Niebezpiecznik

O tym, czym dokładnie jest Threat Inteligence, jak ostatnie lata zmieniły pracę działów zajmujących się analizą zagrożeń i jak zmieni się ona w najbliższym czasie m.in. z powodu nadchodzących regulacji, rozmawialiśmy z nie jednym, nie dwoma, a aż trzema ekspertami ESET: Jakobem Souček – Senior Malware Researcherem oraz Jurajem Knapec – Product Managerem oraz Andym Garth – Dyrektorem ds. Government Affairs.

Jakub Soucek i Andrew Garth

Marcin Maj, Niebezpiecznik: Zawsze miałem wrażenie, że Threat Intelligence może obejmować niemal wszystko. Łączy przecież różne rodzaje wywiadu, setki źródeł, różne techniki analizy. W jaki sposób podejmujecie decyzję o tym, czym należy się zająć w danym momencie?

Jakob Souček: To zależy kto jest atakowany, czy zagrożenie jest już wcześniej znane czy nie, jak powszechne jest itp. Również złożoność zagrożenia jest istotna. Zespoły badawcze ESET analizują obraz zagrożeń codziennie i szukają tych zaawansowanych, jednocześnie aktywnie monitorując już wcześniej ustalonych sprawców.

W ciągu ostatnich pięciu lat mieliśmy najpierw pandemię, potem wojnę. Czy te wydarzenia znacząco zmieniły pracę w zakresie wywiadu dotyczącego zagrożeń?

Jakob Souček: Po pierwsze, świadomość cyberbezpieczeństwa znacząco wzrosła. Pandemia przyspieszyła procesy cyfryzacji, wywołując zauważalny wzrost aktywności online. Organizacje szybko zaakceptowały pracę zdalną, usługi chmurowe i platformy komunikacji cyfrowej. Jednak ta szybka ekspansja ujawniła nowe podatności. Większa liczba osób pracujących z domu sprawiła, że skala potencjalnego ataku może być większa, bo cyberprzestępcy mają możliwość wykorzystania słabych sieci domowych, niezabezpieczonych urządzeń i ludzkich błędów. Wybuch wojny dodatkowo zmienił krajobraz zagrożeń.

Zespoły odpowiedzialne za Threat Intelligence przyjrzały się bliżej atakom inicjowanym przez państwa, szpiegostwu cyfrowemu i kampaniom dezinformacji. Atrybucja ataków stawała się coraz trudniejsza ze względu na stosowanie bardziej zaawansowanych działań pod fałszywymi flagami. Napięcia geopolityczne zakłóciły łańcuchy dostaw, potencjalnie tworząc nowe podatności. Sprawcy zagrożeń wykorzystali te zakłócenia, aby naruszyć krytyczną infrastrukturę i sieci dostaw.

Threat intelligence to może być zarówno zapobieganie zagrożeniom, jak i analizowanie tego, co już się stało. Skupmy się na tej pierwszej rzeczy (zapobieganiu). Czy da się jakoś mierzyć skuteczność zapobiegania? Pytam, ponieważ wielu ludzi trudno się przekonuje, że warto robić coś po to, aby nic się nie wydarzyło.

Juraj Knapec: Zapobieganie pełni funkcję głównej obrony przed różnymi zagrożeniami. Dodatkowo przygotowanie odgrywa kluczową rolę. W praktyce dobrze przygotowana organizacja może skutecznie łagodzić ryzyko i zmniejszać swoją powierzchnię ataku w przypadku incydentu. To trochę tak jak z zaawansowanymi systemami bezpieczeństwa w autach. Nie zapewnią nam go w 100%, ale w ogromnym stopniu mogą ochronić i zminimalizować ryzyko w sytuacji wypadku. TI można traktować jako dodatkowy koszt, ale jeśli poważnie podchodzimy do bezpieczeństwa, będzie to inwestycja w jego poprawę, a skuteczność pojawi się na samym końcu.

A co z obszarem analizowania zagrożeń? Co powinno cechować dobrą analizę? Czego powinniśmy oczekiwać np. po raportach threat intelligence?

