Христос започва кариерата си в ИТ сферата като програмист, а след това става системен администратор в голяма туристическа компания. Интересът му към информационната сигурност се заражда преди около 13 години, когато един от уеб базираните му сървъри бива компрометиран и започва да хоства единствено Warez през FTP.
Христос започва да работи за Symantec през 2004 година като Системен инженер. От 2011 г. е Technical Champions Leader за Европа, Близък Изток и Африка (EMEA). Отговаря за сигурността на ключови решения, съдейства на колегите си да разкриват тенденциите и методиките на заплахите и атаките, посочва им начини за смекчаване на съвременните заплахи. Любимите му теми са Attack Toolkits, борбата със зловредния софтуер и системите за ранно предупреждение. В момента заема длъжността Специалист по сигурността с местоположение в Гърция, но отговаря за целия регион на Югоизточна Европа.
Г-н Вентурис, как бихте коментирали факта, че през 2013-та година се наблюдава 62-процентен ръст на броя пробиви на бази данни, в резултат на което има над 552 милиона компрометирани самоличности и записи, според последния Годишен доклад относно заплахите за интернет сигурността (Internet Security Threat Report – ISTR) на Symantec?
Дори ръстът от 62 процента не отразява напълно мащаба на пробивите през 2013 година. Осем от пробивите през 2013 година компрометираха повече от 10 милиона самоличности и записи (говорим за всеки един от тези пробиви). През 2012 година, имаше само един пробив, който компрометира над 10 милиона самоличности и записи. Тези 552 милиона самоличности и записи, които бяха компрометирани през 2013 година сложиха в ръцете на престъпниците информация от кредитните карти на потребителите, също и информация свързана с дати на раждане, карти за самоличност, домашни адреси, медицински картони, телефонни номера, финансова информация, имейл адреси, пароли за достъп и друга лична информация.
В Symantec имате редица анализи относно промяната в поведението и типа атаки от кибер престъпниците? Кое е актуалното в тази насока? Как се атакуват системите днес?
В много от случаите не бяха атакувани системи, или поне не в началото. Целенасочените атаки спрямо определени лица бележат началото на даден пробив. Докато наблюдавахме ръст при целенасочените атаки, забелязахме интересна еволюция при тези атаки. Както бе споменато за първи път в миналогодишния доклад относно заплахите за интернет сигурността, атакуващите добавиха към арсенала си атаките watering-hole. Информацията за смъртта на spear phishing (насочените e-mail съобщения) е силно преувеличена. Докато общият брой на използваните имейли за дадена кампания намалява, както и намалява броя на атакуваните, то броя на самите spear-phishing кампании бележи драматичен ръст от 91 процента през 2013 година.
Този „прикрит и бавен“ подход (кампаниите също така са с три пъти по-дълга продължителност сравнено с тези през 2012 година) е знак, че по-голямата информираност на потребителите и технологиите за защита са накарали spear phisher-ите да намалят набелязването на цели за сметка на техниките за social engineering. Също така наблюдаваме добавянето на social engineering в реалната среда, който комбинира виртуални и реални атаки и се прилага за постигане на по-голяма успеваемост.
Бихте ли споделили с нас – кои са най-атакуваните и потърпевши компании в последно време? Може би банките, големите интернет магазини, кой е най-застрашен?
Ако погледнете разпределението на атаките през 2013 година, както е споменато и в ISTR доклада, ще видите, че почти всеки бизнес сектор е бил атакуван и компрометиран. Ако информацията на дадена компания, независимо дали е малка или голяма, представлява интерес, обвързан с правенето на пари, то тази компания е потенциална цел. През 2013 година, 39% от таргетираните компании имат повече от 2500 служители, но други 30% са компании, които имат от 1 до 500 служители. Наистина е важно за всеки бизнес на всеки пазар и във всеки сектор да разбере, че защитата на информацията, която се генерира, съхранява, управлява и обработва трябва да бъде главен приоритет.
Според докладът на Symantec, който прочетохме в началото на април, най-атакувани професии са личните офис асистенти и тези работещи в сферата на връзките с обществеността, поради причината, че престъпниците ги използват като основа за достъп до по-високопоставени цели като известните личности и мениджърите. Какви мерки да вземем, за да ги защитим? Да ги „изключим” от интернет не е ли най-доброто решение?
