Cyberbezpieczeństwo: odpowiedzialna i przejrzysta komunikacja to podstawa

CyberDefence24.pl: Dlaczego przy współczesnym, szybko zmieniającym się krajobrazie zagrożeń, tak ważna jest transparentność i udostępnianie informacji o nich w szerokim zakresie?

Dr Carl Windsor, dyrektor ds. bezpieczeństwa informacji (CISO) w firmie Fortinet: Opublikowany przez FortiGuard Labs raport dotyczący globalnego krajobrazu zagrożeń w drugiej połowie 2023 r. jest kolejnym, który wykazał, jak szybko atakujący wykorzystują nowo ujawnione luki w zabezpieczeniach – dzieje się to prawie 50 proc. szybciej niż w pierwszej połowie 2023 roku. Potrzebują zaledwie 4,76 dnia na rozpoczęcie ataków po upublicznieniu informacji o nowych exploitach. Biorąc pod uwagę cytowane przez NIST statystyki dotyczące ponad 26 447 luk w zabezpieczeniach u ponad 2 tys. dostawców w 2023 roku, niezwykle ważne jest, aby klienci utrzymywali ścisły schemat łatania podatności, aby zmniejszyć ryzyko ich wykorzystania przez cyberprzestępców.

Kiedy firma pada ofiarą ataku, istnieje duże prawdopodobieństwo, że inne przedsiębiorstwa z tej samej branży lub regionu geograficznego doświadczają lub doświadczą tego samego rodzaju zagrożenia. Właśnie dlatego zwiększenie poziomu wymiany informacji o zagrożeniach i słabych punktach ma kluczowe znaczenie dla ochrony przedsiębiorstw i wysiłków ponoszonych na rzecz udaremnienia potencjalnych naruszeń bezpieczeństwa. Gdy przedsiębiorstwa wypracują nawyk dzielenia się informacjami o znaczeniu krytycznym tak szybko, jak to możliwe, specjaliści ds. bezpieczeństwa będą mieć większe szanse na skuteczną ochronę przed nowym zagrożeniem lub luką w zabezpieczeniach. Dzięki temu możemy być o krok przed przeciwnikami.

Co mogą zrobić sprzedawcy, aby zbudować większe zaufanie do swoich produktów?

Niezależnie od tego, jak ostrożni są programiści, cały kod oprogramowania i aplikacji niezmiennie zawiera błędy - niektóre o małym znaczeniu, ale niektóre prowadzące do powstawania luk w zabezpieczeniach. Ważnym pytaniem jest, co zrobić lub czego oczekiwać od dostawcy zabezpieczeń po wykryciu w nich błędu.

Reakcje dostawców znacznie się różnią, od otwartego ujawnienia podatności po ciche naprawianie jej bez zakomunikowania o zaistnieniu błędu. Taka niespójna reakcja sprawia, że użytkownicy są nieświadomie narażeni na ataki i/lub muszą szybko wdrożyć poprawki. Pewność, że firmy odpowiedzialnie przyjmują procesy ujawniania informacji, ma kluczowe znaczenie dla wzmacniania cyberbezpieczeństwa i ochrony użytkowników przed potencjalnymi lukami w zabezpieczeniach.

Godny zaufania dostawca rozwiązań cyberochronnych powinien prowadzić rygorystyczne testy wewnętrzne i zewnętrzne na każdym etapie rozwoju swoich produktów. Terminowe wykrywanie luk w zabezpieczeniach - zanim złośliwy podmiot będzie mógł je wykorzystać - ma kluczowe znaczenie. Obejmuje to m.in. rygorystyczny przegląd i audyt kodu, statyczne i dynamiczne testy bezpieczeństwa aplikacji (SAST i DAST), testy penetracyjne, fuzzing oraz podobne działania, które mają na celu wykrycie możliwych do wykorzystania luk w zabezpieczeniach.

Należy również pamiętać, że liczba luk w zabezpieczeniach dostawcy zwykle koreluje ze skalą jego działalności i asortymentem produktów. Wysoka liczba luk nie oznacza automatycznie gorszych środków bezpieczeństwa lub jakości produktu. Jeśli znasz dostawcę, który twierdzi, że nie ma luk w zabezpieczeniach, to prawie na pewno jest to spowodowane brakiem ich ujawnienia lub brakiem testów, a nie brakiem problemów.

