Złożoność jest wrogiem bezpieczeństwa

CRN Odbiorcy rozwiązań IT w ostatnich latach mają problem z wyborem systemów zabezpieczeń infrastruktury teleinformatycznej. Z jednej strony są producenci, którzy działają od 20–30 lat i wielu kojarzą się z „dinozaurami” branży, a z drugiej „rozpychające się”  kilkuletnie startupy uzurpujące sobie wyłączne prawo do bycia innowacyjnymi. Jakich argumentów powinni używać resellerzy i integratorzy, aby skłonić klientów do współpracy z przedstawicielami jednej z tych dwóch grup?

Kris Hagerman Rzeczywiście, dość popularna opinia, że to głównie startupy są innowacyjne, jest moim zdaniem zupełnie błędna. Dla przykładu podam nazwy trzech firm: Apple, Google i Amazon. Pierwsza ma ponad 40 lat, a pozostałe ponad 20. Żadnej nie można zarzucić, że nie jest innowacyjna. Oczywiście także wiele startupów ma świetne pomysły, ale w branży rozwiązań ochronnych IT to nie wystarczy, bo przedmiotem sprzedaży jest w niej bardzo specyficzny rodzaj produktów. Oprócz funkcji i jakości oferowanych rozwiązań bardzo ważne są też kreatywność, innowacyjność, doświadczenie i wiarygodność producenta oraz gotowość klienta do obdarzenia go zaufaniem. My jesteśmy tego najlepszym przykładem – mamy ponad 30 lat i zdobyte przez ten czas zaufanie tysięcy klientów, ale nie zwalnia to nas z pracy nad ciągłym rozbudowywaniem funkcji kolejnych produktów. W bezpieczeństwie nie ma mowy o sukcesie bez bycia liderem innowacyjności.

CRN Czy naprawdę tworząc nowe rozwiązania, korzystacie ze swojego doświadczenia z lat 80. i 90.?

Kris Hagerman Oczywiście! I to na wielu poziomach. Naturalnie zmieniło się otoczenie techniczne, inne są systemy operacyjne, aplikacje i – niestety – przyczyny podejmowania działań przez atakujących. Ale znajomość procesu tych zmian, ewolucji rynku oraz świadomość tempa poszerzania się wiedzy użytkowników pomaga nam w utrzymaniu profesjonalnych relacji z klientami oraz resellerami i integratorami. Wiemy, jakie są ich potrzeby i staramy się je zaspokoić, tworząc innowacyjne rozwiązania w taki sposób, aby nie doprowadzać za każdym razem do rewolucji. Dzięki temu możemy cieszyć się najcenniejszą w branży zdobyczą – zaufaniem.

CRN Jak zatem startupom udaje się utrzymać na rynku, skoro – jako nowe podmioty – nie miały jeszcze szansy zyskać zaufania?

Kris Hagerman Widzimy jak to dla nich trudne. Efektem zresztą jest duża liczba startupów, które znikły z rynku, bo nie odniosły sukcesu. W tej chwili istnieje ponad tysiąc niezależnych firm oferujących rozwiązania ochronne i codziennie powstają nowe. Wiemy, że większość z nich nie przetrwa, więc z punktu widzenia partnerów i klientów inwestowanie czasu i pieniędzy w rozwiązania nowopowstałych producentów to loteria. Gdy firma jest na rynku tylko parę lat, nie sposób ocenić, jak będzie reagowała w przypadku kryzysów, na jak solidne wsparcie mogą liczyć klienci i czy będzie starała się zostać rynkowym liderem. Doświadczenie pokazuje, że z czasem większość nowych firm przejmują bardziej zadomowione w branży przedsiębiorstwa, co jest swego rodzaju ratunkiem dla ich klientów, którzy zdecydowali się podjąć ryzyko.

