Podzimní konference Cyber Security 2018, která se uskutečnila 25. 10. v pražském hotelu Don Giovanni, měla tentokrát extrémně nabytý program. Kromě zlatého partnera společnosti Aruba prezentovalo své bezpečnostní řešení a služby přes patnáct dalších společností.
Záštitu akce tradičně poskytly Ministerstvo obrany ČR, NÚKIB, NCBI a AFCEA. Navíc účastníky poprvé čekalo umělecké překvapení, když po obědě vystoupil „IT kvartet“ ve složení Iveta Hrabánková, Aleš Špidla, Jaroslav Pejčoch a Zdeněk Jiříček – ZIJA Band, kteří naživo zahráli několik skladeb napříč svým repertoárem.
Po krátkém úvodu, ve kterém moderátor Jan Mazal udělal průřez zásadními bezpečnostními incidenty za rok 2018 včetně nejčerstvějších kauz ze září a října započal doslova přednáškový maraton, který zpestřovaly výstavky společností v předsálí i hlavním sále.
Jakub Tikovský, systémový inženýr HPE Aruba, prezentoval, jak může řešení Aruba ClearPass fungovat jako integrační prvek pro spojení bezpečnostních systémů a přístupové sítě.
Clearpass Exchange – ingress engine umožňuje různé integrace, umí se napojit na syslogy a pak vykonat určitou reakci. Přes API jej lze opačně integrovat s partnerskými firewally, které od Clearpass získávají doplňkové informace, jež mohou použít pro další pravidla.
K dispozici je i Clearpass Extension, ve kterém si uživatel může vytvořit vlastní mikro-služby, které budou automaticky pracovat s daty podle zadaných pravidel.
V době mizejícího perimetru je potřeba nástroj, který pokryje širší potřeby zabezpečení – s těmito slovy uvedl Jakub Tikovský řešení Aruba InstroSpect. To využívá strojového učení a behaviorální analýzu nad velkými daty (logy, síťový provoz až po L7) pro odhalování pokročilých útoků, které využívají právoplatné uživatelské přístupy (ať už od záškodnického insidera, nebo nezodpovědného pracovníka).
Jako výhodu Tikovský uvedl, že není nutné předem definovat všechna pravidla, jako je tomu u IPS/IDS/SIEM, ale Introspect je dokáže využitím strojového učení připravovat sám. To, co není chyceno přímou shodou s cílenými modely je pak odhalováno skrze detekci anomálií.
ClearPass a Instrospect jsou úzce propojené, což operátorovi pomáhá velmi rychle reagovat na hlášení, nebo nechat systém to vyřešit sám, dodal Tikovský.
Martin Oravec, senior system engineer ve společnosti F5 Networks, ve své přednášce WAF jako živý inteligentní samoučící organizmus vysvětlil, že webový aplikační firewall (WAF) odolává řadě útoků, které next-gen FW a IPS nedokážou tak dobře ošetřit jednoduše proto, že pro tyto účely nejsou původně postavené. Příkladem může být útok na úrovni cookies.
„Polovinu provozu na dnešním internetu dělají boti. Dobří i zlí. Když nasadíte na web aplikaci, do 6 minut bude naskenovaná boty a pokud není chráněná může být do několika hodin hacknutá,“ varoval Oravec.
WAF od F5 Networks se navíc může automaticky učit, přidávat pravidla a budovat bezpečnostní politiku. WAF se strojově naučí běžný provoz a potom dokáže identifikovat odchylky a dynamicky vytvářet nové signatury. Stejně tak detekuje abnormální „aplikační stres“ (netypické chování) a může špatný provoz automaticky zastavit, nebo na něj upozornit správce.
Jaroslav Burčík, člen pracovní skupiny kybernetické bezpečnosti v AFCEA, která má na starost osvětu v oblasti kyberbezpečnosti např. v bojových složkách, prezentoval soutěž kybernetické bezpečnosti zaměřenou na vychovávání nových odborníků.
Soutěž je zaměřená primárně na střední školy (odborným partnerem NÚKIB a další státní instituce a vysoké školy). Jejím cílem je nalákat „novou krev“ pro tuto problematiku, která nabízí zajímavý procesní růst i ohodnocení.
Po prvních kolech elektronického testování následuje finále soutěže, do kterého se mohou zapojit firmy se svými prakticky orientovanými úlohami z oblasti IT bezpečnosti.
