To jest 262. odcinek podcastu Porozmawiajmy o IT, w którym z moim gościem rozmawiam o wektorach ataku oraz ich zapobieganiu z wykorzystaniem dostawców bezpieczeństwa.

Sponsorem tego odcinka jest DAGMA Bezpieczeństwo IT.

Wszystko, co potrzebujesz, notatka, linki, transkrypcja czekają na Ciebie na porozmawiajmyoit.pl/262.

Nazywam się Krzysztof Kempiński, prowadzę ten podcast oraz jestem autorem książki Marka osobista w branży IT. Mam misję polegającą na poszerzaniu horyzontów ludzi z branży IT. Tak się składa, że możesz bardzo mi w tym pomóc poprzez wystawienie oceny w aplikacji, w której tego słuchasz lub podzielenie się tym odcinkiem w social mediach. A teraz zapraszam Cię już do odcinka.

Odpalamy!

 

Cześć!

Mój dzisiejszy gość to ekspert z zakresu ochrony firmowych danych przed wyciekiem. Posiada wieloletnie doświadczenie menedżerskie, które z sukcesem wykorzystuje w swojej pracy. Na co dzień zajmuje się tematyką związaną z ochroną informacji i prowadzi warsztaty dotyczące bezpieczeństwa informacji z wykorzystaniem dostępnych technik informatycznych. Jest Senior Product Managerem rozwiązań takich jak Safetica czy Home Security w DAGMA Bezpieczeństwo IT. Prywatnie pasjonat zimowego szaleństwa na snowboardzie, a latem gry na harmonijce ustnej. Moim i Waszym gościem jest Mateusz Piątek.

Cześć, Mateusz, bardzo miło mi gościć Cię w podcaście.

 

Cześć, bardzo mi miło.

 

Dzisiaj mamy bardzo ważny, istotny i na czasie temat. Będziemy z Mateuszem rozmawiać o wektorach ataku. Skupimy się głównie na firmach, na tym, jakiego typu ryzyko takie wektory czy też ataki z ich wykorzystaniem właściwie niosą i powiemy też, jak sobie radzić z tą sytuacją dzięki wykorzystaniu dostawców bezpieczeństwa.

Zanim jednak do tego przejdziemy, to chciałbym Cię Mateusz, jak to u mnie klasycznie jest, zapytać, czy słuchasz podcastów? Jeśli tak, to może jakieś ciekawe audycje będziesz w stanie zarekomendować.

 

Nie. Nie no żartuję oczywiście. To nie jest tak, że nie słucham podcastów. Słucham, ale bardziej preferuję content YouTubowy. To, co bym zarekomendował, to na pewno są materiały Żurnalisty. Nie wiem, czy to się wpasuje w kategorię podcastu. I osobiście jestem ogromnym fanem Tomka Czukiewskiego i ciekawych historii, które robi na kanale YouTube i całej nowej serii, która streszcza wydarzenia na świecie, które miały miejsce w ostatnim tygodniu. Także to są takie materiały, które staram się w miarę na bieżąco oglądać i też jest to dla mnie forma rozrywki.

 

Jasne, jak najbardziej. Taka też jest rola pewnie kanałów na YouTube czy podcastów, żeby nie tylko uczyć, ale również tam rozrywkę gdzieś nam przynosić.

Dobrze, Mateusz, to na początku chciałbym Cię zapytać właśnie o wektory ataku. Mam wrażenie, że często to słowo jest nadużywane, być może nie ma takiego pełnego zrozumienia, czym one właściwie są, więc gdybyśmy mogli rozpocząć od powiedzenia, czym właściwie wektory ataku są, no i też jakie jest ich znaczenie, jaki jest ich wpływ, potencjalnie negatywny oczywiście, na działanie firm.

 

Wektory ataku to są tak naprawdę ścieżki czy takie drogi, które wybiera atakujący, żeby osiągnąć swoje cele, żeby dostać się do naszej infrastruktury, żeby nas zaatakować, być może coś zniszczyć, być może osiągnąć jakieś swoje cele. Czyli to są te sposoby czy te metody, które on będzie wykorzystywał.

To z jednej strony mogą być np. jakieś podatne rozwiązania, które on wykorzysta, żeby się dostać do środka. Z drugiej strony to może być po prostu człowiek. Człowiek może być takim wektorem ataku, Zresztą, tak à propos człowieka, to już chyba 30 lat temu Kevin Mitnick, najsłynniejszy chyba haker na świecie, napisał książkę, że on łamał ludzi, a nie hasła, więc ludzie też stanowią wektor ataku.

A jakie ma znaczenie i wpływ na firmę? W zasadzie bardzo duże, bo jeżeli nie spojrzymy szerzej na naszą organizację, nie zabezpieczymy wszystkich potencjalnych wektorów, to jest trochę jak z otwarciem drzwi. Jeżeli mamy firmę, w której mamy sześć różnych wejść, do tego są okna, to możemy wszystkie drzwi pozamykać, wszystkie okna, a jeżeli zapomnimy o jednym, to bardzo szybko jesteśmy w stanie to zlokalizować i to wykorzystać.

 

Czyli mamy tutaj pewien słaby punkt, który może być wykorzystany. Myślę, że oprócz takiej ogólnej definicji warto byłoby przejść do opowiedzenia o kilku najistotniejszych wektorach ataku. Znowu tutaj powiem, że z punktu widzenia firm, które mogą być właśnie z ich wykorzystaniem jakoś zaatakowane, czy może im się wydarzyć po prostu coś złego.

I taki pierwszy wektor ataku, który pewnie najczęściej jest gdzieś rozpowszechniany, o którym się najczęściej mówi, to są systemy krytyczne dla biznesu, czy taki core działalności, który może firmę przysłowiowo przewrócić. No właśnie, gdybyś mógł więcej na ten temat powiedzieć.

 

W zasadzie nie ma się co dziwić, że to jest pierwsza myśl atakującego, żeby zaatakować systemy krytyczne, bo jakie to są systemy? To będą systemy typu CRM, to będą systemy typu ERP. Takim systemem, czy takim elementem naszej infrastruktury może być np. nasz serwer pocztowy. Wyobraźmy sobie, co się dzieje z naszą organizacją w momencie, w którym pada CRM, w momencie, w którym pada ERP, w momencie, w którym np. przez trzy dni nasz zespół handlowy nie może pracować na poczcie e-mail, musi sobie radzić jakoś inaczej, kiedy nie możemy procesować zamówień, kiedy mamy system kluczowy np. dla funkcjonowania produkcji, ta produkcja staje, no to wystarczy się zastanowić, ile będzie kosztowało moją firmę zatrzymanie produkcji na godzinę, a co jeżeli to będzie taka dewastacja naszej infrastruktury, że zatrzyma nas to np. na jeden dzień.

Więc to są elementy, które są bardzo kuszące z perspektywy atakującego z różnych względów. Czasami tu chodzi faktycznie o zatrzymanie ciągłości działania firmy, a czasami chodzi o nieco bardziej prymitywne elementy, np. wysłanie prostego komunikatu: wiem, że nie działa twój system CRM i twoi handlowcy nie wiedzą, co zrobić. Możemy to bardzo łatwo rozwiązać, bardzo szybko, tutaj jest numer konta. Takie sytuacje też się przecież zdarzają.

