temat takiej podatności, takiej ułomności Twojego systemu i teraz od Ciebie zależy, co Ty zrobisz z tą wiedzą, czy postanowisz zlikwidować tę podatność tu i teraz, bo jest to jakaś krytyczna podatność, czyli tu znowu mamy scoring. Od tych najbardziej krytycznych do tych takich informacyjnych, które nie zagrażają jakoś nam w pełni, ale też mogą zostać wykorzystane przez osoby niepowołane. 

Więc dostając taką informację, musisz podjąć decyzję, czy teraz rzucam wszystko i naprawiam tę podatność, bo może się okazać, że ktoś w najbliższym czasie akurat będzie próbował ją wykorzystać w moim środowisku i to poprzez tę podatność będę zagrożony, czy też mając ustawiony proces zarządzania podatnościami, ustawię sobie właśnie kolejne kroki, które podatności, które zostały znalezione, zostaną rozwiązane w pierwszej kolejności, którymi mogę zająć się troszeczkę później, ponieważ dobierając tutaj jeszcze wiedzę na temat, jak zbudowana jest Twoja sieć, z jakich elementów, gdyż w dzisiejszych czasach sieć i tutaj cyber security nie składa się tylko z jednego rozwiązania, z jakiegoś antywirusa, tylko mamy XDR-y, mamy NDR-y, mamy UTM-y, więc skala tych rozwiązań jest bardzo duża. Więc mając tą wiedzę na temat tego, jak zbudowana jest sieć plus, dokładając informacje o podatnościach, możemy sobie ustawić proces likwidowania tych podatności z biegiem czasu. 

 

Czy stworzenie takiego audytu, czy też przeprowadzenie takiego skanu można w pełni zautomatyzować, czy też potrzebny jest tutaj mimo wszystko jednak czynnik ludzki, żeby niektóre, może bardziej skomplikowane, może mniej oczywiste rzeczy jednak być w stanie zbadać?

 

Dobre pytanie, bo często klienci, z którymi rozmawiam, obawiają się. Mówią: panie Patryku, super, ale ja się obawiam, że to jeszcze więcej pracy nam przysporzy. Z jednej strony wiedza jest lepsza niż niewiedza, ale boimy się tej nadmiaru informacji i co mamy z tym zrobić, jak to poustawiać? Mówię, że spokojnie, można to wszystko zautomatyzować, żyjemy na szczęście w dobrych czasach, gdzie nam tutaj technologia pomaga.

Czyli najpierw tworzymy sobie cały proces zarządzania podatnościami, ustawiamy, z jaką częstotliwością poszczególne elementy sieci będziemy skanować, czy to będzie raz w tygodniu, czy to będzie raz w miesiącu, raz w kwartale, czy raz w roku.

To może jeszcze jak to ustawiamy: na podstawie tego, jak bardzo dynamiczne jest nasze środowisko, czyli jak bardzo np. w naszej firmie zmienia często się pracownik, dochodzą jakieś elementy nowe sieciowe, co chwilę coś konfigurujemy, więc możliwości, że gdzieś jakiś błąd ludzki zostanie popełniony lub będzie dodany nowy element, który może mieć jakąś lukę, jest bardzo sporo. Więc tu decydujemy, czy może raz w tygodniu będziemy to skanować, czy rzadziej.

Następnie, jeżeli ustawimy sobie taki harmonogram skanowania, to system z automatu będzie zgodnie z harmonogramem wykonywał taki skan. I znowu: możemy ustawić sobie proces, że jeżeli nie zostaną znalezione elementy, o których mamy zostać poinformowani, czyli np. krytyczne podatności, otwarte porty, jakiś nowy host, którego wcześniej nie było podczas skanowania, to chcemy dostać o tym informację. Jeżeli dane parametry nie zostaną spełnione, to system nie będzie nas bez potrzeby informował, pingował, że drogi adminie zajmij się tym. Dopiero jak zostaną spełnione pewne parametry.

Następnie, żeby też nie musieć pamiętać, że raz w tygodniu muszę zawsze w środę wejść do konsoli, sprawdzić raporty, zastanowić się, mogę sobie zrobić to pingowanie poprzez integrację z aplikacjami, choćby z Teamsem. Czyli póki nie zajdą pewne określone czynniki, to system nie poinformuje mnie o tym, czy nawet poprzez SMS, czy właśnie drogą mailową, że drogi adminie, proszę, zajmij się tym wszystkim, bo masz problem.

Więc możemy sobie wszystko zautomatyzować, ustawić pod siebie tak, żeby ten proces był jak najłatwiejszy, miły i przyjemny, a nie powodował, że jak myślimy o podatnościach, to już po prostu oblewa nas gorączka i o nie, podatności.

