Strategiczne podejście do cyberbezpieczeństwa dziś oznacza jego proaktywność w podejściu do zdefiniowanej przez AI nowej rzeczywistości. Robert Grabowski, szef CERT Orange Polska komentuje dla nas wybrane strategiczne wyzwania cyberbezpieczeństwa.
Bardzo interesująca, 12.edycja raportu CERT Orange, o której pisaliśmy w Smart Factory Review przynosi w konkluzji wniosek o przyłączeniu kwestii cyberbezpieczeństwa firmy do listy strategicznych zagadnień biznesowych rozważanych przez zarządy. Dlatego w tym duchu poszukujemy u Roberta Grabowskiego, szefa CERT Orange Polska, odpowiedzi na pytania o strategiczne aspekty funkcjonowania cyberbezpieczeństwa. „Tu i teraz”, w obecnych ale i rysujących się na horyzoncie uwarunkowaniach.
Smart Factory Review: Jak rozwija się platformizacja ataków DDoS? Czy można już mówić, że dostawcy tych „usług” działają w szarej strefie? Ponieważ obsługują atakujących, ale i np. firmy testujące na zamówienie odporność firm?
Robert Grabowski: Ataki DDoS z każdym rokiem coraz mocniej przypominają usługi w modelu SaaS. Prosty interfejs użytkownika, możliwość wykupienia pakietów, pełna automatyzacja ataku bez potrzeby posiadania technicznej wiedzy. To znacząco obniża próg wejścia, właściwie do poziomu akceptacji kosztów. Można w tym kontekście mówić, że sam atak stał się gotowym produktem do zakupu i „wyklikania”.
Jednocześnie, każdy dostawca, którego celem jest jedynie dostarczenie usługi bez weryfikacji i dbania o bezpieczeństwo może być postrzegany jako właśnie działający w „szarej strefie”. Jeśli oferuje testy obciążeniowe infrastruktury, powinien zadbać o weryfikację czy kupujący, może je wykonywać na określonej adresacji.
Jak sposób implementacji AI w firmie wpływa na poziom podatności związanej ze sztuczną inteligencją? Czy np. szeroko zakrojone, dojrzałe programy stosowania AI z perspektywy działów bezpieczeństwa oznaczają zarazem akceptację wyższego poziomu ryzyka? Czy zwiększają ekspozycję na ryzyko? Być może te najbardziej zaawansowane sposoby wykorzystania AI – architektury agentowe – byłyby by już najbardziej podatnymi?
Z punktu widzenia bezpieczeństwa musimy patrzeć przede wszystkim w jaki sposób AI jest wdrażane w organizacji, jak jest budowana architektura, jak tworzone są automatyzacje i integracje a także jaki otrzymuje ona poziom autonomii.
Szeroki, dojrzały program AI nie musi być zmorą dla działu bezpieczeństwa, jeśli wdrażany jest we współpracy i na bieżąco tworzone są odpowiednie mechanizmy kontroli, monitorowania i modelowania zagrożeń. Oczywiście, że rośnie powierzchnia ataku, ale współpraca pozwala po pierwsze ją poznać a po drugie nad nią zapanować. Największym wyzwaniem jest nadążanie za chaosem.
Architektura agentowa to oddawanie coraz większej autonomii a co za tym idzie i kontroli. I w tym kontekście jest to dużo bardziej wymagające rozwiązanie z perspektywy bezpieczeństwa. Ryzyko nie dotyczy już jedynie działania modelu, ale również skutków podejmowanych przez agenta decyzji.
W jaki sposób AI pracuje dla obrońców – jak zaawansowane są to zadania? Być może właśnie przyszły szkielet obrony organizacji będzie się opierał na jakiejś architekturze agentowej – specjalizowanych agentów AI obrony?
AI znacząco przyspiesza i wyręcza analityków i specjalistów ds. bezpieczeństwa przy wielu zadaniach. Błyskawiczny triage na dużej ilości danych to świetna opcja. Mogą to być logi, konfiguracje usług, wyniki działania skryptów i narzędzi czy kod źródłowy aplikacji. Ale zastosowań jest znacznie więcej, właściwie możliwości są nieograniczone i warto testować gdzie zastosowanie tej technologii może przynieść dobre rezultaty.
Wszystko wskazuje na to, że architektura agentowa to przyszłość tej technologii w kontekście realizacji bardziej złożonych zadań. Wyobrażam sobie grupy wyspecjalizowanych agentów współpracujących ze sobą w konkretnym celu – tego typu rozwiązania testujemy już dzisiaj.
Jest dodatkowa kwestia, może najbardziej ocenna, subiektywna. Czy skala, zaawansowanie i konsolidacja po stronie cyberprzestępców (np. zwiększenie liczby ataków APT) – wywołają w końcu po stronie struktur obrony bardziej zdecydowane zmiany? Dotyczące struktur (np. większe współdziałanie ponad granicami organizacji, pn. branżowe) ale i podejścia (proaktywność – ofensywność, działania uprzedzające, niwelujące zagrożenia)?
Z perspektywy lat tego typu poziom współpracy w cyberbezpieczeństwie jest dla ludzi bardzo trudny do osiągnięcia (w przeciwieństwie do AI…). Z jednej strony tworzymy organizacje i inicjatywy, aby taką synergię uzyskać, wymieniać się wiedzą, danymi i metodami obrony, z drugiej tworzymy wiele formalno-prawnych barier powodujących, że informacja jest spóźniona, niedostępna czy już zupełnie nieaktualna. Kolejnym wyzwaniem jest koszt i dostępność rozwiązań umożliwiających skuteczną ochronę „dla każdego”.
Co do samego dostosowania defensywy, to bez analizy dzisiejszych zagrożeń, poznawania metod ataku i wykorzystywanych narzędzi obrona będzie coraz trudniejsza. I to właśnie wdrożenie jak najbardziej proaktywnych, odpowiadających na działania agresorów rozwiązań będzie determinowało sukces obrony.
