Tomasz Pietrzyk, Szef Zespołu Inżynierów w regionie EEUR Palo Alto Networks, w pierwszej części rozmowy z ISBtech, o aktualnej sytuacji na rynku cyberbezpieczeństwa i planach Palo Alto Networks w Polsce.
Jakie plany rozwojowe ma Palo Alto Networks w Polsce?
W kontekście naszych ogólnych działań i aspiracji w Polsce, zawsze dążyliśmy do pozycji lidera rynkowego. Na Polskim rynku jesteśmy obecni od ponad 10 lat. Oferujemy innowacyjne produkty wszystkim klientom poszukującym nowoczesnych rozwiązań w
dziedzinie cyberbezpieczeństwa. Obsługujemy praktycznie wszystkie sektory, w tym publiczny, finansowy, produkcyjny, logistyczny oraz samorządowy. Nasze rozwiązania są dostępne niemal w każdej branży. Co naturalne, naszą ambicją jest dalsze zwiększanie obecności w Polsce.
Staramy się budować długoterminowe relacje z klientami, co ma kluczowe znaczenie dla długofalowego rozwoju naszego biznesu. Realizujemy też sporo inwestycji w Polsce. Zwiększamy liczbę pracowników odpowiedzialnych za różne aspekty współpracy z klientami i pracy naszej firmy. Nasze inwestycje w Polsce są także widoczne dzięki temu, że udostępniamy w naszym kraju kolejne aplikacje Palo Alto Networks, które działają w modelu SaaS, na bazie Google GCP w Polsce. W rezultacie nie tylko skala i dostępność usług są optymalizowane, ale – co ma to także znaczenie dla wielu klientów – dane są przetwarzanie na terenie Polski.
Jak wygląda aktualny cybersecurity landscape z Pana perspektywy?
Pracuje w branży cybersecurity od wielu lat i nie było roku, w którym można się było nudzić. Cyberbezpieczeństwo rozwija się tak dynamicznie, że zawsze jest coś nowego do poznania i wdrożenia. Myślę, że wynika to z dwóch powodów: cały czas jest to wyścig między ochroną, systemami wykrywania, a tą drugą stroną, która atakuje i przygotowuje się do uzyskania swoich celów różnymi nieautoryzowanymi sposobami. Drugi to niewątpliwie rozwój technologii, która ułatwia budowę systemów ochrony, ale jednocześnie przynosi nowe zagrożenia i ryzyka. Jeśli miałbym wskazać technologię, która stała się przysłowiowym game changerem, to jest nią sztuczna inteligencja. Zarówno pomaga cyberprzestępcom w ich działaniach, odpowiada za nowe zagrożenia, ale z drugiej strony jest pomocna w wykrywaniu i odpieraniu ataków. Ilość alertów, które generują systemy ochrony rośnie tak szybko, że trudno sobie wyobrazić, aby tradycyjne podejście do nich – oparte przede wszystkim na weryfikacji zdarzeń przez analityka – było wystarczające. Sztuczna inteligencja pomaga w opanowaniu tej sytuacji i usprawnia działania zespołów zajmujących się bezpieczeństwem organizacji.
Gdybym miał wymienić trendy na rynku, to wskazałbym głównie w tej chwili konsolidację. Systemy, które były bardzo punktowe, realizowały ścisły, wąski zakres ochrony, teraz raczej stają się częścią większych rozwiązań – platform. Jest to trend na pograniczu biznesu i techniki, przynoszący korzyści w obu tych obszarach. Drugim trendem, który chciałbym podkreślić, to strategia budowy systemów w oparciu o zasadę zerowego zaufania (tzw. Zero Trust). Ten trend został znacznie przyspieszony w ostatnich latach m.in. pandemią Covid. Zero trust zakłada stałą weryfikację działań i zachowania użytkowników, infrastruktury i aplikacji niezależnie od ich lokalizacji i metod komunikacji. Poprzednie podejście do systemu zabezpieczeń, wystarczające może kilkanaście lat temu, opierało się na założeniu jednego, centralnego, ściśle kontrolowanego styku z Internetem. Wręcz fizycznie można było ten styk odizolować od Internetu w razie kryzysu spowodowanego nowym zagrożeniem. Dziś trudno sobie wyobrazić firmę, która ma jedno i aż tak ściśle określone połączenie z sieciami zewnętrznymi. Przestrzeń do potencjalnego ataku bardzo się rozciągnęła ze względu na pracę zdalną, przetwarzanie i przechowywanie danych w wielu miejscach, w tym w chmurze publicznej, korzystanie z aplikacji SaaS, itd. Koncepcja Zero Trust pozwala wdrożyć jednolity poziom ochrony niezależnie od rozproszenia geograficznego zasobów i użytkowników oraz ograniczyć skutki ataku, jeśli już do niego dojdzie.