 

Ale chyba o to chodzi w zarządzaniu podatnościami, prawda? Nie o to, żeby od razu wskakiwać na próbę naprawy potencjalnego problemu tu i teraz, ponieważ się pojawił, ponieważ gdzieś się na czerwono coś nam zaświeciło albo informacja właśnie na Teamsie czy na Slacku się pojawiła, ale żeby właśnie podchodzić do tego mądrze. A ten proces zarządzania podatnościami, na czym on polega, jak go najlepiej ustawić?

 

Mając stworzony proces zarządzania podatnościami, ustawione te parametry, o których chcemy wiedzieć w pierwszej kolejności, to pozwoli nam ustawić sobie ten proces. Co istotne, możemy tickety sobie ustawić i przypisać też zadanie do poszczególnych osób, pozarządzać tymi elementami, tak żeby nie przytłoczyła nas ta informacja.

System będzie zero-jedynkowo wyrzucał pewne informacje, że jakaś podatność została znaleziona. Ona może być określona jako critical, czyli tej najwyższej rangi podatność, ale w naszym systemie ona nie będzie criticalem, będzie miała niższy scoring, ponieważ mamy jeszcze inne elementy w naszej sieci i odpalenie takiej podatności nie, że jest niemożliwe, ale jest na tyle skomplikowane, że nie zagraża nam tak, jak wskazuje na to scoring przypisany do tej podatności. Dlatego tak bardzo istotnym elementem jest zebranie tej wiedzy naszej jako admina na temat budowy sieci, jakie mamy inne zabezpieczenia cyber security i dopiero właśnie połączenie to z informacjami, które tutaj mamy dotyczące podatności.

System będzie zero-jedynkowo wyrzucał pewne informacje, że jakaś podatność została znaleziona. Ona może być określona jako critical, czyli tej najwyższej rangi podatność, ale w naszym systemie ona nie będzie criticalem, będzie miała niższy scoring, ponieważ mamy jeszcze inne elementy w naszej sieci i odpalenie takiej podatności nie, że jest niemożliwe, ale jest na tyle skomplikowane, że nie zagraża nam tak, jak wskazuje na to scoring przypisany do tej podatności. Dlatego tak bardzo istotnym elementem jest zebranie tej wiedzy naszej jako admina na temat budowy sieci, jakie mamy inne zabezpieczenia cyber security i dopiero właśnie połączenie to z informacjami, które tutaj mamy dotyczące podatności.

 

A jeśli chodzi o role, czy też osoby zaangażowane w tworzenie, utrzymywanie, rozwijanie takiego procesu zarządzania podatnościami, czy to są zawsze administratorzy systemów, czy może gdzieś tam jakieś inne role też muszą być włączone w ten proces, żeby on był kompletny?

 

Na pewno pierwszą linią, która zarządza i później likwiduje te podatności, to jest admin i to dość często admini też pingują biznes, czy zarząd, czy osoby, które decydują o pewnych budżetach, o zakupie, o tym, że jest potrzeba właśnie wdrożenia takiego rozwiązania, takiego systemu, który pozwoli nam to audytować, ale dość często też spotykają się z oporem.

Biznes często nie rozumie narzędzia, które nie działa aktywnie podczas ataku. One nas nie chronią podczas ataku, tylko ma nie doprowadzić, żeby doszło do incydentu, być o krok przed incydentem i dość często biznes totalnie tego nie rozumie, po co ma wydawać pieniądze. I skoro do tej pory nie było incydentu, to tym bardziej po co mam jeszcze wydawać pieniądze na jakieś rozwiązanie, które ma nie doprowadzić, więc często tu się spotykam z tym problemem.

Więc admin to jest pierwsza osoba, która jest zaangażowana w zarządzanie podatnościami, bo to też weryfikuje jej działania w systemie. Często znowu się spotykam, że admin się obawia, czyli to pokaże np. jakieś błędy, że źle pracuje. Ja wtedy tłumaczę, Ty się nie obawiaj, że to pokaże jakieś błędy, tylko ciesz się, że Ty znajdziesz te błędy, zanim to zrobi haker i dojdzie do incydentu z zaszyfrowania czy wycieku danych, bo wtedy to będzie rzeczywiście problem, że nie dopełniłeś jakichś obowiązków, gdzieś popełniłeś jakiś błąd, a nie jeżeli znajdziesz to przed i będziesz miał czas właśnie, żeby to naprawić.

 

Czy taki proces zarządzania podatnościami, jaki opisałeś, można to przyrównać do patch managementu, do takiego zarządzania łatkami, czy to jest może coś więcej?

 

Dobre pytanie. Często też się spotykam z takim porównaniem, gdzie klient mówi, a ja mam patch management, więc nie potrzebuję, zarządzam podatnościami. Więc ja mówię super, bardzo dobrze, tylko że to jest jeden wektor ataku. Wektorów ataków mamy sporo. Patch management, czyli aplikacje zazwyczaj w jakiejś starszej wersji, nie tej aktualnej, w której właśnie są wykryte podatności i my ich nie aktualizując, stwarzamy ryzyko, że ktoś tę podatność wykorzysta w aplikacji, więc to nie jest to samo.