Jaroslav Burčík poradil firmám, ať nepřetahují IT pedagogy, ale naopak „sponzorují svého IT učitele na střední škole. Bude ho to bavit a rozšíří více osvěty mezi studenty.“
Michal Hebeda, presales engineer ve společnosti Sophos, přiblížil účastníkům nové technologie v jejím portfoliu, zejména hluboké učení a EDR. Připomenul, že za poslední rok obrovsky rostou počty zranitelností čekajících na zneužití. Každý den vznikne 400 000 nových vzorků malwaru, které nejsou popsané, z nich se 75 % znovu neopakuje.
Nová verze řešení Sophos Intercept X využívá strojové učení na základě hloubkových neuronových sítí a k tomu přidává antihackerské technologie (např. ochranu procesů a registrů) a ochranu hesel a citlivých dat. Balík navíc rozšířilo EDR (end-point detection and response) pro ochranu koncových bodů před neznámými hrozbami. Jak nové řešení funguje, ukázal Michal Hebeda účastníkům na demu.
Jindřich Šavel, obchodní ředitel společnosti Novicom, upozornil na nedostatek IT odborníků, kdy není problém koupit technologie, ale získat lidi, kteří se o ně budou starat. Firewally, antimalware a další technologie už má dnes snad každý. Co všem většinou chybí, je síťová vizibilita a integrovaná správa sítě. Bohužel většina firem stále používá tabulky pro správu IP adres, konstatoval Šavel.
Proto Novicom poskytuje řešení relevantní i pro strategii SoC, které bez integrovaných nástrojů pro řízení sítě zákazníka nedokáže aktivně a samostatně řešit reakci na incidenty. Nástroj AddNet kombinuje integrovanou správu adresního prostoru a network access control. Jinými slovy zavádí pořádek v síti a umožňuje zajistit kompletní sběr informací z provozu DDI/NAC, z L2 monitoringu, Netflow/IPFIX, ze syslogů a zajistit okamžitou reakci na zjištěné hrozby.
Pro vizualizaci síťových komunikací a modelování souvislostí business služeb s IT infrastrukturou pak vyvinul Novicom nástroj BVS.
Jan Kozák, senior product specialist ve společnosti SodatSW, ukázal s využitím řady příkladů z reálného (firemního) života, jak se firmám ztrácejí data.
Shrnul, že i přes neměnné zákony matematiky a logiky přestávají platit některé zákony fyziky (konektivita stírá geografické rozdíly), práva (zákony „neplatí“ zejména pro kyberzločince), ani ekonomické zákony (s giganty mohou účinně bojovat „trpaslíci“).
Segment kybernetické bezpečnosti roste, protože roste i počet útoků. Organizace přišly loni o 3 triliony dolarů, ale na bezpečnost vydaly asi 130 miliard dolarů – tedy zlomek, dodal Jan Kozák.
Kdo jsou přitom ti zlí? Podle Crowd Research Partners stojí za 51 % bezpečnostních incidentů odpovědná lidská chyba zaměstnanců.
Na co se tedy zaměřit? Jan Kozák radí přesunout pozornost bezpečnosti z control-centric na people-centric, zaměřit se na informační nejen síťovou bezpečnost, zvyšovat schopnosti detekcí/monitorování a adekvátních reakcí, zkontrolovat zaměstnanecké smlouvy a doplnit oblast zabezpečení dat a ujistit se, že vaši dodavatelé mají silné zabezpečení.
Martin Hubínek, security consultant ve společnosti Alef Nula, se v přednášce zaměřil na kybernetickou bezpečnost kolem CMDB. Velkou výhodou CMDB je možnost logicky uspořádat všechny vrstvy od síťové přes serverovou, aplikační až po logickou a vytvořit mezi nimi vazby a kontextově tyto informace využívat (třeba pro bezpečnost).
Účelem CMDB je popis aktuálního stavu prostředí a porozumění stavu mezi jednotlivými komponenty (aplikacemi, HW, sítí). Pak je možné dělat dopadové analýzy (např. co se stane, když restartuji server) a na to navazovat požadavky uživatelů.
Martin Hubínek také vysvětlil rozdíl mezi CMDB a Asset Managementem: CMDB je primárně určeno pro správu a provoz IT technologií. AM obsahuje i investiční majetek včetně finanční hodnoty. Poté předvedl typickou analýzu, kterou lze v CMDB udělat.
Aleš Špidla, vedoucí oddělení v NAKIT, upozornil na důležitost kontextu, bez kterého nenesou data sama o sobě žádnou informaci a tedy hodnotu. V řetězci: data –> interpretace-> informace –> vyhodnocení –> rozhodnutí přitom může dojít v každém bodě ke kompromitaci.
