Na portalu CRN.pl pan Wojciech Urbanek opublikował artykuł „Aplikacje ochronne: czas przejść do ofensywy”. Z pomocą kilku ekspertów, zastępca redaktora naczelnego magazynu CRN Polska, próbował poukładać cyber-puzzle, by spojrzeć w przyszłość i w niewielkiej części przewidzieć w jakim kierunku zmierza albo będzie zmierzać branża dostawców usług i rozwiązań do zabezpieczeń. Link do całego artykułu został podany powyżej, natomiast poniżej zamieszczamy i rozwijamy najistotniejsze fragmenty dotyczące komentarzy każdego z ekspertów.

Artykuł zwraca uwagę na niedawne zawirowania związane z kilkoma przejęciami:

  • Broadcom wykupił dział enterprise od Symanteca za 10,7 mld dolarów. Pozostała, konsumencka część koncernu, notabene odpowiedzialna za 90 proc. zysków Symanteca, zachowała niezależność i działa pod marką Norton LifeLock.
  • Vmware kupił Carbon Black za 2,1 mld dolarów. Kupiony podmiot jest zaliczany do tzw. nowej fali, a więc dostawców rozwiązań Next Generation Anti-Virus. Specjaliści Carbon Black stworzyli bazującą na chmurze platformę do ochrony urządzeń końcowych. CEO VMware’a powiedział – czas skończyć ze stosowaniem pojedynczych rozwiązań do ochrony i postawić na kompleksowe rozwiązania.
  • Przejęcie Cylance przez BlackBerry za 1,4 mld dolarów. Transakcja w Polsce przeszła bez większego echa, jednak zdaniem pana redaktora z CRN, zapoczątkowało to trend na rozwiązania dla urządzeń końcowych, szeroko wykorzystujące techniki sztucznej inteligencji, uczenia maszynowego i algorytmów matematycznych.

Co z tym Microsoftem?

Wróćmy na chwilę do sytuacji sprzed dwóch lat. CEO firmy Kaspersky Lab napisał wtedy, że z powodu automatycznego usuwania oprogramowania antywirusowego firm trzecich podczas aktualizacji systemu z Windows 7 lub Windows 8 i 8.1 do Windows 10, użytkownicy są narażeni na szereg niebezpieczeństw. Zachowanie Microsoftu określił jako niedopuszczalne.

Antywirus Microsoftu jest cały czas rozwijany i wykazuje się dużą skutecznością w wykrywaniu szkodników. Świadczą o tym chociażby tegoroczne wyniki testu przeprowadzonego przez AV-Test wśród 20 programów antywirusowych. Windows Defender wraz z trzema innymi płatnymi aplikacjami uzyskał w nim najwyższe oceny.

Z drugiej strony dostawcy systemów z rezerwą podchodzą do wyników testów, bowiem każdy z nich ma zestawienia pokazujące wyższość jego oprogramowania nad rozwiązaniami konkurencji. Ponadto eksperci zwracają uwagę na ograniczoną funkcjonalność Windows Defendera.

Microsoft jest skupiony na zabezpieczeniu swojego ekosystemu. Producent nie uzupełnia oferty o narzędzia ważne dla wielu klientów, dotyczące kompleksowego zabezpieczenia mobilnych systemów operacyjnych. Brak jest chociażby wsparcia dla Androida. Poza tym współczesne rozwiązania bezpieczeństwa od dostawców trzecich daleko wykraczają poza ochronę.

– wylicza Adrian Ścibor, redaktor naczelny AVLab.pl.

Trudno nie zgodzić się z tą opinią — zauważa Wojciech Urbanek. Zaawansowane aplikacje zapewniają zarządzanie za pomocą aplikacji w chmurze, a także szyfrowanie plików, ustanawianie połączeń VPN oraz skanowanie urządzeń IoT podłączanych do domowej sieci. Windows Defender ze względu na ograniczenia funkcjonalności dość rzadko znajduje zastosowanie u klientów biznesowych. Między innymi z tych powodów Grzegorz Michałek, CEO w mks_vir, ze spokojem patrzy na antywirusa Microsoftu.

Połowa użytkowników Windows 10 nie korzysta z dodatkowych narzędzi ochronnych. Ale nie postrzegamy tego w kategoriach problemu, ponieważ Microsoft w obszarze bezpieczeństwa jest takim samym graczem jak inni producenci. Nie uważam też, że nadużywa swojej uprzywilejowanej pozycji. Microsoft aktywnie współpracuje z partnerami będącymi dostawcami rozwiązań ochronnych zarówno w warstwie technicznej, jak też handlowej i marketingowej.

