5 Лютого, 2024
7 Березня, 2024
12 min read
Все, що тебе не вбиває, робить тебе сильнішим
В часи, коли війна вже давно не лише про традиційну зброю, а й про використання найновіших технологій, важливість кібербезпеки досягла безпрецедентного рівня. Хакери атакують не тільки людей, а й загрожують підприємствам і цілим країнам. Михайло Кропива присвятив свою кар’єру кібербезпеці. Зараз він – AVP Infosec у SoftServe, глобальній компанії з українським корінням, яка займається розробкою програмного забезпечення та консалтингу. Наразі компанія налічує понад 11 000 професіоналів по всьому світу.
Ми поспілкувались з Михайлом про побудову та менеджмент надійного відділу кібербезпеки, протидію кіберзагрозам, з якими стикається SoftServe, а також про наслідки хакерської атаки на компанію у 2020 році. Крім того, Михайло розповів про розвиток освіти з кібербезпеки та підкреслив стійкість України перед обличчям ворожих кіберзагроз. Він поділився інсайтами, як долати виклики та забезпечувати безпечне цифрове майбутнє водночас з розвитком ландшафту кіберзагроз.
Як працює відділ інфобезпеки у SoftServe
Я розпочав кар’єру інженера після отримання ступеня магістра з інформаційної безпеки в Національному університеті “Львівська політехніка” у 2005 році. Пізніше очолив відділ інформаційної безпеки на державному підприємстві, де пропрацював вісім років. Протягом останніх 10 років працюю у SoftServe на різних посадах у сфері ІТ та кібербезпеки. Зараз очолюю відділ інформаційної безпеки в компанії.
Десять років тому наша команда з кібербезпеки складалася з декількох людей, які виконували широкий спектр завдань. За цей час ми сформували повноцінний відділ, який вміє реагувати на різноманітні виклики. Кожен член команди виконує чітко визначену роль з конкретними обов’язками, що дозволяє нам безперебійно функціонувати. Такий структурований підхід дає нам змогу протидіяти загрозам та мінімізувати їх на всіх рівнях нашої організації.
Наразі наша команда забезпечує захист компанії за допомогою різних рівнів підтримки. Перший рівень підтримки передбачає цілодобовий моніторинг подій. Інженери повинні дотримуватися SLA (Service Level Agreement), реагуючи на події та дотримуючись певних сценаріїв для кожного типу.
Ми автоматично аналізуємо сотні тисяч потенційних подій, розрізняючи реальні атаки та типові робочі моменти, які виходять за межі стандартного розуміння системи.
Ми автоматично аналізуємо сотні тисяч потенційних подій, розрізняючи реальні атаки та типові робочі моменти, які виходять за межі стандартного розуміння системи. Зазвичай серед усього шуму, який відстежує система, може бути кілька десятків подій на день, що можуть стати потенційними або реальними атаками.
Якщо перша лінія після аналізу сигналів підтверджує факт атаки, ми залучаємо провідних експертів другого рівня з різних напрямків і оперативно вирішуємо проблему.
Там працюють більш досвідчені інженери, які глибше занурюються в логіку роботи цих систем. Їхні щоденні завдання полягають у дослідженні заходів, вжитих на першому рівні, зменшенні кількості хибних спрацювань та покращенні конкретних критеріїв, пов’язаних з видимістю та реакцією. Ці постійні зусилля спрямовані на утримання команди в стані готовності та запобігання будь-яким потенційним кібер інцидентам.
Є фахівці, які аналізують проблеми співробітників нашої компанії. Вони створюють або допомагають обробляти запити, про які повідомляють інші команди.
Security Research & Implementation працює як окремий міні-підрозділ у складі InfoSec-відділу. Це – команда фахівців, які досліджують доступні на ринку інструменти, порівнюють їх з нашими інструментами та керують налаштуваннями безпеки в цих інструментах. Наприклад, ми налаштували консоль Office 365 таким чином, щоб користувач міг ділитися файлом лише з конкретними адресами, а не надавати посилання, доступ до якого може отримати будь-хто, навіть поза межами нашої компанії. Іншим гарним прикладом є розширені конфігурації наших служб ідентифікації, які автоматично блокують доступ до внутрішніх систем та інформації у випадку кібер-аномалій, таких як підозрілі IP-адреси, нетипова геолокація тощо.
У нас є експерт, який щодня займається процесом управління вразливостями, що включає щоденне сканування та повідомлення про нові виявлені вразливості відповідних відповідальних осіб з різних підрозділів. Також відбувається контроль часу виправлення вразливостей в рамках визначених SLA.
Крім того, в компанії існує спеціальний процес, який передбачає щорічне проведення тестів на проникнення із зовнішніми компаніями для оцінки нашої здатності протистояти атакам.
