News Masters&Robots

{Blog}

Mentalność organizacji a jej cyberbezpieczeństwo. Rozmowa z hackerem Tomem Van de Wiele

Rozmowa z hackerem Tomem Van de Wiele

Rozmawiamy z Tomem Van de Wiele, ekspertem w dziedzinie cyberbezpieczeństwa z ponad 23-letnim doświadczeniem, hakerem i doradcą największych firm. . Tom będzie gościem konferencji Masters&Robots 2024, gdzie wygłosi prelekcję pod tytułem  „Przyszłość cyberbezpieczeństwa w świecie napędzanym przez sztuczną inteligencję – perspektywa hakera”.

 Joanna Kocik, Digital University: Witaj, Tom! Na początek chciałabym zapytać o pewne zdanie, które często powtarzasz: “Kultura cyberbezpieczeństwa to coś, co spaja organizację”. Dlaczego jest ona tak ważna? 

 

Tom Van de Wiele: To przekonanie wynika z mojego bogatego doświadczenia w testach penetracyjnych i reagowaniu na incydenty bezpieczeństwa. Często firmy dzwonią do nas, mówiąc: „Ktoś jest w naszej sieci. Czy możecie go stamtąd usunąć?”. W pracy specjalizuję się w eliminowaniu przeciwnika z systemów o wysokim poziomie bezpieczeństwa i wielokrotnie widziałem organizacje koncentrujące się na wzmacnianiu swojego “głównego wejścia”, ignorujące jednocześnie inne słabe punkty w swoim systemie. Kiedy pokazuję im, że gdzieś brakuje odpowiedniego zabezpieczenia, pojawia się poczucie porażki –  taka reakcja wskazuje na niską kulturę bezpieczeństwa.  

Firmy nie rozumieją, że bycie narażonym na atak lub incydent bezpieczeństwa to nie jest sytuacja typu „zdany lub oblany egzamin”. Wiele elementów cyberochrony może działać prawidłowo, ale zawsze znajdzie się “dziura w murze”, i to na niej zwykle skupia się organizacja. To zresztą naturalne, by przywiązywać się do złych doświadczeń. Gdy zaczniemy dzień od wdepnięcia w kałużę, wszystko dalej może już “iść nie tak”. Jednak warto spojrzeć na to zagadnienie inaczej. Tak jak w drużynie piłkarskiej albo załodze statku, kultura bezpieczeństwa oznacza robienie rzeczy wykraczających poza samą zgodność z przepisami. Ważne, by dążyć do kultury organizacyjnej, w której podstawą jest zaufanie. Wszystko na świecie opiera się na zaufaniu, ale pojedynczy incydent cyberbezpieczeństwa nie oznacza od razu jego erozji.  

Pracowałem z firmami, które miały silną kulturę bezpieczeństwa, mimo że ich produkt nie był z nim związany. Zrozumiały one, że jako partnerzy dla innych firm, muszą być lepsi w dostarczaniu usług w sposób, który sprawia, że ludzie będą chcieli z nimi współpracować. Zamiast więc karać kogoś za naruszanie zasad albo za błąd, można wyjaśnić, dlaczego coś może być problemem. Chodzi tu o zrozumienie, co się dzieje w przypadku cyberataku oraz jak można szybko go wykryć i zareagować. Tak jak w przypadku bezpieczeństwa przeciwpożarowego – czasem nie ma sposobu, by zapobiec pożarowi. Możemy jednak szybko go wykryć i upewnić się, że wszyscy wiedzą, co robić. W ten sposób mamy przejrzysty scenariusz działania, kierujemy się zdrowym rozsądkiem, a jednocześnie akceptujemy swoje słabości. To jedyny sposób, by – mimo naruszeń bezpieczeństwa – utrzymać z pracownikami, partnerami i klientami relację opartą na zaufaniu.  

Czy to jest ów “inny sposób myślenia” o cyberbezpieczeństwie, o którym wspominasz?  

Kluczem jest, by kultura bezpieczeństwa stała się fundamentem organizacji. Prowadzi to do przyjęcia wysokich standardów bezpieczeństwa, a to z kolei sprawia, że inni ludzie chcą z nami współpracować. Nie trzeba być od razu jak Fort Knox – wystarczy zadawać odpowiednie pytania i wykraczać poza minimalną zgodność z przepisami. Gdy ludzie faktycznie stosują się do zasad bezpieczeństwa dlatego, że chcą, a nie dlatego, że się boją do nich nie zastosować, od razu pojawiają się dobre wyniki. I takie podejście robi ogromną różnicę.  

Jaka jest typowa reakcja organizacji na informację, że można się do niej włamać?  

 Zdarza się, że osoby odpowiedzialne za bezpieczeństwo, zwane w Skandynawii Chief Information Security Officers (CISO), czują ulgę. Mówią wówczas: „To dokładnie to, czego się spodziewaliśmy.” Wielokrotnie zlecają oni testy bezpieczeństwa, ponieważ dostają sprzeczne informacje – widzą incydenty, ale  dostawcy IT zapewniają, że wszystko jest pod kontrolą. Organizacje potrzebują dowodów w postaci testów, aby zrozumieć realność sytuacji. Zazwyczaj koszt takiego testu jest tylko ułamkiem tego, ile kosztowałby prawdziwy incydent lub naruszenie. 

