Tomasz Pietrzyk, Szef Zespołu Inżynierów w regionie EEUR Palo Alto Networks, w drugiej części rozmowy z ISBtech, o aktualnej sytuacji na rynku cyberbezpieczeństwa, cyberodporności w słuzbie zdrowia i algorytmach szyfracji post-quantum.
Jak w tym całym ekosystemie pojawia się chmura albo różne modele chmury, czy tu też klient ma do wyboru to co chce zaimplementować w tym obszarze, czy raczej to jest coś co dostarczacie w ramach pewnej architektury?
Ochrona środowisk chmurowych klientów jest kluczowym aspektem ich decyzji o przeniesieniu danych do chmury. Wielu klientów nie poprzestaje na jednym dostawcy usług chmurowych, ale ze względu na dywersyfikację środowiska korzysta z kilku chmur, co pozwala wykorzystać specjalizację i różnorodność oferty każdego z tych środowisk. Nasi klienci często korzystają z różnic między platformami, aby uzyskać optymalne rozwiązania.
Jednocześnie takie rozproszenie i specyfika środowisk różnych dostawców chmury, powoduje dodatkową komplikację w zabezpieczeniu zasobów. Wymagane jest nowe, innowacyjne podejście, które z jednej strony umożliwia wdrożenie jednolitej ochrony niezależnie od typu chmury, a z drugiej skupia się nie tylko na etapie kiedy aplikacja Klienta już działa w chmurze, ale także oferuje zabezpieczenie całego procesu tworzenia i przygotowania do uruchomienia aplikacji.
Na bazie takich założeń została stworzona i jest rozwijana platforma Palo Alto Networks Prisma Cloud. Prisma Cloud pozwala na korzystanie z zalet wielochmurowości zapewniając jednolity poziom bezpieczeństwa i widoczność w różnych środowiskach chmurowych niezależnie od tego, czy dostawcą chmury jest Microsoft, Google czy AWS. Z punktu widzenia Klienta ma on do czynienia z zunifikowaną konsolą i spójnym bezpieczeństwem w każdym środowisku, a jednocześnie Prisma Cloud umożliwia integrację z całym procesem tworzenia i uruchamiania aplikacji realizując zasadę “shift left”, czyli “przesunięcia” ochrony do etapu pisania kodu aplikacji.
Z drugiej strony, my sami, jako producent, wykorzystujemy chmurę do dostarczania klientom naszych usług wymagających najwyższego poziomu bezpieczeństwa, skalowalności i przetwarzania dużych ilości danych. Dzięki temu możemy zaoferować rozwiązania, które lokalnie byłyby niemożliwe do wdrożenia lub znacznie droższe. Wykorzystujemy usługi i zasoby chmurowe do usprawnienia działania naszych produktów, także tych instalowanych lokalnie w sieci klienta, do poprawy jakości wykrywania zagrożeń i szybszej reakcji na incydenty.
Kwestia kontroli nad swoimi danymi jest dla naszych klientów priorytetowa. Uważamy, że ochrona danych jest równie ważna, jak funkcjonalność produktów. Dlatego inwestujemy w
lokalne instancje naszych aplikacji w Polsce i stosujemy transparentne podejście do tzw. data privacy. Informujemy klientów, jak dbamy o ich dane, kto ma do nich dostęp, jak i kiedy są one przetwarzane. Te informacje są publicznie dostępne w postaci tzw. privacy data sheets.
ZOBACZ RÓWNIEŻ:
Pierwsza część rozmowy z Tomaszem Pietrzykiem z Palo Alto Networks
Jak w tym wszystkim AI wspiera cyberobronę?
To może być bardzo długa lub bardzo krótka wypowiedź. Trochę żartuję, bo dopiero w ostatnich dwóch latach, odkąd pojawił się Chat GPT, wszyscy zaczęli głośno mówić o sztucznej inteligencji. A prawda jest taka, że rozwiązania bezpieczeństwa wykorzystują sztuczną inteligencję od wielu lat. Korzyści z jej stosowania, czyli przetwarzanie dużych ilości danych, automatyzacja, wyciąganie wniosków na podstawie różnych danych zawsze były domeną algorytmów sztucznej inteligencji, co znacząco pomaga w budowie i udoskonalaniu systemów ochrony.
