De ce este astăzi securitatea cibernetică un topic atât de discutat? 

În primul rând, pentru că oamenii împărtășesc mai mult despre orice subiect și dezbat digital mai mult ca niciodată, fiind ajutați de nenumăratele platforme de socializare. Securitatea cibernetică este unul dintre subiectele care fac valuri, fiind asociată cu hackerii care preiau controlul mașinilor de pe autostradă sau care preiau comanda avioanelor la aterizare. Deci oamenilor le place!

In al doilea rând, atenția asupra acestui domeniu a fost accelerată chiar de către specialiștii în securitate IT care de peste zece ani incearcă să introducă preocupările lor pe agenda managementului de top din companii și organizații. Invățăm chiar de la standardele de management al securității informatice, precum ISO27001, că managementul nu este responsabil doar cu semnarea politicilor și procedurilor de securitatea informației ci trebuie să dea chiar direcția, să definească strategia în această zonă, perfect aliniată cu strategia de business. Această cerință a început să fie implementată corect în ultimii ani, după ce o serie de atacuri cibernetice serioase au lovit instituții și companii globale din Top 50. Membrii board-urilor au încetat să mai întrebe „Care este probabilitatea să fim atacați?”, trecând la ceva de genul „Cât de rezilienți suntem, astfel încât să rezistăm la următorul atac cibernetic?”

Nu în ultimul rând, cetățenii au început să își pună probleme legate de modul în care economiile lor sunt protejate de către bănci, despre drepturile lor la o viață privată, punând o presiune suplimentară pe furnizorii de aplicații și tehnologii în aplicarea unor măsuri intrinseci de protecție în toate terminalele și software-ul pe care îl folosesc în mod curent. Iar acesta este chiar punctul de cotitură către o lume digitală sigură.

 

Cum a evoluat conceptul de segmentare în ultimele două decenii?

Actualul mileniu a debutat cu cea mai importantă distribuire globală a unui vierme informatic, care a demonstrat incă o dată că oamenii reprezintă veriga slabă din lanțul slăbiciunilor de securitate. Cautând iubirea, oamenii au deschis și parcurs cu nerăbdare noul email denumit „I Love You”, care atașa o scrisoare de dragoste promițătoare cu numele “LOVE-LETTER-FOR-YOU.txt.vbs”. A fost momentul în care am realizat cu toții că doar construind ziduri în jurul rețelelor IT interne nu este suficient, întrucât angajații, datorită comportamentului lor firesc și uman, anulează practic firewall-urile menite să ii protejeze. Multe milioane de calculatoare au fost infectate și făcute inutilizabile; și multe organizații au început campaniile de instruire de securitate pentru angajați. Și multe alte atacuri globale cu viermi și ransomware, menit să distrugă harddiscurile prin criptare totală, au urmat.

Pe de altă parte, o multitudine de vulnerabilități de securitate au fost descoperite, una după alta,  în protocoalele și aplicațiile utilizate de către rețele de calculatoare și de comunicații, aceasta adăugând o presiune tot mai mare pe umerii IT-iștilor, care au început să se preocupe de securitatea cibernetică și să învețe cum să își protejeze infrastructurile. Acesta a fost startul unei noi profesii pentru specialiștii din IT, cu mare căutare la nivel global atât în cadrul companiilor private cat și în organizațiile publice. Cybersecurity Ventures estimează chiar un numar de 3.5 milioane de posturi neocupate de specialiști în securitate cibernetică până în 2021, la nivel global. 

Administratorii de sistem și de rețea, împreună cu „pionierii” în securitate IT, aveau de luptat cu vulnerabilități și remedii asociate multor protocoale, de natură diferită și distribuite pe intreaga stivă TCP IP, incepând de la nivelul plăcilor de rețea până la cel superior, al aplicațiilor. Mentalitatea era legată incă de securizarea puternică a unui perimetru în jurul rețelelor interne și zonarea acestora pe segmente cu cerințe diferite de access, precum DMZ (Zona DeMilitarizată), rețeaua internă pentru angajații obisnuiți și centrul de date cu access strict controlat, doar pentru „cunoscători”, adică pentru „admini”.