To jest wycinek tego, co robią takie skanery podatności audyty, ponieważ one nie skupiają się tylko na aplikacjach, ale skupiają się na aplikacjach, skupiają się na stacjach roboczych, serwerach, routera, switchach, kamerkach, drukarkach, wszystkich elementach sieciowych, które posiadają IP, skupiają się na systemach operacyjnych, czyli możemy sprawdzić sobie konfigurację, czyli utwardzić ten nasz system, żeby również był bardziej odporny na ataki z zewnątrz, więc to nie jest to samo. Patch management to jest tylko taki jeden wycinek zarządzania podatnościami, jeden wektor ataku i posiadanie patch managementu nie zastąpi nam zarządzania podatnościami w całym naszym środowisku.

 

Chciałbym Cię zapytać, być może z perspektywy właśnie tego admina, być może osób zarządzających firmą, które decydują właśnie o wydaniu pewnego budżetu, o zakupie nowego narzędzia. Kiedy albo może na poziomie jakiej wielkości firmy, na poziomie być może jakiejś innej heurystyki, którą możemy tutaj poruszyć, trzeba już podjąć decyzję, że jesteśmy być może na tyle duzi, być może na tyle skomplikowani pod względem wykorzystywanej technologii, a być może na tyle wystawiamy się na ryzyko, że już powinniśmy zacząć myśleć o właśnie zarządzaniu podatnościami bezpieczeństwa? Czy istnieje jakaś taka granica, której przekroczenie klasyfikując automatycznie do skorzystania z tego typu rozwiązań?

 

Wracając tu znowu właśnie do wcześniejszej wypowiedzi, każda organizacja, której zależy na bezpieczeństwie, ale znowu tutaj trzeba wziąć pod uwagę różne aspekty, ponieważ możemy być naprawdę mikroorganizacją zatrudniającą kilka osób, ale mającą kluczowe znaczenie w łańcuchu dostaw dla jakiejś większej organizacji, a jak wiemy ataki w dzisiejszych czasach, w ogóle szukając podatności, szukamy najsłabszych elementów, które możemy wykorzystać w tych piętach Achillesowych.

Czyli znowu, osoby z zewnątrz, hakerzy chcą zaatakować jakąś dużą organizację, ona ma najlepsze rozwiązania, cyber security, wszystko poaktualizowane, jest ciężko, więc zaczynają kombinować, no to skoro nie oni, to spróbujemy poprzez ich dostawców, wejść do ich środowiska i w ten sposób zaatakować.

Dlatego tutaj jest też możliwość, że nieważne, że jestem mikroorganizacją, ale działam z dużymi graczami na rynku i ja również muszę zadbać o to, żeby im nie zagrozić. Więc to może być np. wymóg też stawiany w tym łańcuchu dostaw, że droga organizacjo, jeżeli nie będziesz posiadała najnowszych rozwiązań cyber security, no to niestety nie możemy z tobą współpracować.

Więc sama wielkość organizacji nie ma tu nigdy znaczenia, czy należy zarządzać, czy nie należy, bardziej podejście, czy kupimy takie rozwiązanie na własność i będziemy mieć osobę, która będzie nam tym zarządzała, czy takiego admina, którego jak wiemy, w dzisiejszych czasach ciężko pozyskać, żeby był osobą, która ma bardzo dobrą i taką ogólną wiedzę, bo te osoby są od razu pozyskiwane z rynku przez tych dużych graczy, więc jak jestem małą organizacją, to trudno mi taką osobę pozyskać, bo po pierwsze to są ogromne pieniądze, które musiałbym tej osobie płacić, po drugie dla niej może być to nieciekawe zawodowo zarządzanie taką małą organizacją.

Dlatego tutaj dla małych organizacji bym się skupiał bardziej na outsourcingu, czyli właśnie na wykorzystaniu usług, zarządzania podatnościami, w ogóle oddania tych elementów firmom zewnętrznym, które mają wiedzę, które potrafią, a nie np. kupowania takiego rozwiązania na własność.

 

Kilka razy wspominałeś, że bardzo ważna jest wiedza na temat tego, co w naszej sieci gra, żebyśmy byli w stanie te podatności odpowiednio wcześnie wyłapywać i w ogóle być świadomi tego, jakie możliwe wektory ataku mogą się nam przydarzyć.

Ale z drugiej strony nie zawsze jest to możliwe, albo nie zawsze mamy wręcz zasoby pozwalające nam na zeskanowanie czy też przeskanowanie każdego możliwego urządzenia, każdej końcówki, każdego wpiętego do naszej sieci właśnie urządzenia.

