Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини ИТ сигурност
бр. 6, 2018

Аутсорсинг на сигурността, или как да отговорим на киберзаплахите

Усложняването на системите и липсата на кадри принуждават компаниите все по-често да прибягват до услугите на различни външни доставчици

от , 28 юни 2018 0 824 прочитания,

Иван Гайдаров

Корпоративните ИТ системи стават все по-сложни и комплексни, за да се справят с обработката на огромното количество данни, нужни за ключови дейности като машинно обучение, прогностични анализи и изпреварваща поддръжка. Едновременно с това недостигът на талант в сферата на киберсигурността е константна величина от години, като според последните изследвания до 2022 той ще достигне цели 1,8 милиона души в глобален мащаб.

В момента пред компаниите стоят няколко основни предизвикателства, свързани със сигурността, като едно от тях е законовото съответствие. В тази посока основен фактор е GDPR, най-малкото защото предвижда големите санкции и налага определени технически и организационни мерки. Не трябва да забравяме и PSD 2 – директивата, която се занимава с картовата индустрия, банковите транзакции и различните агрегатори на данни, които ще играят ролята на посредници между банковите институции и потребителите. Тази регулация също е изключително важна част от нормативните предизвикателства”, обяснява Боян Янчев, CTO на един от най-големите доставчици на ИТ решения в България – Lirex.

Тодор Денев, етичен хакер и консултант към Международната асоциация по киберсигурност, от своя страна вижда най-големите предизвикателства за компаниите в липсата на достатъчно специалисти. “Основният проблем в областта на сигурността, който стои пред корпорациите, е образованието. По друг начин казано, намирането на компетентни кадри, които са наясно с основите на компютърната сигурност, е изключително труден процес. Организациите все по-трудно намират експерти, които да гарантират, че корпоративната екосистема ще остане непроменена, независимо от динамиката около нея, което е и основната задача при изграждането на киберзащита”, смята той и добавя, че дигиталните компетенции на служителите трябва да бъдат на много по-високо ниво, отколкото са в момента, тъй като именно човешкият фактор има потенциал във всеки момент да се превърне в основен проблем на сигурността.

И двамата специалисти са категорични, че отговорниците по сигурността трябва да имат широкоспектърни познания както за спецификите на различните решения, които се предлагат на пазара, така и за технологиите и тенденциите, които задават тона в сферата на корпоративната киберсигурност, като изкуствения интелект, Интернет на нещата, облачните изчисления и т.н.

Аутсорсинг на сигурността, или как да отговорим на киберзаплахите

Технологии и киберсигурност

Много хора гледат на Интернет на нещата (IoT) като на някакъв сбор от устройства – смартфони, умни уреди и т.н. Тази проява на концепцията обаче е предшествана от друга - индустриалния IoT, който е нещо съвсем различно. Това са SCADA мрежи, които събират информация от различни сензори, като по този начин позволяват на индустрията да функционира по начина, по който го прави в момента. Индустриалният IoT обхваща и много критични системи, което прави предизвикателствата пред бизнеса още по-големи”, коментира Боян Янчев от Lirex.

Проблемът при IoT е, че още изначално устройствата не се проектират правилно. Едновременно с това циркулират и митове, че електроуредите – микровълнови печки, прахосмукачки, хладилници – които имат възможност за връзка с интернет, не са интересна цел за хакерите. Това категорично не е вярно. Те винаги ще бъдат цел. Злонамерените актьори първо компрометират максимално средата и след това преценяват кое е интересно и кое не, а IoT устройствата са прекалено доверчиви. Ако един потребител е запознат с протокола за комуникация между устройствата и подаде определени инструкции, устройството би ги изпълнило без каквато и да било проверка, което може да се превърне в голям проблем”, обяснява и Тодор Донев от Международната асоциация по киберсигурност.

И тази уязвимост не остава скрита за злонамерените актьори, които често я използват за т.нар. рефлекторни атаки.

