Vladimír Špička (Forcepoint): Film Minority Report se v kybernetické bezpečnosti stane realitou

Společnost Forcepoint nedávno spustila jako první na světě speciální výzkumnou divizi X-Labs, která kombinuje obsáhlou bezpečnostní expertizu s behaviorálním vědeckým přístupem. Cílem je porozumět činnostem digitálních identit a s nimi spojenému kybernetickému chování.

„Snažíme se identifikovat normální chování uživatelů a následně anomálie v jejich chování. A na základě takové identifikace téměř v reálném čase reagovat a upravit bezpečnostní politiky firmy v digitálním prostředí. Tak, aby systém fungoval adaptivně na základě zmíněného kontextu a došlo k úpravě bezpečnostních opatření ne pro celou firmu či oddělení, ale pro konkrétního uživatele,“ upřesňuje inovativní řešení Vladimír Špička.

Útočníci vyhrávají

Ačkoli v posledních letech do kybernetické bezpečnosti „natekly“ stovky milionů dolarů, její úspěšnost je dost tristní – v 95 procentech případů byli úspěšní útočníci. I to dokládá, že tradiční nástroje selhávají, protože nedokážou čelit moderním kybernetickým hrozbám. Firmy jako Forcepoint se tak snaží najít nová řešení.

„Celé prostředí se mění, na síle získávají pokročilejší metody pomocí analytik a umělé inteligence. Tradiční přístupy nejsou špatné, ale bezpečnost se musí posunout dále,“ dodává Špička.

Na jaře v Praze proběhla odborná konference Security 2019, která rozebírala aktuální problémy a trendy. Účastníkem byla i vaše firma. Co vás na konferenci zaujalo?

V jedné části se konference věnovala tradičnímu přístupu obrany před vlivy zvenku, před škodlivým kódem, před ransomwarem, za pomoci tradičních řešení. K vidění ale byl i posun k pokročilejším metodám – odhalování průniku k datům pomocí analytik nebo za použití umělé inteligence.

Data musíte mít pod kontrolou

Čemu dáváte přednost vy?

Vladimír Špička

V oblasti IT působí od roku 1992. První zkušenosti získal v oblasti síťových operačních systémů client/server, věnoval se bezpečnostním produktům a virtualizačním technologiím. V minulosti působil ve společnostech Sun Microsystems, Symantec nebo Red Hat. V současné době pracuje ve společnosti Forcepoint, kde je zodpovědný za vztahy se zákazníky a partnery v České republice.

Snažíme se přinášet právě to nové a soustředíme se na ten výše zmíněný druhý přístup. Uživatelé se stále musí bránit, na druhou stranu díky technologickému rozvoji mají možnost pracovat s daty a aplikacemi odkudkoli, z jakéhokoli zařízení přes sítě. Data, která jsou umístěna v cloudových úložištích, jsou sice velmi dobře přístupná, ale má to i svoji stinnou stránku.

Velké instituce typu banky totiž nemají tato data zcela pod kontrolou, neboť úložiště jsou ve správě třetích stran. A to vyvolává i otázku, jak by si podobné instituce měly data bránit. Když se podíváme na nedávné incidenty, třeba únik dat z maloobchodního řetězce Target nebo zdravotnické společnosti Anthem, tak vidíte jasně finanční škodu. Ale je hlavní újma v penězích, nebo spíše v úniku samotných dat?

Dochází tedy k technologickému posunu i u kybernetické bezpečnosti?

Rozhodně to tak vnímám, měli bychom bezpečnost IT posunout dál a přesně o to se snaží naše firma. K současným úrovním bezpečnosti, které jsou spíše statické, přidáváme další vrstvu. Více se zaměřujeme na chování uživatelů při zacházení s takzvanými kritickými informacemi a duševním vlastnictvím napříč celými globálními IT systémy.

Pokud má firma například nějak nastavený firewall s určitými pravidly, že její zaměstnanci mohou navštěvovat pouze vybrané webové stránky, tak to zcela nepostihuje realitu. Ta nikdy není černobílá, vždy existuje určitá úroveň aktivit uživatele představující šedou zónu, kterou prostě nelze klasickými či tradičními nástroji ošetřit.

Adaptivní přístup

Pojďme to přiblížit na nějakém konkrétním příkladu…

Představte si pracovníka nějaké firmy, který pracuje s databází citlivých dat. V určité situaci je potřebuje zkopírovat na USB, ale záleží na kontextu, zda již to je, či ještě není bezpečnostní incident. V základním vzorci může být kopírování pro všechny pracovníky ve firmě zakázáno, což se budou někdy snažit obejít, anebo zcela povoleno, ale pak neuhlídáte nic.