Juraj Knapec: Analiza powinna skupić się na kluczowych elementach – jak zrozumieć konkretne zagrożenie, jak je zlokalizować w środowisku, jakie środki obronne podjąć. Nie powinna zagłębiać się w zbyt wiele szczegółów, skupiając się na podstawowych funkcjonalnościach. Powinna jasno wyjaśnić, jakie są skutki i znaczenie danego zagrożenia.

W ostatnim czasie zarówno sektor publiczny, jak i prywatny wypuszczały raporty Threat Intelligence. W różnych krajach (także w Polsce) wprowadza się i nowelizuje prawo, które ma stymulować współpracę w tym zakresie. Tworzone są zespoły reagowania, punkty kontaktowe, wprowadza się nowe obowiązki sprawozdawcze. Czy z Waszej perspektywy miało to duże znaczenie? A może widzicie coś, co jest jeszcze do zrobienia w tej dziedzinie?

Andy Garth: Rzeczywiście, ważne prace są prowadzone na szczeblu UE i szczeblach krajowych. Większe zaangażowanie w wykrywanie zagrożeń cybernetycznych oraz wzmocnione struktury koordynacji i reakcji na poziomie krajowym i międzynarodowym to zrozumiała i pożądana reakcja rządów, w tym Polski, na coraz większe i zmieniające się zagrożenia cyber ze strony innych państw i grup przestępczych.

Niestety jest wiele do zrobienia w tej dziedzinie. Różne kraje mają różny poziom dojrzałości w zakresie cyberbezpieczeństwa, co zostało ujęte w politykach przedstawionych na poziomie UE, obejmujących kilka inicjatyw. W tym NIS2, skoncentrowana na środkach dla wysokiego wspólnego poziomu cyberbezpieczeństwa w całej Unii, albo planowany Akt ws. Solidarności Cybernetycznej UE, mający na celu zachęcanie do współpracy między państwami członkowskimi.

NIS 2, w szczególności, będzie stanowić wyzwanie dla państw w zakresie implementacji i administracji, a także dla firm, które poniosą koszty dodatkowych wymagań w zakresie zgodności z tym prawem. Dlatego musimy skupić się na wdrażaniu tych strategii, na przykład rozwiązując problem braku wykwalifikowanych pracowników w cyberbezpieczeństwie. Dzisiaj brakuje nawet do 500 tysięcy specjalistów w sektorze, nie tylko inżynierów komputerowych czy programistów, ale także prawników, edukatorów i wielu innych. Musimy pomóc małym i średnim przedsiębiorstwom w dostosowaniu się do tych strategii. Musimy dostarczyć im narzędzi do zrozumienia, jak radzić sobie z potencjalnymi wyzwaniami, inwestować w szkolenia i rozwój kompetencji, oraz oczywiście zapewnić im odpowiednie produkty i technologie do ochrony.

Nowe technologie to także nowe wyzwania, bo sprawcy przestępstw bardzo szybko uczą się tego, jak korzystać z nowych możliwości. Jednak również branża cyberbezpieczeństwa wykorzystuje nowinki. Przeciwdziałanie zagrożeniom cybernetycznym wymaga wspólnego wysiłku, a duża część zdolności do wykrywania i pokonywania ataków cybernetycznych leży po stronie sektora prywatnego. Dlatego nasza przewaga w łagodzeniu zagrożeń cybernetycznych polega na budowaniu zaufania pomiędzy decydentami, a sektorem prywatnym, włączając w to współpracę z organami ścigania lub dzielenie się informacjami z lokalnymi CERT-ami.

Zagrożenie nie jest statyczne. Musimy pozostać czujni, planować, przygotowywać się i być gotowymi do reakcji.

Juraj Knapec

Firmy z branży bezpieczeństwa zajmują się Threat Intelligence – to oczywiste. Takie zespoły mogą też mieć instytucje rządowe albo podmioty utrzymujące infrastrukturą krytyczną. Czy spodziewacie się, że konieczność inwestowania w ten obszar będzie się pojawiać w kolejnych obszarach, nie kojarzonych dziś z tą dziedziną?

