В этот период все чаще говорят о кибербезопасности, даже если об этом не всегда говорят с полным знанием фактов.
На этот раз мы думали поговорить об этом с Доменико Рагузео в его качестве директора нового Центр обеспечения безопасности (SOC) Мольфетты.
Что такое SOC? Почему вы открыли SOC, а затем - в Апулии?
SOC - это центр по предоставлению охранных услуг. SOC занимается мониторингом событий безопасности семь дней в неделю и в круглосуточном режиме, управлением инфраструктурой, сегментацией и микросегментацией, управлением идентификацией и управлением, привилегированной идентификацией и доступом и т. Д. Современные SOC также включают проактивные услуги, такие как программы обучения и повышения осведомленности, тестирование на проникновение и оценка уязвимости (VAPT), и наш центр также оснащен «группой реагирования на инциденты компьютерной безопасности» (CSIRT). Фактически, даже если лучшая защита - это предотвращение, в случае нападения предоставление высокоспециализированного персонала в короткие сроки делает разницу между трагедией и незначительным ущербом.
В целом SOC сосредоточены на периметре ИТ, в нашем случае мы также имеем дело с IoT и промышленными системами, SCADA и PLC, потому что многие из наших клиентов принадлежат к промышленному миру, а будущее кибербезопасности лежит в IoT.
Неудивительно, что один из наиболее часто используемых вариантов использования связан с кибербезопасностью систем видеонаблюдения. Как показывает случай с Mirai, на самом деле мы должны проверить, не используются ли устройства IoT в качестве базы для дальнейших атак или боковых перемещений.
Наш SOC также используется в качестве испытательного стенда, то есть он используется для тестирования и демонстрации клиентам технологий, которые мы производим и используем, а также конкретных сценариев использования (например, MIRAI).
Exprivia твердо верит в ценность обмена, поэтому она собирает, анализирует и затем делает общедоступными данные, касающиеся атак, инцидентов и нарушений конфиденциальности, составляя отчет о киберугрозах в Италии каждые три месяца.
Мы особенно заинтересованы в оцифровке и инновациях. Насколько важным может быть машинное обучение (ML) в контексте ИИ в отношении анализа киберугроз?
Я постараюсь упростить ответ. Все мы знаем, что термин хакер используется для обозначения человека, который благодаря своим навыкам способен повысить устойчивость цифровой системы или исправить ее уязвимости с помощью определенных действий. С другой стороны, плохой хакер - это тот, кто пытается использовать уязвимости цифровых систем в своих интересах.
Теперь, если злоумышленники используют ML, хорошие парни тоже должны использовать ML. Возможных приложений много. Например, ML используется для определения шаблонов атак или предотвращения несчастных случаев. Атаки могут проводиться месяцами или годами, поэтому важно иметь возможность идентифицировать индикатор взлома (IOC) благодаря быстрому анализу огромных объемов данных.
Одна из областей использования - это обнаружение аномалий. Злоумышленники часто используют разные методологии, поэтому распознавание IOC становится все сложнее. Благодаря ML легче идентифицировать «нормальное» поведение и, следовательно, понимать аномальное поведение.
Понимание того, какой трафик является нормальным, а какой нет, является одним из наиболее распространенных способов использования машинного обучения.
В операционных технологиях (OT) и Интернете вещей (IoT) очень часто прибегают к технологии обнаружения аномалий, основанной на поведенческом анализе (UBA - User Behavior Analitics).
Также в оценке уязвимости и тестировании на проникновение можно использовать искусственный интеллект: например, есть инструменты, которые учат использовать методы SQL-инъекций, используемые для атак на приложения, которые управляют данными через реляционные базы данных с использованием языка SQL.
Кроме того, существуют инструменты машинного обучения, которые могут определять наиболее вероятные уязвимости для использования в зависимости от программного обеспечения.
Однако нельзя забывать о кибербезопасности систем искусственного интеллекта: в данном случае речь идет о состязательном искусственном интеллекте. Фактически, если системы ИИ работают на неверных данных, мы не можем быть уверены, что ИИ ведет себя так, как мы хотим.
Не могли бы вы объяснить нам использование сетей камер или других объектов для совершения определенных типов атак, таких как Mirai?
Давайте немного поговорим об IoT, а затем перейдем к Mirai. Рынок подходит к проблеме Интернета вещей, думая о взломанном устройстве. Например, если у меня есть сеть камер, я думаю, что предоставляемая услуга может быть скомпрометирована. По правде говоря, это только один аспект проблемы.
В сети можно найти самые разные устройства, от фотоаппаратов до часов, от стиральных машин до холодильников, включая умную одежду. Это означает, что большое количество объектов потенциально может использоваться для проведения непрямых атак на службу, предоставляемую самими объектами. Также существуют инструменты, которые помогают без лишних затрат находить информацию об объектах в сети, что облегчает злоумышленникам.
Примером могут служить камеры видеонаблюдения. Атака Mirai использует скомпрометированные камеры (которые тем временем продолжают нормально функционировать), но нацелена на другие службы, не связанные с работой камер. Боты, установленные на камеры, используются для других целей, не замечая реального ущерба. Проблема с IoT заключается в том, что существуют тысячи объектов с очень низким уровнем безопасности, которые, например, в случае Mirai, могут использоваться для проведения распределенной атаки типа «отказ в обслуживании» (DDOS) на разные цели.