Jak Fortinet podchodzi do delikatnej równowagi między bezpieczeństwem a przejrzystością? Czy możesz opowiedzieć o swoim podejściu do ujawniania luk w zabezpieczeniach?

Ze względu na zaangażowanie firmy Fortinet w rygorystyczne audyty, prawie 80 proc. wszystkich luk w zabezpieczeniach naszych produktów wykrytych w 2023 r. zostało zidentyfikowanych wewnętrznie. Takie proaktywne podejście do wyszukiwania i znajdowania potencjalnych luk umożliwia nam opracowywanie i wdrażanie poprawek, zanim dojdzie do złośliwego wykorzystania tych podatności. Ściśle współpracujemy również z klientami Fortinet, niezależnymi badaczami bezpieczeństwa, konsultantami, organizacjami branżowymi i innymi dostawcami w celu identyfikowania problemów.
Dr Carl Windsor, dyrektor ds. bezpieczeństwa informacji (CISO) w firmie Fortinet

Terminowa i bieżąca komunikacja z naszymi klientami ma kluczowe znaczenie dla podejmowanych przez nas wysiłków na rzecz ochrony firm. Sprawy zgłaszane w ramach tych konsultacji spotykają się z odpowiednią reakcją, a wszystkie naprawione problemy – niezależnie od tego, czy zostały wykryte wewnętrznie, czy zewnętrznie – są odpowiedzialnie i przejrzyście publikowane w takich kanałach, jak nasz comiesięczny biuletyn dotyczący podatności, publikowany w drugi wtorek każdego miesiąca.

Polityka Zespołu Reagowania na Incydenty Bezpieczeństwa Produktów (PSIRT) firmy Fortinet starannie równoważy nasze zaangażowanie w bezpieczeństwo klientów z naszą kulturą współpracy i przejrzystości. Istnieją przypadki, w których poufna i zaawansowana komunikacja z klientami może obejmować wczesne ostrzeżenia zawierające porady, co umożliwia im dalsze wzmocnienie ich zabezpieczeń, zanim informacje o zagrożeniach zostaną upublicznione. Nasze stałe zaangażowanie w odpowiedzialne ujawnianie informacji pozwala naszym klientom podejmować świadome decyzje dotyczące swojego bezpieczeństwa, w oparciu o ocenę ryzyka.

Wszyscy dostawcy powinni angażować się w podobne praktyki proaktywnej analizy i ujawniania informacji. Takie podejście nie tylko pomoże klientom wzmocnić poziom ich ochrony, ale także znacząco zwiększy bezpieczeństwo całego ekosystemu.

Co oznacza „Secure by Design” i w jaki sposób Fortinet wdraża to podejście?

W opublikowanej w zeszłym roku Narodowej Strategii Cybernetycznej Stanów Zjednoczonych określono, że komercyjne, gotowe produkty IT i ochronne muszą być „bezpieczne z założenia”, z zabezpieczeniami uwzględnionymi już w początkowej fazie projektowania. Stwierdzono również, że te produkty i usługi powinny być dostarczane w konfiguracjach, które są „domyślnie bezpieczne”, zamiast oczekiwać od użytkowników, w tym małych firm i osób prywatnych, aby dowiadywali się, jak włączyć odpowiednie ustawienia zabezpieczeń i je utrzymywać.

Aby zrealizować te założenia, Fortinet od dawna aktywnie współpracuje z rządem oraz innymi przedstawicielami branży. Jesteśmy dumni z tej kooperacji. Wierzymy, że przybliża nas ona do budowy wspólnej cyfrowej odporności. W ten sposób możemy zagwarantować, że dzięki odpowiednim mechanizmom kontroli produkty IT oraz służące do przesyłania informacji są domyślnie bezpieczne już w fazie projektowania. Jesteśmy zobowiązani do spełniania rygorystycznych standardów bezpieczeństwa produktu na wszystkich etapach jego cyklu życia – od samego początku po zakończenie jego użytkowania.