Pojawia się wobec tego pytanie, czy to nie jest jakaś dziura albo luka, że my jednak podejmujemy decyzję świadomie, że rezygnujemy ze skanowania określonej klasy być może elementów sieciowych, czy też może właśnie powinniśmy być tutaj bardziej ortodoksyjni i jednak skanować wszystko?

 

Ja podchodzę ortodoksyjnie do tego. Dlaczego? Ponieważ jeżeli pozostawimy jakiś obszar niesprawdzony, niezweryfikowany, to właśnie wystawimy się na to, że osoby z zewnątrz również go znajdą. Wcześniej czy później będą szukały tych elementów niezabezpieczonych, dlatego tak istotne jest skanowanie, audytowanie wszystkich elementów.

Często spotykam się z takim przykładem: Wie pan co, ja drukarki to nie, szkoda na to budżetu, po co drukarki mam skanować, jak one mi zagrażają. I właśnie to jest ten błąd, drukarki zazwyczaj są uwierzytelnione w naszej sieci, więc ten ruch, który będzie ta drukarka generowała w sieci, nie będzie jakoś nam stwarzał jakichś pingów, alertów, one nie są aktualizowane, są uwierzytelnione, więc haker, szukając naszych słabych punktów, natchnie się na taką drukarkę i poprzez tę drukarkę właśnie może dojść do incydentu.

Więc zawsze musimy się skupić na wszystkich obszarach. Często daję takie przykłady, posiadamy dom. Co z tego, że z przodu mam wysoki mur, kamerę, jak od tyłu mam dziurawą furtkę i wystarczy, że taki właśnie przestępca stwierdzi, no dobrze, od przodu nie wejdę, a może spróbuję z drugiej strony i się okaże, że tam hulaj duszy, piekła nie ma. Dokładnie tak samo jest z szukaniem podatności i zarządzaniem podatnościami w naszej sieci. Jeżeli pozostawimy jakiś obszar, to nie zdziwmy się, że osoba atakująca również go znajdzie i go wykorzysta.

Często spotykam się z takim przykładem: Wie pan co, ja drukarki to nie, szkoda na to budżetu, po co drukarki mam skanować, jak one mi zagrażają. I właśnie to jest ten błąd, drukarki zazwyczaj są uwierzytelnione w naszej sieci, więc ten ruch, który będzie ta drukarka generowała w sieci, nie będzie jakoś nam stwarzał jakichś pingów, alertów, one nie są aktualizowane, są uwierzytelnione, więc haker, szukając naszych słabych punktów, natchnie się na taką drukarkę i poprzez tę drukarkę właśnie może dojść do incydentu.

 

Tak, czyli mamy skanowanie sieci, mamy tutaj patch management, różnego typu uaktualnienia, oprogramowania, ale właśnie tak jak tutaj kilka razy też zaznaczyłeś, może się okazać, że tym słabym elementem łańcucha są ludzie, zresztą bardzo często tak jest.

Coraz częściej słyszy się o takim pojęciu jak phishing właśnie w kontekście cyberbezpieczeństwa w ogólności. Chciałbyś kilka słów na ten temat powiedzieć?

 

Tak, jak najbardziej, każda organizacja składa się, już wcześniej też mówiłem, z tych samych w zasadzie elementów, czyli mamy elementy sieciowe, jakąś tam aplikację, naszą stronę komercyjną, i mamy pracowników. I niestety my jako ten czynnik ludzki, czynnik białkowy, jesteśmy najsłabszym elementem każdej organizacji, czy to poprzez umyślne działanie, czy nieumyślne, czy właśnie poprzez socjotechnikę, czyli jest możliwość wpłynięcia na nas poprzez choćby udawanie jakichś stron, podszycie się pod naszych przełożonych, i poproszenie o właśnie udostępnienie jakiegoś hasła, loginu, gdzie zobaczymy, że to nasz przełożony napisał i nie połączymy kropek, tak? Nawet, mimo że siedzi biurko dalej, to nie spytamy, czy to on rzeczywiście wysłał, po prostu odeślemy na tego maila informacje, o które poprosił.

Więc tak, phishing jest bardzo popularny. Zabrzmiało, jakbym się cieszył. Z jednej strony tak, bo daje mi to pole do rozmów z klientami, bo jak pytam, czy zdarza im się phishing, czy to jest problem dla nich organizacji, to nie spotkałem organizacji, która powiedziała: panie Patryku, to nie jest dla nas problem, my nie mamy z tym problemu. Każda organizacja ma z tym problem, tylko właśnie pytanie, jak podchodzą do phishingu.