CRN Obserwacja rynku dostawców rozwiązań ochronnych prowadzi do bardzo ciekawej konkluzji. Przykładowo w dwóch magicznych kwadrantach Gartnera, obejmujących producentów UTM-ów oraz oprogramowania zabezpieczającego urządzenia końcowe, powtarzają się tylko dwie firmy: Sophos i Cisco. Czy fakt skupienia się prawie wszystkich dostawców na jednym obszarze powinien skłaniać do wniosku, że klienci mogą skupić się na ochronie też tylko jednego – infrastruktury sieciowej lub urządzeń końcowych?

Kris Hagerman To pytanie w rodzaju, co dla człowieka jest ważniejsze: woda czy jedzenie. Niezbędna jest ochrona w każdym punkcie infrastruktury IT! Ale faktem jest, że nasza branża od czasu do czasu poddaje się modzie na ochronę albo sieci, albo urządzeń końcowych. Wówczas dostawcy rozwiązań dla jednego obszaru przekonują klientów, że zabezpieczanie tych z drugiego jest mniej istotne. Bywa, że producenci oprogramowania antywirusowego twierdzą, iż ochrona sieci nie jest tak ważna, bo złośliwy kod będzie próbował uruchomić się na stacji roboczej. Tego typu tłumaczenie jest absurdalne. My uważamy, że jeśli klient chce efektywnego i wszechstronnego rozwiązania, musi zabezpieczyć swoją infrastrukturę w każdym punkcie. I najważniejsze: wszystkie rozwiązania ochronne powinny komunikować się ze sobą, bo dwie z pozoru niewiele znaczące informacje skorelowane ze sobą mogą już na coś konkretnego wskazywać. To tak jakby strażnikom wewnątrz i na zewnątrz budynku dać krótkofalówki do komunikacji – oczywistym efektem będzie większe bezpieczeństwo.

CRN W takim modelu konieczne jest jednak stosowanie wszystkich rozwiązań od jednego dostawcy. Czy nie obawiacie się, że zostaniecie oskarżeni o monopolistyczne praktyki typu vendor lock-in?

Kris Hagerman Nie, ponieważ leży to w interesie klienta. Dzięki takiemu ograniczeniu zdobywa on gwarancję, że korzysta z przetestowanych w zakresie współdziałania rozwiązań, które mają unikalne możliwości, jakich nie posiadają pojedyncze produkty.

CRN Czy kiedyś powstanie otwarty standard w tej dziedzinie, a urządzenia do ochrony sieci i pakiety antywirusowe różnych dostawców zyskają interfejs API, dzięki któremu będą komunikować się ze sobą?

Kris Hagerman Nie sądzę. I znów, nie dlatego, że próbujemy na siłę utrzymać model vendor lock-in. Z zasady wspieramy otwarte standardy, ale one nie zawsze się sprawdzają, szczególnie jeśli nie obejmują głębokich struktur danego rozwiązania. W przypadku systemów ochronnych czasami zachodzi konieczność wymiany bardzo dużej ilości informacji, a w otwartych standardach często spotyka się limity w tym zakresie. Poza tym, chyba największym problemem jest fakt, że wszelkie standardy nie są rozwijane w takim tempie, w jakim rośnie rynek zagrożeń IT. Nie ma więc szans, by dogonić cyberprzestępców, nie mówiąc już o ich przegonieniu. Dlatego czasami po prostu trzeba pójść swoją drogą, nie zważając na innych, gdyż tylko w ten sposób można zapewnić wydajność rozwiązania ochronnego i bardzo krótki czas reakcji w przypadku problemów.

CRN Do całej olbrzymiej grupy zagrożeń związanych z IT dołączył ostatnio cryptojacking, czyli kopanie kryptowalut bez wiedzy i zgody użytkownika komputera…

Kris Hagerman Potwierdzam, że liczba nielegalnie uruchamianych skryptów kopiących kryptowaluty ogromnie wzrosła w ostatnim czasie, ale nie jest to najpoważniejsze zagrożenie, z jakim przyszło nam walczyć. Oprócz tego, że cryptojacking może znacznie wpłynąć na rachunek za energię zaatakowanego użytkownika, nie wyrządza żadnej innej szkody. Poza tym dość łatwo go wykryć – zdradza go bardzo wysokie wykorzystanie mocy obliczeniowej komputera.