Přitom IT oddělení potřebuje přistupovat k dané věci dynamicky a reagovat na situaci. Jedna věc je, že pracovník potřebuje data předat byznysovému partnerovi. Jiná situace vzniká, když stejná data kopíruje na USB člověk, který již je ve výpovědní lhůtě. V principu jde o dva totožné případy, které statická bezpečnostní politika vůbec nedokáže rozlišit. Buď tuto akci povolí, nebo zakáže.

Naše řešení se snaží identifikovat normální chování nebo anomálie v chování uživatele. A na základě takové identifikace téměř v reálném čase reagovat a upravit bezpečnostní politiku. Tak, aby systém fungoval adaptivně na základě zmíněného kontextu a aby došlo k úpravě bezpečnostních opatření ne pro celou firmu či oddělení, ale pro konkrétního uživatele.

Vývoj takových adaptivních opatření ale trvá. Nemluvě o tom, že je někdo musí nastavit, ne?

Přesně tak. Systém se nějaký čas učí, co je běžné chování – na úrovni člověka, případně i celého oddělení. Určité činnosti budou vykazovat jednoznačné trendy. Jinými slovy, systém se musí naučit, co je standardní chování, a na základě toho je schopen identifikovat odchylky od normálu.

Kybernetický Minority Report

Výrazně jednodušší je to u cyklických procesů, například u účetních, kteří pracují v určitém rytmu. Ale co specifické procesy – lze mít adaptivní ochranu i zde? Bude doba učení tím pádem delší?

Domnívám se, že v takovém případě bude muset dojít ke kombinaci řešení, případně čas na učení o chování daného uživatele bude delší. Specifické případy vyžadují více dat. Netvrdím, že pokud zákazník nasadí naše komplexní řešení, tak to vyřeší jeho problém ze 100 procent. Vidím jako důležitý moment takzvané řešení pro privilegované uživatele, na které použiju technologii typu PAM (privileged access management). Troufnu si říci, že pro 90 procent zaměstnanců jsem schopen použít to, co jsem popisoval.

Je adaptivita obrany, tedy řešení pro takzvanou šedou zónu, nějaký obecný trend v kybernetické bezpečnosti?

Určitě, Forcepoint není jediným hráčem, který se touto cestou ubírá. Správnost této cesty potvrzují i renomované společnosti. Podobné řešení hledá i společnost Gartner a některé další společnosti. Posun od bezpečnostních řešení zaměřených na konkrétní hrozbu k adaptivnímu posuzování chování uživatele je patrný. Cílem je předejít incidentu, ideálně v reálném čase, nikoliv zpětné hledání, kdo a jak pochybil, když škoda již nastala. Napadá mě tak trochu podobnost s filmem Minority Report, kde se systém policie snažil předvídat zločiny a předcházet jim. Už je čas se k něčemu podobnému posunout i v kybernetické bezpečnosti.

Některé instituce jako třeba banky evidují tisíce či stovky tisíc bezpečnostních hrozeb denně. Nelze se věnovat všem, potřebujete identifikovat dejme tomu top 5, kterým se IT tým musí bezpodmínečně věnovat. Cílem je z masy incidentů najít ty největší a zároveň odpovědět i na otázku, proč jde o největší hrozby. A mít možnost na ně reagovat – a podotýkám znovu – v reálném čase, tedy v řádu maximálně hodin.

VÍCE K TÉMATU:

Je kauza Huawei prvním sjednocením Západu proti čínské kyberšpionáži?

Je načase, aby se kybernetická bezpečnost posunula o řád výš

Jaká používáte hesla? Podle průzkumu Češi kybernetické hrozby spíše podceňují

Nekonečná hra na četníka a zloděje

Jak hodně je současný IT svět nebezpečný? Přibývá hrozeb podobně rychle, jako roste množství dat?

Nenamlouvejme si, že na straně útočníků neprobíhá vývoj, bohužel jsme zatím vždy o malinkatý kousek pozadu. Neustále jde o hru na četníka honícího zloděje. Proto říkáme, pojďme přemýšlet o kybernetické bezpečnosti jinak. Na začátku je třeba vyjít ze základních prvků a těmi jsou uživatel, data či aplikace. V průniku těchto identit jsme schopni identifikovat anomálii. Musíme mít přehled, co uživatelé jakékoli organizace s jejími daty provádí. Jedna věc je obrana před útoky zvenčí a druhá věc je obrana před úniky citlivých dat ven ke konkurenci, k šedému trhu. Znalost obou stránek je podle mě velmi, velmi důležitá.

Jak tento přístup přijímají vaši zákazníci?

Stále více ho vnímají jako nástroj, který jim pomáhá ochránit uživatele před chybou a významně ztíží přístup „škůdcům“. Je ale naprosto klíčové, jak jsou takové nástroje komunikovány dovnitř firmy. Jakýkoli nástroj, který monitoruje chování a aktivity koncového uživatele, musí být pořádně odůvodněn, vysvětlen a nasazen v rozumných měřítkách.

