Михал Островски е ветеран в киберсигурността с над 20 години

Михал Островски е деец в киберсигурността с над 20 години опит в региона. По време на кариерата си той е работил с най-големите организации в Европа, Близкия изток и Африка, в това число държавни органи, финансови институции, телекоми и други В момента заема позицията на основен шеф по приходите в SecureVisio. Преди това работи 10 години във FireEye (Trellix) като старши шеф, отговарящ за интервенциите на компанията в Източна Европа, DACH и Близкия изток.
(снимка: персонален архив)

„ Има сентенция, че нападателите се движат със скоростта на светлината, а бранителите със скоростта на закона. Ето за какво е извънредно значимо бранителите да вкарват нововъведения с по-висока скорост от нападателите ”, показа в изявление Михал Островски, основен шеф доходи в компанията SecureVisio. Той е един от водещите лектори на най-голямата конференция за киберсигурност в Югоизточна Европа –, която се провежда от COMPUTER 2000 България на 17 и 18 април в комплекс „ Hyatt Regency Pravets Golf & SPA Resort ” в Правец. Михаил Островски описа за нововъведенията в киберсигурността, ролята на човешкия фактор и автоматизацията, киберустойчивостта и образованието по киберсигурност посредством геймификация.

Г-н Островски, Вие сте постоянен участник в конференцията InfoSec. Преди две години казахте, че „ в случай че някой ви нападне с пушка, не оръжието е проблем, а нападателят, и че всяка интервенция би трябвало да е резултат от човешко деяние, а не да се разчита на автоматизираната реакция на системата ”. Още ли мислите по този начин през днешния ден, когато автоматизацията и изкуственият разсъдък имат все по-голяма роля от двете страни на барикадата – и в нападението, и в отбраната. Какво се промени в пейзажа на киберсигурността в последните години?

Не мисля, че тези две разсъждения си опонират. И двата детайла са доста значими. Човешкият детайл е от решаващо значение за схващане на аргументите за офанзивата, профила на нападателя, равнището на риск. И по-късно имате цялата автоматизация, AI, машинно образование – всички тези страхотни принадлежности, които оказват помощ за автоматизиране на интервенциите, където можете да ги автоматизирате.

Коментарът ми отпреди две години беше съответно за целенасочени офанзиви, осъществявани най-вече от APT (напреднали непрекъснати закани – бел.ред.) групи. Трябва да придобиете стратегически познания, които доста постоянно даже не са механически. Тази част би трябвало да бъде осъществена от човек. В същото време би трябвало да употребявате автоматизацията по образован метод, да вземем за пример, с цел да можете да се отбраните от същия тип офанзива в бъдеще. Съвременните решения за киберустойчивост употребяват излъчвания за разузнаване на закани посредством своите SIEM, SOAR или UEBA системи. Въпреки това голяма част от информацията за закани се събира ръчно от хора.

Много проучвателен организации се пробват да изчислят вредите, които киберинцидентите предизвикват на бизнеса. Ако оставим настрани до каква степен точни са тези калкулации – нормално цифрите варират в необятен диапазон – по-важно в действителност е по какъв начин бизнесът може да понижи риска и провалите от пробиви в сигурността? Автоматичен разбор на въздействието в действително време, с отчитане на бизнес подтекста на събитията – разкажете повече за тази неповторима характерност на SecureVisio?

На първо място, един от фундаментите в ръководството на киберриска е догатката, че няма две компании с безусловно идентичен рисков профил. Може да има допирни точки, изключително в едни и същи посоки на активност, само че постоянно ще имате ваш персонален рисков профил, вашата рискова ДНК. Разбирането какви са тези опасности, количественото им установяване, картографирането на най-важните ви активи – вашите перли в короната – и по-късно определянето на задоволително равнище на риск за всеки сегмент от вашата инфраструктура, всичко това е основата за дейно ръководство на риска.

SecureVisio има неповторима дарба да открива автоматизирано активи в инфраструктурата и да им задава равнища на риск. И също по този начин разрешава на потребителя да присвои личен риск на всеки един актив. Нашият интегриран модул за ръководство на риска (Integrated Risk Management Module) в границите на SIEM (управление на информацията и събитията в сигурността – бел.ред.) подсигурява, че разпоредбите за корелация автоматизирано включват информацията за нови бизнес процеси и чувствителни данни. Цялата система е предопределена да помогне за автоматизирано пресмятане на равнището на риска въз основа на самостоятелния профил на организацията.

Новата фешън дума ли е киберустойчивостта? Вашата лекция на InfoSec 2024 е на тази тематика и по-специално Холистичният метод към киберустойчивостта. Какво значи киберустойчивост и по какъв начин организациите могат да я реализиран?

