Zona de securitate cibernetică are trei piloni foarte importanţi: oamenii, tehnologia şi politicile, este de părere Bogdan Botezatu, director de cercetare a ameninţărilor informatice în cadrul Bitdefender.
„Pentru mine, zona de securitate cibernetică are trei piloni foarte importanţi: oamenii, tehnologia şi politicile. Atât timp cât putem acoperi cei trei mari piloni, cred că putem alege oricâte soluţii de securitate vrem. Degeaba avem noi vizibilitate peste tot, dacă nu avem suficienţi oameni care să filtreze respectivele evenimente, să le trieze după prioritate şi să intervină. Acolo avem o mare problemă. În zona de tehnologie cred că trebuie să ne uităm la ce pot face respectivele tehnologii, ele trebuie să corespundă unui scop final, nu trebuie să aruncăm tehnologii doar pentru că trebuie să bifăm nişte liste, trebuie să fim foarte atenţi la cunoaşterea adversarului, trebuie să vedem care sunt tacticile lor şi să intervenim cu soluţii de securitate şi control acolo unde este nevoie”, a spus Bogdan Botezatu în cadrul conferinţei ZF Cybersecurity Trends 2023.
Ce a mai spus Bogdan Botezatu în cadrul conferinţei ZF:
• În securitatea cibernetică putem să mergem doar din rău în mai rău, acesta este trendul. Pe zona de atacuri lucrurile s-au complicat foarte mult pentru că infrastructurile au crescut în ultima perioadă, suprafeţele de atac au crescut foarte mult, avem tehnologii noi care sunt puse pe tehnologii vechi şi aşa mai departe. Putem vorbi ore întregi despre ce se întâmplă aici.
• Zona de cybersecurity este destul de aşezată: atacatorii atacă prin diverse metode, oamenii de security protejează de vulnerabilităţile respective.
• În 2018 vorbeam despre supraspecializarea ransomware as a service, crime as a service în care fiecare atacator îşi construieşte un fel de ecosistem în care el este cel mai specializat, iar din acel ecosistem începe să vândă către afiliaţi tot felul de tehnologii. Ce am văzut interesant după acest lucru este supraspecializarea atacurilor informatice: mai nou ne batem cu ceva ce se numeşte atacuri hibride.
• Practic, avem reţele întregi de atacatori care nu fac decât să încerce să obţină acces în companii. Ei fac acest lucru prin două tehnici foarte larg răspândite: zona de identitate – phishing pentru utilizatori, phishing la adresa persoanelor foarte influente din companie, mai avem şi zona de vulnerabilităţi şi atunci apare atacul hibrid în care o grupare de criminalitate informatică încearcă să găsească portiţe de acces în companii, pe care mai apoi nu le exploatează în mod direct, pe el îl interesează doar zona de acces. Odată ce compromite infrastructura o scoate la vânzare pe internet. Scoţi la vânzare o metodă de a te conecta la infrastructura companiei respective.
• Întotdeauna în topul atacurilor vor fi cele care sunt cele mai vizibile, cele care generează un impact imediat, care pot avea un impact măsurabil, precum cele ransomware. În termeni practici, ransomware reprezintă circa 2% - 3% din restul de ameninţări informatice, majoritatea atacurilor de care suferă companiile în momentul de faţă nu vor avea efecte decât în 10 – 18 luni. Există furt de informaţii, breşe de date, minare crypto agresivă pe serverele şi infrastructura companiei şi aşa mai departe. Aceste atacuri migrează către lucruri mult mai tăcute decât ransomware.
• Atacurile hibride încep cu un server vulnerabil apoi atacatorul va vinde informaţiile respective unei terţe părţi, iar acea terţă parte nu va planta ransomware decât dacă nu are o altă opţiune până la sfârşit, va încerca întâi să vadă ce alte informaţii sunt valoroase, să exfiltreze cât mai multe date către cloud-urile pe care le controlează ei, iar apoi într-un final va încerca să planteze ransomware. Atacurile de tip phishing sunt începutul unei serii de oportunităţi în companie.
• Nu există o sumă minimă de tehnologii pe care ar trebui să le avem, dar cred că ar trebui ca pe fiecare zonă de operaţie din companie care să fie eficientă acolo. Avem nevoie de soluţii pentru mediul virtualizat, avem nevoie de soluţii pentru medii mobile, avem nevoie de soluţii de securitate pentru endpoint, ideal ar fi să avem specialişti suficient de liberi ca timp pentru investiga ce văd în soluţiile acelea.
• Am folosit de la începuturile securităţii cibernetice moderne soluţii de inteligenţă artificială pentru a ne ajuta să construim sisteme de detecţie a ameninţărilor informatice, deci inteligenţa artificială nu este ceva nou în securitatea cibernetică.
• Ceea ce este nou este că din ce în ce mai mulţi atacatori încearcă să folosească inteligenţa artificială pentru a genera conţinut cu care victima să interacţioneze foarte bine, emailuri care să pară că vin de la o persoană din companie, dar cred că principala problemă a venit odată cu explozia ChatGBT. Succesul large model language aplicat pe oameni a adus o schimbare în modul în care hrănim modelul respectiv cu informaţii. De cele mai multe ori acele informaţii sunt informaţii de business. Foarte multe companii au început să restricţioneze folosirea acestui tip de roboţi pentru procese de business tocmai din cauza faptului că riscurile legale şi reputaţionale sunt uriaşe.
• Securitatea cibernetică este complexă, depăşeşte foarte mulţi manageri şi, în momentul în care ajungem în situaţia aceasta, cel mai bine este să externalizăm imediat, dacă nu putem rezolva imediat. Securitatea cibernetică are un impact rapid, ceva ce trebuie să faci mâine poate să fie exploatat astăzi, iar din ce în ce mai multe companii decid să externalizeze în momentul în care se lovesc de o provocare de genul acesta.
• Securitatea cibernetică este rezultatul unui motor, un motor care este tehnologizarea companiilor. Zona de securitate cibernetică vine să acopere nevoile de securitate cibernetică ale companiilor care devin din ce în ce mai expuse online. Odată cu creşterea nevoii de securitate cibernetică creşte şi nevoia de talente.