CRN Co zatem pozostaje najtrudniejszym do rozwiązania problemem?

Kris Hagerman Zdecydowanie ransomware. Ostatnio w jednej z ankiet zapytaliśmy o ransomware 2700 menedżerów IT z różnych krajów i wyniki były porażające. Ponad połowa firm została zaatakowana przez ransomware w ciągu ostatniego roku. Co więcej, na każdą z nich przypadały średnio dwa ataki. O tym rodzaju zagrożenia wiele mówiło się już w mediach, ale nadal w olbrzymiej liczbie przedsiębiorstw nie ma nawet podstawowej wiedzy na ten temat, a administratorzy nie podejmują żadnych działań, aby wprowadzić skuteczne rozwiązania ochronne. Udało się nam już nauczyć zwalczać wiele rodzajów ataków doprowadzających do zaszyfrowania danych użytkownika, ale cyberprzestępcy nie ustają w próbach wykrycia nowych luk w systemach operacyjnych i rozwiązaniach ochronnych. Na pewno w tej dziedzinie będą bardzo aktywni w najbliższych latach.

CRN Kradzież legalnie zdobytych kryptowalut jest kolejnym przykładem cyberprzestępstw. Czy macie pomysł na skuteczną ochronę przed ich utratą?

Kris Hagerman W tym przypadku najlepsze praktyki nie różnią się specjalnie od tych związanych z ochroną innych zasobów, np. w szpitalu, banku, przedsiębiorstwie handlowym czy sklepie internetowym. Konieczne jest zachowanie zdrowego rozsądku oraz zabezpieczenie prawne w postaci umowy z firmą przechowującą cyfrowe pieniądze. Nie widzę nic charakterystycznego dla kryptowalut, co mogłoby pomóc w ich ochronie.

CRN Czy podobnie można podejść do zabezpieczania rozwiązań Internetu rzeczy?

Kris Hagerman Tu sytuacja jest bardziej skomplikowana. W przypadku kryptowalut mówimy o wartości wirtualnej, tymczasem wiele rozwiązań Internetu rzeczy ma wpływ na nasze fizyczne bezpieczeństwo. Liczba rodzajów urządzeń podłączonych do Internetu rośnie wykładniczo – lodówki, dzwonki do drzwi, doniczki, termostaty itd. Pozytywne zjawisko, które dostrzegliśmy, polega na tym, że wreszcie dostawcy wspomnianego sprzętu zaczęli poczuwać się do odpowiedzialności za jego zabezpieczenie, więc przynajmniej na podstawowym poziomie jest chroniony. Ale dużo zależy od użytkowników. Powinni przede wszystkim zmieniać domyślne hasła, a tu ignorancja jest przerażająca.

CRN Czy zatem można spodziewać się rozwiązań ochronnych dla urządzeń Internetu rzeczy, stworzonych przez niezależne firmy?

Kris Hagerman Byłoby to trudne do zrealizowania, chociaż nie niemożliwe. Niektóre rozwiązania bazują na otwartych, powszechnie znanych systemach operacyjnych, chociażby na Androidzie, w których można bez problemu zainstalować antywirus. Większość jednak jest zupełnie zamknięta. Wówczas pełna odpowiedzialność za bezpieczeństwo spoczywa na producencie, ale też na wdrożeniowcu, który musi wiedzieć, co podłącza i jak wyeliminować oczywiste luki w ochronie, np. wspomniane domyślne hasła administratora i użytkownika. Niektóre firmy użytkujące rozwiązania IoT przyjmują strategię, zgodnie z którą na początku żadne z podłączanych do sieci urządzeń nie jest traktowane jako godne zaufania, a następnie powoli i uważnie przydzielane są uprawnienia do korzystania z poszczególnych zasobów. Dobrą praktyką jest też stosowanie rozwiązań analizujących dane przesyłane w sieci w celu wykrycia prowadzonego ataku.

CRN W systemach IoT często wykorzystywana jest sztuczna inteligencja, także w narzędziach ochronnych. Do czego służy i czy generalnie stanowi ona przyszłość diagnostyki w zakresie bezpieczeństwa IT?

