Słuchacze dowiedzieli się, jakich narzędzi można użyć do ochrony przed nowymi rodzajami malware’u, jak budować strategię bezpieczeństwa dla systemów krytycznych, czy też jak bezpiecznie korzystać z usług chmurowych. Poznali także sposoby na automatyzację i usprawnienie zarządzania obszarem IT Security w przedsiębiorstwie. Wystąpienia poszczególnych specjalistów przypominały w dużej mierze warsztaty inżynierskie. Klienci końcowi dostali porcję solidnej wiedzy, pomocnej w podejmowaniu decyzji, co do wyboru odpowiednich narzędzi i usług. Integratorzy zaś wiele wskazówek w kwestii podejścia do ochrony systemów w firmach, które na co dzień obsługują. 

Partnerami technologicznymi Check Pointa podczas konferencji były firmy Clico, Extreme Networks oraz VMware. Podkreślając ich udział, zwrócono uwagę na to, że zmienia się podejście klientów do ochrony przed cyberzagrożeniami. Wszyscy chcą być obsłużeni nie tyle poprzez dostarczenie pojedynczych produktów, ale za pomocą kompleksowych zabezpieczeń. Stad wzrost roli partnerstwa technologicznego wśród dostawców rozwiązań IT Security. 

Malware „specjalnie dla ciebie”

Maciej Mączka, Security Consultant w Clico, tematem swojej prezentacji uczynił malware, który ma na celu zaatakowanie konkretnej infrastruktury firmowej. Zaprezentował, z jakich narzędzi obecnie cyberprzestępcy mogą korzystać pisząc złośliwe oprogramowanie i co mogą zrobić, aby pokonać poszczególne części systemu bezpieczeństwa, chcąc się dostać do infrastruktury wybranej firmy. Omówione zostały możliwości zaatakowania firewalla, antywirusa, sandboxa i tzw. agenta działającego na urządzeniu końcowym.  W kontekście atakowania  firewalla na przykład przedstawiono słuchaczom narzędzia, m.in. Metasploit, Empire, Papi, które stanowią pełne rozwiązanie umożliwiające przygotowanie malware’u i jego kontrolowanej dystrybucji. Specjalista opisał też metodę szyfrowania ruchu, jako bardzo skuteczny sposób na ominięcie firewalla oraz dekrypcję ruchu – jako antidotum na takie działania hakerów.  
Maciej Mączka omówił także rolę narzędzia Ebola w omijaniu środowisk sandbox i opowiedział jak przy użyciu narzędzia Metasploit wygenerować plik .exe, który zostanie zaakceptowany przez program antywirusowy. Znamienne jest, że w internecie można znaleźć gotowe artykuły na ten temat. Według specjalisty to jednak skrypty pisane w języku powershell stanowią obecnie szczególnie istotne zagrożeniem. Mimo że programy antywirusowe „wiedzą” jak wygląda struktura takiego pliku, wystarczy trochę modyfikacji, aby stał się on dla oprogramowania ochronnego niewykrywalny. Za przekazaną przez specjalistę Clico teorią poszła praktyka – odbiorcom zaprezentowano scenariusze ataków i pokazano jak zmienia się wykrywalność złośliwego oprogramowania w zależności od używanych narzędzi hakerskich. 

 

Systemy krytyczne: trudna sprawa

Z kolei Marcin Pobudejski, Security Engineer w Check Point podkreślał coraz większą potrzebę stosowania narzędzi, które pomagałyby zabezpieczać dostęp do usług chmurowych, z których firmy i instytucje korzystają coraz częściej. Według specjalisty te obecnie stosowane chronią przed wyciekiem danych, wykrywają shadow IT,  umożliwiają kontrolę wykorzystywanych aplikacji chmurowych. Tym czego brakuje, jest możliwość prewencyjnego zapobiegania atakom. Dlatego Check Point zaproponował rozwiązanie CloudGuard wyposażone w dodatkowe moduły – np. taki, który pomaga w zapobieganiu phishingowi, czy zaawansowany moduł ochrony tożsamości. 

O ochronie systemów krytycznych mówił Mariusz Stawowski, dyrektor techniczny Clico. Specjalista przypomniał, że nowego podejścia do tej kwestii wymaga ustawa o cyberbezpieczeństwie. Architekci bezpieczeństwa mają obecnie problem, bo muszą pogodzić budowę rzetelnych zabezpieczeń dla systemów krytycznych nie ograniczając jednocześnie wysokiej dostępności, która ma być cechą tych ostatnich. 
Jedną z pewnych niedogodności dla specjalistów od IT security jest to, że dla systemów krytycznych nie robi się testów bezpieczeństwa (aby nie zablokować ich działania), tylko modeluje się zagrożenia. Testerzy analizując ich architekturę przewidują wektory ataków i tworzą scenariusze incydentów. Podczas prezentacji zostały omówione trzy takie scenariusze: atak przez VPN, sieć biznesową i z wnętrza sieci. Przybliżono też rolę strefy DMZ, architektury trójwarstwowej i narzędzi behawiorystycznych w zapobieganiu incydentom. 
Inżynier Clico przypomniał także, że istnieją standardy bezpieczeństwa systemów krytycznych – na przykład standard wydany przez International Society of Automation – (ISA Standards), który kładzie mocny nacisk na wdrażanie zabezpieczeń sieciowych. Najnowsza wytyczna pochodzi z 2018 r. Wydana została przez National Institute of Standards and Technology. W tym przypadku kluczową rolę przypisuje się wdrażaniu narzędzi, które pozwolą na prześledzenie, w jaki sposób doszło do incydentu.

 

Wojciech Głażewski, Country Manager, Check Point

Fale ataków malware nie dotknęły Polski w takim stopniu, jak innych krajów. Generalnie mamy bardzo dobrą infrastrukturę, a część malware’u jest jednak dość prymitywna. Ale zatrważające jest to, jak kompleksowe staje się podejście cyberprzestępców do ofiary w tak zwanych atakach celowanych, wykorzystujących mechanizmy krzyżowe. Architektura systemów zabezpieczających musi odpowiadać tej złożoności. Systemy zabezpieczające stanowią tylko uzupełnienie całej polityki bezpieczeństwa, która powinna być obecna w firmie, biorąc pod uwagę, że błędy użytkowników odpowiadają aż w 41 proc. za powodzenie ataku. 
W ocenie bezpieczeństwa przedsiębiorstw, szczególnie mniejszych, pomocne będą integratorom rozwiązania automatyzujące cały ten proces. Zagadnienia związane z IT security są dość złożone – trzeba mieć informacje, których klienci nie chcą często udostępniać. To stawia integratora w dość trudnej sytuacji. Dlatego właśnie wprowadzamy proste narzędzia, dzięki którym może on – w sposób dość łatwy i nie budzący obaw klientów – sprawdzić infrastrukturę klienta i szybko wskazać miejsca wymagające wzmocnienia pod kątem bezpieczeństwa. Takie automatyczne rozwiązania dla małych firm często są darmowe. Integrator nie zarobi na nich wprost, ale mogą się one stać elementem jego całościowego podejścia do obsługiwanej firmy, która chce poprawić skuteczność swoich mechanizmów obrony przez cyberprzestępcami.