Bezpečnostní kultura organizace zahrnuje všechny oblasti týkající se fyzické, osobní i IT bezpečnosti. Doposud se to nejčastěji řešilo oddělenými systémy. IT se však stává integrační platformou všech prvků informační bezpečnosti, dodal Špidla.
Souvislostí je přitom podle Aleš Špidly celá řada:
- Legislativní – v ČR máme, 1,6 milionu zákonů a vyhlášení. Nezajistíte kybernetickou bezpečnost, dostanete se na do legislativní neshody (lehce řečeno).
- Globálně politická – kyberšpionáž, kyberterorismus, informační operace, kybernetické války, scada útoky.
- Investorská souvislost – akvizice firem (co když koupíte firmu, která je „informačně vykradená“)
- Kriminální – výnosnost kyberzločinu
- Sociální
- Technologická
- Biblická – lze přirovnat k Babylonské věži - děravá od HW až po SW a nad tím UI, která to měla hlídat.
Kamil Doležel, technický ředitel Service & Support a Stanislav Bárta, bezpečnostní analytik NÚKIB společně představili projekt, který měl za úkol vypořádat se s nedostatečnou kapacitou pro monitoring sítí ministerstev, zvýšit kyberbezpečnost a vybudovat centrální správu.
Kromě nasazení síťových sond šlo o vytvoření centrálního analytického systému pro státní správu. Samotné řešení prezentoval Kamil Doležel. Uvedl, že jedním z požadavků bylo zpracovat 250 000 toků za sekundu, nebo automatizované odhalování anomálií – proto se rozhodli využít řešení Splunk.
Doležel také srovnal tradiční SIEM s big data konceptem Splunku, který má navíc podporu jakýchkoliv zdrojů z různých zařízení, snadnou podporu specifických zdrojů, real-time i historické doplňující informace, vizualizace dat na míru, snadnou korelaci, detekci chování na základě strojového učení, integrovatelnost přes REST API a škálovatelnost až do petabytů.
Poté Kamil Doležel představil samotné řešení geografického clusteru.
Igor Tomeš, senior presales architect společnosti DataSpring, mluvil o zabezpečení jejího datového centra od fyzické, provozní bezpečnosti přes vnitřní ochranu DC až po ochranu HW a SW, které se věnoval podrobně.
DataSpring si vytvořil dvě sady nástrojů: gateway a agenty (vDC, virtuální UTM, antiSpam, antivirus a ochrana před DDoS) a management toolbox (nástroje LogDock).
Ve stručnosti řečeno je LogDock skutečně multitenantní log manager, který ve verzi Advanced nabízí management Flow, SIEM, risk manager a vulnerability manager. K tomu dokáže DataSpring nabídnout SIEM jako službu, tedy včetně svého týmu odborníků.
Tomáš Pokorný, security SW sales leader for central region v IBM prezentoval systém UI, který vám jako bezpečnostnímu analytikovi či správci dokáže radit. Sice ještě nebude plně fungovat za vás, ale budou vám silnou oporou, která umožňuje rychlejší reakci. Systém totiž nedělá lidské chyby, nemá předsudky, uvedl Tomáš Pokorný.
Konkrétně mluvil o řešení QRadar Watson Advisor, který se nainstaluje do SIEM a dodává mu další kontext. K tomu IBM poskytuje Watson Cybersecurity, která dokáže provázat a přidat další informace týkající se zabezpečení a jeho zlepšení.
Jana Pattynová, partnerka advokátní kanceláře Peirstone, se ve své přednášce věnovala právní odpovědnosti a umělé inteligenci. Měla by UI rozhodovat o kontrole lidí? Pokud se strojové učení naučí rozhodovat na nevhodných datech, může diskriminovat určité skupiny osob, varovala. Proto již ve světě vznikají komise, které vyhodnocování algoritmů začínají kontrolovat.
Měl by být omezen přístup k některým technologiím? Mezi ty kontroverzní patří rozpoznávání obličeje, emocí, psychometrické modely a predikce – zde ještě právní úprava zcela nevznikla. Z obdobných důvodů však např. existuje Wassenaarská úmluva omezující přístup k silné kryptografii.
Jana Pattynová dále uvedla, že GDPR je první norma na světě, která upravuje práva jedince ve vztahu k umělé inteligenci – jde o právo být informován o automatickém rozhodování (například, proč vám bylo zamítnuto právo na pojištění), právo na informace o podkladových datech, nebo o právo na lidský zásah.