Конечно, верно, что существуют кибер-опасности и риски, связанные с нашей моделью общества, но также верно и то, что они часто используются в качестве оправдания.
Я часто говорю о кибербезопасности с самыми разными людьми.
Иногда случаются ошибки, иногда сталкиваешься с кем-то получше. Иногда разница между двумя ситуациями очень незначительна, поэтому лучше подождать и понять.
С другой стороны, когда дело доходит до безопасности Интернета вещей, необходимо рассмотреть две области макросов.
Первый - это управление Интернетом вещей. Часто проблема безопасности зависит от плохого разделения ответственности внутри организации. Например, ответственность за безопасность камеры обходится дорого; поэтому кто-то должен не только взять на себя ответственность, но и нести бремя расходов. Бесплатная гарантия отсутствует.
Второй момент касается рынка. Если такие устройства, как холодильники, подключенные к Интернету, продаются обычным потребителям, от пользователя нельзя ожидать, что он что-то понимает в киберпространстве. Компания-производитель должна взять на себя ответственность за безопасность и сертификацию этих продуктов. Это, скорее всего, увеличит стоимость продукта, но я не думаю, что без него можно обойтись.
Еще одна тема, которая нас очень волнует, связана с исследованиями и обучением. Каковы отношения между вашим SOC и университетами, школами и исследовательскими центрами?
Наш SOC был открыт в штаб-квартире Exprivia в Мольфетте, но наши сотрудники разбросаны по всему миру. Имея возможность сотрудничать с университетами, как для исследовательской деятельности. как в отборе талантов, это один из наших приоритетов.
У отрасли всегда есть печальная проблема, связанная с угрозой возврата инвестиций, поэтому, учитывая, что злоумышленники вкладывают средства в исследования и разработки, мы тоже должны это делать.
Мы также участвуем в различных проектах с университетами, включая ECHO, проект Европейского Союза, направленный на повышение способности стран-участниц к киберустойчивости. Все это помогает нам сократить разрыв между нападающими и защитниками.
Exprivia также запустила Академию, которая позволяет нам, с одной стороны, перемещать сотрудников с новыми навыками, полезными для того, чтобы оставаться на рынке труда, а с другой - обучать новых сотрудников.
С появлением искусственного интеллекта время для атаки и определения стратегии защиты становится все короче и короче. Как вы можете использовать ИИ, чтобы защитить себя?
ИИ в основном используется для определения атаки и подсказки наилучших ответных действий. ИИ может помочь, но сегодня все зависит также от технологий, используемых в системах, от людей и их подготовки, а также от многих других элементов.
Однако в целом следует говорить об аварии, а не о нападении.
Когда происходит авария, после первого анализа уже можно понять, продолжается ли атака, и ИИ может помочь как в анализе, так и в разработке адекватных контрмер в кратчайшие сроки.
Однако мы должны помнить, что, как правило, не существует подходящего типа защиты всегда и для каждого типа атаки, поэтому вы не должны ошибаться, думая, что ИИ является решением для всех типов атак. К счастью, есть инструменты, которые используют искусственный интеллект по-разному.
В целом кибербезопасность очень сложна и зависит от многих факторов; Искусственный интеллект может помочь, но он также может оказаться бесполезным или опасным. Еще многое зависит от способностей людей.
Какие новые решения для кибербезопасности?
Сегодня много говорят о микросегментации, очень полезной технологии, благодаря которой два пользователя могут разговаривать только по определенным каналам, по определенным услугам или по определенным темам, а не обо всем.
Переход в облако также является одним из вопросов, которые все еще много обсуждаются, но часто мало понимаются; Облако, безусловно, может помочь повысить безопасность, но важно то, что оно используется правильно.
Доменико, вы сделали хороший обзор SOC и технологий, которые можно использовать, но у нас все еще есть любопытство, поэтому в завершение давайте вернемся к первому вопросу: почему в Апулии?
Exprivia, компания, основанная ее нынешним президентом Доменико Фавуцци, зарегистрированная на фондовой бирже и насчитывающая около 2400 сотрудников, имеет штаб-квартиру в Апулии.
Поэтому нам показалось самым разумным открыть ШОС в этом регионе, чтобы внести свой вклад в развитие территории. Понятно, что мы предоставляем услуги везде, в Италии и за рубежом; Многие сотрудники из Апулии, но профессионалы, которые работают с нами, приезжают из разных регионов и работают удаленно, а не с итальянскими и иностранными клиентами.
Алессандро Руголо, Маурицио Д'Амато, Симоне Домини
Для получения дополнительной информации:
- Exprivia - Будущее. Идеально. Простой
- Отчет Exprivia Threat Intelligence за 2 квартал 2021 г.
- Кибербезопасность: что такое SOC? - Интернет-защита
- Сеть ECHO
- Что такое система SCADA? - Основы SCADA - Инструментальные средства
- Что такое ПЛК? Программируемый логический контроллер - Unitronics (unitronicsplc.com)
