Janusz Małgorzaciak
Security Team Unit Lead
Microsoft Polska

Cyberodporność: ważne są narzędzia, ale także świadomość

O kluczowych obszarach w budowaniu cyberodporności i najważniejszych zagadnieniach w ciągłym jej doskonaleniu na bazie dostępnych narzędzi, a także o pracy nad podnoszeniem świadomości pracowników dotyczących nowych zagrożeń i wektorów ataku, wreszcie o dobrych praktykach wspomagających czujność rozmawiamy z Januszem Małgorzaciakiem, Security Team Unit Lead w Microsoft Polska.

 

Jakie są obecnie kluczowe wyzwania dla organizacji, w szczególności administracji publicznej, związane z budowaniem cyberodporności?

Janusz Małgorzaciak [JM]: Jesteśmy świadkami dynamicznego wzrostu różnego rodzaju ataków w cyberprzestrzeni. W rozmowach z klientami i naszymi partnerami obserwujemy jak bardzo zmienia się podejście organizacji w aspekcie budowania polityki bezpieczeństwa. Bezpieczeństwo nie jest już strażnikiem, czy komórką która daje czerwone lub zielone światło na zastosowanie rozwiązania przez biznes. Zostało na stałe wpisane w funkcjonowanie biznesu, działu rozwoju i operacji – bezpieczeństwo stało się wartością dla samego biznesu.

Zmienił się również paradygmat samego postrzegania zabezpieczania infrastruktury i dostępu do danych. Bardzo koncentrujemy się na ochronie przed zagrożeniami z zewnątrz - budując zapory, filtrując i analizując wszystkie sygnały, jakie docierają do naszej organizacji. Zapomnieliśmy jednak o zagrożeniach, które mogą pochodzić z wewnątrz organizacji. To także może być źródło poważnych szkód. Dlatego przejęcie tożsamości i uzyskanie dostępu do środowiska stało się głównym sposobem ataku a najpopularniejszą formą jego przeprowadzenia jest phishing.

Czy właśnie phishing jest największym zagrożeniem? Czy ochrona poczty elektronicznej jest kluczowa?

JM: Phishing w ostatnim czasie dotyka wszystkich i nie oszczędza żadnej branży. Raz do roku publikujemy duży zbiorczy raport zawierający istotne dane dotyczące cyberbezpieczeństwa – Microsoft Digital Defense Report. Na podstawie danych z raportu widać, że każda organizacja jest narażona na ryzyko w większym stopniu niż dotychczas. Myślę, że każdy z nas w ostatnim czasie doświadczył różnych form phishingu. Mógł to być SMS albo email z odwołaniem odsyłającym do złośliwego oprogramowania typu ransmoware. Co więcej, do tej pory tego typu malware był ukierunkowany na wyłudzenie pieniędzy - po zaszyfrowaniu danych pojawiało się żądanie okupu, którego zapłacenie pozwalać miało na ich odzyskanie. Prawda niestety jest taka, że mimo wpłacenia okupu odzyskanie danych udawało się bardzo rzadko. Ostatnie ataki pokazują również w tym obszarze duże zmiany i teraz nastawione są one raczej na zniszczenie danych. Jednocześnie coraz popularniejsze stają się groźby wycieku i ujawnienia danych po ich przejęciu w przypadku braku zapłaty okupu.

Czy sam phishing się zmienia?

JM: Phishing dzisiaj to nie tylko wydobywanie uwierzytelnień ale również mechanizm nadawania uprawnień dla aplikacji złośliwej po kliknięciu linku. Sposoby ataku stają się coraz bardziej wyszukane. Warto tutaj wymienić maile udające odpowiedź na wiadomość z istniejącego już wątku w naszej skrzynce pocztowej albo mail podszywający się pod naszego zaufanego dostawcę. Złośliwy kod może być zaszyty w spakowanym i zabezpieczonym hasłem pliku, gdzie samo hasło podane bywa bezpośrednio w treści maila. Umieszczony złośliwy kod może być tylko skryptem, tzw. stagerem,,

który nie jest rozpoznawany jako zagrożenie, ale który będzie pobierać złośliwe oprogramowanie z zewnętrznej strony dopiero po jakimś czasie.

Dlatego ochrona poczty jest bardzo istotna. Niemniej musimy pamiętać, że nie możemy skupiać się wyłącznie na ochronie narzędziowej. Bardzo istotnym czynnikiem jest ciągłe podnoszenie świadomości pracowników i utrzymywanie wysokiego poziomu czujności.