V otázce, zda máte nárok na škodu, kterou vám způsobí UI, se odkazuje na novou směrnici EU, která mimo jiné říká, že odpovědnost za vadu produktu nelze smluvně vyloučit, ale zatím je z ní vyňat SaaS. A jak je to s právní odpovědností v B2B vztazích? Je zde sice minimální regulace, ale příkladem ošetření je například zákon o kybernetické bezpečnosti.
Pavel Švíbek, senior technical consultant PCS, divize DataGuard, přiblížil, jak funguje DLP McAfee a jaké má komponenty. Prošel vše od monitorování a blokování připojovaných periferií k PC, přes klasifikace dat v DLP systému (nejnáročnější část implementace, kterou McAfee dokáže do značné míry automatizovat), až po vynucování a kontrolu pravidel na koncových zařízeních i v celé sítí.
Ukázal, jak vypadá jednotná politika pro koncová zařízení i síť. Předvedl i následné řízení a monitorování uživatelské aktivity s DLP včetně zobrazování incidentů a možnosti jejich reakce.
David Pecl, security specialist ve společnosti AEC, se věnoval otázce, zda jsou next-gen antiviry buzz-word. V úvodu shrnul, že roste podíl zero-day malwaru, který nelze detekovat klasickými signaturami. Poté se věnoval vlastnostem tzv. next-gen antivirů.
Dnes antiviry kromě signatur využívají behaviorální analýzu, který může být statická nebo dynamická (sleduje, jak se proces/soubor chová v sandboxu a podle toho jej vyhodnocuje). To právě využívají next-gen antiviry (NGAV), které berou v potaz chování infikované stanice v síti, hledají souvislosti mezi procesy a korelují různé události.
NGAV také používají strojové učení, a to jednak pro rozdělování souborů do určitých skupin (na základě podobnosti), a jednak pro skutečné odhalování malwaru (poté, co se je učí na klasifikovaném vzorku). Součástí NGAV by měly být navíc EDR.
Skutečné NGAV by tedy měly používat behaviorální analýzu, strojové učení, detekci fileless malwaru, detekci pomocí IoCs a funkce EDR. Podle Davida Pecla se však v těchto funkcích nejedná o nic skutečně převratného, takže by bylo vhodnější ochranu nazývat spíše jako advanced endpoint protection.
Václav Paur, CTO společnosti VPGC, která je distributorem next-gen CASB Bitglass, se věnoval možnostem zabezpečení cloudových aplikací Office 365 v reálném čase. K nim i dalším cloudovým aplikacím totiž dnes uživatelé často přistupují z mobilních zařízení mimo perimetr sítě a ochranu firewallů, čím vzniká bezpečnostní mezera.
V živém demu se soubory s čísly platebních karet Václav Paur předvedl, jak cloudové řešení Bitglass dokáže chránit data v aplikacích Office 365, ošetřit ukládání citlivých dat na nespravovaná zařízení a zabezpečit je před malwarem. A to bez potřeby instalace agentů a s možností propojení s Active Directory a SSO.
Karel Diviš, výkonný ředitel a jednatel IDC-softwarehouse, představil e-learningové kurzy cybersec.cz, které učí a testují účastníky, jak se chovat z pohledu bezpečnosti nejen ve firemním prostředí.
Jak se bránit neznámým hrozbám, ransomwaru a cryptojackingu za využití strojového učení a UI přednesl René Pospíšil, Bitdefender country manager CZ/SK IS4 Security. Nejprve upozornil, že cryptojacking (zneužití procesoru oběti pro těžbu kryptoměn) začíná být pro útočníky finančně zajímavější.
Na tyto útoky však signatury nestačí. Bránit se podle Reného Pospíšila lze pouze behaviorální analýzou chování (útočníka), která sleduje statické (např. velikost) i dynamické vlastnosti (např. zda se soubor množí).
Bitdefender dnes rozpoznává přes 40 000 vzorců chování, čímž pomáhá analyzovat a reagovat na akce, které by člověk dnes fyzicky nedokázal. Mnohovrstvá next-gen ochrana koncových bodů Bitdefenderu využívá strojové učení a UI ve všech vrstvách zabezpečení.
Karel Galuška, vedoucí týmu bezpečnosti a business konzultací v T-Mobilu, se zaměřil na role cloudových řešení a služeb MSSP v moderních bezpečnostních strategiích firem.