Interviu: Cum suplinim lipsa de specialiști în securitatea IT prin tehnologie


Găsiți aici un interviu cu Michal Jankech, principalul Manager de Produs la ESET, în care sunt discutate provocările majore de securitate și atacurile cibernetice cu care se confruntă marile companii în zilele noastre.

    Am înțeles că ESET a lansat recent o suită de soluții de securitate pentru segmentul enterprise, adică pentru întreprinderile cu mii sau zeci de mii de angajați. Ați discutat direct cu astfel de companii pentru a înțelege care sunt așteptările acestora de la soluțiile de securitate. Din moment ce securitatea IT este un subiect sensibil pentru organizații, sunt dispuse acestea să declare deschis că au fost victime ale atacurilor cibernetice?

Dacă semnăm un acord de confidențialitate, nu au nicio problemă să comunice deschis cu noi. Ei înțeleg că este mai bine să recunoască aceste aspecte și să împărtășească astfel de informații, deoarece ne pot ajuta pe noi, în calitate de furnizor de soluții de securitate, să prevenim astfel de atacuri pe viitor. În unele cazuri, tocmai această comunicare deschisă a fost motivul pentru care companiile au decis să opteze pentru soluțiile ESET. Au existat, de asemenea, companii cu sisteme de protecție învechite sau configurate greșit. Din perspectiva noastră, accesul către aceste informații este esențial. Să ai un produs de înaltă calitate nu este suficient: informațiile, configurarea și implementarea sunt la fel de importante. Acestea întăresc ideea conform căreia există întotdeauna loc de îmbunătățire, de exemplu, în documentația, asistența sau serviciile de implementare. Obiectivul este acela de a îi ajuta pe clienții noștri să poată implementa produsul în mod corespunzător și să îl poată utiliza în mod optim sau, în mod alternativ, să ne permită să oferim aceleași funcții drept serviciu.

    Ai aflat ceva care te-a surprins cu adevărat în timpul interviurilor cu întreprinderile?

În unele cazuri, am fost cu adevărat surprins de toleranța ridicată a clienților față de problemele de securitate. Am vizitat companii unde a fost considerat acceptabil ca zece procente din rețeaua lor să raporteze probleme. Am observat acest lucru în special în sectorul educației. Motivele care stau la baza acestui fapt au fost că aceste întreprinderi nu dispuneau de suficiente resurse financiare și/sau umane.

    În timpul interviurilor efectuate de ESET, companiile au fost rugate să identifice șase probleme majore de securitate, din perspectiva lor. Ransomware-ul, adică malware-ul care blochează conținutul unui dispozitiv și solicită plata unei răscumpărări pentru a restabili accesul la date, a fost descris drept un pericol primar. Problema ransomware-ulului este dezbătută deja de ani de zile, deci de ce mai creează încă probleme pentru companii?

Potrivit sondajului nostru, ransomware-ul a fost recent înlocuit cu phishing-ul în categoria celor mai importante probleme de securitate. De fapt, ambele funcționează pe același principiu. Atacatorii încearcă să profite de gradul scăzut de conștientizare pe care îl au angajații asupra securității informatice, pentru a-și infiltra codurile rău intenționate în rețeaua unei companii. În trecut, ransomware-ul era principalul vector de atac. A fost văzut drept inamicul numărul unu pentru companii, în special din cauza unor atacuri extrem de mediatizate, cum ar fi WannaCry și NotPetya, care au provocat daune de miliarde de dolari, și au fost subiectul principal în publicații din întreaga lume. Astfel, chiar și o persoană care nu a experimentat o infectare ransomware a perceput-o ca pe o amenințare gravă. Clienții noștri ne-au informat în timpul interviurilor că au văzut posibilități de asistență suplimentară din partea noastră.

    Cele șase mari provocări de securitate cu care se confruntă infrastructurile business sunt:

  1. Atacurile ransomware -  malware-ul bazat pe criptare
  2. Atacurile direcționate și hacking-ul
  3. Sistemele de operare mixte - există întotdeauna cel puțin un computer Mac într-o companie
  4. Vizibilitatea insuficientă din rețea și nevoia unei eficiențe operaționale mai mari
  5. Obiceiuri nepotrivite ale angajaților în raport cu securitatea IT
  6. Lipsa forței de muncă

    Cum ați abordat această problemă la nivel intern?