Киберустойчивостта се отнася до способността на организацията да планува, устоя, да се възвръща и приспособява към неподходящите условия в киберсредата. Важното е, че този термин не се ползва единствено за отбрана против хакерски атаки, само че и за систематични повреди, нарушение на данните и всички евентуални разстройства, които биха могли да компрометират поверителността, целостта или наличността на данните.

По време на моята лекция ще се съсредоточа върху рамка, наречена CTEM – Continuous Threat Exposure Management (непрекъснато ръководство на излагането на закани – бел.ред.). Най-голямата разлика сред наследените и актуалните решения в техния метод към ръководството на киберсигурността е, че старите решения разчитат на периодически оценки или оценки в даден миг. Модерните решения би трябвало да могат да обезпечат непрекъсната видимост, с цел да подсигуряват, че идентифицирането на уязвимостите и рисковете се прави непрекъснато, което води до възстановяване на равнището на киберсигурността. CTEM ни дава методология за дейно съчетание на принадлежности и процеси, с цел да вършим това.

Клиентските организации нормално са изправени пред алтернатива: да разчитат на напълно облачни решения за киберсигурност или на местни внедрявания. Вие, в SecureVisio, поддържате и двата вида решения. Какво съветвате клиентите при избора им на решение – по кое време е подобаващ облакът и в кои случаи локалното внедряване е за предпочитане? Необратима ли е наклонността към сигурност като услуга в облака?

Дилемата локално против облак е многопластова. Всяка организация е друга, тъй че би трябвало да се вземе поради следното:

Има обстановки, когато данните би трябвало да останат вътре – избрани държавни институции, въпроси, свързани с националната сигурност, финансови организации, основни компании за сериозна инфраструктура – това са образците, при които би било доста мъчно да се изпрати всичко в облака. От друга страна, в случай че една компания има задоволителен действен бюджет и не се тревожи от опасности, свързани с изпращане на данните в облака, това може доста да усъвършенства нейните интервенции по сигурността.

Ние от SecureVisio разбираме, че от време на време данните би трябвало да останат вътре в организацията. Оттук произтича и изцяло локалното решение. През втората половина на тази година ще можем да предоставим на клиентите и облачната версия на нашата платформа.

Какво е настоящото положение на нововъведенията в киберсигурността? Колко значими са те?

Иновациите са освен значими, само че и от значително значение за справяне с развиващия се пейзаж от закани и злонамерени участници. Има сентенция, че нападателите се движат със скоростта на светлината, а бранителите със скоростта на закона. Ето за какво е извънредно значимо бранителите да вкарват нововъведения с по-висока скорост от нападателите.

Наскоро Джордж Кърц, основен изпълнителен шеф на Crowdstrike, съобщи в едно от интервютата си, че има фундаментална разлика сред нововъведението и придобиването и, че последното може да бъде голяма болежка за клиентите, защото води до нуждата да се ръководят изолирани решения и голям брой платформи.

Това, което видяхме през последните няколко години, е, че за огромните компании е доста по-лесно да придобият по-малки, с цел да получат изчезнала функционалност, в сравнение с да разработят същата функционалност сами. Тази наклонност води до обстановка, при която теоретично един снабдител е в положение да даде на клиента цялостен набор от функционалности, само че не в границите на една платформа, не в границите на една подпора.

С големи количества данни и модерни закани, с нуждата да се реагира в границите на секунди, потреблението на изолирани принадлежности за отбрана е рецепта за злополука. Ето за какво е толкоз значимо да се вършат нововъведения в границите на една лична платформа – по този начин се подсигурява цялостният капацитет на отбранителните качества.

Научихме от уредниците на InfoSec, че „ черешката на тортата ” тази година е симулационната игра за взимане на решения „ Cyber Fortress ”, която образова по киберсигурност посредством геймификация. Бихте ли повдигнали завесата пред това занимателно предизвикателство за участниците в конференцията?

SecureVisio е горделив спонсор на симулационната игра Cyber Fortress за участниците в конференцията. Играта е за създаване на най-устойчивата ИКТ система за киберсигурност и дейно реагиране на разнообразни закани от киберпространството. Участниците са разграничени на екипи с авансово избрани бюджети, които могат да харчат за разнообразни артикули и услуги. По време на всеки кръг тимовете би трябвало да се пазят против офанзиви и да печелят точки.

Участвал съм в няколко събития на CyberFortress и това постоянно е било супер трогателен метод за експертите по киберсигурност да обменят отзиви и да се състезават.

Интервюто е квалифицирано със съдействието на, формален дистрибутор на SecureVisio и уредник на конференцията InfoSec SEE 2024.
158