Когато подадете определена заявка към някое устройство и то не отговори, тя остава с малък обем, но ако командата бъде извършена, отговорът, който се връща, е много по-голям. Това е проблем, защото ако една такава заявка бъде пусната към много устройства едновременно, отговорът, който се очаква да се върне, би имал огромен обем. Хакерите пускат малки заявки към устройствата, а се връщат в пъти по-големи, като по този начин не остава място за нормалните заявки и каналът за комуникация е блокиран”, описва Донев.

Колкото и да е важно развитието на Интернет на нещата както в индустриалния му вариант, така и в потребителския, то няма как да бъде оползотворено без инструменти за анализ на огромните езера от данни, които генерират милиардите свързани устройства. И тъй като за човек е напълно невъзможно да обработи количествата структурирана и неструктурирана информация, на помощ идва изкуственият интелект (AI).

Тодор Донев

Сензорите започнаха да събират много информация, която хората не могат да смогнат да обработят. Тук идва мястото на изкуствения интелект, който има капацитета да го направи. Много експерти обаче твърдят, че след 2022 г. около 50% от информацията в интернет няма да бъде напълно достоверна. Тоест машинното обучение в един момент може да започне да взима решение на база на недостоверна информация, което ще изкриви моделите и ще се превърне в заплаха”, обръща внимание Боян Янчев.

Това обаче далеч не е единственият начин, по който изкуственият интелект се може да вреди на корпоративните мрежи, след като и към момента вече е на въоръжение при хакерски групи, които разчитат на тази технология за повишаване на качеството при разработка на зловреден софтуер.

Изкуственият интелект навлиза сериозно и от двете страни на киберсигурността. Голяма част от съвременните мрежи, инфраструктури и решения за сигурност го използват за различни видове анализи. В същия момент обаче криптовирусите и зловредният софтуер също започват да изследват поведението на околната среда. В последните години например много често срещана практика е да се използват т.нар. “пясъчници” - контролирана среда, в която се изследва зловреден софтуер. В момента обаче изкуственият интелект, интегриран от хакерите, започва да разбира, че е поставен под контрол, и отказва да функционира, а когато излезе от нея, се активизира”, обяснява главният технически директор на Lirex.

Аутсорсинг, тестове за проникване, bug bounty програми

Еволюцията на киберзаплахите логично води и до оптимизация на системите и стратегиите за сигурност, които компаниите разработват. Те все по-често са свързани и с аутсорсинг на определени процеси, като по думите на Боян Янчев това до голяма степен е продиктувано от два основни фактора – експертиза и фокус.

Колкото по-сложни стават технологиите за сигурност, толкова по-трудно става локалното им манипулиране. При аутсорсинга на киберсигурност има два основни сценария – или става дума за повтаряема, добре документирана дейност, или има нужда от висококвалифицирана експертиза с определен фокус, която организацията не може да си осигури вътрешно”, изброява експертът по киберсигурност.

Според него процесът по аутсорсинг на сигурността е свързан на първо място с доверието, изградено между клиенти и доставчици. “Най-важното е дейностите, свързани със сигурността, да бъдат изнасяни към доставчици, на които компаниите имат доверие. Те трябва да имат изградена репутация и да разчитат на експерти, тъй като именно хората са най-важният фактор в случая. Другото много важно нещо е наличието на застраховка за професионална отговорност, която да покрива щетите при евентуален инцидент. Всяка сериозна компания разполага с такава”, обяснява Боян Янчев и изброява качествата, с които трябва да разполага един експерт – организационни, меки и технически умения, както и бизнес мислене.

Един експерт в сферата на сигурността трябва да осъзнава какви са рисковете за бизнеса, защото има случаи, в които защитниците пазят определени сървъри, които са много важни от ИТ гледна точка, но от бизнес перспектива нямат никакво значение. Това е сериозна грешка”, обобщава той.

Тодор Донев от Международната асоциация за киберсигурност също е категоричен, че има отчетлива тенденция за аутсорсинг на киберсигурността от страна на много компании, като според него основната причина за това е, че все повече организации осъзнават предимствата на тясната специализация, която притежават доставчиците в тази сфера.

