W dniach 21-22.03.2019 r. w poznańskim hotelu Radisson odbędzie się Regionalna Konferencja Partnerów WithSecure (dawniej F-Secure), gdzie jednym z prelegentów będzie Leszek Tasiemski – wiceprezes ds. badań i rozwoju w firmie WithSecure (dawniej F-Secure). Na relację z tego wydarzenia zapraszamy już wkrótce na naszego Facebooka!
A już teraz zapraszamy do lektury wywiadu z Leszkiem Tasiemskim, który opowie o najnowszych trendach w cyberbezpieczeństwie.
VIDA: Za co jesteś odpowiedzialny w firmie WithSecure (dawniej F-Secure)?
Leszek Tasiemski: Tworzę technologie ochrony dla biznesu.
Jak Twoim zdaniem wyglądała ochrona przed cyberzagrożeniami 10 lat temu, a jak jest teraz? Czy teraz zabezpieczamy lepiej własne zasoby w sieci?
To bardzo piętrowe pytanie. Z jednej strony mamy teraz do dyspozycji kilka generacji lepsze narzędzia ponad antywirus + firewall, które królowały 10 lat temu. Mamy rozwiązania EDR / MDR, wszechobecne SOC, analizę logów, silniki uczenia maszynowego, detekcję incydentów bazującą na analizie zachowania… można by wyliczać dalej. Z drugiej strony, krajobraz zagrożeń stał się o wiele bardziej złożony, można by powiedzieć, że doszły zupełnie nowe wymiary. 10 lat temu świat był dużo prostszy. Królował model twierdzy, SaaS i publiczne chmury były w powijakach, silniki AI siedziały nadal w laboratoriach.
Czy w Twojej ocenie 10 lat temu było mniej zagrożeń?
Z całą pewnością było mniej zagrożeń, ponieważ złożoność informatycznych ekosystemów była mniejsza. Niestety, mniejsza była też świadomość bezpieczeństwa, zagrożeń było (ilościowo) mniej, ataki były dużo prostsze, często trywialne do przeprowadzenia. Z drugiej strony, pewnie techniki ataku „z brodą”, jak ARP spoofing w sieci lokalnej z powodzeniem można przeprowadzić w wielu nowoczesnych sieciach. Z tą różnicą, że tym razem któryś z systemów obrony może to zaflagować.
Jak będą rozwijały się zabezpieczenia w kolejnych 5 latach? Jakich cyberzagrożeń będziemy mogli się spodziewać w przyszłości? Czy możemy spodziewać się nasilenia negatywnych zjawisk, danych typów zagrożeń?
Z pewnością ataki będą jeszcze bardziej dotkliwe (i tańsze w przeprowadzeniu), będą też kierowane ataki bezplikowe (fileless), których nie ma szans wykryć tradycyjny EPP. Na pewno więcej będzie ataków na dostawców chmurowych, również punkty styku tych chmur i infrastruktury on-premise będą szczególnie czułe. Możemy się spodziewać nowej generacji rozwiązań do wykrywania incydentów bazujących na analizie zachowania użytkownika (UEBA). Z ciekawością będziemy się przyglądać zastosowaniom AI i atakom na te silniki, jeśli będą używane np. w sektorze finansowym. Wiemy dobrze, że silniki AI są podatne na „poisoning”, podtruwanie. Tego typu ataki pozwalają oślepić albo zmanipulować AI, tak jak można zmanipulować człowieka poprzez fałszywe informacje. Zabezpieczenie silników AI będzie ogromnym wyzwaniem. Jak monitorować „poczytalność” AI? W silnikach AI, nad którymi pracujemy w WithSecure (dawniej F-Secure) również analizujemy ten problem.
WithSecure (dawniej F-Secure) oferuje usługę RDRS, czy tę usługę można traktować jako SOC? Do jakich odbiorców skierowana jest ta usługa?
