Patrick Müller, Sophos: Vždy mluvte se zákazníkem o bezpečnosti

S Patrickem Müllerem ze Sophosu jsme probrali aktuální výzvy na poli kybernetické bezpečnosti, nízkou míru investic do bezpečnostních řešení a služeb u českých organizací, nové metody útoků i Müllerovo nedávné povýšení na regionální pozici.

Patrick Müller, Sophos: Vždy mluvte se zákazníkem o bezpečnosti



Jak vnímáte letošní rok? Nejzajímavější ve vaší kariéře?

Řekl bych, že ano, protože těch změn, které se okolo nás dějí, je velmi mnoho. Koronavirus nám změnil pravidla hry v osobní i profesní rovině, mnoho z nás nemůže chodit do kanceláře, nemůžeme se osobně scházet s partnery a zákazníky… je to nová situace, na kterou jsme si museli rychle zvyknout. To je, řekněme, osobní rovina, s níž ovšem úzce souvisejí také změny v rovině profesní, protože Sophos je bezpečnostní vendor a v podstatě ze dne na den se tu objevila obrovská škála nových výzev.

Tim myslíte hromadný přesun zaměstnanců na home office?

Ano, přesně tak. Je pravda, že lidé pracovali z domova už před pandemií, nebylo to však v takto masivní míře a nedobrovolně. V tom je samozřejmě obrovský rozdíl, protože když máte na home office hrstku zaměstnanců, které předtím důkladně poučíte o zásadách bezpečnosti, je možné bezpečnost firemních systémů a dat poměrně dobře uhlídat. Když vám ovšem ze dne na den zůstane doma celá firma, je to úplně jiná situace.

Co by měly podniky v teto situaci dělat? Toto téma je bohužel opět aktuální…

Sophos už na jaře vydal soubor tipů, jak lze zajistit minimální standard zabezpečení, ale určitě neuškodí si je zopakovat. Začněme u samotných zařízení, kde je povinností podniku coby jejich majitele a provozovatele zajistit komplexní zabezpečení. Zahrnuje to nejen přítomnost bezpečnostního softwaru, ale také průběžné patchování operačního systému a aplikací, možnost zašifrování dat v případě odcizení zařízení a uzamčení USB portů, aby se zamezilo připojení externích úložišť. A abychom nezapomněli na telefony nebo tablety, doporučujeme používat řešení typu unified endpoint management, aby mobilní zařízení byla chráněna stejným způsobem jako firemní počítače.

Tím máme pokryté koncové body, nyní pojďme na komunikaci. Do firemní sítě by se měli zaměstnanci zásadně připojovat přes VPN, aby byla komunikace bezpečná a zašifrovaná. Velký důraz by se měl klást na skenování e-mailů a jejich příloh, protože současná situace velmi nahrává phishingu, stejně jako na zabezpečení cloudových úložišť, kam se ukládají firemní data, jež by měla být přinejmenším jištěna dvoufaktorovu autentizací. Z praktického hlediska by pak firmy měly používat produkty se samoobslužnými portály podpory, aby se snížila zátěž na IT pracovníky, a především mít stanovený jednoduchý postup pro hlášení bezpečnostních incidentů.

Tolik k teorii. Jak vypadá praxe?

Bohužel o poznání hůře. Na jaře se prioritou stala konektivita a produktivita zaměstnanců, zatímco bezpečnost šla na chvíli stranou, a to se bavíme o firmách všech velikostí. Rozdíl se ukázal později, kdy větší organizace začaly dodržovat alespoň část bezpečnostních zásad, například používání VPN, zatímco u těch malých v mnoha případech neměly buď potřebné znalosti, nebo lidské i finanční zdroje na zavedení a dodržování potřebných bezpečnostních postupů.

I teď na podzim? Chápu, že na jaře panoval chaos, ale přece jen už uplynula řada měsíců, byl dostatek času na osvětu, nákup technologii, proškoleni zaměstnanců…

(usmívá se) Kéž by to tak bylo.

Ale není?

Není. Statistiky bohužel ukazují, že s bezpečností je to stále podobné jako se zálohováním. Řešení pro back-up si firmy zpravidla kupují poté, co přijdou o data, a moderní bezpečnostní řešení, které je schopné detekovat, analyzovat a zastavit aktuální sofistikované hrozby, zase poté, co na vlastní kůži zažijí útok. Ty, které bezpečnostnímu incidentu zatím nečelily, většinou i nadále spoléhají na bezpečnostní technologie, jež nejsou zpravidla schopné reagovat na současné hrozby, a doufají, že se jim budou útoky vyhýbat i do budoucna.

Je to dané neochotou investovat?

