Cyberbezpieczeństwo w erze chmury, AI i szalonego tempa wdrożeń

Migracja aplikacji firm sektora finansowego do chmury trwa w najlepsze. Biznes niemal natychmiast odczuwa ulgę po stronie kosztowej i intensywniej skupia się na swojej kluczowej działalności, dzieląc się odpowiedzialnością za swoje IT z dostawcami usług chmurowych. Ten słuszny pęd zmniejsza czujność, jaką branża finansowa, w szczególności podmioty nadzorowane, powinny zachować w odniesieniu do cyberbezpieczeństwa i wdrażanych rozwiązań security – przekonują eksperci GFT Polska.

Bezpieczna chmura

Kiedy dzielimy współodpowiedzialność z dostawcą usług chmurowych, który sam zapewnia nas o podążaniu za najwyższymi standardami bezpieczeństwa i zgodności regulacyjnej, możemy ulec złudnemu poczuciu, że chmura niejako sama zadba o ochronę przed cyberatakami. Tymczasem ta odpowiedzialność jest współdzielona i nie zwalnia firm z samodzielnego budowania wielowarstwowej architektury bezpieczeństwa (defense in depth). Wiara w to, że serwisy chmurowe oferują bezpieczeństwo „by design” jest myśleniem życzeniowym, mimo, że dostawcy realizują swoje obowiązki na najwyższym, światowym poziomie.

Trendy wykładniczego wzrostu ilości cyberzagrożeń na świecie oraz setki tysięcy nowych typów złośliwego oprogramowania dziennie, odzierają nas ze złudzeń – to musi być walka na wspólnym froncie dostawców chmurowych i klientów. A istnienie zabezpieczeń w serwisach chmurowych nie oznacza, że są one skonfigurowane adekwatnie do potrzeb firmy lub że w ogóle te mechanizmy są domyślnie uruchomione.

Dane są obecnie najcenniejszą walutą i ich ochrona, rozumienie, i interpretacja w kontekście specyfiki danej firmy, jest tak samo ważne, jak analiza zagrożeń dokonywana przez dostawcę chmury. Dodatkowo ilość informacji wejściowych związanych ze stanem bezpieczeństwa firmy oraz danych wyjściowych do analizy i wnioskowania na ich podstawie – jest przytłaczająca.

Co roku najwięksi dostawcy chmurowi dzielą się statystykami z prób nieautoryzowanego dostępu do kont osób prywatnych i firm. Prób takiego logowania do aplikacji w serwisach chmurowych Microsoftu, zidentyfikowanych przez AAD Identity Protection (usługa zabezpieczająca przed nieautoryzowanym dostępem) było dwa lata temu prawie 6 miliardów, więc w tym roku ta liczba z dużą pewnością przekroczy kilkanaście miliardów. Ta cyfra wprawia w osłupienie, a przecież mówimy tutaj tylko o próbach logowania na konta i to konta jednego z wielu dostawców chmurowych – mówi Przemysław Kulesza, head of Global Security Practice, GFT Polska.

Wyścig zbrojeń

Automatyzacja detekcji błędnych konfiguracji bezpieczeństwa oraz automatyzacja wykrywania zagrożeń i podejmowania decyzji bez udziału człowieka w celu ochrony przed cyberzagrożeniami, stają się koniecznością, zwłaszcza, że czas analizy i reakcji działa na korzyść wyłącznie cyberprzestępców. Analiza heurystyczna i behawioralna, a także bazy wiedzy o śladach działalności złośliwego oprogramowania (IoC, Indicator of Compromise) i wektorach ataków są już od kilku lat standardem. W tym czasie dostawcy rozwiązań bezpieczeństwa muszą już myśleć o włączaniu dużego modelu językowego (LLM, Large Language Model) w kluczowe procesy detekcji zagrożeń i podejmowania decyzji. Trudno nazwać to jedynie tymczasową modą, kiedy przestępcy angażują AI i LLM do wzmocnienia swojego przestępczego oręża, począwszy od generowania zaawansowanych kampanii phishingowych, przez podszywanie się pod wysoko postawione osoby (tzw. whailing attacks), a skończywszy na skalowaniu nowych technik ataków, w tym APT i DDoS (tzw. AI-Assisted Attacks).

Automatyzacja rozwiązań bezpieczeństwa w oparciu o ML jest już z nami od dłuższego czasu, jednak to, co oferują obecne modele AI/LLM można dla zobrazowania nazwać „rozpoznawaniem wzorców na sterydach”. Mówimy tu nie tylko o szybkim wykrywaniu znanych problemów czy schematów działania przestępców, ale o wykrywaniu schematów, o których ludzkość jeszcze nie zdążyła pomyśleć. AI to oczywiście miecz obosieczny, ponieważ z jednej strony pozwoli nam skuteczniej odpowiadać na najbardziej złożone ataki, katalogować je (jak na przykład rozróżnianie grup APT), z drugiej zaś strony da przestępcom możliwość praktycznie nieograniczonej nauki zachowań ludzi i naszych systemów ochrony, doprowadzając do problemu ciągłego wyścigu zbrojeń. Wbudowanie w rozwiązania bezpieczeństwa AI/LLM jest więc koniecznością, nawet przy wszystkich swoich słabościach związanych choćby z wciąż dużą liczbą halucynacji w odpowiedziach tych modeli – wyjaśnia ekspert i architekt bezpieczeństwa GFT Polska, Adrian Dąbrowski.