Część klientów wdraża RDS zamiast SOC, natomiast inni – zazwyczaj duże przedsiębiorstwa – którzy mają już SOC, traktują usługę RDS jako wysokopriorytetowe wejście do SOC i przede wszystkim, merytoryczne wsparcie w sytuacji incydentu. Ponieważ dane RDR i RDRS są przechowywane w chmurze WithSecure (dawniej F-Secure), jest to także swego rodzaju czarna skrzynka, z której danych nie może w niekontrolowany sposób usunąć nawet administrator, który ma złe intencje (insider attack).
Większe firmy starają się budować takie działy samodzielnie. Czy RDRS jest alternatywą dla tych firm? Jakie są korzyści takich usług, w stosunku do tworzenia własnego działu wewnątrz struktury organizacyjnej?
RDRS może być zarówno alternatywą dla własnego SOC, jak i „dopalaczem” dla niego, jeśli klient już SOC posiada. Mamy mniej więcej po połowie takich i takich klientów.
Ostatnio sporo mówi się o wykorzystaniu sztucznej inteligencji w zabezpieczeniach IT. Co o tym sądzisz? Czy możemy postawić tezę, że człowiek w tym obszarze wkrótce nie będzie potrzebny?
Uczenie maszynowe (słowo sztuczna inteligencja to nadużycie) na pewno ma swoje miejsce w budowaniu systemu zabezpieczeń. Również w WithSecure (dawniej F-Secure) używamy wielu silników zarówno w EPP, jak i w rozwiązaniach RDR i RDS. Silniki te pozwalają analizować miliardy zdarzeń dziennie w poszukiwaniu anomalii. Są świetne we wskazaniu, że „coś jest nie tak”, natomiast mają zasadniczą wadę – wykrywają anomalię, ale nie potrafią jej zinterpretować, ani wskazać co to oznacza dla użytkownika. Poza tym, anomalia to nie zawsze incydent bezpieczeństwa. W przypadku RDR i RDS silniki AI działają razem z silnikami eksperckimi oraz silnikami reputacji. Dopiero efekt pracy tych trzech silników trafia na ekrany analityków, którzy nadal odsiewają ok. 80% z nich jako szum. Można sobie wyobrazić system wykrywania incydentów bazujący wyłącznie na uczeniu maszynowym, jednak będzie on wymagał specjalisty w celu interpretacji każdej anomalii (w RDS robią to nasi analitycy i przedstawiają wyniki klientowi w konkluzywny i konkretny sposób). Sam taki system będzie albo bardzo „szumieć,” albo przepuszczać ataki (zależnie od ustawienia czułości).
RDRS wydaje się rozwiązaniem dla firm o dużej wielkości i rozbudowanych strukturach. Jak WithSecure (dawniej F-Secure) może pomóc małym i średnim firmom?
Niektórzy klienci RDS to małe firmy, ale rzeczywiście to zaawansowane rozwiązanie niestety nie jest na każdą kieszeń i nie każdy ma też taką potrzebę. Alternatywą na pewno może być RDR, który nie jest usługą, ale samoobsługowym rozwiązaniem, bazującym na tym samym silniku detekcji co RDRS, natomiast bez wsparcia analityków 24/7/365. RDR świetnie się integruje z naszym EPP i został przygotowany specjalnie jako rozwiązanie dla mniejszych firm, albo firm które nie są aż tak bardzo narażone na kierowane ataki.
Wspomniałeś o innych usługach WithSecure (dawniej F-Secure). Czy WithSecure (dawniej F-Secure) integruje te usługi w jednym panelu zarządzającym?
Tak, pracujemy nad Fusion. Jest to nowa warstwa łącząca wszystkie pozostałe usługi WithSecure (dawniej F-Secure). W tej chwili zintegrowane są RDR i PSB (aktualnie WithSecure (dawniej F-Secure) Elements Endpoint Protection).