– twierdzi Grzegorz Michałek.

Jednak nie można wykluczyć, że Microsoft napsuje sporo krwi dostawcom antywirusów, szczególnie w segmencie produktów adresowanych dla odbiorców SOHO.

Mamy cały czas na radarze Windows Defendera. To konkurent, którego należy obserwować. Zauważmy, że Microsoft agresywnie promuje darmowego antywirusa, żeby zwiększyć sprzedaż pakietów Office.

– mówi Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie.

EDR dla proaktywnych

Według IDC w 2019 r. globalne wydatki na bezpieczeństwo wyniosą 103 mld dol., a więc o 9 proc. więcej niż rok wcześniej. Mimo rosnących nakładów media codziennie informują o spektakularnych cyberatakach i wyciekach wrażliwych informacji. W bieżącym roku z Facebooka wyparowało 491 mln numerów telefonów użytkowników, a z popularnej wśród millennialsów aplikacji Dubsmash wyciekło 162 mln adresów e-mail. Latem niemal wszystkie amerykańskie media pisały o niejakiej Paige Thompson, która wykradła z Capital One dane dotyczące 106 mln klientów. Z kolei w Polsce hakerzy wymyślili fikcyjny konkurs Lidla, który rzekomo miał rozdawać smartfony Samsung Galaxy S9 i iPhone X. Laureaci musieli zapłacić jedyne 9 zł za odbiór nagrody, dokonując opłaty własną kartą kredytową.

Jak widać, pomysłowość hakerów nie zna granic. Co gorsza, są nie tylko kreatywni, lecz także bardzo skuteczni. Walka z nimi staje się coraz trudniejsza, a zdaniem specjalistów od bezpieczeństwa jednym z najczęściej popełnionych błędów przez działy IT jest wyczekiwanie na cyberatak, a dopiero potem podejmowanie działań minimalizujących jego skutki. Dlatego też warto szerzej stosować narzędzia proaktywne, takie jak NTF (Network Traffic Analysis), Threat Intelligence czy EDR (Endpoint Detection Response). Wymienione grupy produktów znajdują się na fali wznoszącej, aczkolwiek najwyżej stoją akcje ostatniego z wymienionych rozwiązań.

Systemy EDR bardzo dobrze obrazują, w jakim kierunku zmierza cała branża, czyli automatyzacji i błyskawicznego reagowania na incydenty:

Systemy bezpieczeństwa mocno zmieniły się na przestrzeni lat. Producenci oferują klientom bardzo dobre produkty monitorujące praktycznie każdy element sieci. Rozwiązania klasy EDR dalece wykraczają poza tzw. antywirusy. Endpoint Detection & Resposne to bardzo wyspecjalizowane produkty do zbierania informacji o podejrzanej aktywności, ale wymagają technicznej wiedzy o działaniu systemu operacyjnego i złośliwym oprogramowaniu. Nie każda organizacja jest w stanie zainwestować w kadrę techniczną, dlatego systemy EDR są bardzo pomocne dla firm z dedykowanym centrum obsługi bezpieczeństwa (Security Operational Center) lub wyspecjalizowanym zespołem IT, specjalnie przeszkolonym do wyszukiwania i analizowania cyberataków. Wdrożone rozwiązanie daje możliwość monitorowania sieci organizacji 24/h. Dodatkowo rozwiązania EDR pozwalają uniknąć dodatkowych wydatków na naprawianie problemów już po incydencie, a w razie konieczności zebrane logi ze stacji roboczych posłużą jako dowód dla sądu. Dodatkową zaletą EDR-ów jest konsolidacja zabezpieczeń i integracja do jednej konsoli. Jeżeli organizacja zdecyduje się oprzeć ochronę stacji roboczych o jednego dostawcę, to otrzyma rozwiązanie pokrywające większość znanych sposobów sieciowego wtargnięcia do sieci. Traktowanie infrastruktury jakby już została zaatakowana to bardzo dobra strategia. Systemy EDR jednocześnie pokazują w jakiem kierunku zmierza cała branża, czyli automatyzacji oraz błyskawicznemu reagowaniu na incydenty.

— uważa Adrian Ścibor.

