Automatyzacja i integracja już od dłuższego czasu skutecznie zmieniają oblicze branży cyberbezpieczeństwa i całego sektora IT. Powiedzenie „work smart, not hard” ukuł Allan H. Mogensen prawie sto lat temu, a mimo to wiele osób było zaskoczonych wynikami eksperymentu, który Microsoft przeprowadził w 2019 roku w swoim oddziale w Japonii. Gigant z Redmond skrócił czas pracy do 4 dni w tygodniu, jednocześnie zwiększając dochód na jednego pracownika o 40%. Od tego czasu wiele innych firm i rządów z różnych krajów postawiło na przeprowadzenie podobnych eksperymentów i obserwowanie ich wyników.
Czy istnieją pracownicy, którzy nie chcieliby poświęcać na pracę mniej czasu, otrzymując jednocześnie to samo wynagrodzenie? Czy mierzenie efektywności pracy i poziomu zaangażowania liczbą poświęconych na pracę godzin i poziomem zmęczenia ma sens w XXI wieku? Czy podobne miary mają sens w branży? W tym artykule przedstawiamy korzyści płynące z automatyzacji i integracji w wypełnianiu luk kompetencyjnych (eng. skills gap) oraz sposoby wykorzystania tych udogodnień.
Table of Contents
Automatyzacja i Integracja – Mantra Branży IT
Branża IT stawia mocno na automatyzację i integrację w celu podnoszenia efektywności. W latach 90. ogromna liczba firm korzystała z rozwiązań firmy Novell w celu sprawnego zarządzania dużą ilością maszyn, usług i użytkowników. Dwie dekady później dominację w tym segmencie ogłosił Microsoft, ponieważ 95% firm z Top1000 Fortune korzystało z jego rozwiązania o nazwie Active Directory – usługi katalogowej umożliwiającej wygodne zarządzaniem firmową infrastrukturą o dowolnej skali.
Trend związany z automatyzacją i integracją nie ominął również wytwarzania oprogramowania, gdzie sztandarowym skrótem jest CI/CD, za którym kryje się Continuous Integration and Continuous Delivery. Continuous Integration oznacza ciągłą integrację tworzonego i modyfikowanego kodu. Integracja ta polega w tym przypadku na uruchamianiu szeregu zautomatyzowanych procesów, których celem jest określenie czy dana zmiana w kodzie spełnia założone kryteria jakościowe. Uruchamiane są narzędzia, które oceniają jakość kodu, wyliczają różnego rodzaju metryki. Uruchamiane są również zautomatyzowane testy, które pozwalają ocenić, czy dana zmiana w kodzie nie spowodowała błędu w innej części aplikacji.
Pojęcie Continuous Delivery odnosi się z kolei do zautomatyzowanego procesu dostarczania świeżej wersji aplikacji do przedprodukcyjnych środowisk testowych lub wręcz bezpośrednio do użytkowników końcowych. Zwykle Continuous Delivery to etap, który ma miejsce po zakończeniu Continuous Integration, a którego celem jest właśnie dostarczenie aktualnej wersji aplikacji do jej miejsca przeznaczenia. Continuous Delivery jest uzależnione od cyklu wydawniczego danego produktu. Aplikacje internetowe bywają aktualizowane każdego dnia, lub nawet wielokrotnie każdego dnia. Aplikacje wymagające pobrania aktualizacji przez użytkowników robią to rzecz jasna z dużo mniejszą częstotliwością. Podejście polegające na relatywnie częstym wydawaniu nowych wersji aplikacji nosi nazwę Rapid Application Development (RAD).
Zaistnienie tego rodzaju podejścia nie byłoby możliwe bez przejścia na bardziej elastyczny, iteracyjny model rozwoju projektów, w których nawet relatywnie krótkie odcinki pracy przynoszą istotne zmiany w postaci nowych funkcjonalności, udoskonaleń lub usuniętych błędów. Można odnieść zupełnie słuszne wrażenie, że wszystko kręci się wokół podnoszenia efektywności przy zachowaniu odpowiedniej jakości, a automatyzacja i integracja znajdują się w centrum tych działań.