Jakie są plany WithSecure (dawniej F-Secure) na przyszły rok? Czy możemy spodziewać się nowych rozwiązań w dotychczasowych produktach?
Zdecydowanie tak. Jeszcze w pierwszym kwartale ukaże się zupełnie nowa wersja Server Security, pracujemy nad integracją PSB (aktualnie WithSecure (dawniej F-Secure) Elements Endpoint Protection) z Active Directory, bardzo aktywnie rozwijamy RDR i RDRS, a także pracujemy nad zupełnie nowym (ale zintegrowanym z portfolio) rozwiązaniem do ochrony chmury.
Czy w planach jest rozwój produktu RADAR? Czy dodane zostaną nowe funkcjonalności?
Planujemy przenieść scan nodes na platformę Linux, co znacznie ułatwi wdrożenia. Właśnie wypuściliśmy wtyczkę do Chrome, która pozwala na łatwe tworzenie recordings dla web app skanów. Kończymy pracę nad dodaniem do architektury zasobów pojęcia adresu fizycznego MAC, co ułatwi kontrolę nad zasobami do skanowania, nawet jeśli zmienił się adres IP czy domena. Jest też wiele innych funkcjonalności, nad którymi w tej chwili pracujemy. Część z nich to integracja z innymi produktami z naszego portfolio, co pozwoli naszym klientom czerpać rzeczywistą synergię z użytkowania więcej niż jednego produktu WithSecure (dawniej F-Secure). W przypadku WithSecure (dawniej F-Secure) RADAR, najważniejsza jest dla nas skuteczność wykrywania podatności i głównie na tych silnikach się skupiamy. Funkcjonalności są ważne, ale nie zrekompensują nieprecyzyjnych wyników. Jesteśmy dumni ze skuteczności naszych silników i dokładamy wiele trudu, aby tak pozostało.
Czy WithSecure (dawniej F-Secure) zamierza wprowadzić na rynek hardware appliance przeznaczony dla klientów biznesowych, który założeniami funkcjonalnymi przypominałby urządzenia przeznaczone dla użytkowników domowych WithSecure (dawniej F-Secure) SENSE security router? Czy widzicie potrzebę stworzenia takiego rozwiązania? Jeśli nie to dlaczego?
Nie, nie planujemy. Większość naszych klientów pyta o instancje chmurowe i wirtualne urządzenia (virtual appliances), na tym się skupiamy i w tej formie można uruchomić np. RDS Network Sensor albo RDS Decoy Sensor (honeypot).
Jak WithSecure (dawniej F-Secure) RDS radzi sobie z ogromną ilością danych (tzw. Big Data), które muszą zostać zebrane z infrastruktury klienta, a następnie przesłane do Waszego laboratorium i przeanalizowane celem wyłapania realnych zagrożeń?
Codziennie zbieramy i analizujemy miliardy zdarzeń od naszych klientów. Nasze środowisko jest skalowalne i ilość instancji dopasowuje się do aktualnego obciążenia. Przeciętnie jest to blisko 300 serwerów pracujących jednocześnie, a to nie licząc systemów reputacji, i mocy obliczeniowej potrzebnej na przetrenowywanie silników AI.
Czy usługi, które oferuje dzisiaj WithSecure (dawniej F-Secure) są w stanie w pełni ochronić klientów biznesowych w dobie IoT/EoT? Czy urządzenia mobilne możemy w takim samym stopniu zabezpieczyć jak stacje robocze i serwery?
Nie ma na świecie rozwiązania, które zagwarantowałoby pełną ochronę. WithSecure (dawniej F-Secure) oferuje zabezpieczenie urządzeń mobilnych (Android, iOS), zarówno w postaci agenta, jak i poprzez monitorowanie sieci za pomocą RDS Network Sensor. Podobnie podejrzany ruch dotyczący urządzeń IoT w firmowej sieci zostanie wyłapany przez RDS Network Sensor.
Rozmawiał Paweł Bereza