Kris Hagerman Sztuczna inteligencja jest stosowana do tzw. głębokiego maszynowego uczenia bazującego na sieci neuronowej, podobnej do struktury szarych komórek w mózgu. Jest przykładem bardzo dużego postępu w dziedzinie walki ze stale rosnącą ilością złośliwego oprogramowania. Codziennie trafia do nas 300–400 tys. unikalnych próbek malware’u. Dawniej, zanim zaczęliśmy korzystać z uczenia maszynowego, musieliśmy stosować narzędzia automatyzujące analitykę i wspierające inżynierów w zrozumieniu technik stosowanych przez cyberprzestępców. Ta metoda jednak nie wystarcza przy tak dużej liczbie próbek jak notowana obecnie i konieczne jest stosowanie bardziej zaawansowanych rozwiązań. Uczenie maszynowe i sieci neuronowe są szczególnie przydatne, bo nie tylko gwarantują ochronę przed już występującymi zagrożeniami, ale także służą do symulowania zachowania złośliwego kodu, który jeszcze nie został stworzony.

CRN Czy nie boicie się, że cyberprzestępcy pokonają was waszą własną bronią? Przecież mogą spróbować zaatakować samouczący się mechanizm odpowiednim kodem, który nauczy go, że dany malware nie stanowi żadnego zagrożenia i można pozwolić mu działać…

Kris Hagerman To ciekawa koncepcja. Teoretycznie ryzyko podjęcia takiej próby istnieje, chociaż będzie bardzo trudna do przeprowadzenia. Oczywiście uczenie maszynowe i sieci neuronowe to nadal tylko urządzenia i algorytmy, więc mogą zawierać błędy. Technologie są neutralne, mogą być użyte do dobrego i złego. Ale uczenie maszynowe jest ogromnie skomplikowane, trudne w obsłudze, wymaga bardzo zaawansowanych umiejętności i kwalifikacji. Zatem wykrycie luk w danym mechanizmie, do którego przecież cyberprzestępcy nie mają dostępu, i późniejsze wykorzystanie ich praktycznie wydaje się niemożliwe. Z drugiej strony wiemy, że cyberprzestępcy też są zainteresowani uczeniem maszynowym, aby uczynić swoje ataki skuteczniejszymi i trudniejszymi do wykrycia. Nie wszyscy będą sobie mogli na to pozwolić, więc spadnie liczba skutecznych ataków i to jest dobra wiadomość. Jednak ogólnie uważamy, że mamy przewagę – jako firma produkująca rozwiązania ochronne, stosowane w setkach milionów urządzeń końcowych na świecie, otrzymujemy z powrotem ogrom informacji. Indywidualni cyberprzestępcy nie mają szansy na zdobycie wiedzy, którą my mamy, a nawet gdyby ją uzyskali, to bez odpowiednich kwalifikacji nie umieliby jej przetworzyć. Pewne jest natomiast, że sztuczna inteligencja to kolejny etap wyścigu między dobrem i złem w kontekście IT.

CRN Wielu administratorów w firmach wypowiada się o inteligencji, ale… użytkowników, których zachowanie potrafi zaskakiwać. Bardzo łatwo ich zmanipulować metodami socjotechnicznymi. Czy jakikolwiek producent jest gotowy do dostarczenia rozwiązania technicznego, które będzie przeciwdziałać wpływaniu na ludzkie emocje?

Kris Hagerman W jakimś stopniu to już się dzieje, potrafimy np. z dość dużą skutecznością wyszukiwać e-maile i strony phishingowe. Ale nie uda się uniknąć odpowiedzialności człowieka, on ma ogromny i z reguły negatywny wpływ na bezpieczeństwo. Niezmiennie stoimy na stanowisku, że wykształceni użytkownicy powinni stanowić jedną z linii obrony przed cyberprzestępcami. Dlatego proponujemy partnerom i klientom różnego typu narzędzia edukacyjne, m.in. symulator ataków phishing, który umożliwia wykrycie nieostrożnych lub nieświadomych zagrożenia użytkowników oraz poinformowanie o tym zespołu ds. bezpieczeństwa oraz IT, aby przeprowadził szkolenia doskonalące.