Andy Garth: Niestety, zagrożenie cybernetyczne dotyczy teraz wszystkich sektorów biznesowych, zarówno dużych jak i małych firm. Złoczyńcy nie mają ograniczeń geograficznych ani sektorowych. Posiadają także wiedzę o atakach, które już nastąpiły. Jednocześnie wiedza o technikach, jakie oni sami stosują, pomaga w planowaniu obrony cybernetycznej w firmach. Rodzaj wiedzy dostarczanej przez usługi TI wykracza poza ochronę tylko krytycznej infrastruktury. W rzeczywistości, ochrona CTI w państwie oznacza również ochronę wszystkich innych podmiotów w łańcuchu dostaw, co było widoczne w atakach cybernetycznych, takich jak ten na SolarWinds.

W miarę jak wchodzą w życie nowe przepisy, takie jak NIS2, dostosowujące się do nich firmy będą musiały przeprowadzić skoordynowaną ocenę ryzyka, aby ocenić działania operacyjne podejmowane przez mniejsze firmy w celu radzenia sobie z incydentami cyber. Posiadanie systemów i korzystanie z dostosowanych narzędzi Threat Intelligence, które odpowiadają specyficznym potrzebom tych organizacji, jest nie tylko ważnym środkiem zapobiegawczym, ale także mądrą decyzją biznesową. Oczekujemy, że coraz więcej firm zainwestuje w Threat Intelligence, aby łagodzić znane zagrożenia i przewidywać te przyszłe.

Temat AI jest teraz modny, więc spytam i o to. Threat intelligence wydaje się obszarem idealnym dla zastosowania machine learningu i wiem, że używacie tego nie od dziś. Chcę jednak zadać takie pytanie – czy ostatnie postępy w rozwoju tzw. sztucznej inteligencji znacząco zmieniły waszą pracę, czy raczej jest to powolna ewolucja? Jak i kiedy używacie takich narzędzi. 

Juraj Knapec: ESET od dawna wykorzystuje AI do poprawy naszego rozumienia zestawu zagrożeń i identyfikacji nowych. Cyberbezpieczeństwo ze swoją specyficzną terminologią, rozbudowanymi scenariuszami zagrożeń, przy trwałym niedoborze ludzi z umiejętnościami w zakresie bezpieczeństwa oraz przy stale rosnącej liczbie cyberprzestępców, staje się obszarem idealnym dla innowacji z wykorzystaniem AI.

Choć od wielu lat sztuczna inteligencja poprawiała niektóre obszary cyberbezpieczeństwa – takie jak wykrywanie zagrożeń, filtrowanie i analiza danych na temat zagrożeń oraz narzędzia służące obronie – to inne mogłyby jeszcze skorzystać. Stało się to bardziej widoczne wraz z rozwojem generatywnej SI i dużych modeli językowych, zdolnych do lepszego przetwarzania języka naturalnego, a tym samym “rozumienia” pytań zadawanych przez użytkowników z różnymi poziomami wiedzy i udzielania im odpowiedzi w odpowiedni sposób. Ta, niedawno zdobyta zdolność, może przynieść korzyści nie tylko obrońcom i deweloperom rozwiązań ochronnych, ale także użytkownikom komputerów w kontekstach nieskojarzonych z bezpieczeństwem.

Jakie inne zmiany w zakresie Threat Intelligence obserwowaliście ostatnio. Czy są jakieś obszary, które kiedyś wydawały się mało znaczące, a teraz nabrały znaczenia? 

Jakob Souček: Widoczne w 2024 roku obszary ważne dla rozwoju cyberbezpieczeństwa obejmują powstanie specjalistycznych modeli językowych dostosowanych do tego obszaru, umożliwiających bardziej ukierunkowane wnioski i szybką adaptację do zmieniających się zagrożeń. Napięcia geopolityczne nadal kształtują obraz zagrożeń, co podkreśla znaczenie, jakie ma rozumienie kontekstu geopolitycznego dla efektywnego ich wykrywania. Wreszcie zmiany prawne zmuszające organizacje do wzmocnienia swoich kompetencji w zakresie cyberbezpieczeństwa wpływają na praktyki związane z Threat Intelligence.

Załóżmy, że jestem przedstawicielem podmiotu, który chce zainwestować w rozwiązania threat intelligence. Czego powinienem wymagać od ludzi lub firm, którym zlecę te zadania? Chodzi mi zwłaszcza o wymagania na poziomie strategicznym.

