„Takmer každý útok, ktorý sme za posledný rok zažili, sa začal počiatočným prístupom k sieti IT, ktorá bola využívaná v prostredí OT.“
David Atch Microsoft Analýza hrozieb, vedúci výskumu zabezpečenia IoT/OT
Profil experta: David Atch
Kariéra Davida Atcha v oblasti zabezpečenia a jeho cesta do spoločnosti Microsoft je v porovnaní s väčšinou netypická: „Začal som v obranných silách Izraela (IDF) s rolou v oblasti kybernetickej bezpečnosti, kde som sa zaoberal obranou pred útokmi a hľadaním hrozieb. Riešil som veľa odoziev na incidenty, forenzných analýz a interakcií s priemyselnými riadiacimi systémami.“
Počas služby v IDF sa Atch stretol dvoch kolegov, ktorí následne založili CyberX, firmu pôsobiacu v oblasti priemyselného zabezpečenia IoT a OT. Po skončení služby v IDF ho prijali do spoločnosti CyberX. „Žartujem, že som nikdy neabsolvoval pracovný pohovor. Armáda pohovory nerobí, len vás naverbuje. Firma CyberX ma zamestnala a potom ju získala spoločnosť Microsoft, takže som nikdy nemal formálny pracovný pohovor. Nemám ani len životopis.“
„Takmer každý útok, ktorý sme za posledný rok zažili, sa začal počiatočným prístupom k sieti IT, ktorá bola využívaná v prostredí OT. Zabezpečenie kritickej infraštruktúry je celosvetovou výzvou a rieši sa ťažko. Pri vytváraní nástrojov a vykonávaní výskumu musíme byť inovatívni, aby sme sa dozvedeli viac o týchto typoch útokov.
Atchova práca v spoločnosti Microsoft je zameraná na záležitosti týkajúce sa zabezpečenia IoT a OT. Zahŕňa štúdium protokolov, analýzu malvéru, výskum zraniteľnosti, vyhľadávanie národno-štátnych hrozieb, profilovanie zariadení s cieľom pochopiť, ako sa správajú v sieti, a vývoj systémov, ktoré obohacujú produkty spoločnosti Microsoft o znalosti o IoT.
„Žijeme v prepojenom veku, očakáva sa, že všetko by malo byť prepojené a poskytovať skúsenosť v reálnom čase, kde sa IT softvér pripája k sieti a umožňuje tok údajov OT do cloudu. Myslím, že v tom Microsoft vidí budúcnosť, kde je všetko prepojené s cloudom. To zabezpečí hodnotnejšiu analýzu údajov, automatizáciu a efektívnosť, akú podniky predtým nedokázali dosiahnuť. Obrovská rýchlosť prepojenej evolúcie týchto zariadení, ako aj neúplný inventár organizácií a ich viditeľnosť často nakláňajú misky váh na stranu útočníkov,“ vysvetľuje Atch.
Znamená to, že najlepším prístupom k boju proti útočníkom zameraným na IT a OT je Nulová dôvera (Zero Trust) a viditeľnosť zariadenia, pričom je dôležité pochopiť, čo máte v sieti a k čomu je pripojená. Je zariadenie exponované na internete? Komunikuje s cloudom alebo môže k nemu niekto externe získať prístup? Ak áno, máte prostriedky na rozpoznanie prístupu útočníka? Ako riadite prístup zamestnancov alebo dodávateľov na rozpoznanie anomálií?
Keďže spravovanie opráv môže byť v niektorých organizáciách nemožné – alebo nesmierne časovo náročná – a niektorý softvér v komunite operátora nie je podporovaný, musíte zmierniť zraniteľnosti inými opatreniami. Napríklad výrobca nemôže jednoducho zavrieť továreň, aby niečo otestoval a opravil.
Musím dodať, že túto prácu nerobím sám. Vďaka talentovanému tímu výskumníkov, vyhľadávačov hrozieb a obrancov sa každý deň môžem naučiť niečo nové.“