Gdy znajdujemy dziury w systemie, niektórzy CISO są zadowoleni, ponieważ potwierdza to ich obawy. Na przykład, włamuję się do budynku, aby uzyskać dostęp do zasobu sieciowego. Widzę, że ochrona zgłasza przybycie na miejsce w ciągu 40 minut, ale naprawdę wiemy, że minęły dwie godziny. I to pokazuje nieprzestrzeganie procedur. W takiej sytuacji reakcje zwierzchników mogą być różne: od milczącej akceptacji aż po gniew. W skrajnych przypadkach widziałem, jak ludzie byli upominani lub nawet zwalniani ze skutkiem natychmiastowym. To oczywiście przesadna reakcja, ponieważ testujemy proces, a nie ludzi. 

Takie sytuacje pokazują nam, czy organizacja ma rozwiniętą kulturę bezpieczeństwa. Samochody mają zderzaki, bo czasem zderzają się z innymi pojazdami. Podobnie, firmy powinny przygotowywać się na zdarzenia naruszające ich cyber ochronę i przewidywać je, zamiast reagować tak, jakby niebo im się zwaliło na głowę. Tutaj sytuacja jest naprawdę bardziej złożona niż wspomniany “zaliczony lub oblany” test.  

Jak oceniasz nasz ogólny poziom wiedzy na temat cyberbezpieczeństwa? Czy stajemy się coraz mądrzejsi? Czy organizacje stają się bardziej świadome, czy też jest coraz trudniej wraz z pojawiającymi się nowymi zagrożeniami? 

 Nasza świadomośc znacznie wzrosła, na przykład w obszarze ransomware, które istnieje już od lat 80., jednak firmy często skupiają się na unikaniu zagrożeń, a nie na poprawie ogólnego bezpieczeństwa. Wiele dobrego przyniosło wprowadzenie europejskich standardów bezpieczeństwa, takich jak DORA i NIS2, od kilku lat mamy też powszechną politykę ochrony danych osobowych. Wciąż jednak firmy postrzegają cyber ochronę jako koszt, a nie potencjalne źródło przychodów. Wiele organizacji myśli: “Nie jesteśmy celem, nie jesteśmy Fort Knox”. A takie myślenie nie uwzględnia w ogóle tego, jak działają cyfrowi napastnicy.  

Widzę dużą potrzebę edukowania firm o tym, jak wyglądają ataki, jak działają przestępcy i jak strategicznie się przed nimi bronić, niekoniecznie zwiększając budżet na cyber ochronę. Chodzi tu przede wszystkim o to, by zminimalizować miejsca, w których atak może nastąpić oraz by zmusić napastników do popełniania błędów, które możemy wykryć.  

W świecie biznesu jest spora różnica między posiadaniem cyberochrony a czuciem się bezpiecznie. Niektórzy czują się niepewnie, mimo że mają dobre zabezpieczenia, i odwrotnie. Media pogłębiają ten problem, windując sensacyjność informacji nad ich dokładność, co wypacza sposób, w jaki patrzymy na cyberataki.  

Ludzie często pytają mnie, jaki program antywirusowy wybrać. Ja zazwyczaj radzę zainwestować najpierw w dobre rozwiązanie do tworzenia kopii zapasowych. Szansa na utratę danych z powodu zapomnianego laptopa lub incydentu z telefonem jest znacznie większa niż bycie ofiarą kradzieży tożsamości lub ataku hakera. Zdroworozsądkowe środki naprawdę bywają najlepsze.  

Co stoi za większością ataków i jaki jest ich cel? 

 Większość ataków jest motywowana chęcią zysku. Atakujący (lub agenci zagrożenia, jak nazywamy ich w branży) dzielą się zazwyczaj na dwie grupy. Pierwsza z nich to oportunistyczni przestępcy, a druga zorganizowane grupy przestępcze. Oportuniści po prostu chcą sprawdzić, czy mogą coś wydobyć z organizacji. Zorganizowane grupy natomiast przeprowadzają bardziej wyrafinowane ataki, takie jak kampanie ransomware połączone z phishingiem i kradzieżami haseł. Ich motywuje chęć zysku. Oprócz tego, mamy jeszcze rządy, które dysponują niemal nieograniczonymi budżetami na prowadzenie ataków w celach strategicznych.  

Większość ludzi nie zdaje sobie sprawy, że wśród agentów zagrożenia istnieje pełny ekosystem. Przykładowo, napastnik, który chce na ataku zarobić kilka milionów dolarów, potrzebuje odpowiednich narzędzi do blokowania komputerów i żądania okupu. Może kupić to oprogramowanie od wyspecjalizowanych dostawców. Następnie napastnik potrzebuje dostępu do komputerów, co uzyskuje, kupując listy wrażliwych systemów od osób, które skanują internet w poszukiwaniu słabych haseł i otwartych komputerów. Nazywamy ich  „brokerami dostępu początkowego”. A teraz, wraz z rozwojem AI, w systemie pojawiła się dodatkowa warstwa, czyniąc niektóre ataki bardziej wyrafinowanymi. 