Rețelele de producție (cunoscute drept OT, „operation technology”) și soluțiile de management (precum SCADA), în general izolate și funcționând după protocoale dintr-o lume paralelă, clar nefamiliare personalului IT, au început treptat să treacă linia de demarcație, conectându-se cu infrastructurile IT și adăugând prin acest pas noi riscuri cibernetice mediilor operaționale. Era un curent cumva contrar segmentării, dar necesar din punct de vedere economic. Decizia cu privire la departamentul cel mai în măsură să asigure operarea noii rețele integrate, cel din IT sau cel din Producție, s-a luat după lupte „seculare” care au durat ceva ani, în final echipa IT câștigând acest drept… sau mai bine zis responsabilitate.

Incepea o noua eră, cea a deschiderii infrastructurilor de producție către hackerii de modă veche. 

 

Cel mai discutat atac al ultimei decade este legat de Stuxnet, viermele care și-a parcurs cu grijă drumul sinuos până în inima centralelor nucleare din Iran. Trecând dintr-un sistem IT în altul până la Controlerul Logic Programabil (PLC) utilizat pentru controlul proceselor electromecanice precum cele legate de centrifugarea gazului în cadrul centralei nucleare,  Stuxnet a demonstrat că este unul din cele mai devastatoare atacuri pentru ținta aleasă. Însă impactul cel mai mare a fost simțit de specialiștii în securitate cibernetică, nevoiți să accepte faptul că nu mai stătea în picioare ideea preconcepută vis-a-vis de lipsa de atractivitate a rețelelor de producție pentru hackeri, sau cea legată de dificultatea înțelegerii protocoalelor de către aceștia. 

Segmentarea digitală a devenit din ce în ce mai importantă, traversând mai multe niveluri și ajungând chiar la nivelul microscopic al componentelor aplicațiilor prin intermediul conceptului de micro-segmentare aplicabil în medii virtualizate. Fiecare piesă, cât de mică, dintr-o anumită soluție, poate fi parte a unui segment anume și să ramană în acest segment chiar și în timp ce este mutată între centre de date diferite, localizate uneori chiar în țări diferite, în cadrul unei infrastructuri virtualizate. Segmentele nu mai sunt legate direct de echipamentele hardware pe care sunt instalate sau stocate, permițând securizarea unor tipuri moderne de aplicații, precum cele din medicina la distanță, independente de infrastructurile furnizate de operatorii de telecomunicații.

Pe măsura ce am avansat către infrastructuri 5G, un nivel suplimentar de segmentare a fost definit incă din faza de standardizare, și anume felierea rețelei, în engleză termenul având o denumire ceva mai prietenoasă (network slicing). Această caracteristică arată incă o dată că segmentarea a devenit una din cele mai importante măsuri de securizare a infrastructurilor, după două decade de ineficiență a perimetrelor în fața atacurilor cibernetice. 

 

Ce urmează?

Decizii grele: ce protejăm prima dată? 

Complexitatea în continuă creștere a tehnologiilor capabile să interconecteze trilioane de „lucruri” ce pot executa sarcini simple, precum măsurarea umidității, dar și activități de procesare complexă precum generarea unor perechi de chei criptografice pentru securizarea comunicării dintre componentele unui automobil interconectat, obligă la definirea clară a nivelelor de criticalitate; altfel, avem nevoie de bugete practic nelimitate pentru asigurarea securității cibernetice. Deși ideea de prioritizare nu este nouă, ea a devenit vitală tocmai datorită numărului uriaș și a complexității sistemelor, echipamentelor și a rețelelor cu care vom interacționa în anii următori.

Să exemplificăm pe o mașină; cât de importantă ar putea fi culoarea scaunului pe care stă șoferul (deși am oarece dubii cu privire la argumentul acesta, privind în jur  ☺) sau dacă pe portiere avem sau nu o bară frumoasă de nichel? Dacă există anumite păreri pro și contra despre culoarea și aspectul mașinilor, este unanim acceptat că cele mai critice sisteme ale unei mașini sunt cel de frânare, de direcție, motorul și air-bag-urile, care trebuie să urmeze standardele oficiale de siguranță și de securitate. Din acest motiv, acordarea importanței cuvenite sistemelor critice și alocarea celor mai multe resurse financiare și umane securității acestora pentru a le duce aproape de perfecțiune, și a fi protejate la atacuri țintite care ar putea duce la controlul lor neautorizat, trebuie să fie prioritară. 

Dacă privim înainte, spre generațiile viitoare de rețele, precum cele din generația a 5-a, autoritatea de reglementare a sectorului de telecomunicații din Germania, împreună cu cea care se ocupă de securitate cibernetică, propun chiar o listă explicită de funcții critice; printre acestea, putem identifica funcții precum cele care creează și gestionează identități, cele care controlează accesul la rețele și servicii, cele care generează chei criptografice (pentru non-specialiști, un fel de parole importante) sau funcții care pur și simplu realizează managementul complet al rețelelor. Cu alte cuvinte, critic inseamnă ceea ce poate administra mai totul intr-o rețea, funcții care, daca se dovedesc vulnerabile, pot permite hackerilor să controleze… chiar funcțiile de control.