Część organizacji wysyła pracowników na takie szkolenia, siedzą kilka godzin, słuchają wspaniałych słów, czego mają nie robić, każdy wtedy myśli, no tak, oczywiście to jest wszystko logiczne, jak najbardziej ja tego nie robię. Wtedy śmiejemy się z tych też czasem staruszków, że dają się złapać na wnuczka, jak to możliwe, po czym po takim szkoleniu i posiadaniu dyplomu wracamy do pracy, dostajemy jakiegoś maila i zachowujemy się jak ten przysłowiowy właśnie staruszek, że też nie łączymy kropek ze sobą i dajemy się podejść na phishing i wysyłamy jakieś informacje, które nie powinny się znaleźć poza organizacją.

Więc phishing jest dużym problemem, ale można mu przeciwdziałać właśnie poprzez audytowanie naszych pracowników, czyli nie takie suche puszczenie ich na szkolenie i później mają dyplom, to na pewno już są mądrzejsi, tylko spróbować się zabawić w hakera, podesłać im taką symulację phishingu, czyli taki właśnie szablon, który poprzez socjotechnikę wymusi od nich jakieś informacje, a następnie zobaczyć, kto dał się złapać i przekazanie im: drogi użytkowniku, dałeś się złapać teraz, ale na szczęście to była tylko symulacja, więc nic nam nie grozi, ale proszę, zapoznaj się z pewnymi informacjami, pewnymi zaleceniami, jak postępować z naszą skrzynką firmową.

Bo tak jak BHP przestrzegamy i nie wkładamy palca w kontakt, tak samo posiadanie skrzynki firmowej, mailowej, również wymaga od nas, żebyśmy odpowiednio się zachowywali, przestrzegali pewnych procedur. Dzięki temu unikniemy, a przynajmniej przybliżymy się do tego, żeby zminimalizować ryzyko incydentów tutaj poprzez phishing.

 

A czy istnieje coś takiego jak jakaś standardowa, czy typowa kampania phishingowa, czy też każda jest jednak trochę szyta na miarę?

 

Wiadomo, że hakerzy, którzy zdobywają pewne bazy danych, nie wiedzą, czy po drugiej stronie jest człowiek, ile z tych maili, które pozyskali, rzeczywiście jest wartościowych. Więc pierwszym krokiem jest rozesłanie takich randomowych po prostu jakichś prostych informacji, i tutaj dostanie osoba atakująca informację, że ktoś otworzył maila. Czyli dość błahy w sumie element dla wielu pracowników.

Często ich spotykam i mówię, no dobrze, otworzyłem maila, ale nie kliknąłem w żadne linki, nie pobrałem nic, nie odpowiedziałem na tego maila, więc nic się nie wydarzyło. Ja znowu tłumaczę, że tak i nie, bo daliśmy już informację zwrotną, że po drugiej stronie jest konkretna osoba, bo skoro mieliśmy dostęp, wiemy, że to jest osoba, nie wiem, pani księgowa, czy ktoś z działu sprzedaży, z działu zakupów, więc możemy zacząć już kierunkować atak, czyli nie wysyłać jakichś randomowych informacji, które od razu nam się rzucą w oczy, że nie są związane w ogóle z naszą działalnością, jako pracownikiem, w ogóle z żadnymi tematami, którymi się zajmujemy, więc mówimy, a to phishing, albo to nie dla mnie wiadomość, to nawet nie otwieram tego maila.

Ale jak już taka osoba z zewnątrz będzie miała pewne informacje, no to już będzie mogła zacząć podsyłać już takie konkretne elementy, które już będzie trudniej odróżnić, czy to na pewno jest phishing, czy to może rzeczywiście mój kontrahent wysyła mi jakąś fakturę do pobrania. Dlaczego nie? Otworzę, zobaczę, kliknę, odpowiem, więc tak, tutaj każdy element jest istotny dla osoby, która atakuje.

W dzisiejszych czasach wiemy, że informacje i dane to jest najcenniejsza rzecz i nawet takie błahe elementy już nam dają jakiś obraz i pole manewru.

 

Tak, wiele osób się niestety łapie na tę wędkę phishingu i nawet ci, którzy są świadomi istnienia tego typu zjawiska, często z powodu zabiegania, zmęczenia, przeoczenia po prostu będą w stanie w te sidła gdzieś tam wpaść.

Chciałbym Cię zapytać jeszcze o jedno zagadnienie, które wiąże się z podatnościami bezpieczeństwa, mianowicie o usługę MSP. Gdybyś rozjaśnił, czym ona jest?

 

Usługa MSP, czyli właśnie tutaj możemy outsourcować te elementy, których nie chcemy sami wykonywać. W tym wypadku, jeżeli mówimy o podatnościach, to właśnie nie musimy kupować rozwiązania i określać, że chcemy kupić dane rozwiązanie na rok, dwa, trzy lata, mrozić pewne środki na to rozwiązanie, uczyć się, jak działa takie rozwiązanie, poświęcać czas na późniejsze rozwiązywanie tych podatności, tylko możemy poprzez firmy zewnętrzne zlecić taką usługę, że jestem firmą, powiedzmy mam 10 osób, nie mam jakiegoś takiego w sumie admina, który by zarządzał, sam coś tam sobie konfiguruje, nie znam się na wszystkim, ale wiem, jak istotne jest bezpieczeństwo, cyber security i chciałbym to właśnie zlecić na zewnątrz.