Zčásti ano, některé firmy se prostě musejí napřed spálit, aby možná rizika začaly brát vážně. Příkladem uveďme jednoho klíčového zákazníka, kterého z bezpečnostních důvodů nemohu jmenovat. V loňském roce jsme společně pracovali na novém projektu zabezpečení jejich interních systémů, ale bohužel nakonec padlo rozhodnutí, že projekt realizovat nebudou. Existující zabezpečení vyhodnotili jako dostatečné a z projektu sešlo. Po několika měsících však čelili bezprecedentnímu útoku, který v jejich infrastruktuře způsobil obrovské škody. Po této zkušenosti přehodnotili svůj přístup a implementovali naše bezpečnostní technologie nové generace. Takové případy bohužel nejsou vůbec ojedinělé.

Je problémem také osvěta?

Bezesporu ano, skoro bych řekl, že nedostatek osvěty zde často hraje ještě zásadnější roli, zejména v segmentu malých firem. U menších organizací často scházejí základní znalosti o IT jako takovém, natož o aktuálních hrozbách. Bezpečnostní produkty tyto firmy sice používají, ale spíše ty základní, které zpravidla nejsou schopné detekovat a reagovat na současné hrozby.

Já si přitom myslím, že kdyby osvěta byla lepší, přinejmenším část těchto společností by do bezpečnosti investovala více, protože by si uvědomovala, že škody způsobené útokem mohou mnohonásobně převýšit náklady na zabezpečení. Zde tedy vidím velký prostor i pro partnery.

Měla by otázka bezpečnosti zaznít v každé obchodní konverzaci partnera se zákazníkem? I když dany partner není vyloženě specialistou?

Ano, vždy a za všech okolností. Když si to vezmeme zcela obecně, základem byznysu drtivé většiny zákazníků jsou data, jejich dostupnost a kontrola nad nimi. Pak je to velmi jednoduchá rovnice – když nejsou data, není ani byznys. Proto by se mělo vždy hovořit o tom, co může klientova data ohrozit, a jak se tomu dá předejít, a měl by to být právě partner, kdo tuto konverzaci zahájí, protože je v jeho zájmu budovat vztahy založené na odborných znalostech a důvěře zákazníka v jeho schopnosti. V Sophosu této úloze říkáme trusted advisor neboli důvěryhodný rádce a snažíme se partnerům poskytnout dostatečné vědomosti a nástroje k tomu, aby takto mohli vystupovat.

Platí stále, že hackerské skupiny a bezpečnostní vendoři závodí, kdo bude o krok napřed?

Samozřejmě, to bude platit vždy.

V tom případě by mě zajímalo aktuální děni. S jakými typy útoků se dnes setkáváte?

V současné době považuji za nejzávažnější typ kybernetické hrozby malwaru nultého dne. Jde o škodlivý software, na který ještě není v daný okamžik definovaná a 100% účinná obrana, například v podobě aktualizace softwaru. Nejúčinnější jsou v českém prostředí stále plošné útoky malwaru, což je dáno částečně i nedostatečnou úrovní ochrany IT.

Svou roli zde hraje i koronavirová pandemie, v jejímž důsledku pozorujeme nárůst využívání tématu COVID-19 útočníky v jejich kampaních. Ti rozesílají podvodné e-maily, které slibují respondentům nové informace o pandemii a případných opatřeních a zaznamenávají poměrně velkou míru proklikovosti. Velká rizika pak s sebou nese i masivní přechod zaměstnanců na home office, připojování se do firemní sítě z neznámých sítí s neznámými zařízeními, využívání nových komunikačních platforem apod.

Co se týče skutečně pokročilých hrozeb, je trendem kompilace útočných nástrojů uvnitř v síti. Jinými slovy, útočník tam svůj kód propašuje po částech, které samy o sobě nejsou škodlivé, takže projdou firewallem, aniž vzbudí pozornost, a teprve uvnitř se spojí do celku a začnou páchat škody.

Jak je možné se takovému útoku bránit?

Sofistikovanému útoku je možné se bránit pouze se sofistikovanými technologiemi a zkušenými bezpečnostními experty. Za klíčovou bych zde označil technologii EDR (Endpoint Detection and Response), již Sophos nabízí jako součást řešení Sophos Intercept X Advance s EDR a která je navržena pro použití bez nutnosti mít vlastního bezpečnostního IT specialistu. Intercept X Advance s EDR je námi doporučená minimální varianta zabezpečení, jež zajistí firmám dostatečnou ochranu proti aktuálním hrozbám a kterou může obsluhovat jediný IT specialista.

Další úrovní, kterou zejména organizace bez vlastních IT specialistů mohou využít, je služba Sophos Managed Thread Response (MTR), v rámci níž globální tým bezpečnostních expertů poskytuje v režimu 24 × 7 proaktivní, plně řízené služby vyhledávání a analýzy anomálií v síti zákazníka. Nepřetržitě dohlíží na prostředí klienta, validují potenciální hrozby a incidenty, analyzují dopad platných hrozeb na byznys a zajišťují akční plán v případě bezpečnostního incidentu. Jde o jednu z nejpoužívanějších řízených služeb detekce a reakce (MDR) v odvětví, nyní s více než 1 400 zákazníky.

Předpokládám, že tento typ řešení si ale nemůže dovolit každá organizace.

