Ireneusz Wiśniewski, dyrektor F5 Polska, w wywiadzie ISBtech m.in. o passwordless jako nowym trendzie multiwektorowego wsparcia dla cyberbezpieczeństwa w obszarze uwierzytelniania, który zaczyna się od wiedzy o ruchu.
Z czego wynika ogromne zagrożenie płynące z ruchu zautomatyzowanego w cyberochronie? (większość organizacji korzystających z tradycyjnych rozwiązań ochrony nie ma wystarczającego wglądu w swój ruch, a przez to nie są w stanie rozpoznawać bot-człowiek oraz przyjazny-złośliwy)
Zacznijmy od użytkownika końcowego: User Experience (UE), bezpośrednio związany z hasłami, jest nieodłącznym elementem kształtującym dziś możliwość rozwoju biznesu. Dobre doświadczenia, szybka reakcja systemów i poczucie bezpieczeństwa użytkowników aplikacji gwarantują wierność i zadowolenie klientów.
Dlatego w dobie gwałtownej transformacji cyfrowej i rosnącej w sferze online konkurencyjności, którą obserwujemy, zagwarantowanie użytkownikom online najlepszej obsługi przynosi realne korzyści biznesowe.
Dlatego transformacja – obok zwiększonej aktywności online ludzi i organizacji – powoduje konieczność przyśpieszania wdrażania aplikacji i połączeń między nimi, aby UE były na odpowiednim poziomie. Stąd za sprawą zmieniającej się dla tych celów architektury aplikacji, zdecydowanie rośnie popularność API – pośrednika łączącego aplikacje, aby mogły wykonywać określone funkcje.
Zaznaczmy, że API są podatne na takie same zagrożenia, co aplikacje webowe. Pośród różnych ataków wymienionych w OWASP Top10 szczególną uwagę zwraca wzrost zagrożeń ze strony botów, czyli ruchu zautomatyzowanego.
Jak dodamy do natężenia działań online ogromny skok incydentów wycieku danych i wzrost ataków na dane uwierzytelniające oraz przefiltrujemy przez zwyczaje logowania wśród ludzi – widzimy, jak ogromne zagrożenie stanowią. Tylko 10% ludzi zmienia hasło, nawet jeśli już zostali zaatakowani.
Wszyscy wiemy też, że wciąż powszechną praktyką jest ponowne wykorzystywanie tego samego hasła na różnych platformach. Hasła ciągle jeszcze muszą funkcjonować w naszej wirtualnej rzeczywistości na różnych poziomach – fizycznie, na razie możemy sięgać po metody pośrednie, jak np. iMFA i utrudniać działania przestępcom.
A to właśnie kwestie logowania z wykorzystaniem haseł, ze względu na słabość ludzką i podatności oraz luki są takie niebezpieczne. Podkreślmy, że używane dotąd w większości organizacji narzędzia do monitorowania ruchu i ochrony po prostu nie radzą sobie z rozpoznawaniem działań hakerskich, które są coraz mocniej zautomatyzowane oraz multi-wektorowe. Organizacje i firmy nie są w stanie rozpoznać jaka część ruchu pochodzi od botów (a wiemy, że większość) oraz czy jest to ruch złośliwy czy prawomocny.
Widzimy to na przykładach klientów, którzy rozpoczynają z nami współpracę. Przekonanie o wielkości ruchu zautomatyzowanego waha się średnio w okolicy 20%, choć różnie dla poszczególnych sektorów i firm, gdy często okazuje się, że ten wolumen osiąga wartości średnio około 90%. To ogromny margines dla zautomatyzowanych działań cyberprzestępczych.