Od Skryptów do SOAR – Automatyzacja i Integracja w Cyberobronie
Automatyzacja and Integracja to ważny element pozwalający podnieść efektywność działań osób odpowiedzialnych za bezpieczeństwo w firmach. Łatwo jednak przeoczyć różne elementy związane z tym obszarem, ponieważ wiele z nich już dawno stało się codziennością.
Oprogramowanie antimalware zainstalowane na stacjach roboczych automatyczne analizuje uruchamiane aplikacje oraz otwierane pliki w poszukiwaniu zagrożeń. Aplikacje klasy Endpoint Detection and Response (EDR) idą o krok dalej przesyłając w odpowiednie miejsca dane na temat podejrzanych zdarzeń i podejmując w sposób zautomatyzowany bardziej złożone działania zaradcze. Oprogramowanie chroniące serwery pocztowe automatycznie aktualizuje listy podejrzanych adresów źródłowych i automatycznie ocenia każdy przetwarzany email na podstawie długiej listy atrybutów. W przypadku, kiedy email zawiera załącznik zostanie on automatycznie przeanalizowany pod kątem potencjalnej szkodliwości. Zespoły bezpieczeństwa wdrażają narzędzia klasy Security Information and Event Management (SIEM), które pozwalają na lepszą agregację informacji i korelację zdarzeń związanych z bezpieczeństwem.
Firmy będące szczególnie łakomymi kąskami dla atakujących wzbogacają swoje źródła informacji o zagrożeniach wykupując dostęp do Threat Intelligence od wyspecjalizowanych dostawców tego typu rozwiązań. Informacje te są na bieżąco automatycznie aktualizowane i z powodzeniem mogą być wykorzystywane przez wszystkie używane w organizacji rozwiązania security. W rezultacie czas pomiędzy wykryciem zagrożenia a zablokowaniem jego źródła może zostać znacząco zredukowany, przy relatywnie niewielkim zaangażowaniu w ten proces pracowników.
Zestaw wielu zautomatyzowanych w swoim działaniu i zintegrowanych między sobą rozwiązań i procesów jest w ostatnich latach ukrywany pod zbiorczą nazwą Security Orchestration, Automation and Response (SOAR). SOAR najprościej zobrazować jako autonomiczną fabrykę, w której wszystkie procesy zachodzą bez bezpośredniego udziału ludzi. Dzięki właściwie wdrożonemu SOAR specjaliści od bezpieczeństwa w danej organizacji mogą skupić się na działaniach proaktywnych, być o krok przed potencjalnymi atakującymi. Dzięki temu pozostawiony zostaje naprawdę niewielki margines błędu, który może okazać się niemożliwy do wykorzystania nawet dla zaawansowanych atakujących. O popularności tego podejścia najlepiej świadczy, że prawie 40% respondentów z zeszłorocznej ankiety SANS odpowiedziało, że w ich firmie stopień automatyzacji w obszarze cybersecurity można uznać za wysoki lub średni.
Purpurowa Rewolucja w Testach Bezpieczeństwa
Branża związana z realizacją testów bezpieczeństwa również czerpie z dobrodziejstw jakie dają automatyzacja i integracja. Nadal większość kluczowych decyzji pozostaje w rękach specjalistów od testów bezpieczeństwa. Korzystają oni w swojej pracy z szerokiego wachlarza rozwiązań, które pozwalają im zaoszczędzić czas poprzez oddelegowanie monotonnych zadań do wyspecjalizowanych narzędzi, które zwrócą wyniki w przejrzystej formie.
