Хуан Антонио Кальес: «Threat Hunting может улучшить возможности обнаружения криптоджекинга»
«За последние несколько лет мир информационной безопасности стал чрезвычайно профессиональным. Испания становится международным ориентиром. Доказательством этому является огромное количество значимых событий в сфере информационной безопасности, которые происходят в нашей стране». Эти слова принадлежат Хуану Антонио Кальесу, генеральному директору в Zerolynx и директору по безопасности в Osane. До этого он работал руководителем лаборатории информационной безопасности в KPMG, а также руководителем хакинг-центра Everis. Кроме того, Хуан Антонио имеет также несколько престижных сертификатов, таких как Certified Hacking Forensic Investigator (CHFI) от Ec-Council и CISA от ISACA.
Хуан Антонио Кальес
По словам эксперта по ИТ-безопасности Хуана Антонио Кальеса, за последние 15 лет произошла серьезная эволюция. «Ранее задания по безопасности были направлены на проверку клиентских веб-сайтов и проведение внутреннего аудита для оценки безопасности ИТ-парков клиентов. В настоящее время сектор дошел до такого состояния, которое тогда очень трудно было предсказать».
Panda Security ( P . S .): Т.к. компании все чаще стали исполь зовать облачные стратегии, как мож но гарантировать их безопасность?
Хуан Антонио Кальес (Х.А.): Несколько лет назад многие компании думали, что они в безопасности, благодаря всего лишь файерволу, который защищает их периметр. Но, конечно, из виду упускался тот факт, что необходимо защищаться не только от внешних угроз: защита от внутренних угроз также важна. Теперь границы начинают исчезать. Если мы добавим к этому аморфное облако, содержащее всю нашу информацию, распределенную среди нескольких дата-центров по всему миру и работающих под разной юрисдикцией, то среда безопасности начинает существенно усложняться.
Если мы намерены мигрировать в облако, крайне важно проверить, есть ли у нас возможность по построению облака над нашей инфраструктурой. Там, где это возможно, мы должны правильно оценить возможности поставщиков, а после принятия решения попытаться хранить данные в зашифрованном формате.
P . S .: прошивка Nintendo Switchбыла взломана в тот же день после своего выхода. Как бы Nintendo могла избежать этой ситуации?
Х.А.: Случай с последней версией прошивки (v7.0.0) для консоли Nintendo – это особый случай. Он был связан не с уязвимостью программного обеспечения, а скорее с проблемой в аппаратном обеспечении консоли. Что случилось в январе, так это то, что хакеры сумели взломать закрытые ключи, которыми была подписана версия прошивки, чтобы модифицировать ее. В этом случае для устранения проблемы необходимо было пересмотреть аппаратное обеспечение консоли, над чем Nintendo уже должна работать.
С другой стороны, чтобы избежать ошибок в программном обеспечении, крайне важно сфокусироваться на безопасности с самых первых этапов разработки: так называемый подход shift left. Совместная интеграция безопасности в рабочие процессы DevOps, также известная как DevSecOps, - это эффективный способ обеспечения качества и безопасности совместной работы всего коллектива, гибкость и скорость DevOps. Эти рабочие модели являются явно более успешными по сравнению с традиционными моделями. Они позволяют разрабатывать более качественное ПО, которое также более безопасное, без существенного увеличения времени и затрат на разработку.
P . S .: Какие угрозы корпоративной информационной безопасности Вы бы назвали ведущими на текущий момент?
Х.А.: Одной из самых больших угроз являются шифровальщики, особенно для малых и средних компаний, которые не имеют такой же высокий уровень безопасности, как в крупных компаниях. Одной из наиболее часто используемых точек входа для такого рода атак является удаленный доступ через Team Viewer, VNC и другие подобные направления. Чтобы «смягчить» такие атаки, компаниям необходимо иметь надежный VPN, который позволял бы им безопасно подключаться к ресурсам компании извне с использованием двухфакторной авторизации (2FA), которая бы гарантировала, что для получения удаленного доступа будет недостаточно украсть регистрационные данные. Другой важный шаг – это ограничительная сегментация сети для сдерживания любого инцидента, который мог бы произойти.
Еще одна угроза, которая продолжает развиваться, - это криптоджекинг, который использует вычислительные ресурсы компьютеров для майнинга криптовалют. Такие практики как Threat Huntingмогут позволить организациям активно искать такие виды угроз, и могли бы повысить их возможности обнаружения и реагирования.
Угрозы критическим инфраструктурам продолжат свой рост. Это особенно актуально в контексте индустрии 4.0, где сети IT и OT начинают работать совместно, а PLC и другие компоненты OT-сети получают различные возможности передачи данных в традиционные кабельные сети. В таких сложных сценариях необходимо создавать неблагоприятную для злоумышленника среду. Это включает в себя сегментацию между OT и IT , позволяющую избежать прямой «доступности» OT -среды из Интернета, внедрение возможностей обнаружения и реагирования на машинах, которые охватывают обе среды и обеспечение максимального уровня контроля привилегированных учетных записей.
Наконец, одна из угроз, с которой мы будем сталкиваться в организациях и промышленных окружениях, - это промышленный шпионаж. Даже при самых высоких уровнях безопасности всегда существуют звенья, которые могут остаться незамеченными в традиционных процессах пен-тестинга. Один из наиболее примечательных примеров – это использование систем видео конференцсвязи. Они редко хорошо защищены, а их коммуникации чаще всего не зашифрованы.
Это была первая часть интервью с Хуаном Антонио Кальесом. Не пропустите вторую часть, где мы будем обсуждать кибер-устойчивость, биохакинг и цифровой экспертный анализ.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.