Ale Ty wspomniałeś o systemach krytycznych dla biznesu, a ja bym chciał wspomnieć o innym elemencie, o Internet of Things, czyli o tych wszystkich rzeczach, o których zazwyczaj nie myślimy. Jeżeli zadajemy takie pytanie zazwyczaj biznesowi, albo też w IT, które elementy naszej infrastruktury należy zabezpieczyć, to całe myślenie jest skoncentrowane na tych najbardziej oczywistych rzeczach, żebyśmy mieli UTM-a postawionego, żeby się nikt do naszej firmy nie dostał, żebyśmy tam zabezpieczyli przed wyciekiem itd. Natomiast internet rzeczy jest na tyle świeżym elementem, mimo wszystko, że w ogóle jest pomijany.

I teraz przeniosę to trochę z jakby samej firmy na nasze urządzenia domowe. I ja bardzo lubię na prelekcjach, na spotkaniach z ludźmi zadawać takie pytanie i pozwól, że je Tobie zadam. A moje pytanie brzmi: ile masz urządzeń w swojej domowej sieci wpiętych do routera?

W zasadzie nie ma się co dziwić, że to jest pierwsza myśl atakującego, żeby zaatakować systemy krytyczne, bo jakie to są systemy? To będą systemy typu CRM, to będą systemy typu ERP. Takim systemem, czy takim elementem naszej infrastruktury może być np. nasz serwer pocztowy. Wyobraźmy sobie, co się dzieje z naszą organizacją w momencie, w którym pada CRM, w momencie, w którym pada ERP, w momencie, w którym np. przez trzy dni nasz zespół handlowy nie może pracować na poczcie e-mail, musi sobie radzić jakoś inaczej, kiedy nie możemy procesować zamówień, kiedy mamy system kluczowy np. dla funkcjonowania produkcji, ta produkcja staje, no to wystarczy się zastanowić, ile będzie kosztowało moją firmę zatrzymanie produkcji na godzinę, a co jeżeli to będzie taka dewastacja naszej infrastruktury, że zatrzyma nas to np. na jeden dzień.

 

Pewnie tego nie sprawdzam zbyt często. Myślę, że pomiędzy 5 a 10 co najmniej.

 

To moja odpowiedź brzmi, ja też nie wiem, ale na pewno nie tyle, ile powiedziałeś. Dlaczego? Bo jest duże prawdopodobieństwo, że zapomniałeś o inteligentnej lodówce, inteligentnej pralce, o być może kamerze, której nie uwzględniłeś itd. Polecam zrobić sobie takie ćwiczenie, zobaczyć, jakie urządzenia łączą nam się w domu do sieci, albo jakie się historycznie łączyły i naprawdę można się zdziwić. Sterownik do ogrzewania podłogi też jest urządzeniem, które się wpina do naszej sieci.

I teraz, dlaczego ja o tym mówię, bo jeżeli przeniesiemy to na rzeczywistość firmową, to nagle się okazuje, że tych rzeczy, o których zapomnieliśmy i tych urządzeń, o których nie pomyśleliśmy, jest dużo więcej. A jakie mogą być konsekwencje? Na przykład w przypadku właśnie internetu rzeczy wyobraź sobie, że ktoś przejmuje dostęp do całego monitoringu Twojej firmy, bo nie zabezpieczyłeś kamer. Albo wyobraź sobie, że ktoś potrafi przejąć inteligentny zamek do drzwi i masz całą firmę otwartą.

Nawiasem mówiąc, z tym zamkiem to też jest historia, bo jeżeli dobrze pamiętam, to w 2022 była znaleziona podatność właśnie na zamkach elektronicznych i ta podatność została wykorzystana w ten sposób, że jak ktoś miał sfałszowaną kartę, to był w stanie otworzyć 3 miliony zamków hotelowych w 130 krajach na świecie. Bo taka właśnie była luka w rzeczy, o której tak naprawdę nikt nie pomyślał.

Ale tych wektorów ataków jest oczywiście więcej. Może Ciebie zapytam, może Ci jeszcze jakieś przychodzi do głowy.

 

Tak, myślę, że co najmniej o kilka chciałbym Cię zapytać, ale tak pomyślałem sobie, gdy opowiadałeś o IoT i o takim braku trochę świadomości o tym, że właśnie to może być ten wektor ataku, te urządzenia wydają się takie niepozorne, takie właściwie mało gdzieś tam szkodzące potencjalnie, a jednak mogą być furtką w odróżnieniu od tych krytycznych systemów, które, tak jak tutaj zaznaczyłeś, mogą być taką pierwszą linią najczęściej wykorzystywaną, ponieważ wydaje się, że zrobią największą szkodę, tymczasem taka niepozorna wydawałaby się rzecz właśnie jak IoT może też wyrządzić całkiem sporo szkód.

To są systemy biznesowe, to są systemy w jakiś sposób informatyczne, ale myślę, że gdybyśmy sobie mieli taki ranking zrobić tych wektorów ataku, to z pewnością ludzie, tak jak na początku powiedziałeś, już od dawien dawna są takim potencjalnym właśnie wektorem ataku.

Powiedz, proszę, więcej, jak obecnie wykorzystuje się w sposób tutaj jak gdyby obchodzący różnego typu zabezpieczenia pracowników firm, żeby właśnie takie niepożądane działania gdzieś wewnątrz firmy zdziałać.

 

Temat pracowników to jest, można powiedzieć, temat rzeka, bo w odróżnieniu od algorytmów i od oprogramowania i systemów, które jednak mają jakąś logikę, to pracownicy są nieprzewidywalni, więc stanowią bardzo wdzięczny element dla atakującego.

No i teraz pewnie większość słuchaczy, myśląc o podatnościach ludzkich o człowieku, to myśli o phishingu. a przynajmniej taką mam nadzieję i słusznie, bo większość ataków w sumie od tego phishingu się zaczyna, czyli bardzo dużym problemem jest phishing, bardzo dużym problemem, może nawet źle powiedziałem, bardzo dużym problemem jest brak umiejętności rozpoznawania, czym jest phishing, czyli brak wiedzy w tym zakresie wśród w ogóle społeczeństwa, już nie mówię tylko stricte o firmach.

A od tego phishingu się często zaczyna? Bo jest bardzo prosty, to znaczy jest naprawdę bardzo łatwo zrobić kampanię phishingową i sprawdzić po prostu, kto się na to złowi. I to możemy zobaczyć też w życiu prywatnym. Nie wiem, czy Ci się zdarzyło trafić na kampanię phishingową, która prowadziła np. do podstawionej strony Facebooka, po to, żeby wykraść Twoje poświadczenia do Facebooka. To jest dość popularny atak. W firmach one są jeszcze bardziej precyzyjne.

Taki najbardziej spektakularny chyba przykład, który mi przychodzi do głowy jest to spear phishing, czyli taka kampania phishingowa, która jest targetowana w konkretne osoby. Nie wiem, czy obiło Ci się o uszy, ale kiedyś na spear phishing złapali się pracownicy Twittera. I złapali się do tego stopnia, że udostępnili poświadczenia do rozwiązań, które zarządzają kontami twitterowymi, w efekcie czego ponad 100 kont takich znanych osób, tam się przejawiały takie nazwiska jak Elon Musk albo Bill Gates, ich konta zostały po prostu przejęte.