Listę otwartych portów na dużej liczbie maszyn uzyskać można poprzez narzędzie nmap. Skaner podatności Nessus dostarczy informacji o znalezionych przez niego słabościach. Burp Suite wesprze podczas testów aplikacji webowych czy to swoim skanerem podatności aplikacji webowych, czy też narzędziami takimi jak Intruder (wygenerowanie dużej ilości Requestów HTTP ze starannie dobranymi parametrami) bądź Sequencer (automatyczne zbadanie jakości losowości tokenów sesyjnych). Przykłady takich aplikacji czy mniejszych skryptów można mnożyć, a efektem ich użytkowania jest redukcja kosztów prowadzenia testów bezpieczeństwa i podniesienie ich jakości dzięki temu, że eksperci w tym obszarze mogą więcej swojego czasu przeznaczyć na znalezienie mniej oczywistych błędów, które pozostają poza zasięgiem automatów.
Integracja może przynosić korzyści również i w tej dziedzinie. Wiele firm funkcjonuje nadal w modelu o silnej separacji zespołu czuwającego nad bezpieczeństwem i zespołu realizującego testy bezpieczeństwa. Od kilku lat na popularności zyskuje podejście zwane Purple Teaming, które odwraca ten trend. W modelu tym zespół bezpieczeństwa i zespół testujący działają w ścisłej kooperacji. Specjaliści od obchodzenia zabezpieczeń starają się znajdować kolejne potencjalne ścieżki ataku, a na podstawie tych informacji specjaliści od bezpieczeństwa wdrażają mechanizmy uniemożliwiające dane ataki lub też reguły wykrywające i przeciwdziałające. Pozytywnym skutkiem takiej współpracy jest znacznie szybszy wzrost poziomu bezpieczeństwa danej organizacji.
Automated Cybercrooks
Podnoszenie efektywności swoich działań nie omija również cyberprzestępców. Chociaż ich działaniom brakuje etyki, to z pewnością nie sposób im odmówić tego, że w większości przypadków są to także wyjątkowo bystre i operatywne jednostki. Trudno sobie wyobrazić zarządzaniem botnetami składającymi się często z milionów przejętych komputerów bez odpowiednio wysokiego poziomu automatyzacji i integracji elementów odpowiedzialnych za różne etapy przestępczego procederu.
Zresztą współpraca, czy też integracja w tym fachu to nic dziwnego. Osoby badające podziemny rynek już kilka lat temu zaobserwowały trend polegający na specjalizowaniu się w pewnych obszarach cyberprzestępczych działań i sprzedawaniu swoich usług. Jedni specjalizują się w przejmowaniu komputerów i te dostępy sprzedają, inni – w wydobywaniu z przejętych maszyn cennych danych, a jeszcze inni – monetyzacji tych danych (np. danych dotyczących kart kredytowych) i praniu brudnych pieniędzy.
Ucz się Mądrze, Nie Ciężko
Skoro automatyzacja i integracja przynoszą korzyści w tak wielu obszarach, nie dziwi fakt, że ten trend zaczyna powoli wkradać się również do obszaru edukacji cyber security. Nadal sporą część tego rynku zajmują podmioty oferujące klasyczne treningi oparte o teoretyczne prezentacje puszczane z rzutnika i wsparte bardzo prostymi zadaniami praktycznymi realizowanymi w modelu Bring Your Own Laptop (BYOL), gdzie każdy uczestnik przyjeżdża z własnym laptopem, na którym instaluje jedną czy dwie maszyny wirtualne, które pełnią funkcję amatorskiego „laboratorium”.
Na szczęście popularność od pewnego czasu zyskują kursy z obszaru cyber security realizowane z wykorzystaniem dedykowanych platform online. Coraz więcej osób dostrzega korzyści jakie płyną z takich rozwiązań: większa liczba regularnie aktualizowanych materiałów audio-wizualnych oraz znacznie bardziej rozbudowane laboratoria praktyczne za cenę porównywalną lub niższą niż klasyczne treningi.
Platformy online do podnoszenia kompetencji w obszarze bezpieczeństwa IT to jednak nie jest jeszcze szczyt możliwości współczesnej technologii. Od kilku lat tworzone są rozwiązania kryjące się pod nazwą Cyber Range (cyberpoligon). Wskazać można dwie kategorie, względem których ten termin jest stosowany.