CRN Tego typu edukacja musi być zatem procesem ciągłym.

Kris Hagerman Tak, przedsiębiorcy muszą zaakceptować fakt, że konieczne jest nieustanne szkolenie zarówno nowych, jak i zatrudnionych wcześniej pracowników. W świecie fizycznym tysiące pokoleń miało czas, aby nauczyć się zachowań, które zapewniają bezpieczeństwo. Z Internetu korzystamy mniej niż 30 lat, a rozwija się on znacznie szybciej niż świat fizyczny – powstają nowe standardy, aplikacje itp. W świecie online robimy rzeczy, których nigdy nie robiliśmy w świecie fizycznym. Gdy ktoś podejdzie do nas na ulicy i powie: „co prawda nigdy się nie spotkaliśmy, ale czy mogę spojrzeć na twoją kartę kredytową w zamian za pokazanie fajnego wideo”, nigdy się na to nie zgodzimy. A w świecie online ludzie się godzą, nie wiedzą komu i czemu można zaufać. Z czasem wszyscy będą mądrzejsi, będą wiedzieć, jak kierować swoją osobowością online i swoim wirtualnym życiem. Ale to wymaga wieloletniej edukacji i praktyki.

CRN Taka postawa napotyka jednak opór odbiorców rozwiązań IT. Twierdzą, że mają prawo oczekiwać od dostawców Internetu wyeliminowania wszelkich zagrożeń, tak jak mogą oczekiwać od elektrowni prądu bez zakłóceń, a od filtrów czystej wody w kranie…

Kris Hagerman W naszej branży, szczególnie w kontekście chmury, często stosuje się porównania z instytucjami użyteczności publicznej. Są jednak niewłaściwe, przede wszystkim dlatego, że w świecie online komunikacja jest dwustronna – nie tylko konsumujemy treści, jak w przypadku telewizji, ale także tworzymy je i udostępniamy. Ludzie chcą mieć nieskrępowany dostęp do wszystkiego. Dostawca usługi mógłby powiedzieć, że zagwarantuje bezpieczeństwo, ale to będzie oznaczać, że odbiorca straci dostęp do ulubionej strony lub e-maili od danej osoby, ponieważ jej komputer nie jest zabezpieczony. Na to nie zgodzi się większość użytkowników. Faktem jest, że dostawcy usług internetowych i tak blokują wiele ataków, np. DDoS, ale moim zdaniem nie powinni integrować w przesyłane treści.

CRN Na rynku rozwiązań ochronnych IT to resellerzy i integratorzy są najbliżej klientów i dzięki zdobytemu zaufaniu stanowią bardzo ważne ogniwo w łańcuchu sprzedaży. Jednocześnie często narzekają, że ta dziedzina jest wyjątkowo skomplikowana, a zmiany na rynku następują tak szybko, że bardzo trudno za nimi nadążyć. Jaką radą możecie służyć partnerom, aby ich proces edukacyjny przebiegał szybciej oraz by stawali się coraz lepsi w świadczeniu usług związanych z bezpieczeństwem IT?

Kris Hagerman Jak ważna jest współpraca z partnerami, świadczy fakt, że to jeden z najważniejszych punktów wpisanych w naszą misję i strategię. Tylko dzięki niej można odnieść sukces. Jesteśmy jednak świadomi wyzwań z tym związanych. Niestety, liczba rodzajów zagrożeń i poziom ich skomplikowania cały czas rośnie. Wartość sprzedaży rozwiązań cyberochronnych na świecie przekroczyła już 40 mld dol. w skali roku i jest najszybciej – o 7 proc. rocznie – rosnącym segmentem branży IT. Dlatego uważamy, że to producenci tych rozwiązań powinni wziąć na siebie odpowiedzialność za uczynienie życia partnerów i klientów łatwiejszym. Produkty powinny być proste nie tylko w obsłudze, ale też we wdrażaniu. Złożoność jest wrogiem bezpieczeństwa.