A jak w obliczu zagrożeń geopolitycznych ten landscape się zmienił w porównaniu do poprzednich lat?
To niewątpliwie będzie truizm, jeśli powiem, że mamy do czynienia z większą aktywnością
grup cyberprzestępców, które penetrują polski internet w poszukiwaniu celów ataków już nie
tylko motywowanymi zyskami finansowymi. Mamy do czynienia z aktywnością grup, które są
nastawione na tzw. cyberszpiegostwo. Nigdy nie było tak, że nasz kraj był wyspą, wolną od
ataków. Natomiast niewątpliwie ich ilość, w związku z obecną sytuacją polityczną, wzrasta.
Wynika to ze związku między wojną kinetyczną i działalnością cyberprzestępców. To są
obecnie skoordynowane działania, które spowodowały też dużą zmianę w sposobie
myślenia firm i oczywiście rządów o ochronie zasobów. To nastawienie na ochronę,
zwłaszcza infrastruktury krytycznej, jest wyższe niż jeszcze parę lat temu. Musimy bowiem
zakładać, że do cyberataków może dojść i musimy umieć je odeprzeć, bo często atak na
infrastrukturę krytyczną może mieć gorsze skutki niż fizyczny atak.
Panuje opinia, że rynek cyberbezpieczeństwa w Polsce, pomimo rosnących wyzwań,
jest jednak w dalszym ciągu relatywnie mały.
Polska nie odstaje znacząco od innych krajów w regionie pod względem cyberbezpieczeństwa, choć trudno to jednoznacznie ocenić. Wiele zależy od sektora i obowiązujących regulacji. Niektóre branże, ze względu na regulacje, muszą inwestować w cyberbezpieczeństwo. Uważam, że pozytywnym trendem jest to, że wiedza o zagrożeniach i atakach dociera również do osób indywidualnych. Istnieje wiele kampanii edukacyjnych, takich jak choćby te dotyczące wyłudzeń metodami “na wnuczka” czy “na policjanta”, które zwiększają świadomość zagrożeń. To pozytywne, ponieważ im więcej osób zdaje sobie sprawę z ryzyka, tym mniej efektywne są proste, lecz skuteczne ataki wykorzystujące inżynierię społeczną, które mogą prowadzić do znaczących strat zarówno osób indywidualnych, jak i firm.
Wcześniej wspomniał Pan o platformizacji i konsolidacji, ale to wymaga inwestycji właśnie od instytucji. Widzi Pan gotowość albo ochotę do tego, żeby właśnie w to mocno inwestować czy raczej do tego trzeba nie przekonywać?
Myślę, że sama koncepcja nie jest obca i rozmawiamy o platformizacji z wieloma klientami.
Oni postrzegają sam trend konsolidacji systemów w bardzo pozytywny sposób. Zauważają,
że rozproszenie narzędzi bezpieczeństwa powoduje liczne kłopoty i komplikacje, co może
obniżać jakość ochrony. Zarządzanie rozproszonymi, bardzo rozdzielonymi systemami jest
skomplikowane. Trudno jest też odpowiedzieć na atak szybko, jeżeli muszę posługiwać się
kilkunastoma, czasami kilkudziesięcioma różnymi narzędziami. Zalety platformizacji są więc
oczywiście dostrzegane. Zdaję sobie sprawę, że mogą się również pojawić obawy, że
platformizacja będzie wymagała inwestycji. Odpowiedziałbym na te obawy w następujący
sposób – to co nasza firma proponuje klientom to jest strategia wsparta technologią,
podobnie jak Zero Trust. Podobnie jak Zero Trust także platformizacja może być traktowana jako pewnego rodzaju ścieżka, na którą trzeba wejść i nią podążać, żeby dojść do optymalnego poziomu ochrony.