Po pierwsze Cyber Range to zaawansowane ośrodki szkoleniowe składające się zarówno z fizycznych lokalizacji, kadry instruktorskiej, ale przede wszystkim zestawu współpracujących ze sobą aplikacji, wykorzystywanych w procesie nauczania. Przykładowo, tego typu ośrodkami treningowymi dysponuje NATO, duże państwa wchodzące w skład NATO, jak również każdy większy kraj na świecie, posiadający odpowiednio duże ambicje w obszarze cyber security.
Druga kategoria, wobec której stosowany jest termin Cyber Range to wielofunkcyjne platformy przeznaczone do przeprowadzania zaawansowanych i realistycznych treningów o zróżnicowanej złożoności i skali. Zwykle takie platformy stanowią serce wcześniej wspomnianych ośrodków treningowych i to w tym kontekście sformułowanie cyberpoligon będzie używane w pozostałej części artykułu.
Częstym uproszczeniem jest postrzeganie platform Cyber Range jako rozwiązań przeznaczonych wyłącznie do treningów z obszaru cyber security. Tymczasem zakres możliwości jest znacznie szerszy. Po pierwsze poza szkoleniami można za pomocą platform tego typu realizować treningi, dotyczące w zasadzie dowolnych zagadnień ze świata IT, a często również ICS (przemysłowych systemów sterowania). Po drugie platformy tego rodzaju to świetne miejsce na wygodne stworzenie digital twin wycinków infrastruktury organizacji w celu wykorzystania w formie środowiska testowego. Kolejne zastosowanie warte wspomnienia to dokonywanie ewaluacji różnych produktów cyber security przed dokonaniem zakupu i wdrożenia w skali całej organizacji. Cyber Range o odpowiednim poziomie automatyzacji i posiadający szerokie możliwości w zakresie integracji daje ogromne korzyści na wielu płaszczyznach.
Automatyzacja i Integracja Eliminująca Luki w Umiejętnościach
Od kilku lat rozwijamy z powodzeniem nasz autorski cyberpoligon CDeX (eng. cyber range). Platforma ta powstaje w oparciu o doświadczenia płynące z użytkowania wcześniejszych generacji. Jednocześnie każdy z aspektów działania platformy został tak przemyślany, aby w wyraźny sposób działać znacznie lepiej niż wcześniejsze rozwiązania. Niezmiernie istotnym wyróżnikiem jest położenie mocnego nacisku na automatyzację i integrację, która widoczna jest począwszy od mechanizmów odpowiedzialnych za instalację platformy, skończywszy na w pełni zautomatyzowanych treningach.
Platforma może zostać wdrożona w organizacji w dowolny sposób. Istnieje możliwość instalacji wariantu on-premise, może zostać wykorzystana publiczna chmura obliczeniowa dowolnego rodzaju, jak również prywatna chmura obliczeniowa danej organizacji. Z kolei pełna automatyzacja umożliwia instalację wariantu chmurowego w czasie poniżej 30 minut.
Treningi/szkolenia mogą odbywać się w sposób w pełni zautomatyzowany. Odpowiednie oprogramowanie, czuwające nad przebiegiem treningu, uruchamia w odpowiednich momentach poszczególne ataki, które są przedmiotem danego treningu. Owe ataki są, rzecz jasna, przeprowadzane za pomocą prawdziwych narzędzi, używanych przez cyberprzestępców. Pozwala to na zachowanie wysokiego stopnia realistyczności.
Przeprowadzenie ataków poprzedza faza rekonesansu, zaś po ich zakończeniu wykonywane są działania post-exploitacji. Uczestnik treningu może obserwować cały proces realizowany przez atakującego i ograniczać skutki przeprowadzonych ataków, przeciwdziałać im lub wykrywać próby ich realizacji. Automatyzacja w obszarze treningów dotyczy również neutralnych zdarzeń jakie mają miejsce w infrastrukturze uruchamianej podczas treningu. Wzmacnia to realizm, ponieważ trenujący może znaleźć w wynikach działania różnych narzędzi nie tylko aktywności atakującego, ale też informacje związane z aktywnością neutralnych użytkowników.