I wtedy wybieram firmę, która będzie mi świadczyła taką usługę, rozliczam się z nimi miesięcznie, więc nie muszę też mrozić żadnych większych środków na zakup rozwiązania. Pozwala mi też to być bardzo elastycznym, ponieważ kupując jakieś rozwiązanie, zazwyczaj trzeba podać, ile tych licencji będziemy potrzebować, często kupując na dłuższy okres czasu mamy tę licencję tańszą niż jakbyśmy co roku odnawiali, dlatego zakładamy, że pi razy oko w ciągu trzech lat moja organizacja może urosnąć o tyle, dojdą jakieś elementy, więc mrozimy pewne środki i nie jesteśmy elastyczni. Więc albo przestrzelimy, albo troszeczkę będziemy musieli w międzyczasie dokupić.

W MSP, jeżeli jest to usługa miesięczna, to możemy z miesiąca na miesiąc zmieniać sobie wielkość naszej organizacji. Jeżeli stwierdzimy, że w danym momencie nie mamy środków albo dana usługa nie jest nam potrzebna, to możemy z niej zrezygnować tu i teraz i wrócić do niej np. za chwilę, jak nasza sytuacja się poprawi, więc daje nam to o wiele większą możliwość dostosowania rozwiązań do naszej obecnej sytuacji bez mrożenia dużych środków.

I zlecamy to też firmom, które mają wiedzę, znają się. Jeżeli kupimy dane rozwiązanie, często obiecują wspaniałe supporty, proszę kupić, będzie support, wszystko będzie okej, po czym kupujemy i się okazuje, że support jest, ale nie w tym tygodniu, support jest, ale nie po polsku, no i zaczynają się schody.

Tutaj nam to odpada, ponieważ jest to usługa, płacę, wymagam poniekąd i co ta firma ma mi zapewnić, to na co się umówiliśmy, za co płacę, Więc jest to naprawdę super rozwiązanie, jeżeli nie chcemy dokładać kolejnej cegiełki na swój kark, uczyć się czegoś, czymś zarządzać, możemy to zrzucić na firmę zewnętrzną.

Usługa MSP, czyli właśnie tutaj możemy outsourcować te elementy, których nie chcemy sami wykonywać. W tym wypadku, jeżeli mówimy o podatnościach, to właśnie nie musimy kupować rozwiązania i określać, że chcemy kupić dane rozwiązanie na rok, dwa, trzy lata, mrozić pewne środki na to rozwiązanie, uczyć się, jak działa takie rozwiązanie, poświęcać czas na późniejsze rozwiązywanie tych podatności, tylko możemy poprzez firmy zewnętrzne zlecić taką usługę, że jestem firmą, powiedzmy mam 10 osób, nie mam jakiegoś takiego w sumie admina, który by zarządzał, sam coś tam sobie konfiguruje, nie znam się na wszystkim, ale wiem, jak istotne jest bezpieczeństwo, cyber security i chciałbym to właśnie zlecić na zewnątrz.

 

Czyli takie obniżenie tego progu wejścia, ale też zminimalizowanie ryzyka, mimo wszystko zaangażowania się w taką usługę długoterminową i też zaangażowania właśnie zasobów, chociażby tego admina, o którym tutaj mówimy, który mimo wszystko musi się wówczas zaznajomić z nowym rozwiązaniem, przejść jakieś szkolenia itd., tutaj nam trochę ten problem odpada.

Ja natomiast chciałem Cię zapytać, czy ten model usług jakoś się odnosi do phishingu?

 

Tak, jak najbardziej, ponieważ w kwestii phishingu, żeby dobrze zweryfikować naszych pracowników, możemy randomowo oczywiście wykorzystać jakiś szablon, gotowy rozesłać i zobaczyć, czy nasi pracownicy zdali się złapać. Ale zarządzanie podatnościami to proces, nie projekt i tu mówimy o wszystkich aspektach zarządzania podatnościami, czy właśnie tych ludzkich, czyli phishingu, czy o web aplikacjach, czy o elementach sieciowych. Ustawiając sobie ten proces, częstotliwość szukania tych podatności, przy phishingu robimy to samo, czy to będzie raz w miesiącu, raz na kwartał, czy raz na pół roku, to będzie to proces powtarzalny i na podstawie wyników będziemy decydować co dalej, czy może zwiększyć intensywność, jeżeli nasi pracownicy dość kiepsko wyjdą w tych wynikach, dadzą się złapać.