Zobacz, z punktu widzenia użytkownika, prowadzisz swój profil, prowadzisz jakiś tam swój biznes i teraz ktoś nagle jest w stanie zarządzać Twoimi poświadczeniami, chociaż Ty w sumie nic złego nie zrobiłeś. Oczywiście to jest, wiesz, abstrakcyjna sytuacja, to była tak stricte na Twittera, więc to jest naprawdę taki, można powiedzieć, potężny strzał. Natomiast w takiej naszej codziennej rzeczywistości te ataki phishingowe są notoryczne i tylko patrzymy po prostu, kto się złapie i taka osoba, która jest zaatakowana, jeżeli ona nie rozpozna, że to jest phishing, będzie chciała się gdzieś zalogować, podaje swoje poświadczenia i na etapie końcowym tego ataku ona nawet nie wie, że w zasadzie ktoś przejął jej dostępy, bo z jej punktu widzenia ona wykonała to, co miało się zadziać, coś się zadziało, jest w porządku, mogę pracować dalej, a w tym czasie ktoś już ma jej poświadczenia.

Teraz wyobraź sobie, że to jest księgowa. To jest księgowa i zostały przechwycone poświadczenia do kluczowych systemów i następnego dnia leci przelew z firmy. To jest sytuacja lekko, mam nadzieję, abstrakcyjna, bo na szczęście systemy bankowe pod kątem przelewów mają dodatkowe zabezpieczenia i to nie jest takie proste, żeby zrobić przelew z konta firmowego nawet z poświadczeniami. Ale dalej można bardzo wiele szkód wyrządzić, zaczynając właśnie od takiego bardzo prostego phishingu.

 

Właśnie, mamy pracowników, którzy mogą się nieraz albo bardzo często właśnie nieświadomie przyczyniać do tego, że robią coś, co później przekłada się na niepożądane działania. A co ze sprzętem biurowym, który też bardzo często obecnie łączy się z siecią, jest w jakiś sposób nie tylko prostym urządzeniem, jak to miało miejsce grać tam lat temu, ale już dosyć zaawansowanym technologicznie, bardzo często połączonym, zintegrowanym z innymi rzeczami. Czy ten wektor ataku również jest wykorzystywany w firmach?

 

Oczywiście, że tak. W zasadzie trochę jest tak, że jak wejdziesz do firmy, to gdzie nie popatrzysz, to znajdziesz potencjalne luki, jak wiesz, na co patrzeć. I teraz tego typu elementy, które są najmniej oczywiste. Na początku rozmawialiśmy o Internet of Things, rozmawialiśmy gdzieś tam o kamerach, o jakichś tam inteligentnych lodówkach, czyli czymś, co jest potencjalnie nieszkodliwe i na co się nie zwraca uwagi. To jest jeden element, ale są rzeczy, do których jesteśmy tak przyzwyczajeni, że one są, funkcjonują. Weźmy drukarkę na przykład.

No okej, mam drukarkę, co złego może mi wyrządzić drukarka? A właśnie może, tylko zazwyczaj o niej nie myślimy w kategoriach tego, że ona stanowi wejście do naszej firmy albo wejście gdzieś tam dalej. Więc ona może stanowić swego rodzaju otwarcie drzwi, może też być wykorzystana na przykład, no nie wiem, żeby zacząć drukować nie to, co chcesz.

Zresztą jest tu taka historia. W 2018 roku był przeprowadzony atak, w wyniku którego kilka tysięcy drukarek zaczęło drukować określoną ulotkę określonego vlogera, bo zrobił taką kampanię. I nagle się okazało, kurczę, nie wpadłbym na to, że trzeba zabezpieczać rzeczy jak drukarka, bo zużyje mi cały tusz i wypluje mi ulotki. Ja mam wtedy takie poczucie, że ktoś mi de facto wszedł do domu i zaczął drukować coś na mojej drukarce.

Więc to są właśnie te rzeczy, na które zazwyczaj nie zwracamy uwagi. To one prawdopodobnie będą pierwsze celem ataku i pierwszą próbą wykorzystania, bo wszyscy wiedzą, że są inne systemy core’owe odpowiedzialne za bezpieczeństwo i że one muszą być odpowiednio zaopiekowane.

 

Jasne. Czy jeszcze jakieś inne wektory ataku przychodzą Ci do głowy? Jest coś, o czym warto tutaj wspomnieć w kontekście tych najczęściej spotykanych?

 

Powiedziałbym w kontekście tych opcji wejścia i też takich rzeczy, które są dość często, które są turbo niebezpieczne, może tak, one się nie zdarzają chyba często albo, co niestety bardziej prawdopodobne, często o nich nie wiemy, bo jest jeszcze cała masa ataków, które są, mówiąc brutalnie, zamiecione pod dywan albo po prostu dotyczą, nie wiem, małego, średniego przedsiębiorstwa, i jakby umówmy się, że Gazeta Wyborcza nie napisze artykułu, że w jakiejś tam wsi jest firma dwudziestoosobowa, która została zaatakowana. No jakby takie rzeczy się nie dzieją, a się dzieją, tak? Po prostu się o nich nie mówi.

To z takich, powiedzmy, grubszych obszarów, no to jest cały obszar OT. Bardzo duże ryzyko. Tam są maszyny, które często pracują na przestarzałych systemach operacyjnych, których nie można podnieść. Największy problem tych maszyn jest taki, że one są kompatybilne tylko z określonymi wersjami. I teraz osoba, która za to odpowiada od strony bezpieczeństwa staje przed, mówiąc uczciwie, paskudnym dylematem. To jest dylemat pod tytułem zachowujemy ciągłość działania, ewentualnie wymieniamy maszynę, czy akceptujemy takie ryzyko biznesowe.

I to są problemy, które dotykają naprawdę mnóstwa firm w Polsce, że trzeba sobie zadać pytanie, jak inaczej zabezpieczyć te rozwiązania, wiedząc, że pod spodem stoi Windows XP albo jeszcze jakieś starsze.

Przerabialiśmy już, zresztą firma ESET, z którą bardzo blisko jako DAGMA współpracujemy, też przeprowadza swoje analizy i po blackoucie, który miał miejsce na Ukrainie, też została przez nich wykonana weryfikacja, co tam tak naprawdę się stało. I ten blackout, który tam był, to było 6 godzin bez prądu na Ukrainie 23 grudnia. To jak czytasz, że 23 grudnia przez 6 godzin ktoś na Ukrainie nie ma prądu, 2015 rok to chyba też warto dodać, że to jeszcze nie były czasy, w których się podziało to, co się podziało, to potem w wyniku analizy wychodzi na to, że to jest kwestia jakby obcego państwa, to rzeczywiście robi się zimno, bo ten wirus oczywiście był gdzieś tam szerszej rozprzestrzeniany.

I jeszcze jeden wektor, o którym też wydaje mi się, że nie myślimy. Przyznam szczerze, że nie wiem, więc zapytam z ciekawości, czy Ty masz swoją stronę internetową?