Juraj Knapec: Współpraca z dostawcą Threat Intelligence obejmuje wiele istotnych aspektów. Przede wszystkim, poufność zapewnia, że udostępnione informacje pozostają bezpieczne i chronione. Po drugie, jakość wywiadu ma istotne znaczenie. Wiarygodny dostawca TI dostarcza precyzyjne, trafne dane bez fałszywych lub wprowadzających w błąd elementów. Dostawca powinien dostosować swoje wnioski do Twoich konkretnych zainteresowań, skupiając się na obszarach, które dla Ciebie najbardziej się liczą. Otwarty kanał do zadawania pytań sprzyja głębszemu zrozumieniu tematu. Możliwość pytania o istotne tematy zapewnia, że zdobywasz wartościowe wnioski i pozostajesz dobrze poinformowany.

Z drugiej strony warto zachować ostrożność wobec agresywnego marketingu, który skupia się na mniej istotnych aspektach. Takich jak duży wolumen danych, który często obejmuje liczne false positives i nieistotne informacje, zamiast mniejszego, bardziej użytecznego zestawu danych. Dodatkowo ważne jest utrzymanie przez dostawcę wszechstronnego wglądu w różne regiony i branże.

Zejdźmy teraz na niższy poziom – taktyczny i operacyjny. Jakie narzędzia i usługi z Waszej specjalizacji mają dzisiaj szczególne znaczenie?

Juraj Knapec: Wykorzystujemy naszą własną telemetrię i narzędzia wewnętrzne, aby uzyskać głębsze spojrzenie na różne zagrożenia. Te zasoby zapewniają nam unikalny wgląd w sprawę, umożliwiając dostarczenie cennej analizy i środków do rozumienia zagrożeń.

A jak wygląda praca w dziedzinie threat intelligence. Czy zespoły są duże? Czy wymagają współpracy ludzi o różnych specjalnościach. Jeśli chcesz, możesz to przedstawić na przykładzie laboratorium ESET w Krakowie. 

Jakob Souček: Nasze zespoły są rozrzucone po całym świecie, gwarantując całodobową czujność. Ich zsynchronizowane wysiłki zapewniają ciągłe monitorowanie i szybką reakcję, niezależnie od stref czasowych. Doskonale współpracują, dzieląc się wskazówkami i wiedzą w celu zabezpieczenia naszych systemów. Pierwszy element tego systemu to zespoły badawcze. W ich skład wchodzą dedykowani eksperci. Są na pierwszej linii frontu w dziedzinie wykrywania zagrożeń. Skrupulatnie analizują powstające ryzyka, identyfikują wzorce i dostarczają nieocenionych wskazówek do ulepszeń. Ich wnioski kierują naszymi wysiłkami rozwojowymi, wzmacniając nasze środki obrony. Kolejny element to analitycy, którzy zajmują się sprawami najbardziej czasochłonnymi. Czy to przy analizie skomplikowanych wektorów ataku, czy przy przeszukiwaniu obszernych zestawów danych, to oni odciążają tych, którzy muszą skupić się na pracy bardziej strategicznej. Ich skrupulatna praca zapewnia, że jesteśmy krok przed zagrożeniami. Bardzo ważnym elementem naszych zespołów są też inżynierowie ds. wykrywania. Stanowią pierwszą linię frontu. To oni projektują, wdrażają i doskonalą nasze środki ochronne. Główny nacisk w ich pracy kładziony jest na zmniejszenie powierzchni ataku. Tworząc solidne mechanizmy wykrywania, chronią przed zagrożeniami.

Zadam na koniec jedno pytanie, które zawsze zadaję specjalistom w ciekawych dziedzinach. Z jakim największym lub najciekawszym problemem zetknąłeś się w swojej pracy. Co było dla Ciebie największym zagrożeniem, a może największym koszmarem?

Jakob Souček: Jednym ze stałych problemów jest ogromna ilość złośliwej aktywności, którą obserwujemy na świecie każdego dnia. Nie zagubić się w tym, jednocześnie będąc w stanie zauważyć wyjątkowe, wyszukane ataki celowane… to wyzwanie warte podjęcia.

Niniejszy wywiad jest wywiadem sponsorowanym i za jego publikację redakcja Niebezpiecznika otrzymała wynagrodzenie, ale zadane pytania są w 100% naszego autorstwa.