Ми практикуємо різні типи тестів відповідно до світових стандартів, включаючи Black box тестування, коли етичні хакери оцінюють наш захист ззовні, не маючи внутрішнього доступу; “red teaming” тести, коли вони мають внутрішній доступ, і “purple teaming”, коли етичні хакери здійснюють діяльність, що схожа за рівнем доступу з внутрішнім операційним центром кібербезпеки (“Blue team”).
Це допомагає нам виявити потенційні вразливості у нашому захисті, співставити кроки атакуючої сторони із реакцією нашого підрозділу та покращити видимість та реакцію.
У нас також є підкоманда, яка використовує Breach Attack Simulation service. Він допомагає постійно запускати симуляцію найновіших атак на наше середовище та виявляти потенційні вразливості на різних рівнях. Ми можемо вибрати, що тестуємо сьогодні, залежно від попередньо визначених сценаріїв: системи електронної пошти, робочі станції або мережі. Ці сценарії не завдають шкоди організації та не мають негативного впливу на нашу інфраструктуру, оскільки вони не мають компонента, що викачує дані. Цей підхід також використовується для оцінки якості та ефективності наших засобів контролю безпеки.
Крім того, у нас є окремий напрямок – Leadership and Coordination, до якого входять кілька координаторів безпеки та бізнес-партнерів InfoSec. Вони керують операційною роботою в команді, реагують та координують діяльність команди у випадку кіберінцидентів, ініціюють розслідування за необхідності та готують звіти про інциденти. Також вони допомагають бізнесу у вирішенні завдань, пов’язаних з безпекою, переглядають та затверджують архітектуру безпеки для нових продуктів, пояснюють клієнтам нашу структуру безпеки та надають підтримку у прийнятті конкретних рішень. Я очолюю цей напрямок і доповідаю про стан безпеки по певних критеріях безпосередньо Раді директорів.
Найпоширеніші загрози
Атаки можна розділити на кілька груп. Одна з них – фішинг, оскільки обманути людину дещо легше, ніж систему. Хоча ми постійно вдосконалюємо наші системи, люди все одно можуть стати жертвами обману. Наприклад, користувач натискає на посилання, переходить на легітимний вебсайт, а хакер краде його сесію навіть при ввімкненому другому факторі автентифікації.
Читайте також:
Інша група атак пов’язана зі спробами сканування та виявлення вразливостей. У нашій мережі це відбувається в режимі нон-стоп 24/7, з різними типами сканування, які ми постійно блокуємо. Суть сканування в намаганні виявити та використати наявні вразливості, тобто слабкі місця в системі безпеки.
Третя група – атаки на ланцюжки постачань. Вони відбуваються, навіть коли ваша інфраструктура добре захищена, але ваш підрядник чи постачальник стороннього програмного забезпечення уражений. Таким чином зловмисники отримують доступ до вашої системи. Як приклад можна навести атаку на SolarWinds у 2020 року. У їхнє програмне забезпечення Orion, котре широко використовується для моніторингу та управління інфраструктурою зловмисники інтегрували шкіжливе ПЗ для збору даних. І таким чином вкрали великий масив даних у численних державних та приватних організацій у США та цілому світі.
Чого компанію навчив інцидент 2020 року
[У вересні 2020 року SoftServe зазнав хакерської атаки, яка призвела до перебоїв у роботі кількох сервісів компанії. Вже наступного дня в мережі з’явилися репозиторії проєктів, які SoftServe нібито розробляв для своїх клієнтів. Згодом хакери оприлюднили особисту інформацію близько 200 осіб, які, ймовірно, були працівниками SoftServe].
Інцидент 2020 року дав нам багато уроків, які неможливо вивчити теоретично. Кожна наша дія проходила ретельний аудит після інциденту. Провідна світова компанія з кібербезпеки ретельно вивчила кожен аспект інциденту та наші реакції. Ми маємо офіційний сертифікат і вичерпний звіт, який підтверджує, що все, що ми повідомляли пресі та під час внутрішніх розслідувань, відповідає дійсності. Ми не намагалися нічого приховати або оприлюднити неправдиву інформацію.
На щастя, в той час не було завдано суттєвої шкоди. Жодні дані клієнтів та проєкти не постраждали. Певною мірою нам пощастило, оскільки репозиторії, з якими зіткнулися зловмисники, містили дані, що використовувалися нашою академією виключно для навчання студентів. Реальні дані клієнтів були відсутні, і ми це підтвердили. Ми не отримали жодної претензії від наших клієнтів. Дійсно стався незначний витік даних наших співробітників, які зберігалися в неналежному місці. Як компанія, ми визнали цю проблему та оперативно проінформували постраждалих осіб та відповідні органи. З точки зору законодавства про збереження персональних даних, ми виконали всі необхідні вимоги для належного вирішення цього інциденту.
