"Cyberprzestępcy atakują każdego, a ten, kto jest słabo zabezpieczony, szybko pada ich ofiarą" [WYWIAD]

CyberDefence24.pl: Z waszego raportu* (Exposing Malware in Linux-Based Multi-Cloud Environment) wynika, że multi-cloud jest coraz popularniejszy w organizacjach. Jak to z kolei wpłynęło na zainteresowanie grup APT? Jakie podmioty najczęściej padają ofiarą ich ataków?

Andrzej Szymczak, VMware: Ofiarą ataku padają organizacje, które są najsłabiej zabezpieczone lub są strategicznym celem hakerów. Szczególnie teraz, w ostatnich tygodniach mogliśmy to zaobserwować. Nie zmienia to faktu, że ataki są skierowane na wszystkich. Dlaczego? Są one obecnie rzeczą niezmiernie łatwą do zrealizowania w porównaniu z tym, co było jeszcze kilkanaście lat temu. Wtedy atakujący znali się na tym procesie, a dziś zwykli złoczyńcy mogą kupić w sieci kod, z którego pomocą są w stanie wykorzystać proste podatności i osiągnąć zamierzone cele, głównie finansowe, a także niestety i polityczne. Obecnie na celowniku są nawet krytyczne struktury państwowe. Jeśli chodzi o środowisko chmurowe – cyberprzestępcy atakują każdego , a ten, kto jest słabo zabezpieczony, szybko pada ich ofiarą – ważne jest tylko osiągnięcie zysku.

Jak można ocenić obecny stan ochrony multi-cloud w przypadku podmiotów publicznych i prywatnych oraz stopień ich podatności na ataki? Czy widać znaczące różnice?

Odpowiedź nie jest jednoznaczna. Są podmioty publiczne, które są dobrze zabezpieczone, mają środki finansowe i dbają o to. Z drugiej strony są i takie dużo gorzej chronione, ponieważ po pierwsze nie mają dostępu do wykwalifikowanej kadry, a po drugie nie dysponują środkami na ten cel. Dlaczego? Nie zdają sobie sprawy z zagrożenia lub mają za mały wpływ na osoby dysponujące środkami finansowymi, np. właśnie na wspomnianą ochronę. W zeszłym roku mieliśmy szereg spotkań z mniejszymi jednostkami takimi jak samorządy, którym pomagaliśmy wznowić działalność po włamaniu. Zostali zaatakowani, ponieważ nie posiadali odpowiedniego zabezpieczenia, sił i środków.

Przygotowaliśmy im odpowiednią architekturę, dzięki której – bez dużego wkładu finansowego – będą mogli lepiej reagować na takie zdarzenia. Mówiąc wprost, samorządy padały ofiarą prostych ataków związanych z szyfrowaniem danych. Ktoś wykorzystywał podatność, zakodował zasoby i potem żądał okupu. Z drugiej strony zaatakowane zostały również firmy prywatne, które, wydawałoby się, powinny być przygotowane. Niestety brak odpowiednich narzędzi, procesów, błędy ludzkie oraz zaniechania we wdrażaniu wniosków poaudytowych były głównymi przyczynami skutecznych ataków.

Czy można stwierdzić, że samorządy, jednostki administracji publicznej wyciągają odpowiednie wnioski po atakach? Po tym, jak pomagacie organizacjom w niwelowaniu skutków ataku, są po pierwszych zdarzeniach lepiej przygotowane na potencjalne ryzyko kolejnych?

Instytucje, które zostały zaatakowane, bardzo szybko wyciągają wnioski. Skutecznie przeprowadzony atak i straty związane z przerwą w działaniu jednostki samorządowej, czy też firm prywatnych są dużo droższe w obsłudze niż sama ochrona przed nimi. Wyciąganie wniosków ma miejsce, ale jeżeli spojrzymy na sprawę kompleksowo, to widać, że to myślenie „punktowe” na zasadzie: „Mieliśmy problem, to go zidentyfikowaliśmy”.

Jeżeli mówimy o bezpieczeństwie na miarę naszych czasów, to musimy sobie zdawać sprawę, że bezpieczeństwo zaczyna się tam, gdzie mamy punkty dostępowe, czyli mówiąc wprost: smartfony, tablety, laptopy — wszystko, przez co użytkownicy łączą się do centrów danych, czy do chmury publicznej lub prywatnej. Jeżeli uda nam się wyeliminować błędy gdzieś na samej górze, to nie znaczy, że „gdzieś na dole woda nadal nie będzie uciekać”.