Jakie są zasady branżowe dotyczące odpowiedzialnych praktyk ujawniania informacji i jaka jest odpowiedzialność zarówno publicznych, jak i prywatnych organizacji oraz rządów?

Nie wszystkie organizacje przestrzegają tych samych standardów przejrzystości w zakresie ujawniania luk w zabezpieczeniach. Chociaż istnieją międzynarodowe i branżowe najlepsze praktyki w zakresie tworzenia odpowiedzialnych procesów ujawniania informacji, które są zgodne z tymi działaniami, to są one zalecane, ale nie egzekwowane, wymagane, ani przestrzegane.

Sprostanie wymaganiom cyberbezpieczeństwa we współczesnym i coraz bardziej cyfrowym świecie to więcej niż pojedynczy użytkownik, firma lub agencja rządowa może realnie oczekiwać, że uda się to zrobić w pojedynkę. U podstaw cyberbezpieczeństwa leży sport zespołowy. Każdy dobry trener mówi swojej drużynie, by komunikowała się ze sobą. Cyberprzestępcy rozmawiają ze sobą, dzielą się informacjami i aktywnie współpracują, aby wykorzystać swoje specyficzne umiejętności w działalności przestępczej. Aby udaremnić ich nieuczciwe działania w cyberprzestrzeni, sektor prywatny i publiczny muszą współpracować oraz dzielić się informacjami o cyberzagrożeniach, dzięki interoperacyjnym narzędziom i czujnikom wykrywającym cyberzagrożenia. Partnerstwo to musi być wielowymiarowe i wielokierunkowe, ze współpracą uwzględniającą dwustronny przepływ informacji między sektorem publicznym i prywatnym, jak również wewnątrz każdego z tych sektorów.

Aby dalej rozwijać swoje zaangażowanie w budowanie kultury odpowiedzialnej, bezkompromisowej przejrzystości, Fortinet od dawna dołącza do partnerstw publicznych i prywatnych, które mają na celu zwiększenie zakresu wymiany informacji oraz wzmocnienie poziomu cyberobrony. W Polsce współpracujemy przede wszystkim z państwowym instytutem badawczym NASK oraz działamy jako partner Programu Współpracy w Cyberbezpieczeństwie (PWCyber) prowadzonego przez Ministerstwo Cyfryzacji.

Co to znaczy „trenować walkę w świetle”?

Zwiększenie poziomu naszego wspólnego dzielenia się informacjami o zagrożeniach i lukach w zabezpieczeniach oraz rzucania na nie więcej światła jest tym, co Suzanne Spaulding, była podsekretarz w Dyrekcji Ochrony Narodowej i Programów (NPPD) w Departamencie Bezpieczeństwa Wewnętrznego, nazywa „walką w świetle”. Jest to istotny element ochrony przedsiębiorstw i udaremniania potencjalnych przypadków naruszeń bezpieczeństwa.

Gdy organizacje odkrywają nowe informacje o zagrożeniach lub lukach w zabezpieczeniach, powinny rozważyć, w jaki sposób większa przejrzystość sprawi, że wszyscy będą bezpieczniejsi. Jest tak wielu przeciwników próbujących wykradać informacje, że ten, kto wymyśli, jak najskuteczniej działać w transparentnym świecie – „walczyć w świetle” – zyska przewagę. Otwarta komunikacja na temat zagrożeń zapewnia konsumentom informacje, których potrzebują, aby skutecznie chronić swoje aktywa. Jeśli chodzi o cyberbezpieczeństwo i ochronę krytycznych zasobów cyfrowych, „światło słoneczne” jest najlepszym środkiem.

Jak technologia sztucznej inteligencji może pomóc w cyberbezpieczeństwie?

Zdajemy sobie sprawę z ogromnego wpływu, jaki sztuczna inteligencja może mieć na poprawę strategii cyberbezpieczeństwa. W obliczu stale ewoluującego krajobrazu zagrożeń, technologie bazujące na AI pomagają nam nie tylko przewidywać cyberataki i zapobiegać im, ale także reagować na nie w czasie rzeczywistym.

Rozwiązania bazujące na AI pozwalają organizacjom na analizowanie ogromnych ilości danych i identyfikowanie wzorców, które w przeciwnym razie mogłyby pozostać niezauważone. Umożliwia im to proaktywne wykrywanie zagrożeń, nawet tych wykorzystujących wyrafinowane techniki ataku. Rozwiązania cyberochronne wykorzystujące sztuczną inteligencję poprawiły dokładność wykrywania zagrożeń, zmniejszyły liczbę fałszywych alarmów i umożliwiły szybsze reagowanie na incydenty, wzmacniając w ten sposób ogólny stan bezpieczeństwa firm.
Dr Carl Windsor, dyrektor ds. bezpieczeństwa informacji (CISO) w firmie Fortinet

Nowe osiągnięcia w obszarze AI, takie jak silniki generatywne, również są bardzo obiecujące dla różnych zastosowań w cyberbezpieczeństwie. GenAI przekształca operacje sieciowe i ochronne, wspierając specjalistów IT i cyberbezpieczeństwa, aby mogli działać więcej i szybciej.

Czy rozwiązania bazujące na sztucznej inteligencji są już zaimplementowane w produktach Fortinet? Jeśli tak, to na czym one polegają?

Fortinet od lat znajduje się w czołówce wykorzystania najnowocześniejszych technologii, takich jak sztuczna inteligencja i uczenie maszynowe. Dzięki włączeniu sztucznej inteligencji do Fortinet Security Fabric, naszej ujednoliconej platformy ochronnej, koncentrujemy się na zintegrowanym podejściu, wykorzystującym technologie bazujące na AI do proaktywnego wykrywania zagrożeń i reagowania na nie. Umożliwia to organizacjom prewencyjną ochronę ich sieci, danych i krytycznych zasobów oraz ustanowienie solidnej obrony przed nawet najbardziej wyrafinowanymi cyberprzestępcami.

Nasze rozwiązania zapewniają zarówno zabezpieczanie urządzeń IoT, wzmacnianie środowisk brzegowych, jak i zajmowanie się skomplikowaną interakcją między ryzykiem wprowadzanym przez najnowocześniejsze innowacje a bezpieczeństwem. Na początku tego roku rozbudowaliśmy również FortiAI, naszego kontekstowego asystenta GenAI, aby nadal zwiększać możliwości zespołów operacyjnych dzięki zaawansowanym funkcjom przetwarzania języka naturalnego. Najnowsza wersja FortiAI zapewnia innowacyjne sposoby łączenia się z produktami Fortinet przy użyciu ponad 30 popularnych języków, aby przełamać złożoność, zwiększyć wydajność operacyjną i przyspieszyć wykrywanie zagrożeń.

Co więcej, podczas gdy wielu naszych konkurentów korzysta ze sztucznej inteligencji od różnych dostawców, FortiGuard Threat Intelligence zostało stworzone we własnym zakresie, co pozwala nam konsekwentnie stosować AI w różnych źródłach, aby rozszerzyć zakres i skalę tego, jak i gdzie można ją wykorzystać. W ubiegłym roku zaprezentowaliśmy FortiGate 90G, naszą pierwszą zaporę sieciową nowej generacji (NGFW) i rozwiązanie Secure SD-WAN, w którym zastosowano opatentowany przez Fortinet układ ASIC SP5 (Security Processing Unit). Radykalnie zwiększa on szybkość, skalę i wydajność rozwiązań Fortinet.

Security Compute Rating to wskaźnik, który porównuje wydajność sieci i zabezpieczeń NGFW Fortinet bazujących na specjalnie zbudowanym układzie ASIC z innymi NGFW, które mieszczą się w tym samym przedziale cenowym i są zbudowane z procesorów ogólnego przeznaczenia. FortiGate 90G, w pełni zintegrowany z naszymi usługami bezpieczeństwa FortiGuard AI-Powered Security Services, charakteryzuje się wskaźnikiem Secure Compute Ratings nawet 16 razy wyższym niż średnia podobnych cenowo modeli naszych konkurentów, zużywając przy tym ponad 90 proc. mniej energii.