 

Tak, tak, posiadam stronę podcastu.

 

Posiadasz, dobra. To teraz zadam Ci pytanie. Jeżeli na swojej stronie internetowej w pewnym miejscu umieszczasz informację, że można Cię wesprzeć, np. robiąc Ci przelew itd., i teraz ktoś Ci tę stronę podmieni na identyczną, jaką Ty masz, dokładnie na taką samą, tylko będzie inny numer rachunku bankowego, to w którym momencie się skapniesz, że coś jest nie tak?

To teraz zadam Ci pytanie. Jeżeli na swojej stronie internetowej w pewnym miejscu umieszczasz informację, że można Cię wesprzeć, np. robiąc Ci przelew itd., i teraz ktoś Ci tę stronę podmieni na identyczną, jaką Ty masz, dokładnie na taką samą, tylko będzie inny numer rachunku bankowego, to w którym momencie się skapniesz, że coś jest nie tak?

 

No tak, pewnie trochę to zajmie. Nie będę widział od razu efektów czy skutków. Trochę czasu minie.

 

Tak, zapytałem dlatego, że to też jest nagminne, że są ataki przeprowadzone na aplikacje internetowe, na strony internetowe i one nie muszą być zrobione w ten sposób, że masz skompromitowaną stronę, na której po prostu widać, że doszło do kompromitacji. Jak jesteś urzędem jakimś, to zazwyczaj chodzi o to, żeby ci trochę wizerunek popsuć, ale równie dobrze przecież można ją podmienić na identyczną jak Twoja, ale po to, żeby, nie wiem, podmienić numer rachunku na tej stronie albo dać pasy do logowania, tak, żebyś Ty myślał, że wchodzisz na taką stronę, a tak naprawdę wchodzisz gdzieś zupełnie indziej, podajesz login i hasło, nie daj Boże, masz wszędzie takie samo i w zasadzie jesteś ugotowany, nie?

Więc to są takie rzeczy, na które warto zwracać uwagę. W kontekście w ogóle wszystkich wektorów uważam, że kluczowym aspektem jest edukacja przede wszystkim. Społeczeństwo ma zbyt niską świadomość zagrożeń czyhających w sieci, to się zmienia, i dobrze. Przynajmniej zaczynamy np. tłumaczyć dzieciom, co im się może w sieci stać, co jest w ogóle osobnym tematem. Ale jeszcze cały czas nie ma tego aspektu, że nie każdy mail będzie prawdziwy, nie każda informacja jest prawdziwa, nie wszędzie musisz podawać dane do logowania.

Dobrze, żebyś miał, nie wiem, KeePassa, a jak nie masz KeePassa, to dobrze, żebyś miał chociaż inne hasła do różnych systemów itd. To jest wiedza, której naprawdę brakuje, a to są podstawowe elementy, które strasznie mogą nam pomóc. I na poziomie takim prywatnym, i na poziomie służbowym. Na poziomie służbowym oczywiście zwłaszcza, nie?

 

Miejmy nadzieję, że tą naszą rozmową, tym podcastem chociaż jakąś małą cegiełkę do podniesienia tej świadomości dołożymy. I oczywiście nie chcemy tutaj nikogo straszyć, ale myślę, że warto byłoby, gdybyś Mateusz powiedział, które z tych wektorów ataku są potencjalnie najbardziej groźne albo które są najczęściej wykorzystywane właśnie w kontekście ataków na firmy.

 

Trochę się powtórzę, natomiast z mojego doświadczenia wynika, że większość ataków zaczyna się od phishingu, właśnie ze względu na tą łatwość tego ataku i na ten brak wiedzy po drugiej stronie. Oczywiście, że jak phishing uderzy w nasz IT, to nasz IT dokładnie wie, co z nim zrobić, a przynajmniej taką mam nadzieję. Natomiast jak phishing trafia w osoby, które z IT nie mają wiele wspólnego, a jest przecież cała masa firm, w których jednak ludzie nie mają takiego obeznania, to człowiek zawsze będzie najbardziej potencjalnym ryzykiem w każdej organizacji. I to niestety od tego się zaczyna. Od tego jest już tylko krok, żeby przejąć czyjeś poświadczenia, żeby mieć wejścia dalej itd.

Słyszałem kiedyś taką historię i uważam, że jest wiarygodna w sensie takim, że faktycznie tak może się zadziać. Można zrobić taki eksperyment i podrzucić pendrive pod jakąś firmę, żeby pracownik, który wchodzi, losowy, pierwszy, lepszy, znalazł pendrive na wejściu. Co ten pracownik zrobi? Niestety w większości firm pierwsze, co zrobi, to podepnie go do komputera. To się po prostu aż prosi. Ciekawość będzie w tym momencie silniejsza niż świadomość czy świadomość ryzyka, co na tym pendrive może być i co się może stać. A może się stać wiele niefajnych rzeczy, nie?

 

No tak, tak, tutaj pewnie tylko gdzieś kreatywność tych osób, które chcą zaatakować, nas ogranicza. No właśnie, wiesz, pewnie się ze mną zgodzisz, ale ta maksyma o tym, że lepiej jest zapobiegać, a nie leczyć również się aplikuje do zarządzania cyberbezpieczeństwem. Czy reagowania na różnego typu incydenty, zdecydowanie lepiej jest wyjść tutaj przed szereg i jednak zrobić kilka tych kroków właśnie po to, żeby tego typu wektor ataku, może nie powiem, żeby zupełnie nie dało się ich wykorzystać, ale przynajmniej ograniczyć jakoś to pole rażenia.

Powiedz, proszę, czym jest zarządzanie podatnościami i na ile ten temat jest właśnie istotny w kontekście zapobiegania wykorzystywaniu wektorów ataku, o których powiedziałeś?

 

Zarządzanie podatnościami to jest dość szeroki obszar, ale w dużym skrócie to jest podejmowanie takich działań, które minimalizują nam ryzyko, czyli zabezpieczenie jak najszerszej ilości wektorów. Bardzo dużo problemów, które mamy w organizacji, takich problemów w sensie, że jesteśmy narażeni na atak, wynika z tego, że mamy np.nieaktualne oprogramowanie.

To są luki, które są powiedziane wprost, to znaczy producent danego systemu mówi: Powinieneś podnieść mnie do nowszej wersji, bo mam lukę. I teraz jeżeli ja tego nie zrobię, to ta luka dalej u mnie jest. Więc zarządzanie podatnościami to jest sprawdzenie i szukanie tych elementów w naszej infrastrukturze, w których należy w pierwszej kolejności zareagować.

Wspomniany już system przestarzały na jakiejś produkcji, gdzie trzeba się zastanowić co z tym zrobić i jak sobie to zabezpieczyć. Zarządzanie podatnościami też w kontekście ludzkim, czyli na jakim etapie są moi pracownicy, ile oni wiedzą o zagrożeniach, które mogą ich spotkać pod kątem cyber security, czy pod kątem ataku, powiedzmy, osoby z zewnątrz, na ile oni są z tego zakresu przeszkoleni, jak oni w ogóle reagują, czy oni kiedyś mieli testy. Tych obszarów jest dużo, ale generalnie co do zasady to jest po prostu podejmowanie działań, które mają zminimalizować te wszystkie możliwe opcje wejścia do naszej organizacji.