Technologie EDR od Sophosu je sice dražší než běžný antivirus, ale troufám si tvrdit, že si ji může dovolit každá organizace, protože při EDR funkcionalitě není potřeba na straně zákazníka drahý interní bezpečnostní IT specialista a jeho obsluhu zvládne klasický IT správce. Součástí řešení je samozřejmě i automatizace, která správci navíc ušetří čas.

Jak nízko s touto službou míříte?

Míříme především do firem, které bez ohledu na velikost zpravidla nedisponují vlastními bezpečnostními IT experty, ale mají potřebu dobrého bezpečnostního systému, jenž automaticky detekuje a navrhuje možné scénáře adekvátního postupu. Naše řešení jsou pro organizace, které potřebují zajistit kontinuitu svého podnikání s využitím jednoduchého, snadno spravovatelného systému.

Z pohledu bezpečnosti se obecně spíše zamýšlíme nad tím, s jak důležitými daty daná organizace pracuje a jaký dopad by měl případný incident na jejich podnikání, než jak je organizace veliká. Pro představu mohu uvést, že v České republice tuto službu používá například studio o dvaceti zaměstnancích, které navrhuje karoserie pro automobilový průmysl.

Když hovoříme o řízené bezpečnostní službě, jak si vlastně vede český trh MSSP?

Musím říct, že jakkoliv patří český trh v celé řadě oblastí mezi early adopters, MSSP do nich z mého pohledu nepatří. Potenciál poptávky a nabídky po řízených bezpečnostních službách není ani mezi zákazníky, ani mezi partnery ještě zdaleka naplněný. Jsme stále na začátku a rozvoj této oblasti je teprve před námi.

Čím to je?

Na straně zákazníků zde vnímám jistý vliv minulosti, kdy byl český člověk veden k tomu, aby si uměl poradit. Často s omezenými zdroji musel být chytrý, vynalézavý, kreativní. Svoji roli zde sehrává i pocit, že nechci řešení přesouvat na někoho jiného, raději vše vyřeším sám, vím, co jsem vybudoval, mám to pod kontrolou a věřím v to.

Je to tedy otázka úspornosti, nebo i nedůvěry?

Nedůvěra zde může hrát určitou roli. To je na jednu stranu vlastně dobře, protože to znamená, že nebudu svěřovat svá data úplně kdekomu, na druhou stranu si zároveň stále více organizací uvědomuje, že model řízených služeb vytváří velmi silná pouta mezi partnerem a zákazníkem a vede ke dlouhodobé, stabilní spolupráci.

I když se stále ještě setkáváme s obavami zákazníků, že poskytovatel uvidí do jejich dat, důvěra v MSSP v tomto ohledu roste. Souvisí to i s osvětou a samotným pokrokem technologií a s přínosy, které tato forma spolupráce pro zákazníky v konečném důsledku má.

Jak se z hlediska bezpečnosti díváte téma cloudu?

Cloud je bezesporu bezpečnostní výzvou, především kvůli tomu, že koncoví zákazníci často nemají přehled o tom, kde všude mají uložená data. To je problém, protože kontrola nad daty je základním předpokladem pro jejich zabezpečení. Sophos na tento problém odpověděl nástrojem Sophos Cloud Optics, který vám dokáže nabídnout vhled do prostředí AWS, Google Cloud a Microsoft Azure a ukáže vám, kde přesně se vaše data nacházejí. V každém případě bych pak doporučil data v cloudu šifrovat, protože pokud jsou uložená v otevřeném formátu, usnadníte tím útočníkům práci.

Závěrem se nemohu nezeptat na vaše nedávné povýšeni. Doteď jste řídil Sophos na českém a slovenském trhu, nyní jich je o trochu vice, je to tak?

(směje se) Ano, je jich o trochu více, konkrétně dvacet osm. Byl jsem povýšen na pozici interim regional managera pro celý region východní Evropy, takže nyní zodpovídám za státy V4, státy CIS, celý Balkán včetně Rumunska, Bulharska a Moldávie a v neposlední řadě také za Řecko, Kypr a Maltu.

Co pro vás tato nova pozice znamená?

V první řadě to pro mě představuje projev důvěry ze strany Sophosu, čehož si nesmírně vážím, zároveň to znamená obrovskou časovou investici a nutnost si nastudovat reálie všech trhů, které mi byly svěřené. Přece jenom je to velký skok, ze dvou na dvacet osm států, navíc v regionu, kde panuje velká diverzita.

Na druhou stranu, já mám diverzitu takřka v krvi, protože moji rodiče pocházejí z Česka, ale já jsem se narodil a vyrostl v Německu, a sám občas nevím, jestli se cítím být spíše Němcem, nebo Čechem. Jinými slovy mám vlastně celoživotní zkušenost s přemosťováním různých mentalit, což se mi v mé nové pozici bude, myslím, docela hodit (usmívá se).

Zdroj: ChannelWorld








Úvodní foto: Sophos

Komentáře