W Palo Alto Networks korzystamy ze sztucznej inteligencji od ponad dziesięciu lat. Oczywiście, są to różne jej odmiany. Na początku wiele naszych produktów rozwijało tzw. uczenie maszynowe, które dostarcza bardzo specyficzne i konkretne wyniki. Jeśli algorytm jest zasilany odpowiednimi danymi, jeśli mamy tych danych wystarczająco dużo i kontrolujemy wyniki, ucząc system machine learning wykrywać i dostarczać precyzyjne rezultaty, zyskujemy korzyść w postaci wykrywania nowych, nieopisanych wcześniej ataków znacznie szybciej niż do tej pory. Jak wspomniałem, stosujemy tę metodę od dziesięciu lat i cały czas rozwijamy wykorzystanie uczenia maszynowego w naszych produktach.
Na przykład, już od kilku lat wykorzystujemy sztuczną inteligencję w naszych firewallach do blokowania ataków w czasie rzeczywistym. To był duży postęp, poprzedzony kilkoma latami prac rozwojowych, ponieważ algorytmy sztucznej inteligencji zwykle wymagają dużych zasobów obliczeniowych. Udało się nam zoptymalizować ich działanie tak, że możemy
podejmować decyzje i blokować ataki bezpośrednio na firewallu w czasie rzeczywistym, gdy przetwarza on gigabity ruchu.
Druga część wykorzystania sztucznej inteligencji obejmuje tzw. generatywną AI, która służy głównie jako element interfejsu użytkownika produktu. Ma to duże znaczenie w dziedzinie bezpieczeństwa, szczególnie z uwagi na ograniczony czas na szkolenie specjalistów. Generatywna AI pozwala na łatwy dostęp do zaawansowanych informacji i narzędzi.
Analitycy mogą “rozmawiać” z produktem w naturalnym języku, zamiast uczyć się specyficznych składni zapytań, jak to miało miejsce wcześniej przy użyciu takich języków jak SQL, skryptów czy innych narzędzi. To znacząco przyspiesza wdrażanie analityków w ich pracę, ale także ułatwia im codzienne działania. Czas jest zawsze kluczowym kryterium. W Palo Alto Networks również intensywnie rozwijamy generatywną AI, co znacząco wpływa na
możliwości naszych produktów.
Na co Pan zwraca Pan szczególną uwagę obecnie w rozmowach z klientami czy z
partnerami?
Nie muszę tu polegać wyłącznie na własnej wiedzy czy wnioskach. Mogę odwołać się do raportów wydawanych przez dział Palo Alto Networks o nazwie Unit 42. Unit 42 monitoruje zagrożenia i ich trendy, zajmuje się inżynierią wsteczną malware oraz atakami w Internecie. Unit 42 nie tylko analizuje działania grup atakujących naszych klientów, ale również oferuje pomoc w przypadku wystąpienia ataku. Na podstawie doświadczeń zebranych przez specjalistów Unit 42, którzy pomagających naszym klientom w odpowiedzi na incydenty, publikujemy regularnie raporty z podsumowaniem najważniejszych trendów, metod i narzędzi stosowanych przez cyberprzestępców. Ataki, takie jak phishing czy kradzież poświadczeń użytkownika (jego nazwy użytkownika i hasła) wciąż są popularne. Jednak szczególnie interesujący w 2023 roku jest wzrost liczby ataków wykorzystujących podatności oprogramowania i obierających za cel systemy dostępne z Internetu.
Z tym wiąże się potrzeba ścisłego zarządzania tzw. attack surface, czyli powierzchnią ataku. Musimy wiedzieć, co jest zagrożone atakami z zewnątrz, aby móc to chronić. W dynamicznym środowisku, takim jak chmura czy tam gdzie występuje praca zdalna, często zdarzają się sytuacje wystawienia do Internetu nowej usługi, która nie jest jeszcze odpowiednio zabezpieczona, co atakujący mogą wykorzystać do penetracji całej organizacji.