Tu możemy iść w kierunku rozwiązań gotowych, software’owych, czyli mamy system, którego zadaniem jest wyłapywanie luk, w naszej organizacji. Oczywiście nie mówię o tym bez powodu, bo jeden z systemów, który się w tym specjalizuje, to jest szwedzka firma Holm Security, bardzo blisko z tym producentem pracuje, w związku z czym też nie bez powodu o tym wspominam, ale faktycznie jest to o tyle fajny system, że on sprawdzi potencjalne luki, postawi nas trochę w roli atakującego i pokaże nam, co z naszego punktu widzenia tak naprawdę widać, czy to od zewnątrz, czy to od wewnątrz, jakie ten atakujący ma potencjalne możliwości wejścia do naszej firmy, a z drugiej strony pozwala na symulację kampanii phishingowych, więc z automatu sprawdzamy w praktyce, jak nasz pracownik zareaguje na phishing.

Bardzo fajne narzędzie, to jest oczywiście przykład, bo generalnie narzędzi do zarządzania podatnościami jest na rynku więcej, one są różne, różnią się paroma elementami od siebie. Stworzenie kampanii phishingowej nawet samodzielnie też jest dobrym pomysłem wewnątrz organizacji, bo istotny jest ten efekt końcowy, czyli istotne jest to, co my dostaniemy za obraz naszej firmy, żebyśmy wiedzieli, gdzie mamy popatrzeć dalej, na co powinniśmy zwrócić uwagę i przede wszystkim, który z naszych pracowników złowił się na nasz fikcyjny phishing.

Ja tak wracam do tego phishingu, ale to naprawdę, uważam, jest ogromny problem. Trochę jest tak, że pracownicy naszej firmy, większości firm traktują szkolenia cyber security na mniej więcej tym samym poziomie co szkolenia z BHP. Uważam, że jest to zasadniczy błąd, nie ujmując oczywiście BHP. To jest element, który może nas narazić na gigantyczne straty, czy to wizerunkowe, czy finansowe i na pewno na ten aspekt warto zwrócić uwagę.

 

Absolutnie. Myślę sobie, że może trochę tutaj przykłada się do tego to, że te szkolenia są często mało atrakcyjne. Tak samo jak możemy się gdzieś tam może śmiać z tych szkoleń BHP, które do znudzenia są gdzieś nam aplikowane, ale podawane w małotrakcyjnej formie. Niestety często też jest tak ze szkoleniami związanymi z cyberbezpieczeństwem.

Przy tej okazji chciałbym Cię zapytać, co właśnie robić w tej sytuacji, jeśli nasza firma nie ma rozbudowanego działu IT i wielu specjalistów zajmujących się tym tematem. Czy wówczas jesteśmy skazani na to, żeby jakoś samemu poszukiwać tej wiedzy, czy może da się wykorzystać właśnie tego typu rozwiązania, o których wspomniałeś po to, żeby nawet w tych małych firmach, małych zespołach i w jakiś sposób się zabezpieczać na tego typu ataki, ale również też chociażby symulować w bezpiecznym środowisku różnego typu zagrożenia po to, żeby się na koniec dnia czegoś nauczyć?

 

Do tego tematu można podejść na kilka sposobów. Ja się odniosę chyba do tego, który jest najczęściej przeze mnie spotykany, a ja pracuję głównie z małymi przedsiębiorstwami, średnimi i sektorem enterprise’owym, i one się troszeczkę różnią podejściem, bo w sektorze enterprise zazwyczaj są jednak całe zespoły dedykowane bezpieczeństwie IT, więc tam to wygląda trochę inaczej, tam są po prostu ludzie do pracy, którzy mają się tym zająć.

Natomiast jak mówimy o tych małych, średnich przedsiębiorstwach, albo o sektorze publicznym, to rozmawiamy o sytuacji, w której jest jeden informatyk albo dwóch i teraz na jego głowie zazwyczaj jest: brakuje tuszu w drukarce, Excel mi się zepsuł, komputer mi się nie włącza i masa tego typu rzeczy plus cyber security na deser. Podziwiam tych ludzi przy swojej determinacji i ilości pracy, którą oni mają, że oni mają czas, chęci i potrzebę cały czas zwiększania poziomu bezpieczeństwa w tych małych i średnich organizacjach.

I teraz odnosząc się do tego Twojego pytania, jak oni to zazwyczaj robią, no takim chyba corem jest to, żeby szukać rozwiązań, które są stosunkowo proste w zrozumieniu, proste w implementacji i proste w obsłudze. Bo zaoszczędzamy czas. Jeżeli patrzymy np. na rozwiązania do zarządzania podatnościami, to mamy szereg różnych producentów, różnych rozwiązań, mamy również rozwiązania open source’owe, czyli jakby darmowe, które możemy zastosować.

Natomiast problemem tych rozwiązań w większości będzie to, że implementacja ich w naszym środowisku będzie długotrwała, że będzie kosztowna, będzie długotrwała. Albo jak w przypadku open source’ów będzie wymagała naprawdę specjalistycznej wiedzy, żeby ją zaimplementować.

Oczywiście zawsze się znajdą magicy i fani i tacy, którzy są stricte zajarani na tego typu rzeczy i oni to chętnie będą robić i super, bo ważny jest ten efekt końcowy, ale w większości przypadków IT, zwłaszcza takie jedno czy dwuosobowe, po prostu nie ma na to czasu, więc szukają rozwiązań, które będą w stanie szybko wdrożyć i szybko osiągnąć efekt.

Ten efekt to jest zazwyczaj wskazanie miejsca do kolejnych prac, tu się nie ma co oszukiwać, bo efektem szukania podatności jest informacja, gdzie te podatności mamy, więc powinniśmy się tym obszarem zainteresować. Efektem zrobionej kampanii phishingowej na naszych pracownikach będzie informacja, że w tym i w tym dziale to powinniśmy zrobić powtórkę z tego szkolenia.

Powiedziałeś bardzo fajną rzecz, bardzo mi to utkwiło w głowie, że problemem tych szkoleń cyber security jest to, że one są po prostu nudne. I uważam, że to jest bardzo trafne spostrzeżenie. To znaczy, że warto chyba szukać albo firm szkoleniowych, albo samemu mieć taką zajawkę, żeby postawić ten element przykładów z zakresu zagrożeń cyber security na pierwszym miejscu i pokazać, co się stanie, jeśli Ty nie będziesz wiedział, że to jest phishing, co się może stać, jakie są tego konsekwencje, ale nie w sensie prawnym i slajdów z toną tekstu, tylko właśnie takich realnych case’ów, gdzie wyciekły jakie dane, jaka firma została zniszczona albo komu ktoś przejął dostęp do Facebooka.