Co więc proponujemy jako Palo Alto Networks? Proponujemy, by stopniowo, dostosowując się do potrzeb organizacji, zredukować liczbę systemów i narzędzi bezpieczeństwa – z kilkudziesięciu do kilkunastu, lub z kilkunastu do kilku. To już samo w sobie jest dużą zaletą. Chociaż realizacja tego planu może wymagać pewnych inwestycji, badania i oceny zwrotu z inwestycji wskazują, że jest on szybki i bardzo efektywny. Korzyści nie ograniczają się tylko do aspektów finansowych wynikłych z konsolidacji różnych systemów, ale obejmują także zwiększenie liczby obsługiwanych alertów – a więc redukcję ryzyka – bez konieczności pozyskiwania dodatkowych pracowników, automatyzację obsługi incydentów, możliwość szybkiej reakcji na atak i jego analizę. Te zalety mogą przekładać się na konkretne korzyści finansowe z perspektywy firm.
Regulacje takie jak NIS2, które wchodzą w życie i wymagają od organizacji szybkiej reakcji na krytyczne ataki, sprawiają, że inwestycje stają się niezbędne w wielu miejscach. Zaleca się podejście, które nie tylko przynosi korzyści w jednym obszarze, ale również zwiększa ogólne bezpieczeństwo organizacji. Warto również wspomnieć, że platformizacja jest istotna z uwagi na brak specjalistów. Utrzymanie zespołu zdolnego do efektywnego administrowania wieloma narzędziami bezpieczeństwa i do odpowiedzi na ataki stanowi duże wyzwanie nawet dla największych naszych klientów.
Może Pan przybliżyć implementację tej platformy w instytucji?
Platformizacja to pojęcie na tyle szerokie, że dopuszcza różne metody redukcji ilości
narzędzi, z których korzystamy, bez degradacji poziomu ochrony. Jak może to wyglądać w
praktyce? Zalecamy aby rozpocząć od inwentaryzacji obecnie używanych rozwiązań, aby
sprawdzić, jak działają i jakie obszary bezpieczeństwa obejmują.
Uważam, że jednym z najważniejszych celów zarówno platformizacji, jak i każdego rozwoju systemu bezpieczeństwa, powinna być kompletność – czyli pokrycie wszystkich kluczowych obszarów, które są najcenniejszymi zasobami organizacji i dążenie do objęcia ich skuteczną ochroną adekwatną do ich wartości. Trudno zapewnić 100% ochronę każdego miejsca, ale adekwatne dostosowanie ochrony do ryzyka związanego z potencjalnym atakiem na daną infrastrukturę jest czymś, z czym większość organizacji jest w stanie sobie poradzić i w tym kierunku działać.
W ramach inwentaryzacji warto też określić, które narzędzia mogą być łatwo zastąpione, które wychodzą z użycia, nie są już skuteczne lub są redundantne w stosunku do innych systemów. Na przykład, nasz firewall NGFW często stanowi podstawę do segmentacji sieci, ale na jego bazie jesteśmy w stanie dostarczyć cały zestaw mechanizmów bezpieczeństwa, które pozwalają klientowi zredukować kilka dedykowanych narzędzi, jednocześnie poprawiając jakość ochrony. Podobnie w przypadku ochrony punktów końcowych (endpointów). Zamiast mnożyć agentów na hostach i serwerach, jesteśmy w stanie zredukować ich liczbę do jednego lub dwóch, które są niezbędne z punktu widzenia ochrony i funkcjonowania organizacji.
Platformizacja polega też na integracji produktów, które klient już posiada. Taka integracja
oznacza automatyzację komunikacji oraz wymiany informacji między systemami. Może być zrealizowana z użyciem rozwiązania klasy SOAR, do którego należy Cortex XSOAR z portfolio Palo Alto Networks. Taki produkt automatyzuje procesy i kieruje działaniem innych systemów.
Platformizacja może i powinna być stosowana także w innych obszarach, takich jak ochrona zasobów i środowisk w chmurze publicznej, czy procesów działania zespołów typu SOC. Celem jest takie uproszczenie systemu ochrony i jednocześnie automatyzacja procesów, wsparta najnowocześniejszymi technologiami jak sztuczna inteligencja w taki sposób, aby maksymalnie skrócić czas potrzebny na wykrycie ataku i odpowiedzi na niego.