Подобни специализирани организации са наясно с всички аспекти, които трябва да бъдат покрити. Всяка от тях би се справила при проблем много по-добре от която и да било широкоспектърна ИТ компания”, категоричен е той и добавя, че в случая най-важен е балансът и възможността за споделена отговорност между поръчител и изпълнител, което обаче трябва да става на база на предварително утвърдени договорни клаузи.

Една от аутсорсинг дисциплините, свързани с корпоративната киберсигурност, са тестовете за проникване, които в голяма част от случаите се възлагат на външни, специализирани доставчици. По същество това е анализ на корпоративната защита в реално време, като тя бива поставена под натиск с цел да бъдат открити евентуални уязвимости.

На първо място, най-важното при тестовете за проникване не са инструментите, а хората. На пазара има много инструменти, но ако след тях не бъде направен анализ на резултатите – има ли реална заплаха, как може да бъде експлоатирана тя и какво може да бъде извлечено чрез нея – самият тест няма никакъв смисъл”, акцентира Боян Янчев от Lirex и пояснява, че с този подход могат да бъдат обследвани както инфраструктура, системи и процеси, така и самите потребители.

Боян Янчев

За да бъде успешен един тест за проникване обаче, той трябва да бъде използван като краен стадий на един цялостен процес по защитата на корпоративните системи, а не като основен инструмент.

На първо място трябва да се разгледа цялостната концепция на средата в хода на самия бизнес. Служителите, които се занимават с това, независимо дали говорим за вътрешен отдел или външна услуга, трябва да знаят какво точно ще подсигуряват. Трябва да бъдат интегрирани политики за сигурност, а след това и да бъдат проверени. Тук на помощ идват механизми като оценка на риска и оценка на уязвимостите. В зависимост от резултатите може да се премине към тестове за проникване, но ако оценките са високи, провеждането на тестове за проникване са излишни”, обяснява на свой ред етичният хакер Тодор Донев.

Друг аутсорсинг подход са т.нар. bug bounty платформи, в които компаниите канят хакери да тестват системите им и да докладват за откритите уязвимости в замяна на награда. Тази практика датира от около 25 години, след като през 1995 Netscape стартира програмата Netscape Bugs Bounty, която цели откриване на грешки в бета-версиите на Netscape Navigator 2.0. срещу награда от 1000 долара.

Платформите представляват надеждна среда, в която компаниите възлагат поръчки за тестове на определени системи срещу награда. Идеята е, че хора, които имат експертиза и желание, търсят пробойни във въпросната система и ако открият и впоследствие те бъдат потвърдени от експерти на компанията, получават наградата си. Този подход би могъл да се използва като допълнение към тестовете за проникване, но трябва да се има предвид, че основното му приложение е свързано с откриване на грешки в уеб базирани системи. При него няма как да се тестват хора, инфраструктура, определена среда за съхранение на данни и т.н.”, предупреждава техническият ръководител на Lirex.

Според него при използването на стратегията bug bounty компаниите трябва да имат предвид, че за разлика от тестовете за проникване, при които има две ясно обозначени страни – възложител и изпълнител, договор, график и точно определени условия – при платформите всички тези рамки липсват.

При bug bounty програмите компаниите посочват сайта, който искат да бъде тестван, но кой и кога ще го тества не е ясно на никого. В тези платформи, разбира се, има чат, където тестващите могат да споделят намеренията си, но нямат задължението и рядко го правят. Затова е много трудно възложителите да разберат дали си имат работа с “бяла” или “черна” шапка и никога няма гаранция, че тестващият няма да продаде информацията на някой друг, ако я сметне за интересна и доходоносна”, смята Боян Янчев.

Без значение кой от методите избират компаниите, тенденциите за изнасяне на поне част от процесите, свързани с корпоративната киберсигурност, са налице и стават все по-устойчиви. А защо е така става ясно от думите на етичния хакер Тодор Денев, който е категоричен: “От 15 години всевъзможните кибератаки са нещо съвсем обичайно. Те са ежедневие. Статистиките сочат, че в момента, в който една чисто нова система бъде включена към мрежата, до 10 секунди тя вече е обект на посегателство. Въпросът обаче е дали атаката ще се превърне в инцидент, а това до голяма степен зависи от готовността на всяка организация.”

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов