Menținem seria interviurilor cu oameni ce activează industria cybersecurity din România și prezentăm viziunea lui Bordei Robert – Cyber Security Incident Response Team Leader la Visma și profesor asociat la Academia Forțelor Terestre “Nicolae Bălcescu”.
Cum integrați cunoștințele și experiența dvs. în antrenamentele oferite cadeților/studenților Academiei Forțelor Terestre “Nicolae Bălcescu” din Sibiu în domeniul Forensic Digital și Răspuns la Incidente? Care sunt principalele aspecte pe care le accentuați pentru pregătirea viitorilor profesioniști din acest domeniu?
Salut Daniel și mulțumesc frumos pentru oportunitatea de a împărtăși din experiența mea în cadrul acestui interviu.
În primul rând, vreau să precizez că activitatea pe care o desfășor la Academia Forțelor Terestre este o activitate conexă (sunt profesor asociat). Principala funcție pe care o dețin este cea de Cyber Security Incident Response Team Leader la Visma. Datorită acestui rol, am reușit să acumulez experiență practică și competențe care mă ajuta sa pot transmite studenților militari informații “în direct” de pe “câmpul de luptă cibernetic”.
Împreună cu Departamentul Comunicații, tehnologia informației și apărare cibernetică din cadrul Academiei Forțelor Terestre “Nicolae Bălcescu” din Sibiu, am stabilit un plan de învățământ care pregătește viitorii profesioniști ai Armatei României pentru provocările din domeniu și le formează competențele necesare pentru a efectua un răspuns adecvat la incidentele de securitate cibernetică și capabilitățile de a efectua investigații digitale pentru a descoperi acțiunile atacatorilor în situația unei intruziuni în rețelele militare.
Aspectele pe care le abordăm acoperă o gamă foarte largă de informații și noțiuni care pornesc de la de la securizarea sistemelor de operare, securitatea rețelelor, Open Source Intelligence, Social Engineering, managementul vulnerabilităților, procesul de răspuns la incidente cibernetice și chiar investigații digitale. Ceea ce cred eu ca aduce valoare este faptul că modulele conțin informații de actualitate, exemple și laboratoare practice cât mai apropiate de realitatea din teren.
Cum vedeți evoluția amenințărilor cibernetice în viitorul apropiat și care sunt principalele tendințe sau provocări pe care le anticipați?
Pot să spun că am avut “privilegiul” de a lucra în acest domeniu în această perioada tumultoasă din ultimii 10 ani și pot compara acest domeniu cu un Wild Wild West virtual.
Atacatorii cibernetici, sub masca unei invizibilități oferite de Virtual Private Networks/VPNs extra private (fara loguri) sau/și infrastructură Tor (rețea de relee/noduri pentru comunicare anonimă) și ajutați de lipsa de legiferare a spațiului criptomonedelor, au reușit sa fie mai mereu în fața forțelor de ordine, care s-au blocat în investigațiile de tip “follow the money”, de conceptul de anonimitate sau de confidențialitatea spațiului virtual.
Atacurile de tip ransomware cu dubla sau tripla extorcare (criminalii cibernetici exfiltrează datele sensibile/private ale victimei pe lângă criptarea acestora, ceea ce le oferă o pârghie suplimentară pentru a colecta plățile de răscumpărare) s-au înmulțit. Atacurile care au avut drept scop accesul la credențiale valide s-au înmulțit, instrumentul principal folosit fiind infostealer-ele, au contribuit pe lângă tehnicile tradiționale de tip phishing sau atacul de tip testarea de credențiale (brute force) la numeroase intruziuni cu vizibilitate publica.
Vulnerabilitătile de nivel critic ale echipamentelor de rețea, unde soluțiile de exploatare/exploits au fost publicate în librăriile publice pe Github, au permis foarte multor grupuri de criminalitate să compromită organizații cu un proces de management al vulnerabilităților deficitar.
Folosirea de RMMs (cum sunt Anydesk, Teamviewer) pentru a sta în afara detecțiilor si acțiunile adversarilor în cloud (unde majoritatea organizațiilor private dar și publice au migrat) au un trend ascendent.
În prezent, se observă o amplificare a acțiunilor forțelor de ordine împotriva criminalității cibernetice, acest lucru reușind să mai descurajeze acest tip de activitate și să-i facă pe cei care vor să “lucreze” în ilegalitate în acest domeniu, sa se gândească de doua ori înainte de a comite o infracțiune.
În lumina experienței dvs. cu atacuri de amploare și consecințe grave, cum credeți că ar trebui să fie modelată colaborarea între sectorul public și cel privat pentru a contracara amenințările cibernetice?
Colaborarea între sectorul public și cel privat ar putea fi antidotul pentru a contracara amenințările cibernetice. Problema principală este construirea încrederii reciproce și schimbul de informații relevante.
În plus, Regulamentul GDPR a complicat și mai mult problema comunicării între organizații și a “secretizat” multe informații din zona privată similar cu procesele interne ale instituțiilor publice guvernamentale.
Dacă de exemplu am vrea să folosim un flux de Indicatori de Compromitere (IOCs) de la o entitate publică cum ar fi Directoratul Național de Securitate Cibernetică, trebuie obținut un certificat de acces la informații clasificate (sau cel puțin așa mi s-a comunicat de la membrii acestei organizații). Se poate înțelege că nu se vrea ca atacatorii să aibă acces la aceste fluxuri de indicatori care pot fi destul de actuali și valoroși pentru a contracara amenințările curente.
Probabil ar trebui luat în considerare un proces de validare mai simplu pentru entitățile legitime (cum ar fi Security Operations Centers ale companiilor din România) care vor acces la aceste fluxuri.
Cum vă mențineți actualizate cunoștințele și abilitățile în fața evoluțiilor continue ale amenințărilor cibernetice și a tacticilor utilizate de atacatori?
Pentru a putea fi în trend cu evoluțiile continue ale amenințărilor cibernetice și a tacticilor utilizate de atacatori, este nevoie sa fim conectați la fluxuri de știri de securitate (eu folosesc Twitter/X, OSINTER, Threatable) și cu rapoarte de analiza fie de tip malware, fie rapoarte ale atacurilor asupra organizațiilor (de genul DFIR Report).
De asemenea, în acest domeniu, trebuie tot timpul să înveți ceva nou, să implementezi proceduri noi, să automatizezi sarcinile repetitive. Dacă ai șansa să lucrezi într-un Security Operations Center, atunci șansele de a rămâne conectat cu amenințările curente și tacticile și tehnicile curente ale atacatorilor sunt mult mai ridicate.
Ce lecții importante ați învățat din experiența dvs. în investigarea APT10 intrusion, Ryuk ransomware, Revil, Hive & Play ransomware și cum le aplicați în îmbunătățirea capacității echipei dvs. de a răspunde la viitoarele amenințări cibernetice?
Ca și lecție învățată – în primul rand faptul că atacatorii sunt și ei oameni, și pot greși ;). Și faptul că au nevoie de instrumente și de anumite proceduri (TTPs) pentru a-și îndeplini obiectivele. Și atunci când le folosesc, îi putem prinde.
Ceea ce trebuie îmbunătățit pentru prima dată într-o organizație în zona securității cibernetice este vizibilitatea (aici mă refer la log-uri și monitorizare la nivel de sisteme informatice și la nivel de rețea).
Exista un număr mare de standarde și de controale CIS care ajută la securizarea sistemelor, însă într-o organizație (mai ales privată) trebuie stabilită o balanță între securitate și funcționalitate. Provocarea cea mai mare a unei echipe de securitate este tocmai de a putea proteja o organizație care reușește să obțină acea balanță optimă care permite organizației să progreseze la nivel de business, fără a fi blocată de controale stricte si uneori inutile, pe care atacatorii le pot depăși facil.
Grupurile de Ransomware sunt foarte “gălăgioase”, se mișca foarte rapid într-o rețea și se încadrează sub limitele standard de timp de reacție la intruziune (timp numit tehnic si “dwell time”). Dacă echipa de securitate nu are vizibilitate, instrumente și proceduri testate de investigație, șansele ca aceștia să-și îndeplinească obiectivele (să fure și să cripteze datele) sunt foarte mari.
Cu APT …este altă poveste. Avem în prezent în Visma o soluție construită intern care poate corela alerte pe un interval de timp relativ unei intruziuni de acest fel și spunem noi că ar putea permite detectarea unui astfel de adversar. Asta tot după ce am învățat cum acționează un astfel de adversar.
Ceea ce am înțeles că trebuie să facem este să încercăm să oprim adversarii încă de la primele semne de atac (mutarea apărării către stânga în framework-ul MITRE, către accesul inițial sau chiar către faza de scanare activă a atacatorului).
Având în vedere gradul de digitalizare din prezent, credeți că securitatea cibernetică ar trebui inclusă în disciplinele studiate în liceu?
Da, viața digitală este o realitate a tinerilor liceeni din ziua de astăzi. Când intră în acea realitate, există foarte multe pericole despre care adolescenții trebuie să învețe sa se ferească. Pentru toate specialitățile, o cultură generală de securitate ar trebui formată la o disciplină comună, la fel ca biologia, chimia sau fizica. De asemenea, cel puțin la liceele de specialitate, domeniul securității cibernetice ar trebui aprofundat încă de la aceasta etapa educațională.
Care credeți că ar fi cel mai simplu sfat pe care îl poate da un expert în cybersecurity unui utilizator obișnuit în 2024?
Nu mai folosiți software piratat (știu că sună foarte ciudat în țara unde Filelist, torrenting și filmele online sunt încă la modă). Dacă în trecut, folosirea unor astfel de instrumente pentru a ocoli controalele de licențiere ale programelor era considerat un semn al unor competențe digitale (erai un mic hacker 😉 ), în prezent, majoritatea crack-urile conțin infosteal-ere. Plata constă de obicei în identitatea și / sau credențialele (username+parole) tale personale.