Więc to też istotne jest później ukierunkowanie takich ataków, czyli tworzenie coraz lepszych symulacji, żeby utrudniać odgadnięcie naszym pracownikom, że jest to symulacja, a nie prawdziwe wiadomości, żeby właśnie zwiększyć ich czujność.

Dlatego możemy mieć problem, żeby tworzyć to samemu, przygotowywać te wszystkie kampanie, zlecając to na zewnątrz. Taka firma zbierze od nas informacje, jak ma wyglądać taka symulacja, czym się zajmuje nasza firma i to ona będzie musiała właśnie tworzyć takie symulacje, żeby złapać jak najwięcej osób. Możemy z nimi się umówić, że czym lepsza będzie taka symulacja, czym więcej osób da się złapać, tym dostaną jakąś lepszą prowizję z tym związaną, bo będzie nam zależało jak najbardziej na wyciśnięciu naszych pracowników i znalezienie tego najsłabszego elementu.

Oprócz tego przy phishingu i w ogóle MSP, kupując licencję dla MSP, licencję dla phishingu roczną, dwuletnią, trzyletnią, jeżeli proces mamy ustawiony, że raz w miesiącu czy raz na kwartał będziemy korzystać z takiego rozwiązania, to jak przedzielimy koszt takiej licencji na ilość zużycia takiej licencji, to się okaże, że to dość drogo jednostkowo wychodzi.

Zrzucając to na firmę zewnętrzną, się okaże, że skoro nie musimy tego przygotowywać, tracić czasu, zasobów, zrobić to coś lepiej za nas i nie płacimy za cały rok tylko za konkretną ilość, to na końcu się okaże, że to jest jeszcze taniej, niż jakbyśmy kupili takie rozwiązanie na własność.

 

Czyli teraz już nikt nie ma usprawiedliwienia, żeby nie skorzystać z tego typu usługi, bo jest i taniej, i szybciej, i prościej, bez długich zobowiązań. Ja natomiast chciałem Cię zapytać właśnie jeszcze o ten temat podatności, czyli vulnerability management, zarządzanie podatnościami. Dla kogo to powinien być obszar zainteresowań w firmie? W sensie chodzi mi o role, jakieś odpowiedzialności, kto powinien się zainteresować, jeśli jeszcze tego typu procesu zarządzania podatnościami w firmie nie ma?

 

Na pewno jeżeli admin nie wie, czym jest zarządzanie podatnościami, to jest pierwszy sygnał, że nie jest dobrze, że należy doedukować naszego admina o takim procesie, jakim jest właśnie szukanie tych podatności, zanim dojdzie do incydentu. Biznes, o tym, jakie skutki powoduje nieszukanie podatności, ale to myślę, że to jest kwestia tylko przypomnienia.

Głośne przykłady choćby teraz z ostatnich dni ataku, incydentu, gdzie wyciekły dane. Pytanie, czy właśnie wszystkie tutaj te elementy były spełnione, czy było zarządzanie podatnościami, czy cały cyber security był odpowiednio skonfigurowany, czy jakiś błąd ludzki, umyślny, nieumyślny, więc tutaj I biznes, i admini są zainteresowani tym tematem, tylko każdy trochę na inne aspekty patrzy.

Admin patrzy bardziej na aspekty techniczne, które się z tym wiążą. Ja tutaj często lubię podkreślać, że to pomaga po pierwsze pracownikom, pingować też osoby, które później decydują o budżetach, o zakupie pewnych elementów, bo to nie tylko są słowa admina, że należy coś zmodernizować, kupić, dodać, tylko ma raport konkretny, który wskazuje na zagrożenia, więc wzmacnia to jego przekaz, pomaga adminowi wskazać, ile pracy wykonuje, bo często też admini mają problem wykazać, ile pracy w danym miesiącu zrobili, bo jak tu pokazać, zarządzanie siecią. Więc tutaj mogą sobie taki raport wygenerować, pokazać, ile podatności było, ile zostało zlikwidowanych, więc znowu łatwiej.

A dla biznesu z jednej strony też zarządzanie adminem, czyli drogi adminie, proszę, wykaż mi, ile pracy wykonałeś, czy rzeczywiście dobrze zarządzasz, czy nie ma jakichś elementów do poprawy, więc rozwiązanie jest dla wszystkich przeznaczone i wszystkim się przyda poniekąd.

 

Rozumiem. Produkt, któremu pomagasz się tutaj w naszym polskim rynku rozwijać i zaistnieć, czyli właśnie platforma do zarządzania podatnościami Holm Security. Jak ona się wpasowuje w to, o czym dzisiaj rozmawialiśmy? Jak pomaga, jak adresuje te problemy, te podatności, o których wspomniałeś?