In cazul în care bugetul nu privește în jos spre noi, de pe Marte, trebuie să îl alocăm în special componentelor critice și să obținem cel mai bun impact în securizarea infrastructurilor noastre.

 

Lumea devine ceva mai soft

Pe masură ce evoluăm spre o lume complet conectată, cea mai mare parte a funcțiilor de rețea și de sistem devine virtualizată; utilizatorii finali accesează prin intermediul terminalelor proprii sau prin alte echipamente specializate o serie de servicii posibile tocmai datorită acestor funcții, precum: tele-medicina personalizată nevoilor proprii, experiența unor mașini interconectate sau chiar autonome, infrastructuri feroviare optimizate, orașe mai inteligente decât noi și multe altele. Dinamismul inovațiilor face hardware-ul prea greoi și accelerează nevoia de virtualizare a funcțiilor, trecerea către „cloud” și „fog” computing (in termeni non-tehnici, un cloud ceva mai aproape de noi, utilizatorii, precum o ceață) și inevitabil dezvoltarea de software. Vom trăi din ce în ce mai mult intr-o lume dominată de soft, iar asta va pune presiune și responsabilitate suplimentară pe umerii, de fapt chiar pe mâinile programatorilor.

Cand software-ul devine norma, suprafața de atac crește iar hackerii creionează planuri de business generoase. Sau poate nu, dacă standardele de securitate sunt urmate pe durata scrierii codului. Exista o multitudine de standarde de securitate pentru dezvoltarea aplicațiilor, atât la nivel de proces cât și la nivel pur tehnic, detaliate pe tip de limbaj de programare sau orientat pe sectorul economic căruia îi este destinat. Printre cele mai cunoscute sunt OWASP Top 10, SANS Top 25 sau lista de aproximativ 900 de vulnerabilități tehnice (la nivelul lunii august 2020) menținută de MITRE, iar acestea sunt completate de o serie de ghiduri specifice industriilor, precum cele pentru automobile conectate (menținută de UNECE), ori cele destinate securizării rețelelor de generație 5 (precum cele din noile standarde NESAS). Producătorii au datoria să aplice cele mai bune standarde și practici de securitate pe durata scrierii codului și să testeze prin metode multiple, într-un mod independent, aplicațiile rezultate sau software-ul inclus în echipamente hardware. Cea mai bună metodă este așa numita „analiză statică”, cea care permite analiștilor de securitate să identifice vulnerabilitățile tehnice chiar în codul sursă, prin scanere specializate și prin revizuire manuală. Exemple de astfel de vulnerabilități ar putea fi, de exemplu, parole hard-codate (uitate intenționat sau nu în codul sursă), ori utilizarea de algoritmi criptografici slabi pentru autentificarea utilizatorilor sau criptarea datelor sensibile. Deși foarte utilă, analiza statică nu este suficientă, ea trebuind să fie parte dintr-un proces holistic de securizare a aplicațiilor, care să includă cel putin modelarea spațiului amenințărilor (cunoscută drept „threat modelling”), teste de penetrare (hacking legal), analiza vulnerabilităților pe durata execuției (run-time) și chiar testarea fuzzy a modulelor critice pentru sistemul adoptiv (un fel de bombardare cu solicitări, din care aplicația trebuie să iasă elegant, fara erori sau scurgeri de date).

Chiar și asa, odată testat și certificat ca sigur, software-ului trebuie să i se aplice mecanisme de integritate care să confirme că ceea ce a plecat de la producător a ajuns nealterat la cumpărător, nefiind interceptat și modificat pe durata transportului. Complexitatea lanțurilor de distribuție face ca încrederea să devină o problemă fundamentală, așa încât asigurarea tehnică a integrității pe intregul lanț de distribuție este singurul mod în care se poate demonstra lipsa oricărei interferențe în cadrul procesului de livrare. 

A crede sau a nu crede? Asta-i întrebarea. 

