Колкото повече разчитаме на компютри, толкова по-уязвими ставаме

Г-н Стаменов, границата между физическия и дигиталния свят е размита и това си пролича особено ярко миналия месец, когато хакерска атака блокира работата на най-големия нефтопровод в САЩ. Какви са основните изводи от този инцидент относно слабостите на критичната инфраструктура и отражението върху националната сигурност?

Хакерските атаки с криптиране на сървъри и работни станции, при които се иска откуп от пострадалите, се е увеличил със 130% за първите месеци на 2021 г. спрямо предходната година, според изследване на eWeek. Малко от тях обаче стигат до медиите. Атаката над Colonial Pipeline доби публичност заради факта, че много хора в САЩ останаха без гориво. Случилото се е емблематичен пример за рисковете, които водят след себе си незащитените критични инфраструктури. Всяко производствено предприятие трябва да повдигне въпрос в управителното си тяло: „Защитено ли е нашето производство?“ и „Колко ще губим на ден, ако компютрите, които управляват процесите, спрат?“

Злонамерените хакери стават все повече и по-умели, все по-безкомпромисни, a едва ли може да се разчита особено на етичните им принципи. Как бизнесът и държавите могат да отговорят на тази масирана атака?

Умели са, защото днес да атакуваш IT инфраструктура е евтино и безнаказано. Евтино е, защото в Dark Web можеш да си закупиш написване на вирус и за 50 долара. А е безнаказано, защото разкриването на извършителите е изключително трудно, особено когато се крият в страни, които не са кооперативни в преследването им. Пример – можем да поискаме от Google достъп до пощенските кутии и история на търсенията на заподозрян извършител, но можем ли да добием същата информация за потребител на mail.ru например? Държавите могат да отговорят с нови политики и регламенти по разкриване и преследване на извършителите. А бизнесът – с инвестиции в системи, които предпазват от заплахи и „заключват вратите“, през които влизат лошите. 

А могат ли да бъдат предвидени плановете на киберпрестъпниците? Възможно ли е една организация да разбере, че ще бъде нападната и да успее да реагира на атаката превантивно?

Никак не е лесно да разберем, че ще ни „ударят“. Но не е невъзможно. Съществуват инструменти, които буквално „подслушват“ разговорите на киберпрестъпниците – говоря за Threat Intelligence платформите. Те са инструмент за „разузнаване“ в тъмния свят. Съществено е да се отбележи, че всички разкрития на този тип „разузнаване“ водят до конкретни действия по предпазване от бъдещи заплахи – отстраняване на уязвимости, заключване на акаунти, донастройване на политики за достъп и т.н. 

През април CLICO обяви партньорството си с Recorded Future. Бихте ли разказали малко повече за самата компания и какво привлече вниманието ѝ към пазара в България и региона?

Recorded Future е водещо решение за Threat Intelligence. То събира информация за потенциални заплахи от над 850 000 източника, в това число хакерски форуми и Dark Web, индексира и превежда информацията на английски език, за да я направи лесно достъпна и разбираема за своите абонати. Компанията, за разлика от други подобни решения, събира информация само от външни за клиентите си източници. Много от другите подобни платформи използват като основен източник на информация заплахите и атаките, които се наблюдават при техните собствени клиенти, което ограничава знанията им до случващото се в тяхната инсталираната база. 

Какви са основните функции в платформата на Recorded Future? До всички от тях ли клиентите получават достъп, или могат да изберат да ползват само някои? 

Клиентите на Recorded Future могат да избират между няколко различни абонамента за да ползват това, което най-добре отговаря на техните нужди.

• Threat Intelligence – богата на контекст информация за всяка заплаха, кога, как и къде е срещана, как се е появила, кои са пострадали, как се развива заплахата. Ако например откриете IP адрес на център за отдалечен контрол – RF ще ви даде пълна справка за този IP адрес кога и как е използван.
• Brand Intelligence – модул, който може да ви алармира, ако ваши пароли са изтекли и се търгуват в тъмната мрежа, ако е създаден фишинг домейн, подготвя се фишинг кампания или друг тип атака срещу вашата организация. В допълнение клиентите на RF могат да се възползват от услуги като неутрализиране на фишинг сайтове и други.
  Vulnerability Intelligence – ако организацията ви е интегрирала решение за сканиране за уязвимости (едно от задължителните решения и по Наредбата за Минимални изисквания за мрежова информационна сигурност – МИМИС) – RF ще ви алармира, кои от намерените уязвимости в момента се използват за пробиви. Точно тяхното отстраняване трябва да бъде приоритизирано.
• Third-Party Intelligence – този модул позволява да се следи рискът от пробиви на контрагенти на организацията и да се вземат мерки по ограничаване на техните достъпи с цел минимизиране на заплахи, идващи от компрометирана партньорска организация. Емблематичен пример за такава заплаха беше пробивът на десетки компании през компрометиран софтуер на Solar Winds.
• SecOps Intelligence – Модулът, без който всеки център за киберсигурност работи буквално на сляпо. Този модул помага на екипите, отговарящи за сигурността на операциите, да вземат по-бързи и информирани решения при определяне на риска от потенциални заплахи въз основа на данните в платформата, нещо като използването на очила за нощно виждане в непрогледен мрак.

Какви са най-ценните предимства, които инструментът дава на организациите в неравната битка с престъпните кибергрупировки? 

Изключителен брой източници на информация – над 50 милиона референции се добавят всеки ден. Информацията е в реално време. Богат контекст за всяка заплаха с история на киберинцидентите. С една дума, ако има разузнавач, който да ви подшушне, че някой ви мисли злото – това е Recorded Future.

Как реагира българският бизнес на идеята за платформата? Има ли тя своите първи клиенти? 

Recorded Future вече има клиенти в България. Демонстрациите, които правим на възможностите на платформата, се радват на изключителен интерес. И няма как иначе да бъде, тъй като това е възможност да разберем дали се планира атака към нас и да се изчисли рискът да пострадаме, дори да няма данни за целенасочена атака срещу нашата организация.

А за какъв тип компании и индустрии е най-подходящо решението на Recorded Future? И защо?  

Да кажем така – центровете за информационна сигурност не биха могли да работят ефективно без подобно решение. Освен тях Recorded Future е подходящ за всяка организация, която има екип, отговорен за информационната сигурност. 

Каква е възвращаемостта за бизнеса от направените превантивни разходи за киберсигурност? И в този ред на мисли каква е прогнозата Ви за техния ръст през следващите години, включително в България? 

Тук мога да отговоря с контра въпрос – Каква е възвращаемостта от полицията? Оставям читателите да помислят над него. Колкото до ръста на инвестициите в решения за киберсигурност – Източна Европа, и в частност България, е с най-високи ръстове за подобни решения. Неотдавна Check Point инвестира в локален търговски екип. Предстои инвестицията на Palo Alto Networks у нас, а технологии като Splunk, SentinelOne и Recorded Future вече инвестират в страната чрез създаване на партньорска мрежа. Ръстът в киберсигурност е двуцифрен и няма да спадне в близките години. 

А как очаквате да се развият и еволюират атаките на фона на все по-значителната и всеобхватна дигитализация на живота и бизнеса? 

Ще завърша с това, с което започнах. Докато не се подобри откриваемостта и преследването на извършителите – атаките ще вървят само нагоре. От закачливо занимание на тийнейджъри, които искаха да докажат себе си преди 15 години, днес киберпрестъпността е по-печеливш бизнес от трафика на хора. Колкото повече разчитаме на софтуер и на компютри, толкова по-уязвими ще ставаме, ако не мислим за сигурността си.