Nicméně nějaký stupeň ochrany tu byl vždy, my jen přidáváme analytické řešení, které něco vyhodnocuje. Nezavádíme nové monitorovací nástroje, ale na základě dat, která už firma má, jí z nich umožňujeme vytěžit více.

Uvědomme si, že každý z nás zanechává obrovskou digitální stopu a je jen otázka, jestli někdo, kdo naše data použije, s nimi udělá i něco užitečného. Facebook a Google to dělají dnes a denně, přičemž miliardy lidí to akceptují. U firmy jde v podobném duchu o oprávněný zájem ochrany jejího podnikání. Samozřejmě jiná je situace ve firmě o pár lidech a jiná u korporace s několika tisíci zaměstnanci, které můžeme usnadnit život.

Chránit vše není v lidských silách

Klíčovým faktorem dnes už skoro v každém byznysu jsou data, která neustále přibývají. Je i díky tomu bezpečnostní analytika jednodušší?

Jsem přesvědčený, že ano. Cílem každé firmy je chránit své duševní vlastnictví, ale otázka zní, jak nejefektivněji vynaložit prostředky, aby i ta ochrana infrastruktury, duševního vlastnictví byla co nejefektivnější.

Každý rok se za ochranu utratí stamiliardy dolarů, a přesto dochází k incidentům a bude k nim docházet. Jak už jsem říkal, existují ty tradiční metody ochrany, ale stále na všechny hrozby nestačí. Není šance se věnovat všem, nemluvě o službách třetích stran, které do IT infrastruktury vstupují. Prostě není v lidských silách mít bezpečnostní řešení všude, kdy každý se chová nějak jinak. Pojďme se na to proto podívat jinak, a když detekuji rizikové chování, je nutné na to reagovat. Míst, kde může dojít k útoku, přibývá exponenciální řadou.

Zlepšují se obecné znalosti uživatelů i firem týkající se bezpečnosti?

Neexistuje univerzální odpověď, každý uživatel se chová jinak. Jinak se bude chovat pracovnice na pobočce banky a jinak se bude chovat šéf jejího oddělení. Určitě by měli být každý rok poučeni, ale nespoléhal bych na to, spousta profesí je primárně zaměřena na „obsluhu“ zákazníka, ne na řešení kybernetické bezpečnosti.

Jako bezpečnostní pracovník bych ale chtěl, aby když takovému uživateli přijde mail s nějakým linkem a když na něj klikne, tak aby byl přesměrován na vnitrofiremní stránku. A na ní by mu vyskočilo upozornění ve stylu: „Milý uživateli, teď jsi vystavil naši firmu potenciálnímu riziku. My jsme to zablokovali, ale tady si přečti něco o chování na internetu.“ Firma musí působit edukativně, aby se její lidé příště už automaticky podobného chování vyvarovali.

Nabízíme cestu dál

Jak moc je z pohledu vašeho i Forcepointu svět IT bezpečnosti konkurenční?

Neznám odvětví, kde by konkurence nebyla, a platí to i v našem oboru. Konkurence je obrovská, výrobců celá řada – stovky firem. Nejen v oblasti tradiční bezpečnosti antivirů nebo firewallů. Pomalu každý, kdo vyrábí síťové prvky, má vlastní ochranu. Firem jako my, které říkají „pojďme to dělat jinak“, je rozhodně méně.

Věřím, že Forcepoint bude jako lídr v kybernetické bezpečnosti do budoucna určovat směr. Nepřicházíme však s takovým řešením, aby klient zahodil vše, co dělal předtím. Nabízíme cestu, jak se posunout dále, jak přidat další úroveň ochrany, která zde předtím nebyla.

Představte si zákazníka, který migruje svá data do prostředí cloudového úložiště Office 365. Má v podstatě dvě možnosti: buď využije bezpečnostní nástroje Microsoftu, pokud je ochoten mu věřit. Anebo chce řešení třetí strany, které však musí být úzce integrováno, aby pracovalo téměř nativně s Office 365. A přesně tím směrem se orientujeme.

Kam se bude dále do budoucna kybernetická bezpečnost posouvat?

Nechme se překvapit. (usmívá se) Myslím, že bude kopírovat obecné trendy v IT, na které však bude muset umět reagovat. Když se podíváme na dnešní takzvanou digitální revoluci a data, která nás všude obklopují, tak rozhodně tato revoluce zatím není u konce. Je otázka, kam se budeme posouvat dál, ale vše směřuje jednoznačně ke cloudu a ke konzumování IT prostředků „on demand“. Počkejme, až většina firem dokončí digitální transformaci, a uvidíme, kam se bude vyvíjet svět technologií jako takových. Stejným směrem půjde kybernetická bezpečnost.