Conceptul „Zero Trust” (încredere zero) presupune ca nici o componentă să nu fie considerată de încredere în mod implicit înainte ca o entitate să comunice cu ea, identitatea ambelor trebuind să fie mai intâi validată prin mijloace tehnice. Înaintea atașării la o mașină conectată, un modul primește o identitate fizică unică din partea producătorului și uneori o a doua din partea celui care implementează sistemul, bazată pe mecanisme criptografice. În momentul în care modulul urmează să schimbe informații sensibile sau să dea comenzi motorului ori frânelor prin intermediul unei aplicații din cloud sau a sistemului de infotainment, acesta trebuie mai intâi să demonstreze ca este o parte legitimă a mașinii și să valideze că entitatea cu care dorește să comunice are dreptul să plaseze sau să execute comenzi. În mod contrar, lucrurile ar putea deveni periculoase pentru pasageri. Practic, observăm migrarea segmentelor de rețea către identități de încredere, devenind, din punct de vedere geometric, puncte.

Pe de altă parte, imaginați-vă o mașină interconectată sau un avion care nu conțin o multitudine de componente de la un număr uriaș de furnizori. Este imposibil. Încrederea zero este un concept care caștigă teren și care afirmă că orice piesă trebuie să dețină o identitate controlată extrem de bine și să valideze înainte identitățile celorlalte entități cu care comunică.  Este un concept deosebit, odată ce ai reușit să construiești sistemul, fie el o mașină sau un avion; insă, oricum ar fi, încrederea este incă necesară în condițiile în care un număr impresionant de furnizori din lanțul de aprovizionare poate avea un impact asupra securității soluției per ansamblu, fie aceasta o infrastructură pentru mașini interconectate sau un turn de control de la distanță al traficului aerian. Relația dintre furnizorii soluției și producătorii de coponente trebuie să rămâna una puternică și deschisă. Imediat ce o nouă vulnerabilitate de securitate este identificată în componentele livrate, producătorii acestora trebuie să comunice atât riscurile cât și metodele de reducere a riscurilor către operatorii și integratorii soluțiilor și infrastructurilor vizate. Nu există tehnologie fără vulnerabilități așa cum nu există motoare fără imperfecțiuni. Încrederea se câstigă cand producătorii și integratorii sau operatorii de infrastructuri lucrează împreună pentru a depăși imperfecțiunile tehnologice.

Viitorul este al cooperării și increderii, cu atât mai mult cu cât complexitatea va duce la imperfecțiuni ale mecanismelor de securitate implementate din start în noile sisteme bazate pe Inteligența Artificială, Realitate Virtuală, Realitate Augmentată sau ce-o mai apărea.

Ce’i asta? Du-mă la expert!

La fel ca prima ninsoare, viitorul ne va surprinde pe toți. Insă mai puternic, deoarece comunitatea de cercetători a început să materializeze idei pe care le vedeam anterior doar în cărți de fantezie: piele artificială  cu senzori tactili, materiale sintetice cu metabolism și capabilități de reproducere, mașini fără șofer, chirurgie la distanță, sisteme pentru decolări și aterizări complet autonome ale avioanelor, sau operarea autonomă a rețelelor de generatie nouă (5G) utilizând inteligența artificială pentru a procesa cantități enorme de date provenind de la milioane de dispozitive și echipamente.

Cum poate un fost specialist IT, acum analist de securitate, să identifice evenimentele cu potențial malițios în cadrul procesului de decolare al unui vehicul aerian autonom? Poate ghici, poate avea noroc sau poate să întrebe un expert în aeronautică. Viitorul cere explicit cooperarea echipelor mixte de experți din diferite domenii, pentru asigurarea rezilienței și securității cibernetice ale conceptelor din ce în ce mai moderne din fața noastră.

Cum nu avem nici o șansă să ii găsim pe acești experți cu toții într-o singură agenție de stat sau companie privată, este nevoie de asociații trans-disciplinare care să poată identifica amenințările posibile și măsurile de răspuns în cazul industriilor verticale bazate pe Inteligența Artificială, Cloud sau rețele 5G; de exemplu, mașinile interconectate conduc pe partea de standardizare, că doar sunt mașini, și beneficiază în prezent de tot felul de ghiduri legate de interacțiunea lor cu alte entități (Vehicle to Everything, Vehicle to Infrastructure, Vehicle to Vehicle).

Ca o concluzie, în viitor este din ce în  ce mai necesară segmentarea tehnică a rețelelor în paralel cu reunirea experților care, împreună, să poată face față noilor amenințări la adresa umanității, generate de conceptele inovatoare despre care poate nici nu suntem constienti incă.

Sergiu Zaharia

Cyber Security Officer HUAWEI Romania

August 2020