Мене шокувало, коли люди, яких я дуже поважаю у сфері безпеки, писали безпідставні заяви, стверджуючи, що всі клієнтські репозиторії були скомпрометовані, а всі дані викрадені. Вони висловлювали це зі, здавалося б, експертної точки зору. Як керівник підрозділу, який напряму займався розслідуванням, я розумів, що це не має нічого спільного з правдою. Під час таких інцидентів багато людей перебільшують і придумують небилиці. Прикро бачити, що серед них є люди з великим професійним досвідом у цій сфері, певним рівнем репутації, і їхні заяви сприймаються всерйоз.
Події та інциденти у сфері кібербезпеки трапляються щороку більшою чи меншою мірою. Напевно, немає жодної компанії, яка б ніколи з цим не стикалася. Якщо пошукати, ви знайдете, що вони трапляються щороку навіть у компаніях з гучними іменами, таких як Microsoft, Google, Adobe та Facebook. Завжди є людський фактор і повністю уникнути атак просто неможливо. Проте можливо і необхідно вчитися і та безперервно покращуватись.
Події та інциденти у сфері кібербезпеки трапляються щороку більшою чи меншою мірою. Напевно, немає жодної компанії, яка б ніколи з цим не стикалася.
До того, як це сталося, ми розвивалися у власному темпі. Несподівано цей інцидент дуже позитивно вплинув на розвиток наших безпекової та ІТ-команд. У деяких аспектах ми випередили набагато більші за нас компанії в плані зрілості та розуміння того, як нам потрібно розвиватися, які сфери вже добре працюють, а які потребують подальшого вдосконалення. Це дозволило залучити значні інвестиції в кібербезпеку.
У будь-якій організації безпека практично не існує без ІТ. Ми навчаємо студентів ІТ-інфраструктурі на підприємстві, в тому числі практикам ITIL. Багато інцидентів у сфері кібербезпеки вдалося запобігти саме завдяки дотриманню певних практик. Наприклад, компанії, які постраждали від вірусу Petya, мали необхідні інструменти безпеки, такі як брандмауери та антивірусне програмне забезпечення, але вони не виявили вірус. Однак наявність процесів управління змінами в багатьох випадках врятувала компанії.
Покрокове реформування технічної освіти
Зловмисники завжди намагаються обдурити людей та знайти прогалини в системах кібербезпеки. Щоб мінімізувати ризики, важливо розвивати кіберграмотність. Я викладаю предмет “Стандарти інформаційної безпеки” у Львівському національному університеті імені Івана Франка. Також я очолив освітній напрямок з кібербезпеки у львівських навчальних закладах. Великий внесок робить наш Львівський ІТ кластер допомагаючи з просуванням наших програм абітурієнтам, організацію різних подій для студентів, пошуків менторів і багато іншого. Як результат такої співпраці ми запустили освітні програми з кібербезпеки у Львівському державному університеті безпеки життєдіяльності (ЛДУ БЖД) та ЛНУ. Також я підтримую освітню програму з кібербезпеки в НУ “ЛП”. Ми беремо участь у цьому процесі вже понад 5 років.
У ЛНУ та ЛДУ БЖД ми розробили програму з нуля, доклавши всіх зусиль, щоб включити в неї предмети, які дійсно потрібні. Ми додали найкращі практики з різних організацій. У Львівській політехніці – допомогли вдосконалити вже існуючу програму.
Університетам часто важко утримувати лабораторію з необхідним інструментарієм і всім необхідним програмним забезпеченням, оскільки вони не мають окремого великого ІТ-відділу, який би займався виключно цим. Тому нам зручніше взяти ці рішення на себе. Ми обрали освітню SAAS-платформу RangeForce. Наші спонсори покрили ліцензії для студентів. Їм не потрібно мати надпотужний комп’ютер або ноутбук – достатньо лише доступу до браузера.
На жаль, в освіті дійсно існує комплекс проблем – однією з найкритичніших є відсутність мотивації у талановитих молодих людей продовжувати кар’єру викладача. В середньому, заробітня плата викладачів які працюють на повну ставку, складає близько 200-300 доларів, що недостатньо для задоволення навіть базових потреб. На мою думку, це неприпустимо. Наразі я не уявляю, як вирішити цю проблему на рівні ІТ-компаній, оскільки вона потребує фундаментальних змін на державному рівні. Приміром для порівняння аналогічні зарплати в Європі як мінімум в 10-20 разів вищі.
Ми намагаємося по-різному вирішувати цю проблему, наприклад, пропонуючи різні публічні гранти для викладачів, які мають цікаві програми, але не мають змоги їх імплементувати. Наприклад, нещодавно ми пропонували гранти в межах $2,000. Але це були одноразові речі.