Tak swoją drogą też się spotkałem ostatnio z atakiem bardzo sprytnym, gdzie jeżeli klikniesz w nieodpowiedni link, dostajesz dane do logowania do Facebooka, co oczywiście Facebookiem nie jest. Po podaniu poświadczeń atakujący ma twój dostęp do Facebooka i wysyła do wszystkich Twoich znajomych informację pod tytułem, wiesz co, mam ciężką sytuację, wiesz, tu na mieście jestem, weź mi, proszę, przelej pięć dyszek, tylko mam problem z telefonem, tu jest numer konta. I teraz pytanie na tysiąc Twoich znajomych na Facebooku, ile pośle te 50 zł i nie zweryfikuje tego, co to za problem, nie? Na przykład.

To są abstrakcyjne case’y, które mają faktycznie miejsce. O nich też się oczywiście nie mówi, no bo znowu, żadna duża prasa nie schyli się po przypadek, że ktoś komuś 50 zł ukradł w ten sposób. Ale to trochę off-topic, bo w sumie gadaliśmy o tym, jak sobie radzi IT.

Tak swoją drogą też się spotkałem ostatnio z atakiem bardzo sprytnym, gdzie jeżeli klikniesz w nieodpowiedni link, dostajesz dane do logowania do Facebooka, co oczywiście Facebookiem nie jest. Po podaniu poświadczeń atakujący ma twój dostęp do Facebooka i wysyła do wszystkich Twoich znajomych informację pod tytułem, wiesz co, mam ciężką sytuację, wiesz, tu na mieście jestem, weź mi, proszę, przelej pięć dyszek, tylko mam problem z telefonem, tu jest numer konta. I teraz pytanie na tysiąc Twoich znajomych na Facebooku, ile pośle te 50 zł i nie zweryfikuje tego, co to za problem, nie?

 

Tak, to jest, myślę, mega istotny temat, a przedłużeniem pewnie tego off-topica będzie pytanie o to, czy w związku z tym w takiej sytuacji, kiedy nie jesteśmy sobie wewnętrznymi zasobami w firmie w stanie pozwolić na to, żeby zadbać w wystarczający sposób czy poziom tego cyber bezpieczeństwa zapewnić, to czy tutaj alternatywą jest szukanie zewnętrznych dostawców? Czy to jest bezpieczne? Czy to jest efektywne? Czy jesteś w stanie to polecić?

 

Fajnie, że o to zapytałeś i trochę to jest też z kontekstu wzięte, bo ja mówiłem o tym, że są dwie opcje i że zazwyczaj właśnie szukamy tych rozwiązań. Ale tak, jest jeszcze opcja numer dwa, czyli outsourcujemy element bezpieczeństwa na zewnątrz. Jeżeli dobierzemy dobrego partnera do współpracy, jeżeli weźmiemy firmę zewnętrzną, czyli powiedzmy SOC, ktoś, kto nam świadczy usługę SOC dla naszej organizacji, to rzeczywiście ma to sens, bo to ktoś inny analizuje to, co dzieje się w naszej sieci, sprawdza, na jakie elementy są mniej lub bardziej istotne i nas alarmuje w odpowiednim momencie, czy wręcz jak jest taka potrzeba, podejmuje jakieś tam działania.

To ma duże przełożenie w sensie takim, że ten obszar możemy mieć zabezpieczony, ba, jak zabezpieczymy go od strony prawnej prawidłowo, to też odpowiedzialność prawna spada wtedy na tę firmę, no ale ma to pewien minus, a tym minusem są pieniądze. Bo generalnie jeżeli coś robimy sami, to raczej będzie to zawsze tańsze niż jeżeli musimy za to komuś zapłacić, ale to nie jest zła opcja w sytuacji krytycznej, w której naprawdę potrzebujemy specjalistów i nie jesteśmy w stanie ich mieć u siebie i musimy sobie z tym jakoś poradzić, jeżeli nie mamy czasu sami się gdzieś tam doinformować.

Warto też chyba polegać na dystrybutorach, to znaczy uważam, że dystrybutorzy rozwiązań cyber security bardzo mocno pomogą swojemu klientowi w zakresie tego, jak szybko i sprawnie poradzić sobie z zagrożeniami, które mogą na niego czekać i zrobią to w ramach po prostu pomocy dla swojego klienta, bo to de facto jesteś wtedy klientem danego dystrybutora.

 

Tak, myślę sobie, że to ma bardzo duży sens w przypadku takich firm, gdzie ten obszar nie jest jakąś core’ową częścią ich biznesu. Można tutaj się kłócić i pewnie dyskutować o tym, czy IT to nie jest przypadkiem w obecnych czasach właśnie core’owa część każdej firmy, ale myślę, że tutaj wiesz, o co mi chodzi w sytuacji, kiedy nasz biznes opiera się na czymś zupełnie innym, a IT jest, można powiedzieć, taką tylko częścią gdzieś tutaj tego wszystkiego, no to tym bardziej pewnie delegowanie zadbania o ten obszar właśnie cyber security do doświadczonego dostawcy jak najbardziej ma sens i na końcu dnia da po prostu lepsze efekty.

 

Zdecydowanie tak, jeżeli wybierzemy dobrego dostawcę, przy czym tu też dobrze byłoby mieć wiedzę, który to jest dobry dostawca. Ja kieruję się taką logiką, którą chyba też bym polecił, że jeżeli szukamy partnera biznesowego, który ma zapewnić bezpieczeństwo naszej organizacji, to powinniśmy to zrobić dokładnie tak samo jak robimy w przypadku innych procesów, które outsourcingujemy, czyli sprawdźmy po prostu, co rynek oferuje i w jakim zakresie i teraz jeżeli okaże się, że firma A mówi, że zabezpieczy nam sieć w takim i w takim zakresie i zabezpieczy nam biznes, komputery w takim i w takim zakresie, a firma B mówi te dwie rzeczy i oprócz tego mówi jeszcze o zakresie szkoleniowym albo o zakresie zapobiegania wycieku danych, bo zaimplementuje rozwiązania, które zapobiegną wycieku danych, to już wiemy, aha, jest jeszcze taki obszar jak wyciek danych, no faktycznie, mamy kolejną ofertę i już zaczynamy automatycznie mieć też wiedzę, jaki w ogóle może być obszar.

Bardzo trudno jest wskazać, kto konkretnie, więc osobiście uważam, że należy sobie zadać jak najwięcej pytań z serii, a co jeżeli, czyli co jeśli ktoś zrobi to, albo co jeżeli takie i takie poświadczenia wyciekną, a co jeżeli firma, z którą współpracujemy, zgubi poświadczenia, które służyły do dostania się do wewnątrz naszej firmy itd., więc tego typu pytania. I zderzenie po prostu tego, co oferuje rynek. Ale to jest, szczerze mówiąc, moja opinia i myślę, że ile ekspertów tyle opinii, że tak powiem, jak dobrze dobrać dostawcę bezpieczeństwa.

 

Tak, to myślę, że porównanie tego, co rynek oferuje, różnych ofert jak najbardziej ma sens, żeby przynajmniej też samemu czegoś się nauczyć i dowiedzieć właśnie, tak jak tutaj mówiłeś, jakiego typu obszary musimy zaopiekować, jakie obszary związane z cyberbezpieczeństwem w ogóle istnieją i na co możemy tutaj liczyć, jeśli chodzi o współpracę z tego typu dostawcą.