Chciałbym również zwrócić uwagę na nowe zagrożenie związane z tzw. algorytmami szyfracji post-quantum. Jest to ryzyko związane z możliwością powstania w nieodległej przyszłości komputerów kwantowych, które będą mogły odszyfrować dane zabezpieczone obecnie używanymi algorytmami szyfrującymi. Szacuje się, że takie komputery mogą pojawić się nawet w ciągu pięciu do dziesięciu lat od dziś. Dla wielu organizacji, to czas krótszy niż czas ważności i życia ich cennych danych. W odpowiedzi na to zagrożenie oferujemy już rozwiązania, które pomogą zabezpieczyć dane przed techniką harvest now, decrypt later, czyli zbieraniem danych teraz i rozszyfrowaniem ich w przyszłości. Myślę, że to jest zagadnienie, która będzie coraz częściej na ustach osób zajmujących się zwłaszcza bezpieczeństwem w instytucjach publicznych, nie wspominając o różnego rodzaju służbach czy agencjach rządowych.
Ale nawet jeśli firma nie ma danych, które muszą być chronione przez 5 i więcej lat, brak świadomości technologii post-quantum może stwarzać dla niej zagrożenie już teraz. Na rynku już pojawiają się rozwiązania wykorzystujące algorytmy szyfracji odporne na ataki kwantowe. Przykłady to przeglądarka Chrome, który od zeszłego roku stosuje nowe zestawy algorytmów szyfracji, czy szyfrowanie komunikacji iMessage firmy Apple przy użyciu algorytmów post-quantum. Chociaż te rozwiązania mają na celu zwiększenie bezpieczeństwa, mogą też być użyte przeciwko nam. Brak widoczności i możliwości analizy takiej komunikacji przez obecne systemy ochrony, utrudnia wykrywanie złośliwego kodu, który może być przeniesiony właśnie w tak zabezpieczonym kanale. W tej kwestii staramy się pomagać klientom, oferując wykrywanie tak szyfrowanej komunikacji w sieci i umożliwiając im decyzję, czy chcą dopuścić takie połączenia, czy je blokować wymuszając stosowanie standardowych algorytmów szyfracji. Najważniejsze, że zapewniamy świadomość i widoczność takiej komunikacji procesu co redukuje ryzyko nieuprawnionego wykorzystania jej przez cyberprzestępców.
Na koniec jeszcze poproszę o Pana komentarz w kwestii cybersecurity w służbie
zdrowia.
W ostatnich latach znacznie wzrosło zainteresowanie bezpieczeństwem w sektorze zdrowia, co jest zauważalne także z naszej perspektywy. To zainteresowanie jest motywowane zarówno obecnymi, jak i nadchodzącymi regulacjami. Ogólnie ochrona środowisk IT w jednostkach zdrowia to trudny temat, który nie sprowadza się tylko do kwestii budżetowych czy technicznych. Dotyka również problemów związanych z brakiem odpowiedniej kadry oraz specyfiką środowiska pracy. W sektorze zdrowia mamy do czynienia bardzo często z urządzeniami krytycznymi dla funkcjonowania placówek i procesu leczenia, które nie są standardowymi komputerami. Branża IT jest przyzwyczajona głównie do zabezpieczania tradycyjnych laptopów, desktopów i serwerów.
W służbie zdrowia natomiast spotykamy się z urządzeniami IoT posiadającymi własne systemy operacyjne, brak standardowych narzędzi administracji i wiele innych technicznych ograniczeń. Na to nakłada się niestety zaniedbywanie ich bezpieczeństwa, także przez ich producentów, którzy dla przykładu, z dużym opóźnieniem lub w ogóle nie dostarczają poprawek bezpieczeństwa dla stosowanego na tych urządzeniach oprogramowania. Urządzenia takie stają się więc łatwym celem cyberprzestępców, co może doprowadzić do wielu niebezpiecznych konsekwencji, a także posłużyć do kontynuowania ataku na inne zasoby w sieci. Bezpieczeństwo IoT stanowi więc duże wyzwanie, dlatego nasza firma oferuje rozwiązania specjalnie dostosowane do potrzeb i specyfiki jednostek zdrowia. Bierzemy już udział w projektach skoncentrowanych specjalnie na ochronie medycznych urządzeń IoT, które są trudne do zabezpieczenia w inny sposób i dla których nie ma regularnych aktualizacji oprogramowania.