Якщо говорити про те, що ми робимо на постійній основі – ми співпрацюємо з міжнародними університетами. Минулого тижня я розмовляв зі шведським університетом, який має гарно розроблену програму з кібербезпеки, і вони погодилися поділитися своїм досвідом і надавати студентам подвійний диплом. Також наших студентів зарахували до шведської студентської команди, де вони взяли участь у змаганні з кібербезпеки Capture the Flag (CTF) для перевірки та розвитку навичок з кібербезпеки.
Ми пропонуємо курси, які поділяються на чотири категорії. Перша категорія – GRC (Governance, Risk management, Compliance), до неї входять курси, які дають загальне розуміння кібербезпеки та ІТ. Ми також вивчаємо такі фреймворки, як ISO27001, ISO27002, NIST 800-53, MITRE ATT&CK та OWASP.
Другий напрямок, SecOps, охоплює програми та інструменти для збору та аналізу логів, сканування, виявлення вразливостей та багато інших технічних рішень для “Blue team”.
Окремим напрямом є тестування на проникнення. Ми навчаємо студентів етичним технікам злому на основі фреймворків Mitre, OWASP, Metasploit та інших. Ми вивчаємо шлях, який проходить хакер по всьому ланцюгу ураження цілі. Зокрема техніку та тактику компрометації систем. Її слід практикувати лише в ізольованому лабораторному середовищі та ніколи не намагатися зламати вебсайти інших компаній, оскільки це може розцінюватися як потенційний злочин.
Четверта категорія зосереджена на безпечній розробці програмного забезпечення, відомій як життєвий цикл розробки програмного забезпечення. Ми навчаємо програм і методам перевірки безпеки коду, а також різному програмному забезпеченню, яке допомагає у перевірці коду.
Ми включили в навчальну програму максимально можливу кількість предметів. Наступне питання – наскільки ефективно викладачі доносять цю інформацію. За можливості, ми щороку проводимо зустрічі з викладачами, щоб переглянути їхні навчальні плани та надати рекомендації щодо покращення. Я організовую стажування студентів у нашій компанії. У співпраці з нашою SoftServe академією ми допомагаємо в організації лекцій та практичних завдань для них.
Однією з найцікавіших і найпродуктивніших дисциплін є “Командна робота”. Ми запровадили її у співпраці з Львівським ІТ Кластером, який допомагає нам знайти менторів з ІТ-компаній. Наші студенти діляться на групи по п’ять-шість осіб, подібні до команд у технологічних компаніях. Це гарантує, що вони не лише знатимуть певні методології та практики, а й зможуть застосовувати їх в умовах, наближених до реальних. Наприклад, хтось у команді бере на себе роль проєктного менеджера, хтось – QA, хтось – розробника, хтось – аналітика, залежно від поставлених завдань. Разом з ментором студенти працюють над цікавими проєктами та вчаться співпрацювати в команді. Потім вони захищають свої проєкти перед викладачами та представниками технологічної індустрії в офісі техкомпаній.
Також ми організовуємо літні стажування, де студенти проходять активний практичний інтенсив протягом 1-2 місяців зі щоденними завданнями. Талановитих студентів ми беремо на роботу – вони стають аналітиками з кібербезпеки в SecOps або GRC, етичними хакерами, DevOps-ами, розробниками тощо.
Читайте також:
Роль MindCraft.ai у розвитку ШІ та Data Science в Україні
Мотивація навчати кібербезпеці
Мої дідусь та бабуся були вчителями. У мене є природне бажання ділитися знаннями та сильна віра у важливість виховання нового покоління добре освічених людей. Я провів велику кількість співбесід з кандидатами, які були нещодавніми випускниками наших університетів. На жаль, багато з них не змогли відповісти навіть на елементарні базові питання. Це й підштовхнуло мене до співпраці з нашими університетами.
Один з головних мотиваційних факторів для мене – це бачити, як люди знаходять свій шлях у житті. Для нас це значною мірою волонтерство. Наша мета – позитивно вплинути на майбутній вибір студентів, або, принаймні, дати їм орієнтири для розвитку.
Я бачу справді талановитих студентів, які зараз працюють у нашій компанії. Не всі студенти працюють за фахом, але ми можемо надати рекомендації та підтримку тим вмотивованим людям, які справді зацікавлені.
Я завжди кажу своїм студентам: “Поставте собі мету та проаналізуйте, що ви робите заради неї щотижня. Визначте, який відсоток вашої діяльності відповідає цій меті. Як правило, цей відсоток досить малий, і ви повинні прагнути його збільшити. Ви мусите йти проти течії, докладати зусиль, жертвувати чимось та інвестувати час у те, що дійсно має для вас значення. Результати, які ви продемонструєте, окупляться потенційними можливостями”.