Czy możesz to rozwinąć? Jakie nowe zagrożenia lub niebezpieczeństwa wynikają z AI? 

 Krótko mówiąc, AI działa jako mnożnik umiejętności. Pozwala ludziom dysponującym ograniczoną wiedzą wykonywać zadania takie jak profilowanie ataków. Dzięki pomocy AI, mogą oni ocenić, czy warto atakować firmę, zidentyfikować jej zasoby i znaleźć powiązane podmioty, które można wykorzystać. AI może również pisać maile phishingowe w językach, które wcześniej były trudne do wykrycia, takich jak farerski czy fiński. Ponadto, niektórzy ludzie oferują usługi napędzane AI w najciemniejszych zakątkach internetu.  

AI świetnie radzi sobie z automatyzacją prostych zadań, podobnie jak zmywarka radzi sobie z rutynowym zmywaniem naczyń, ale niektóre z nich mogą nadal wymagać ręcznego szorowania trudniejszych miejsc. Można więc traktować AI jako dodatkowe narzędzie pracy, ale póki co nie jest to jeszcze rewolucyjna zmiana.  

Czy AI pomaga Ci w Twojej pracy? 

 Zdecydowanie tak. Używam botów w kreatywny sposób – do zbierania informacji, analizowania danych z fałszywych systemów w celu wykrywania nowych ataków, tzw. „honeypots”, lub po prostu do realizacji własnych projektów, na przykład tworzenia botów, które rozmawiają ze sobą. 

 Natomiast branża cyberbezpieczeństwa stara się wykorzystać AI do ulepszania skanerów bezpieczeństwa lub wykrywania bardziej złożonych przypadków nadużyć i włamań. Standardowy skaner bezpieczeństwa może pominąć plik o nazwie „Hasła”, myśląc, że to tylko zwykły plik. Przy pomocy AI skaner może rozpoznać, że „Hasła” mogą zawierać hasła. AI wzmacnia istniejącą technologię, a nie jest samodzielnym rozwiązaniem.  

Przy całej tej wiedzy łatwo jest popaść w paranoję dotyczącą cyberbezpieczeństwa. Jak można zatem utrzymać wysoki poziom ochrony, nie wpadając w panikę? 

 Kluczowe jest, by zrozumieć, jak wyglądają ataki i jakie są ich koszty. Nie musisz całkowicie powstrzymywać ataku; musisz tylko sprawić, by był kosztowny dla napastnika. 

 Mówiąc obrazowo: Twoje ogrodzenie nie musi być najwyższe; wystarczy, że będzie tak wysokie jak u innych. Wiedza, dlaczego dostajesz phishingowe SMS-y, dlaczego zdjęcia profilowe w wysokiej rozdzielczości na Facebooku są celem wydobycia informacji i dlaczego nie powinieneś upubliczniać swojego numeru telefonu komórkowego, pomaga. Jeśli zrozumiesz te elementy, jeśli będziesz wiedział, czego napastnik potrzebuje, aby odnieść sukces, nie wpadniesz w panikę, która, nawiasem mówiąc, wynika zazwyczaj z lęku przed nieznanym. 

 Dobrym sposobem na zachowanie spokoju może być także uświadomienie sobie, że choć przeciwnik może być wszędzie, nie może być wszędzie naraz. Nikt nie jest aż tak Tobą zainteresowany! <śmiech>. Atakujący często chcą osłabić nie tylko Ciebie, ale także ludzi w Twojej sieci kontaktów. Działają w ramach budżetów i często wybierają łatwiejsze, tańsze cele, jeśli mogą. Chodzi więc o to, aby znać i rozumieć ataki, podejmować świadome decyzje i sprawiać, by całe przedsięwzięcie było kosztowne dla napastnika. 

Ostatnie pytanie, które muszę zadać: Skąd wziął się banan w Twoim zestawie hakerskim? 

 <Śmiech> Banan służy dwóm celom. Po pierwsze, chodzenie po głównej siedzibie banku, kiedy nie powinno się tam być, powoduje, że ciało i umysł wchodzą w tryb “walcz lub uciekaj” – co może być stresujące. Ale kiedy jesz banana – lub ogólnie coś jesz – twoje ciało myśli: „Poczekaj, jemy. Musimy być zrelaksowani.” Banan pomaga więc się zrelaksować.  

 Po drugie, trzymanie czegoś w rękach – banana, gazety, pliku papierów –  sprawia, że wyglądasz mniej podejrzanie. Ludzie włamujący się do firmy nie stoją tak po prostu, jedząc banana. Gdy jesz albo trzymasz coś w rękach, sprawiasz wrażenie, że jesteś czymś zajęty, podczas gdy samo stanie z pustymi rękami może szybko stać się niezręczne. To mój sposób na wtapianie się w otoczenie. 

 

Dziękuję Ci bardzo. Już nie mogę się doczekać Twojego wystąpienia na Masters&Robots!