Autodetekcja zagrożeń i błędnie skonfigurowanych aplikacji w chmurze, a także autonomiczne odpowiedzi na nie, czyli autoremediacja, będą więc coraz mocniej ujawniać się w funkcjonalnościach produktów security.

Kompleksowe podejście na trudne czasy

Zespół cyberbezpieczeństwa GFT Polska przeprowadził dogłębny, trwający prawie 1,5 roku test (PoC, Proof-of-Concept) rozwiązań klasy Cloud-Native Application Protection Platform (CNAPP), podsumowując ich mocne i słabe strony. Rozwiązania te są dedykowane dla wdrożeń chmurowych i posiadają zazwyczaj architekturę wielowarstwową, umożliwiającą detekcję błędnych konfiguracji bezpieczeństwa (Cloud Security Posture Management – CSPM), a także wykrywanie ataków na aplikacje, maszyny wirtualne i kontenery (Cloud Workload Protection Platform – CWPP). Mogą one też ostrzegać o nadmiarowych lub zbyt wysokich uprawnieniach użytkowników chmurowych (Cloud Infrastructure Entitlement Management – CIEM). Warto zauważyć, iż część z nich już od dawna bazowała na ML, długo przed boomem związanym z ChatGPT i LLM. Co również ważne, rozwiązania CNAPP posiadają moduły compliance, analizujące bieżący stan bezpieczeństwa IT środowisk chmurowych firmy względem światowych standardów uznawanych przez branżę, np. CIS Benchmarks. To pozwala zachowywać zgodność z wymogami przepisów prawa i rekomendacjami nadzoru KNF.

Biorąc pod uwagę tempo wzrostu cyberataków w Polsce i na świecie, uważam rozwiązania CNAPP za „must have”, nawet ze swoimi niedoskonałościami czy błędami wieku dziecięcego. W czasie testu PoC zastanawialiśmy się z zespołem, czy detekcja np. 90% błędnych konfiguracji względem wymagań CIS Benchmark dla różnych rozwiązań chmurowych, to dobry czy jednak nieakceptowalny wynik. Zwróćmy uwagę, że w tych 10% niewykrytych luk może czaić się potencjalnie prosta i niebezpieczna furtka wtargnięcia do systemów firmy, ujawniająca także niedopuszczalną niezgodność z wymogami regulatora. Konkluzją było powołanie specjalizacji w zespole cyberbezpieczeństwa GFT, kształcącej osoby definiujące brakujące polisy dla tych przykładowych 10% niewykrytych błędnych konfiguracji. Z jednej strony to nisza usługowa, którą wierzymy, że nasi klienci docenią za jej indywidualizm, z drugiej, wiemy już obecnie, że potrzebują oni wsparcia eksperckiego, ponieważ sami mają istotne ubytki kadrowe na stanowiskach związanych z bezpieczeństwem. Poza tym większość błędów bezpieczeństwa we wdrożeniach chmurowych to właśnie deficyty kompetencyjne czy po prostu brak możliwości dbania o bezpieczeństwo w świecie cotygodniowych wdrożeń zmian na produkcję – wyjaśnia Kulesza.

Wg różnych raportów dostawców rozwiązań bezpieczeństwa dla chmury, błędne konfiguracje usług stanowią ponad 60% wszystkich problemów z bezpieczeństwem wdrożeń chmurowych. Wśród głównych przyczyn wymienia się braki kompetencyjne, błędy ludzkie, braki punktów kontrolnych bezpieczeństwa w procesie wytwarzania oprogramowania oraz wysokie tempo wdrażania zmian na środowiska produkcyjne, nie pozwalające zespołom wdrożeniowym na jakościowe rewizje i audyty bezpieczeństwa.

Ufaj, ale sprawdzaj

Zespół GFT Polska podchodzi do bezpieczeństwa w chmurze holistycznie, rozumiejąc indywidualne wymagania klientów i różne apetyty na ryzyko. Dlatego CNAPP może być wdrażany w podejściu czysto prewencyjnym, bez uruchamiania autoremediacji, których firmy czasem obawiają się w bardziej skomplikowanych scenariuszach czy krytycznych biznesowo aplikacjach. W takich przypadkach oferowanym rozwiązaniem jest modernizacja części remediacyjnej architektury bezpieczeństwa IT, czyli SIEM/SOAR, które są dedykowanymi rozwiązaniami detekcji i obsługi incydentów. Rynek SIEM/SOAR w Polsce posiada wysokie nasycenie, co wynika z regulacyjnej konieczności ich wdrażania, szczególnie w sektorze finansowym. Klienci jednak ciągle borykają się z problemami ich wydajności, priorytetyzacją alertów czy po prostu z wysoką ceną tej klasy rozwiązań. Stąd obszar ten wymaga modernizacji:

Wdrożenie automatyzacji dla obsługi incydentów bezpieczeństwa jest koniecznością w obecnych czasach, żeby skutecznie reagować na wykryte zagrożenia. Wielu specjalistów myśli o wdrażaniu rozwiązań XDR (Extended Detection and Response), jako antidotum. Ale dopiero połączenie takich metod z nowoczesnymi rozwiązaniami SIEM/SOAR daje możliwość kompleksowego pokrycia i skutecznej korelacji zdarzeń w środowiskach multi- czy hybrid-cloud. Innym wyzwaniem do zaadresowania jest ilość logów koniecznych do analizy przez SIEM/SOAR, która rośnie w zabójczym tempie. Ich analizowanie, korelowanie i składowanie to ciągłe wyzwanie, na które nie ma jednej prostej odpowiedzi. Ciągle balansujemy na cienkiej krawędzi zastanawiając się, które logi możemy składować wyłącznie dla celów potencjalnej analizy wstecznej, a które musimy mieć dostępne i przeszukiwalne online w czasie niemal rzeczywistym. Racjonalne podejście pozwala zachować odpowiednią skuteczność przy utrzymaniu niezbędnej ilości zbieranych logów do spełnienia wymagań regulacyjnych, jak również wymagań zespołu Centrum Operacji Bezpieczeństwa (SOC, Security Operations Center). Wykorzystanie nowoczesnych rozwiązań cloud-native SIEM/SOAR dobrze adresuje te wyzwania. Jako GFT wybraliśmy dla naszej firmy rozwiązanie Microsoft Sentinel, a pamiętajmy, że mamy ponad 10 tys. pracowników rozproszonych po całym świecie. W związku z tym spodziewamy się poziomu 25 MB logów przypadających na każdego z nich dziennie – to potężna ilość rocznie. Obecnie też sami oferujemy produkt Microsoft Sentinel naszym klientom, również jako uzupełnienie rozwiązań XDR, widząc ogromny potencjał modernizacyjny w podejściu SIEM/SOAR amerykańskiej firmy. Zwracam uwagę szczególnie na część SOAR, która pozwala automatyzować reakcje na alerty, pozostawiając zespołom SOC do manualnej analizy wyłącznie najbardziej zaawansowane przypadki – wyjaśnia Marek Dwórznik, cloud security architect w GFT Polska.

Sektor finansowy w Polsce zwraca uwagę na rozwiązania Microsoftu także z bardziej generalnej przyczyny, mianowicie z powodu niedawnego otwarcia centrum przetwarzania danych Azure w Polsce (Azure Poland Central) w 3 niezależnych lokalizacjach niedaleko Warszawy. Restrykcyjne regulacje czy rekomendacje nadzoru KNF można będzie spełnić szybciej i z mniejszym ryzykiem braku zgodności. GFT od lat wspiera polski i światowy sektor bankowy w konfiguracji usług chmurowych w Azure, ale także Google Cloud i AWS.

Nasze metody zabezpieczania usług chmurowych i landing zones cechuje podejście indywidualne i ukierunkowane na potrzebę klienta oraz kontekst jego działania. Jednocześnie dbamy o to, aby nasze rekomendacje i wdrożenia bazowały na wymogach przepisów prawnych, światowych standardach bezpieczeństwa (jak ISO 27001, CIS Benchmark) i rekomendacjach nadzoru (w Polsce przede wszystkim mówimy o tzw. Komunikacie chmurowym UKNF ze stycznia 2020 r.). Nie skupiamy się wyłącznie na aspektach technicznych lub regulacyjnych, za to wspólnie tworzymy implementacje bezpieczne i wspierające klienta, realizujące wartość biznesową. W uzasadnionych przypadkach potrafimy też powiedzieć twarde „nie” chmurze, na przykład przy szyfrowaniu danych bez użycia kluczy zarządzanych przez bank, czy przy zbyt niskiej kontroli uprawnień. Stawiamy na jasny i otwarty dialog oraz solidną, uczciwą ekspertyzę – wyjaśnia Bartłomiej Skowronek, lead architect w GFT Polska.

Sektor finansowy w Polsce podchodzi ostrożnie, a czasem nieufnie do rozwiązań chmurowych, szczególnie, gdy mówimy o przetwarzaniu danych stanowiących tajemnicę bankową czy przy innego rodzaju danych chronionych. Ostrożność i chłodna kalkulacja są cenne, dlatego GFT Polska chętnie i systematycznie uczestniczy w wyjaśnianiu jasnych i ciemnych stron wdrożeń i migracji do chmury, buduje zaufanie  przy użyciu najlepszych dostępnych narzędzi, sprawdzonego podejścia i przejrzystej komunikacji. Jako certyfikowany partner największych dostawców chmurowych na świecie, GFT dostarcza ekspertyzę i bezpieczne wdrożenia chmurowe szyte na miarę, a jednocześnie czerpiące ze swoich doświadczeń globalnych.