Jakie technologie SI wspierają obecnie widoczność i rozpoznawanie jw. – na czym polega ich skuteczność? (BigData, ML, SI/ głębiej czyli komponenty jak Scikit-learn, XGBoost – konkretne wykorzystanie do wykrywania anomalii – dziś słabo wykrywalnych przez organizacje, śledzenia nieświadomych hakerów)
Żeby rozpoznać automat stosowane są algorytmy, jednak te tradycyjne, choć bardzo pomocne, nie są dziś wystarczające. Obok nich F5 stosuje też algorytmy Sztucznej Inteligencji i są to technologie Big Data, Machine Learning i Deep Learning. Nie są one jednak oderwane od koniecznych do analizy procesów nadzorowanych przez ludzi. Podobne rozwiązania są stosowane w pierwszym rzędzie do wykrywania anomalii w ruchu i zachowaniach użytkowników.
Następnie ostrzegają, modelują i klasyfikują te zachowania, w tym botów, aby w kolejnym kroku na podstawie analizy automatyzować zabezpieczenia. Wspomniana multi-wektorowość ataków i ich zmienność w trakcie ich trwania celem ominięcia zabezpieczeń wymaga dziś zautomatyzowanej reakcji opartej właśnie na dokładnym wglądzie w to, co się w ruchu dzieje.
Wspomniane technologie SI, oparte m.in. na takich komponentach jak Scikit-learn, XGBoost i Tensorflow, są jednak skuteczne przy odpowiednich cechach i właściwych formach nadzoru. W naszych rozwiązaniach są to sygnały i telemetria, które
zbieramy z urządzeń generujących ruch i know-how zespołów SOC i SIC w F5.
Gdzie są stosowane (już) i z jakim skutkiem? (efekty, wiodące sektory, możliwe przykłady w formie bezimiennego case – bezpieczeństwo klientów)
Na ogół stosowane są w sektorach obracających dużymi środkami finansowymi lub odpowiedzialnych za bezpieczeństwo oraz nowych technologii, a więc bankowym, infrastruktury krytycznej, handlu, w organizacjach na zaawansowanym poziomie transformacji cyfrowej. To organizacje wykorzystują w działaniach cenne dane swoich klientów, w tym te uwierzytelniające. Wspieramy te organizacje w ochronie, w sytuacji, gdy hasła ciągle jeszcze stanowią zagrożenie bezpieczeństwa.
Zwracam jednak uwagę, że ze względu na znaczny wzrost cyberszpiegostwa i działań szkodliwych ze strony gospodarek narodowych, zaawansowane technologie wspierające cyberbezpieczeństwo coraz mocniej są wykorzystywane w sektorze public. Cyber-wojna między konkurującymi ze sobą państwami cały czas się rozgrywa. Często widzimy jej przykłady w doniesieniach medialnych – od ataków na infrastrukturę krytyczną, przez sianie dezinformacji z wykorzystaniem wykradzionych kont i ataki na polityków, czy instytucje zarządzające programami na rzecz obywateli.
W tym właśnie sektorze upatruję potrzeby zwiększenia wykorzystania zaawansowanych technologii, które umożliwiają także szpiegowanie działań atakujących, obok automatyzacji cyberochrony. Tempo działania organizacji publicznych, ze względu na obostrzenia prawne i produkcję odpowiednich rozporządzeń, czy ograniczone zasoby ludzkie w obszarze ekspertów IT, a także ciężar odpowiedzialności, stawia sektor public w szczególnie trudnej sytuacji.
Na rynku stosowanych jest wiele rozwiązań wykorzystujących SI. Jednak szczególnym aspektem podobnych technologii jest skala ich działania – im więcej danych, tym skuteczniejsze uczenie i efektywność. Skala, w jakiej operujemy w F5, to są miliardy zbieranych sygnałów dziennie, a na ich podstawie telemetrii, pochodzących z miliardów urządzeń generujących ruch do aplikacji. Dopiero taka skala daje rezultaty i znaczny wzrost jakości cyberochrony. Na razie hasła w różnych formach z nami pozostaną, to, co możemy zrobić, to działać multi-wektorowo wspierając legalny ruch, a najlepiej w tym pomagają zaawansowane, sprawdzone już technologie.