Да бъдеш винаги онлайн и винаги свързан с мрежата на практика е същинската част от работата за много хора и по-специално за таргетираните професии. Представете си личен асистент, който не може да изпрати имейл на представител на топ мениджмънта, или пък не може да актуализира календара на своя ръководител в реално време. Представете си PR мениджър в дадена компания, който не може да прочете последните важни новини за компанията или пазара. „Изключването“ би нанесло повече вреди, така че целта е персоналът сам да разбере рисковете и заплахите и да бъде непрекъснато обучаван кое поведение е безопасно в Интернет. Технологиите, разбира се, са също част от процеса. Чрез въвеждането на технологии, които помагат на служителите да изградят нови модели на поведение и ги защитават в случай, че нещо се обърка, компаниите могат значително да увеличат нивото на сигурност.
А какво се случи с Heartbleed? Отмина ли заплахата? Засегна ли този бъг много от вашите клиенти?
“Heartbleed” или OpenSSL TLS ‘heartbeat’ Extension Information Disclosure Vulnerability (CVE-2014-0160) засяга компонент на OpenSSL библиотеката, която предоставя функционалност наречена „сърцебиене“ (heartbeat). OpenSSL е една от най-широко използваните имплементации на протоколите SSL (Secure Sockets Layer) и TLS (Transport Layer Security), което означава, че голяма част от Интернет уеб сървърите са засегнати. Symantec пусна два IPS подписа. Първият IPS подпис засича и блокира опити за използване на HeartBleed на уязвими сървъри. Вторият IPS подпис засича и блокира опити за използване на HeartBleed чрез уязвими приложения на клиенти. Докато подписът е предназначен да стопира експлоатацията на уязвимостта, единственият сигурен начин да се спрат тези атаки е чрез закърпване (заличаване) на уязвимостта.
Може ли да пренесем разговорът ни на наша, българска територия? Проблемите тук, същите ли са като тези по света, има ли нещо по-специфично? Можете ли да ни разкажете повече за заплахите на местно ниво?
Разликата между отделните страни се изразява основно в количеството, а не в типа заплахи. За България няма значителни промени в Световната класацията на източниците на заплаха, страната заема 53-то място в света и 30-то място на ниво Европа, Близък Изток и Африка (EMEA), сравнено с 56-то място в света през 2012 година. По отношение на Spam и Phishing атаки, България е на 41-во място, цифра, която можем да кажем, че е доста висока спрямо населението в страната, което е свързано с интернет. Класирането на EMEA за spam и phishing също поставя България на висока позиция – 20-то място.
Какво бихте препоръчали, за да сме сигурни, че нашата корпоративна мрежа е сигурна? Какви стъпки трябва да предприемем?
На първо и най-важно място, компаниите трябва да инвестират време и усилия да обучат своите служители на основни правила и поведение по отношение сигурността като например, да не отварят прикачени файлове ако не очакват да получат такива или да бъдат предпазливи, когато отварят линкове от имейли или социални мрежи. Бизнесите трябва да въведат стратегии за „задълбочена защита“ (defense-in-depth strategies) в своите мрежи. От съществено значение е използването на множество свързани и взаимно подкрепящи се системи на защита, които да предпазват от еднофазни прекъсвания при всяка специфична технология или метод на защита. Това трябва да включва използването на редовно актуализирани файъруол-и, както и антивирусни програми сканиращи трафика, системи за засичане или защита (IPS), защита от зловреден софтуер на уязвими интернет страници и решения за web сигурност. Също така е много важно да се осигури наличието на процедури за действие при инфектирания и инциденти. Например, трябва да се осигури решение за бекъп и възстановяване, за да може да се възстанови изгубена или компрометирана информация в случай на успешна атака или катастрофална загуба на данни, също така да се изолират инфектираните компютри с цел предпазване от риска от разпространяващо се инфектиране вътре в самата организация. Собствениците на компании могат да намерят още препоръки и примери за добри практики в нашия най-нов ISTR доклад.
А като специалист, бихте ли дали няколко съвета и към обикновените потребители? Какви пароли да ползват, какво да избягват, за кое да внимават?
Потребителите трябва да използват модерно решение за интернет сигурност, което включва повече възможности за максимална защита срещу злонамерени кодове и други заплахи. Антивирусните програми сами по себе си вече не са достатъчни, затова използването на други технологии като двупосочните файъруол-и ще блокира зловредния софтуер, за да не може да експлоатира потенциално уязвими апликации и услуги, които са активни на компютъра. Внедряването на технологии за защита на браузърите ще предпазва срещу смущаващи уеб базирани атаки. Технологиите, които проверяват репутацията и надеждността на даден файл или интернет страница преди изтегляне, оценяват URL репутациите и осигуряват рейтинги за сигурността на интернет страници намирани посредством търсачки, ще осигурят по-защитена среда за потребителя.
Контролът над поведението, понякога и промяната, също са важни, тъй като най-ценната информация за потребителя е личната му информация. Потребителите трябва да намалят количеството лична информация, която правят публично достояние в интернет (особено посредством социалните мрежи). Това включва лична и финансова информация, като например банкови пароли за достъп или дати на раждане. Винаги трябва да се използва HTTPS, когато се потребителят се свързва посредством Wi-Fi към имейл, социални мрежи или пък споделя интернет страници. Трябва да се проверяват настройките на апликациите и интернет страниците, които се ползват. Вкъщи, трябва да се конфигурира домашната Wi-Fi мрежа за силна автентикация и винаги да се настройва с уникална парола за достъп. Към домашната мрежа може да има устройства, които са вързани с интернет, което крие потенциална заплаха. Устройствата като уеб камери и DSL рутери трябва да са защитени със силна парола и никога на тези устройства не трябва да се оставя първоначалната им фабрична парола.
Що се отнася до темата за паролите, те трябва да се състоят от смес от букви и цифри и трябва редовно да се сменят. Паролите не трябва да се състоят от цели думи. Не трябва да се използва една и съща парола за множество апликации или интернет сайтове. Трябва да се използват сложни пароли (главни/малки букви и препинателни знаци).
Както организациите, така и потребителите могат да намерят още препоръки в Годишния доклад относно заплахите за интернет сигурността (ISTR) на Symantec на този линк: http://www.symantec.com/security_response/publications/threatreport.jsp
Бизнесът в България все още не се е отърсил от последните от световната криза и в тази връзка – скъпа ли е сигурността? Може ли да се чакат по-добри дни и да се пести от нея?
Нека не забравяме, че такъв вид кризи могат да поведат след себе си повече заплахи, тъй като атакуващите трябва да намалят броя на целите си, за да могат да извлекат печалба. Собственикът на даден бизнес трябва да оцени финансовите щети, които един евентуален пробив би причинил на неговия бизнес, след което да направи сравнение с разходите, които трябва да се направят за необходимите мерки за сигурност. Много бизнеси изчисляват само директните финансови загуби, които обаче не са единствени при наличието на пробив. Отражението върху репутацията на компанията, загубата на бъдещи сделки, както и разходите за възстановяване на бизнеса не винаги се взимат под внимание и много бизнеси вярват, че щетите от един пробив не оправдават разходите за внедряване на по-добри решения за сигурност.
Играта на котка и мишка между компании като Symantec и кибер престъпниците е стара колкото технологичния свят. Дали ще приключи някога? Ще успеят ли компаниите да не са „крачка след хакерите”, а тъкмо обратното – да ги изпреварват в действията им, предотвратявайки нападения и щети?
Напълно осъзнаваме, че предпазването е важна част от успеха на даден бизнес, поради което и разработваме технологии, които предотвратяват атаки, независимо дали са известни или неизвестни (тези, които наричаме zero-days). Вземете например нашия наскоро излязъл продукт Data Center Security (DCS). Фокусирахме се върху атаки срещу модерния софтуерно дефиниран център за обработка на данни (Software Defined Data Center), който е много гъвкав и в който виртуализацията създава постоянни промени. DCS може да предпазва както и връзката с интернет, така и вътрешните услуги, дори при положение, че дадена система е уязвима. Можем да предпазваме виртуалните среди посредством нашата agentless антивирусна технология.
Поставяме фокус също така върху наблюдението, ранното прихващане и предупреждението, за да имаме цялостно бизнес предложение фокусирано върху Услугите за информационна сигурност, при което да предлагаме решения и услуги на клиентите, да им съдействаме за прихващането, приоритизирането и дори отговора при случаи свързани със сигурността.