Chciałbym Cię zapytać na bazie Twojego doświadczenia, co byś rekomendował, co byś polecił tym firmom, które dziś dopiero zaczynają budować tę swoją strategię cyberbezpieczeństwa, na co powinny zwrócić uwagę, o co zadbać, aby właśnie nie paść ofiarom tych ataków z wykorzystaniem wektorów, o których mówiłeś?

 

To ja rekomenduję zazwyczaj taką filozofię: nie wszystko na raz, czyli raczej krok po kroku. I po drugie coś, co nazywa się zero trust, czyli zero zaufania. Czyli z miejsca musimy założyć absolutnie brak zaufania do czegokolwiek, czy do systemów, czy do ludzi. I to jest całkiem niezły punkt wyjścia.

Osobiście rekomendowałbym, żeby faktycznie zacząć edukować ludzi, żeby robić na nich kampanie phishingowe, żeby szkolić ludzi z zakresu cyber security i to akurat można robić równolegle z wdrożeniem innych rozwiązań, to się ze sobą nie kłóci. Więc szkolenia to jest jeden aspekt, a z drugiej strony wdrażanie poszczególnych rozwiązań.

Które rozwiązania? Powiedziałbym, że od najprostszych do najbardziej zaawansowanych. Jeżeli dopiero zaczynamy, to sprawdźmy, czy mamy oczywistości, czy mamy antywirusa na komputerze. Jeżeli tak, czy to jest, nazwijmy to, dobry antywirus. To akurat łatwo można sprawdzić, bo wystarczy sięgnąć do rankingów, chociażby Gartnera. Jak już mamy tego antywirusa, to zacznijmy sobie zadawać pytania, okej, to w jakim zakresie chcemy, albo w jakim zakresie korzystamy z chmury. Jeżeli korzystamy z tej chmury, bo musimy, okej, na ile ona jest zabezpieczona, na ile to jest chmura jakaś tam publiczna itd.

I potem dopiero kolejne rozwiązania. Oczywiście UTM musi być postawiony na styku sieci, żebyśmy mieli pewność, że tam wejście od zewnątrz jest dobrze zabezpieczone. I dopiero w kolejnych elementach, kolejne systemy czy kolejne klasy rozwiązań, tych klas rozwiązań jest oczywiście mnóstwo, każdy odpowiada za inny obszar, więc warto to faktycznie robić po kolei, ale jednocześnie cały czas pamiętać o tym, żeby ludzi uczyć, uczyć, uczyć, bo to oni będą na pierwszej linii frontu i to oni pierwsi oberwą w przypadku ataku i prawdopodobnie to od nich właśnie zacznie się atak, nawet jak oni będą tego świadomi.

 

Właśnie, tak samo jak antywirusy muszą sobie uaktualniać co jakiś czas bazę wirusów, tak samo dostawcy tych rozwiązań związanych z cyberbezpieczeństwem też muszą przewidywać i też reagować na to, co się dzieje na rynku, czyli jakiego typu trendy, jakie typu nowości się w tym obszarze pojawiają. Jak te firmy do tego podchodzą, w jaki sposób ten proces u nich wygląda?

 

Jak mówimy o tym, jak te firmy faktycznie reagują na te zmieniające się trendy, mam tu na myśli dostawców bezpieczeństwa, to chyba kluczowe jest to, że zbierają informacje na bieżąco na temat tego, co dzieje się w zagrożeniach. Mamy w Polsce na szczęście takie instytucje i takie zespoły jak CSIRT, czyli zespoły reagowania na incydenty bezpieczeństwa. One monitorują to, co dzieje się w polskiej sferze, powiedzmy, cyberprzestrzeni. One między sobą wymieniają się informacjami i to jest jeden z lepszych pomysłów, na jakie można było wpaść, mówię tutaj w skali takiej jakby globalnej.

Tu mamy sytuację, w której jeżeli następuje atak na jednostkę X, np. na jakiś urząd, ten atak jest w jakiś sposób określony, czyli już go zdążyliśmy zidentyfikować, nawet być może kosztem tej jednostki. to ta informacja od razu leci do takiego zespołu CSIRT-u i natychmiast wiadomo, że tego typu atak ma miejsce, więc z automatu wiemy, że prawdopodobnie za chwilę zacznie występować w innych miejscach i możemy natychmiastowo zacząć reagować.

Więc w ogóle sama koncepcja zbierania takich informacji i wymiany to już jest bardzo dobry pomysł i bardzo dobry kierunek. Więc mamy w Polsce jednostki, które są odpowiedzialne za polską cyberprzestrzeń, które pracują z dużymi podmiotami, Które mają wiedzę na temat tego, co dzieje się w cyberprzestrzeni. I jeżeli mówimy o tym sektorze publicznym, to zdecydowanie ten sektor publiczny powinien na tego typu jednostkach mocno polegać. Oczywiście nie ślepo polegać, bo cały czas trzeba mieć w tyle głowy, że jednak masz pod opieką swoją jednostkę publiczną i masz dbać o jej bezpieczeństwo, nie możesz bazować tylko na tym, że mamy tutaj zespół do reagowania na incydenty bezpieczeństwa, ale sama koncepcja jest naprawdę niezła.

Więc przede wszystkim dostawcy bezpieczeństwa monitorują to, co się dzieje, wyłapują to i natychmiast zmieniają coś. Mówiąc, zmieniając coś, mam na myśli, albo właśnie informują inne jednostki, albo jeżeli to jest dostawca bezpieczeństwa w sensie producenta, to natychmiast łata sam siebie, wypuszcza aktualizację, informuje społeczeństwo, tak, miałem lukę, już ją załatałem, koniecznie zaktualizujcie sobie swój, nie wiem, system operacyjny, swoje urządzenie itd.

 

Rozmawiamy tutaj w ramach podcastu technologicznego, więc też o technologię chciałbym Cię zapytać. O te, które są najskuteczniejsze w zapobieganiu atakom. Byłoby super, gdybyś może jakieś narzędzia też, które z ich wykorzystaniem działają, podał.

 

Najskuteczniejsze to jest bardzo trudne pytanie, bo tak jak powiedziałem wcześniej, tych klas rozwiązań jest sporo. Ale wykorzystam ten moment, żeby powiedzieć właśnie, jakiej klasy rozwiązania na rynku możemy spotkać, bo jestem przekonany, że większość nawet nie wie, że tego rodzaju rozwiązania istnieją.

Dużo dzisiaj mówiliśmy o podatnościach, o tym, że mamy luki w systemach operacyjnych, które musimy łatać, więc klasą rozwiązań, która tutaj może pomóc, to są rozwiązania operacyjne. vulnerability management, czyli zarządzanie podatnościami, czyli stricte rozwiązania czy platformy, które mają nam wskazać luki, żebyśmy mogli się załatać.

Wspominałem o antywirusie, co jest dość oczywiste, wspominałem o UTM-ie, jeżeli ktoś nie wie, to jak nie wiem, jak coś wytłumaczyć, to zawsze sobie przypominam, jak moja żona do mnie mówi, słuchaj, to jak nie wiesz coś, jak wytłumaczyć, to wyobraź sobie, że mówisz do naszego siedmioletniego syna i w ten sposób to wytłumacz, więc tak spróbuję UTM wytłumaczyć. Otóż to jest jakby coś jak firewall, tylko dużo, dużo lepsze i dużo, dużo sprawniejsze i dzięki temu będziemy odporniejsi na ataki z zewnątrz. Tak bym to tłumaczył. Mój siedmioletni syn pewnie zapytałby, co to jest firewall, ale już może aż tak daleko nie schodźmy.