Jakie są najlepsze rekomendowane praktyki cyberbezpieczeństwa? Jakie znaczenie dla ogólnej cyberodporności ma podstawowa higiena bezpieczeństwa?

JM: Prawda jest taka i potwierdzają to analizy, że w gruncie rzeczy podstawowe zachowanie higieny zabezpiecza nas w 98%. Pierwszym elementem jest ochrona tożsamości przez wieloskładnikowe uwierzytelnianie wraz z dostępem warunkowym. Znacząco utrudni to proces pozyskania poświadczeń. Drugi obszar to stosowanie zasady Zero Trust , przy czym należy pamiętać, że zasada ta obowiązuje również w odniesieniu do zagrożeń z wewnątrz organizacji. Dlatego utrzymywanie zaktualizowanego środowiska wraz z zarządzaniem urządzeniami staje się kluczowe. Często grupy przestępcze czy nawet amatorzy wykorzystują znane i szeroko publikowane luki w zabezpieczeniach. Pamiętajmy również o rozwiązaniach MDM, bo często chronimy dostęp do poczty z komputera, ale dostęp do poczty z komórki pozostaje już bez kontroli.

Powinniśmy korzystać także z innych dostępnych narzędzi. Rozwiązanie antywirusowe połączone z EDR to dzisiaj absolutne minimum. Współczesne rozwiązania EDR korzystają z globalnych serwisów dostępnych w chmurze do analizy występujących zagrożeń. W naszym przypadku narzędzia te opierają się na mechanizmach machine learning i pozwalają na sprawne rozpoznanie zagrożenia w czasie rzeczywistym na dowolnej platformie.

Na co jeszcze warto zwrócić uwagę?

JM: Często pomijanym elementem jest świadomość dotycząca ochrony swoich danych. Wiedza, o tym gdzie znajdują się dane, jakie ważne informację są zapisane a przede wszystkim kto ma lub może mieć do nich dostęp w znaczący sposób pomaga w utrzymaniu higieny bezpieczeństwa i spełnieniu wymagań regulacyjnych w tym zakresie.

Przypomnę raz jeszcze, ale to kluczowy obszar, nie należy zapominać o pracownikach, bowiem to ich wiedza i czujność są niejednokrotnie najsłabszym ogniwem wykorzystywanym przez cyberprzestępców. Warto wykorzystać proaktywne podejście w postaci huntingu, czyli przestawiamy się z reaktywnego podejścia polegającego na przysłowiowym gaszeniu pożaru, a przechodzimy do wyprzedzającego, wykorzystującego świadomy atak i proaktywne szukanie zagrożeń. Warto rozważyć podejście Blue Team i Red Team w ramach organizacji albo polegać na zasobach zewnętrznych, oczywiście w zależności od możliwości finansowych.

Jakie narzędzia oferuje Microsoft wspierając organizacje w budowaniu cyberodporności?

JM: Rodzina rozwiązań Microsoft 365 obejmuje kompleksowe funkcje ochrony użytkowników. Spośród różnorodnych usług należy zwrócić uwagę na narzędzia zarządzania i ochrony tożsamości pozwalające m.in. na wieloskładnikowe potwierdzanie tożsamości oraz dostęp warunkowy. Warto także wskazać na mechanizmy ochrony przed wirusami i złośliwym oprogramowaniem Microsoft Defender AV, który uzupełniony o narzędzie EDR - Microsoft Defender for Endpoint - pozwala na pełną ochronę końcówek. Dodając do tego Microsoft Intune mamy bezpieczne i w pełni zarządzane środowisko niezależnie od OS urządzenia.

Warto zwrócić także uwagę na Defender for Office, czyli narzędzia ochrony poczty przed zaawansowanymi zagrożeniami np. Phishing z mechanizmami detonacji załączników oraz weryfikacją niebezpiecznych linków.

Usługa Microsoft 365 daje również możliwość klasyfikacji informacji, czyli kategoryzację i etykietowanie dokumentów wraz z mechanizmami szyfrowania i ograniczania dostępu dla osób nieuprawnionych.

Wraz z rozwiązaniem klasy SIEM - Microsoft Sentinel mamy możliwość zbudowania bezpiecznego w pełni zarządzanego i monitorowanego środowiska zbudowanego na infrastrukturze w chmurze lub środowisku hybrydowym.

CYBERGOV

22-23 maja 2024r
www.cybergov.pl

Organizator konferencji

Evention sp. z o.o
Rondo ONZ 1
Warszawa, Polska
www.evention.pl

Kontakt

Weronika Warpas
m:
e: weronika.warpas@evention.pl

© 2024 | Strona korzysta z plików cookies. Przeglądanie strony oznacza akceptację.