Platforma treningowa śledząc poczynania uczestników pozwala na wygenerowanie raportu po zakończeniu treningu, zawierającego informacje na temat podjętych działań. To z kolei pozwala na wyciągnięcie wniosków, poznanie mocnych i słabych stron oraz zaplanowanie kolejnych etapów rozwoju. Pełna automatyzacja procesu treningowego to także realizowanie zaawansowanych szkoleń dla ogromnej liczby uczestników. Nie ma też przeciwwskazań, aby trenujący wielokrotnie rozpatrywali dane zagadnienie, ucząc się nowych rzeczy, które wcześniej mogły umknąć ich uwadze.
Bezpłatne demo znajdziesz tutaj.
W myśl zasady automatyzacji i integracji cyberpoligon można zintegrować z wykorzystywanymi w firmie systemami, na co pozwala rozbudowane API. Użytkownicy mogą logować się wykorzystując swoje konta Active Directory, zaś mechanizmy odpowiedzialne za uruchamianie treningów można połączyć z używanym w firmie systemem do e-learningu. System ten może również poprzez API integrować się z platformą w celu pobierania wyników treningów. API posiada jeszcze wiele innych możliwości. Przykładowo może zostać wykorzystane do wygodnego ładowania własnych obrazów maszyn używanych w treningach oraz modyfikacji scenariuszy treningowych.
O czym jeszcze warto wspomnieć, mówiąc o automatyzacji i integracji w walce z cyber security skills gap? Z pewnością o możliwości modyfikowania istniejących sieci treningowych czy też tworzenia własnych, w oparciu o: dostarczone przez platformę maszyny wirtualne, własnoręcznie stworzone maszyny wirtualne czy też obrazy prawdziwych systemów wykorzystywanych w danej organizacji. Tego typu sieci mogą zostać wykorzystane do tworzenia autorskich treningów, dostosowanych do specyfiki firmy. Mogą również zostać użyte do stworzenia środowisk testowych lub ewaluacyjnych. Połączenie wirtualnych sieci z fizycznymi elementami, które z różnych powodów nie mogą być wirtualizowane lub też wirtualizacja ich jest nieopłacalna, także nie stanowi problemu.
Do platformy można podłączać fizyczne routery, switche, firewalle, Access Pointy Wi-Fi, urządzenia wykorzystujące USB czy nawet sterowniki ICS. Szeroki zakres technicznych możliwości sprawia, że poligon cybernetyczny może być wykorzystany w bardzo wielu obszarach. Przede wszystkim umożliwia podnoszenie kompetencji ekspertów cyber security, a także specjalistów z innych dziedzin, jak IT czy ICS. Możliwe jest znacznie efektywniejsze sprawdzanie skutków potencjalnych zmian przed wdrożeniem ich w środowiskach produkcyjnych. Natomiast przed zakupem produktów cyber security i ich wdrożeniem w organizacji, można również dokonać bardziej miarodajnej oceny. Wysokiej jakości cyberpoligon to kolejny po SOAR etap, który pozwala organizacjom na osiągnięcie jeszcze większej cyberodporności.
Jak Zniwelować Luki Kompetencyjne Dzięki Automatyzacji i Integracji: Podsumowanie
Automatyzacja i integracja pozwalają zaoszczędzić cenny czas ekspertów poprzez ograniczanie powtarzalnych i męczących działań. Dzięki temu więcej uwagi może być poświęcone zadaniom wymagającym faktycznych umiejętności i kreatywności. Takie podejście z jednej strony podnosi jakość pracy, a z drugiej zwiększa poziom zadowolenia pracowników.
Automatyzacja i integracja mają udowodnioną skuteczność, zarówno w branży IT, jak również w cyberbezpieczeństwie, w którym to przyczyniła się do ograniczenia negatywnych skutków powszechnej luki w umiejętnościach. Oczywistym staje się, że umiejętne wykorzystanie wspomnianych procesów w obszarze edukacji cyberbezpieczeństwa to trend, który ograniczy tzw. skills gap.