 

Może tutaj wtrącę, dla Twojego syna, Twojej żony i innych słuchaczy polecę inny odcinek podcastu, który będzie zdecydowanie tutaj w notatkach podlinkowany, zresztą też z osobą z DAGMY, odcinek tyczu się UTM-ów, więc tam będzie sobie można ten temat poszerzyć.

 

Tak, tam ktoś bardziej profesjonalnie wyjaśni to pojęcie. Rozwiązania klasy PAM, bardzo fajnej klasy rozwiązania, czyli Privileged Access Management, czyli zarządzanie dostępem uprzywilejowanym. To są rozwiązania, które sprawdzają się, jak wpuszczamy kogoś do sieci. Czyli mamy firmy zewnętrzne, z którymi pracujemy, musimy je od czasu do czasu wpuścić, żeby oni nam coś naprawili albo pomogli itd. I możemy wykorzystać rozwiązanie klasy PAM, żeby mieć pewność, że te osoby mają dostęp do właściwych zasobów, nie znają poświadczeń, którymi dostają się do tych zasobów, więc nie są w stanie nam zaszkodzić, że to, jak one dostają się do naszej infrastruktury, jest np. rejestrowane i mamy tę pewność, to bezpieczeństwo pod kątem właśnie zewnętrznych dostawców.

Mamy rozwiązania klasy DLP, czyli Data Leak Prevention, czyli systemy, które zapobiegają wyciekom danych. Też bardzo fajna klasa rozwiązań, jeżeli mamy know-how w naszej firmie albo po prostu mamy dane, które musimy chronić. Trochę zakładam, że każda firma takie ma, no bo to może być albo dane handlowe, finansowe, CRM, nie wiem, bazy danych, projekty itd. Jeżeli jest coś, co zdecydowanie powinno zostać w naszej infrastrukturze i nie wydostawać się na zewnątrz, to rozwiązania klasy DLP są po to, żeby właśnie nie dało się tego wyciągnąć.

Przy czym To jest akurat ciekawej klasy rozwiązanie, bo one zabezpieczają od wewnątrz, na wypadek gdyby pracownik albo ktoś z poświadczeniami pracownika spróbował te dane np. wysłać mailem albo skopiować na pendrive, to ten system zareaguje od środka i to zabezpieczy.

Mamy rozwiązania klasy EDR, NDR, rozwiązania do monitorowania sieci, SIEM-y, które te wszystkie informacje będą zbierać, więc tych klas jest naprawdę bardzo, bardzo dużo. Ja bym zaczął od antywirusa, od UTM-a i w następnej kolejności pewnie od systemu do zarządzania podatnościami, żeby wiedzieć, na czym stoje system klasy PAM, klasy DLP i właśnie te kolejne EDR, NDR itd.

 

Okej, dzięki. Czyli tych klas rozwiązań jest całkiem sporo, ale myślę, że taką technologią, która w jakiś sposób może wpływać na wiele z nich, która też jest coraz bardziej nośna, której się coraz więcej słyszy, to jest oczywiście AI i uczenie maszynowe. I tutaj chciałbym Cię zapytać, jaką rolę w tym wachlarzu rozwiązań technologicznych w kontekście cyber security te technologie właśnie mają?

 

Powiedziałbym, że to jest trochę raczkujący temat, tzn. mamy chat GPT, mamy sztuczną inteligencję, od strony takiej biznesowej bardzo często wiemy, jak ją wykorzystywać, a od strony cyber security ona jest wykorzystywana gdzieś raczej bardziej po cichu, tzn. różni producenci implementują elementy sztucznej inteligencji i uczenia maszynowego po to, żeby ich produkty z zakresu cyber security były jeszcze lepsze.

I to jest generalnie bardzo dobry kierunek, dopóki wiemy, co tam się dzieje. Natomiast tak jak mówię, temat jest raczkujący. Producenci też nie zawsze chwalą się, w jakim zakresie tą sztuczną inteligencję wykorzystują. To jest też trochę jak chwalenie się swoim kodem źródłowym oprogramowania, tak? Trudno tego od producenta oczekiwać. Niemniej na pewno jest to wykorzystywane w kontekście rozpoznawania pewnych elementów. Jak myślimy o systemach klasy DLP, o których przed chwilą wspominałem w zakresie wycieku danych, to sztuczna inteligencja może nam pomóc, żeby bardzo precyzyjnie rozpoznać, że tego rodzaju dane rzeczywiście nie powinny wychodzić na zewnątrz. Pozwoli nam je na pewno sklasyfikować.

Natomiast to jest tak szeroki obszar, nawiasem mówiąc chyba zasługuje na osobny odcinek, bo sposobów zastosowania sztucznej inteligencji i uczenia maszynowego jest tak wiele, że jakby ciężko mi się tutaj odnieść głębiej.

 

Mateusz, bardzo Ci dziękuję za rozmowę.

Dzisiaj moim Waszym gościem był Mateusz Piątek z DAGMA Bezpieczeństwo IT, a mówiliśmy o wektorach ataku, zapobieganiu atakom, głównie przy wykorzystaniu właśnie zewnętrznych dostawców bezpieczeństwa. Mateusz, bardzo Ci dziękuję za ten czas i za tę rozmowę.

 

Ja również bardzo Ci dziękuję, było mi bardzo miło u Ciebie gościć i bardzo serdecznie pozdrawiam naszych słuchaczy.

 

Cieszę się bardzo, że to był przyjemnie i dobrze spędzony czas. Na koniec jeszcze zapytam Cię, gdzie Cię można znaleźć w internecie, gdzie możemy ewentualnie słuchaczy odesłać właśnie w kontekście naszej rozmowy.

 

Najprościej chyba na LinkedIna, czyli profil na LinkedInie to jest jakby cały ten adres LinkedInowy łamany na Mateusz-Piatek od imienia i nazwiska, ale także na stronie holmsecurity.pl, czyli jeden z producentów, który go reprezentuje, albo na stronie Dagma.eu, to jest dystrybutor firmy DAGMA, która jest bezpośrednim moim pracodawcą i bardzo polecam tego dystrybutora.

 

Super. Oczywiście wszystkie linki będą w notatce do odcinka. Mateusz, jeszcze raz bardzo dziękuję. Udatnego dnia i cześć!

 

Dziękuję, udanego dnia.

 

I to na tyle z tego, co przygotowałem do Ciebie na dzisiaj. Więcej wartościowych treści znajdziesz we wcześniejszych odcinkach.

Masz pytania? Napisz do mnie na krzysztof@porozmawiajmyoit.pl lub przez social media. Ja się nazywam Krzysztof Kempiński, a to był odcinek podcastu Porozmawiajmy o IT o wektorach ataku oraz ich zapobieganiu z wykorzystaniem dostawców bezpieczeństwa. Do usłyszenia w następnym odcinku.

Cześć!