 

Tak jak wspomniałeś, zajmuję się holm security, szwedzkim rozwiązaniem, które wyróżnia się tym na rynku, że konkurencja skupia się na wybranych obszarach. Czyli albo skupiamy się na zagrożeniach technicznych, czyli właśnie tutaj elementy sieciowe, webowe, chmurowe, albo tylko na aspektach związanych z czynnikiem ludzkim, przykładowo phishingiem.

Holm security właśnie wyróżni te wszystkie czynniki, z których składa się każda organizacja, czy mała, czy duża, czy średnia i pozwala nam właśnie przeskanować wszystkie te elementy. Czyli mamy tutaj moduł związany z phishingiem, więc możemy symulować kampanie phishingowe i sprawdzać, czy nasi pracownicy dadzą się złowić. Mamy moduł związany ze skanowaniem elementów sieciowych i zobaczeniem, jakie tutaj możemy mieć luki. Mamy element związany z web aplikacjami i przeskanowaniem, czy nasz intranet nie jest dziurawy, czy jakaś nasza strona komercyjna nie posiada  jakichś ukrytych podatności, poprzez które będzie można jakieś dane pozyskać.

Mamy również moduł związany ze skanowaniem naszego dostępu do środowiska chmurowego, jeżeli nie korzystamy z fizycznych serwerów, więc wyodrębnili wszystkie obszary, z czego składa się dana organizacja. Dzięki temu nie pozostają jakieś obszary niezabezpieczone, niezaudytowane. Daje nam to w pełni obraz na temat zagrożeń, na których powinniśmy się skupić.

 

Rozumiem, czyli faktycznie dla admina to jest bardzo solidne narzędzie, które właśnie tak jak powiedziałeś, wzmacnia ten przekaz, ma po prostu konkretne dowody, czy też konkretne podatności na tacy, dzięki którym jest w stanie później dalej do biznesu z tym przekazem, np. o wzmocnienie ochrony różnego typu, po prostu się udać i wówczas jak gdyby tutaj nie ma już możliwości zbycia, bo mamy podane twarde dowody.

Rozmawialiśmy dzisiaj o bardzo ważnym temacie, jak zarządzać podatnościami bezpieczeństwa. Oprócz wiedzy pojawiło się tutaj też konkretne rozwiązania, konkretne rozwiązania, narzędzia, więc myślę, że to będzie cenna, wartościowa wiedza, zwłaszcza dla tych, którzy się, tak jak powiedziałeś tutaj, troszkę obawiają, że może się okazać, że pewne luki w ich pracy, związane z cyberbezpieczeństwem się pojawiły.

Nie powinni się tego obawiać, wręcz przeciwnie, powinni skorzystać z tych narzędzi, ponieważ zwyczajnie będzie to działało na ich korzyść.

Świetnie. Moim i Waszym gościem był Patryk Ćwięczek z firmy DAGMA Bezpieczeństwo IT. Patryk, bardzo Ci dziękuję za rozmowę.

 

Bardzo dziękuję za rozmowę i mam nadzieję, że nie jest to nasze ostatnie spotkanie.

 

Chciałbym Cię jeszcze na koniec, zanim się rozłączymy, zapytać, gdzie Cię można znaleźć w internecie albo gdzie w kontekście tego, o czym rozmawialiśmy, możemy słuchaczy odesłać.

 

Jak najbardziej. Jestem na LinkedInie, tak że można poprzez wyszukanie mojego imienia i nazwiska mnie znaleźć, zobaczyć najświętsze informacje związane z produktem, który reprezentuję, czyli platformą Holm Security, ale również elementami związanego z cyber security. 

Kolejnym elementem jest strona holmsecurity.pl, gdzie są najświeższe informacje, gdzie są informacje o webinarach, wydarzeniach, w których biorę udział, ale również możemy się zgłosić poprzez tę stronę po miesięcznego triala, czyli możemy sprawdzić takie rozwiązanie w swoim środowisku, zobaczyć, jakie daje możliwości, jak pozwala zwiększyć nasze bezpieczeństwo, nasze cyber security, holm security.

 

Super. Oczywiście wszystkie linki będą w tacy do odcinka. Patryk, jeszcze raz bardzo dziękuję. Miłego dnia i cześć. 

 

Dzięki! Pozdrawiam. 

 

I to na tyle z tego, co przygotowałem dla Ciebie na dzisiaj. Po więcej wartościowych treści zapraszam Cię do wcześniejszych odcinków. A już teraz, zgodnie z tym, co czujesz, wystaw ocenę, recenzję lub komentarz w aplikacji, której słuchasz, lub w social mediach. 

Zawsze możesz się ze mną skontaktować pod adresem krzysztof@porozmawiajmyoit.pl lub przez media społecznościowe. 

Ja się nazywam Krzysztof Kempiński, a to był odcinek podcastu Porozmawiajmy o IT o tym, jak zarządzać podatnościami bezpieczeństwa w firmie. 

Zapraszam do kolejnego odcinka już wkrótce. 

Cześć!