De-a lungul timpului am furnizat clienților noștri o foarte bună detecție comportamentală a malware-ului. Avem de multă vreme disponibil un modul dedicat HIPS (Host-based Intrusion Prevention System), un sistem care a permis clienților să stabilească reguli personalizate prin care să se protejeze împotriva ransomware-ului. Ceea ce am adăugat ulterior a fost Ransomware Shield, un modul comportamental specific, care are capacitatea de a detecta ransomware-ul pe baza comportamentului și activității codului software. Acesta este ultimul nivel de protecție care intervine atunci când toate straturile de securitate anterioare nu reușesc să detecteze amenințarea.

Din motive de prevenție, cel mai bine este să verificați și să detectați un potențial atac de tip ransomware, înainte ca acesta să se inflitreze în rețea. Am constatat că e-mail-ul rămâne în continuare cel mai des folosit mediu pentru distribuirea acestui tip de atac. De obicei, totul începe cu un click pe un link suspect, de exemplu, un link către o factură fictivă de la o companie de curierat sau de la un furnizor. Prin urmare, am conceput o soluție care funcționează în felul următor:  transferă atașamentul clasificat drept suspect al unui e-mail sau al comunicării suspecte într-un sandbox securizat unde simulează comportamentul utilizatorului. De exemplu, se deschide e-mailul, se dă clic pe link-uri și se descarcă atașamentul. Ulterior, datorită motoarelor noastre de detecție și a tehnologiei Machine Learning, destinatarul email-ului suspect (clientul nostru) primește informații cu privire la statusul e-mail-ului verificat, dacă acesta este realmente rău intenționat sau nu.

    Dar care este cauza reală a unor astfel de incidente? Atacatori pricepuți sau angajați neatenți?

Ce a cauzat răspândirea lui WannaCry? Sisteme de operare fără patch-uri de securitate. Atacatorii au exploatat o vulnerabilitate cunoscută, astfel încât singura acțiune pe care trebuiau să o ia companiile în termeni de prevenire era „să se vaccineze" împotriva infecției, adică să instaleze patch-urile de securitate disponibile. Companiile care nu au făcut acest lucru au suferit consecințele.

    Atacurile direcționate și hacking-ul au ocupat locul doi pe listă. Reprezintă acestea amenințări reale pe care companiile mari le înfruntă realmente sau reprezintă un factor de risc sporit din cauza atenției căpătate de acestea în mass-media?

Companiile experimentează, de fapt, aceste probleme. Putem observa, în principal, în țările occidentale, că există anumite tipuri de atacuri care vizează în mod specific activitățile de business ale organizației respective. Atacurile direcționate pot fi adesea folosite ca o formă de luptă competitivă. În cele mai multe cazuri, obiectivul acestor atacuri este așa-numita vânătoare de date, adică obținerea de informații comerciale interesante.

    Companiile au menționat, de asemenea, că există o lipsă de profesioniști în domeniul IT. Reprezintă acest fapt o situație la nivel global?

Raportându-ne strict la segmentul IT, situația nu este atât de rea de fapt. Cu toate acestea, ne confruntăm cu o problemă mai mare în domeniul îngust al securității IT. Găsirea unui profesionist IT este o provocare; totuși, găsirea unui specialist în domeniul securității IT este aproape imposibilă. Chiar și în situația în care o companie nu are specialiști în domeniul securității IT, nu înseamnă automat că este un scenariu defavorabil. În cazul multor întreprinderi mici și mijlocii, domeniul IT este perceput ca un rău necesar - de exemplu în sectorul sănătății. Acest lucru are ca rezultat o tendință uriașă de outsourcing și așteptări în continuă creștere ale clienților cu privire la ceea ce primesc atunci când cumpără produsul. Cu cât este mai mare compania clientului, cu atât sunt mai specifice așteptările sale. Companiile mari așteaptă un serviciu personalizat - abordare specială, prezentări și adaptări, în cazul în care ceva nu se potrivește nevoilor lor, astfel fiind vorba despre un nivel complet diferit prin care trebuie abordată problema securitații. Fiecare întreprindere este specifică și, prin urmare, costurile de implementare diferă. Înainte de faza de implementare, efectuăm o analiză a necesităților și oferim clientului recomandări privind posibilele măsuri adecvate pentru companie în ceea ce privește capacitatea sa fizică, tipologia rețelei etc. Din acest motiv, am pregătit mai multe pachete pentru segmentul enterprise.

Lasa un comentariu