To, co dostrzegły organizacje, samorządy, to fakt, że trzeba się zabezpieczać. Aby robić to nowocześnie, trzeba spojrzeć na proces kompleksowo: od urządzenia po centrum danych, wraz z aplikacjami, które wykorzystują różnego rodzaju systemy operacyjne, bazy danych — dopiero wtedy możemy próbować wyeliminować problem. Samorządy może mogłyby to zrobić, jeżeli miałyby odpowiednią wiedzę i fundusze.

Jeżeli chodzi o firmy prywatne, to sprawa jest dużo bardziej skomplikowana, ale większość firm nie ma takich zakusów. Wdrażając rozwiązania IT, przedsiębiorstwo dysponuje zwykle urządzeniami i aplikacjami od różnych dostawców. Każdy z nich ma inną wizję, stąd nie ma kompleksowego spojrzenia. My, jako VMware, dostarczamy kompleksową platformę do zabezpieczenia i udostępnienia aplikacji na każdym urządzeniu, jakie ma użytkownik, bez względu na to, czy jest w biurze, czy pracuje z domu, aż po zabezpieczenie data center.

Przeciwdziałanie atakowi to nie tylko informacja, że „ktoś atakuje”. Jeśli już się włamał, to być może jest za późno, ponieważ możliwe jest, że intruz pozyskał już dane, zainfekował je oprogramowaniem szyfrującym lub kopie kryptowaluty na naszych urządzeniach. Z tego powodu sytuacja robi się skomplikowana. Zbieranie logów i analiza to jedno. Trzeba mieć pewność, że włamanie zostało przerwane. Tu VMware także oferuje skuteczne rozwiązania. Za pośrednictwem naszych systemów dokładnie wiemy, co jest zainstalowane na urządzeniu końcowym, na maszynie wirtualnej, czy też na platformie Kubernetes. Jeśli mamy w tym aspekcie wiedzę “od A do Z”, to możemy skutecznie się chronić i wykrywać zagrożenia. Jeśli widzimy, że atak na urządzeniu np. z systemem Windows zachodzi z użyciem Linuksowych mechanizmów, to wiadomo, że się nie powiedzie. Jeżeli mamy takiej wiedzy, system bezpieczeństwa co najwyżej może nas alarmować, że ktoś próbuje się włamać. My jako VMware widzimy, co znajduje się na atakowanym systemie i jakie są podatności, więc jesteśmy w stanie przekazać operatorowi bezpieczeństwa, że te ataki zostaną aktywnie przerwane.

W rzeczywistości infrastruktura oparta o chmurę i centra danych obsługuje kluczowe zasoby w firmach, takie jak poczta e-mail, serwery i bazy danych klientów. Co w takich wypadkach okazuje się główną słabością?

Największym zagrożeniem dla danych w chmurze publicznej to w zasadzie ludzie, którzy udostępniają te informacje. Przeważnie w chmurze publicznej za pomocą jednego kliknięcia można spowodować, że dane chronione, które są tam gromadzone — będą dostępne dla całego świata. W chmurze prywatnej jest nieco inaczej – są od lat stosowane polityki Firewall, IDS czy IPS, więc pracownik nie jest w stanie tak szybko ich udostępnić. Należy też zwrócić uwagę, że serwisy u potentatów chmur publicznych są szybciej zabezpieczane, niż te same usługi w chmurze prywatnej. Wykryta podatność często w chmurach prywatnych „łatana jest” z dużo większym opóźnieniem niż w chmurze publicznej.

Najważniejsze jest wspieranie klientów odpowiednimi narzędziami, by wskazywać czy usługi, znajdujące się w chmurze, są odpowiednio zabezpieczone pod kątem dostępowym. Jesteśmy w stanie przeanalizować chmurę publiczną, pokazać wszystkie dostępy do niej i bazując na tym wskazać „W miejscu X są nieprawidłowości” - tego typu usługi świadczy serwis VMware Cloud Health.

Kolejny obszar to ilość obiektów do przeanalizowania, którymi zarządzamy. Tutaj z pomocą przychodzą machine learning, czy sztuczna inteligencja. System wspomaga pracę administratorów bezpieczeństwa, wskazane są źle zabezpieczone mechanizmy i błędy. Przykładałem takiego narzędzia jest choćby VMware NSX Intelligence /Network Detection and Response lub VMware Network Insight.

Powiedzieliśmy już o zagrożeniu dla organizacji, wynikającym z ransomware. Jakie trendy w zagrożeniach można jeszcze wskazać jako te, które zdominują niedaleką przyszłość?

Wszystko zmienia się dużo dynamiczniej niż kiedyś. Firmy, aby być konkurencyjnymi, wypuszczają nowe wersje oprogramowania — im bardziej się spieszymy, tym więcej może pojawić się w nich luk. Znam takie przypadki, że naprawa błędów bezpieczeństwa wynikająca z architektury aplikacji zajęła dwa lata. Mając odpowiednie narzędzia bezpieczeństwa, systemy IDS/ IPS, jesteśmy w stanie wyeliminować zagrożenie – wykryć, że atakujący chce wykorzystać podatność, której nie możemy w tym momencie wyeliminować, by następnie udaremnić atak. Klient ma prawo oczekiwać, że taka luka zostanie zlikwidowana, jednak nie zawsze jest to szybki proces. Należy spodziewać się, że ataki typu ransomware będą w przyszłości pojawiać się coraz częściej, bo w wielu wypadkach jest to dla cyberprzestępców szybki sposób na zarobek.

W Polsce — oprócz phishingu — mamy obecnie duży problem ze spoofingiem. Innego rodzaju, coraz popularniejsze ataki to te typu cryptojacking. Czy patrząc na większe zainteresowanie kryptowalutami możemy spodziewać się rosnącego zagrożenia?

Im większa popularność, im więcej miejsc do zaatakowania, tym bardziej jest to atrakcyjne dla cyberprzestępców. Moim zdaniem skala będzie rosła. Jeżeli chodzi o kryptowaluty, to możliwe jest przechwytywanie serwerów i urządzeń końcowych do ich wydobywania. Druga sprawa to fakt, że sami kupujemy kryptowaluty, a niektóre zagraniczne przedsiębiorstwa wypłacają już w nich pensje, dlatego będzie rosła skala ataków na portfele przechowujące wirtualną walutę. Uważam, że tego typu ataki staną się coraz bardziej popularne, coraz bardziej ukierunkowane.

Jak VMware wspiera organizacje, by pomóc w ochronie przed atakami?

Wprowadzamy metodykę zero trust od samego początku: od urządzenia, aż do samych danych po aplikacje, które są zgromadzone na serwerach, czy w chmurze. Z jednej strony chodzi o użycie VMware Carbon Black na urządzeniu końcowym, co powoduje, że możemy – jeżeli dojdzie do ataku – prześledzić całą jego ścieżkę. Np. ktoś otworzył załącznik, który uruchomił złośliwe oprogramowanie, a system VMware Carbon Black EDR (Endpoint Detection and Response – red.) analizuje, jak ten atak przebiega.

Z drugiej strony, kiedy widzimy, że dochodzi do zdarzenia – atak musi być skutecznie zablokowany, co odbywa się za pomocą narzędzia Carbon Black na dwa sposoby. Pierwszy to wyeliminowanie maszyny wirtualnej, urządzenia końcowego, gdzie atak jest prowadzony, tak aby nie mógł się rozszerzać na inne urządzenia. Drugi, jeżeli urządzenie jest sieciowe, mamy spektrum rozwiązań NSX Security — to cały pakiet, który powoduje, że na poziomie sieci można w odpowiedni sposób zareagować. Carbon Black informuje wtedy, że należy zainfekowaną sieć odizolować, by nie miała kontaktu z pozostałymi systemami. Jedno to wykrycie ataku; drugie to izolacja sieci na zasadzie mikrosegmentacji.

Jakimi rekomendacjami mógłby się pan podzielić, jeśli chodzi o zwiększenie bezpieczeństwa organizacji?

Organizacje powinny myśleć o bezpieczeństwie przede wszystkim kompleksowo, to znaczy w architekturze zero trust. Dodatkowo zespoły projektowe, wdrożeniowe, utrzymania i bezpieczeństwa powinny działać razem od początku wdrażania nowych elementów IT z aplikacjami. Obecnie w dużej ilości firm kilka działów (różnych zespołów) odpowiada różne elementy bezpieczeństwa. Często między działami nie ma jednego schematu myślenia i całościowego podejścia do tematu. Kluczem jest myślenie kompleksowe, a następnie odpowiednie postępowanie z narzędziami. Powinniśmy korzystać także z takiej platformy bezpieczeństwa, która zapewnia stosowanie zasady zero trust od samego początku przetwarzania danych, do samego końca. Cały cykl użytkowania aplikacji jest wtedy bezpieczny. Myślę, że oferta VMware jest w tym przypadku unikatowa, ponieważ stosujemy zasadę zero trust — na każdym etapie działania — jako podstawową.

Dziękuję za rozmowę.

/Rozmowa powstała we współpracy w firmą VMware.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.