O ile antywirus jest pewnego rodzaju automatem, który reaguje jedynie na działania uznawane za szkodliwe, o tyle EDR zapewnia śledzenie całej aktywności na stacji roboczej. Popularność tego typu rozwiązań rośnie, ponieważ znacząco zwiększają skuteczność ochrony i zapewniają lepszą kontrolę środowisk.

Systemy EDR bazują na monitorowaniu sieci pod względem występującego w nich ruchu, a przede wszystkim wykrywaniu i reagowaniu na anomalie w przypadku poszczególnych plików, aplikacji jak również zachodzących procesów

– tłumaczy Maciej Reksa, Software Product Manager w AB.

EDR ze względu na koszt inwestycji, a także ilość generowanych informacji jest produktem przeznaczonym dla dużych firm i instytucji. Wraz z upowszechnieniem się tego typu narzędzi ich ceny mogą nieco stopnieć, aczkolwiek zatrudnienie specjalistów od bezpieczeństwa wydaje się dla mniejszych przedsiębiorstw barierą nie do przejścia. Dlatego analitycy Gartnera uważają, że rynek EDR podzieli się na dwie części. Pierwszą będą tworzyć nabywcy dysponujący wysokiej klasy specjalistami odpowiedzialnymi za monitorowanie bezpieczeństwa firmy, którzy wiedzą, jak korzystać z danych. Ten segment ma być w 2020 r. wart 1,5 mld dol. Drugą grupą klientów będą mniejsze przedsiębiorstwa inwestujące w tzw. EDR Light, czyli okrojone wersje systemów, wspierające oprogramowanie do ochrony urządzeń końcowych. Niemniej część dostawców sceptycznie patrzy na tego typu prognozy.

Zasadność wprowadzenia EDR w wersji light postrzegałbym przede wszystkim w kategoriach handlowych i marketingowych. Takie rozwiązanie, żeby zachować akceptowalny poziom skuteczności, musiałoby funkcjonować jak ich odpowiedniki oferujące pełną funkcjonalność. Dlatego obecnie nie planujemy wprowadzać różnych wariantów systemu EDR.

– zapewnia Grzegorz Michałek.

Sztuczna inteligencja i spadające marże

Technologiczny wyścig zbrojeń na rynku bezpieczeństwa nabiera tempa. Hakerzy sięgają po wysublimowane metody, takie jak chociażby manipulowanie obrazem wideo. Ponieważ sfałszowanych filmów nie da się odróżnić od prawdziwych nagrań, stwarza to przestępcom ogromne możliwości przeprowadzania ataków. Już teraz wielu specjalistów pracuje nad stworzeniem oprogramowania, które ma rozpoznawać tzw. deepfaki. Ale to nie jedyny problem do rozwiązania dla dostawców narzędzi ochronnych.

Największym wyzwaniem dla producentów aplikacji zabezpieczających jest opanowanie ataków socjotechnicznych, zwłaszcza tych wymierzonych przeciwko firmom. Niemniej ważne staje się integrowanie usług chmurowych. Na celowniku hakerów ciągle znajdują się też „inteligentne urządzenia”, łączące świat zewnętrzny z domową lub firmową siecią. Producenci antywirusów mają tutaj duże pole do popisu.

– mówi Adrian Ścibor.

Jednym z najgorętszych tematów w branży cyberbezpieczeństwa jest sztuczna inteligencja. Niestety, często to pojęcie jest błędnie utożsamiane z uczeniem maszynowym i sieciami neuronowymi, które to metody naukowe są znane od wielu lat i wykorzystywane również w systemach antywirusowych.

Adrian Ścibor przywołuje spektakularny przykład jednego z producentów, który w pierwszym kwartale 2019 r. wykrył ponad 30 tys. różnych próbek trojana Emotet.

O sztucznej inteligencji mówią nie tylko producenci antywirusów. Mamy do czynienia z pewnym paradygmatem. Otóż tak zwana sztuczna inteligencja to niepoprawna, marketingowa fraza uczenia maszynowego, drzewa decyzyjnego, sieci neuronowych. Nie jest to samodzielna technologia, a element składowy łańcucha detekcji ataku. Istnieją już maszyny, które pomyślnie przeszły test Turinga. W cyberbezpieczeństwie producenci muszą analizować olbrzymie ilości danych, aby ocenić właściwości plików i oddzielić złośliwe oprogramowanie od bezpiecznego. Ów „sztuczna inteligencja” jest wykorzystywana we wszystkich renomowanych rozwiązaniach anty-malware, aby dokonać analizy na wczesnym etapie bez ingerencji człowieka. Przytoczę konkretny przykład. Już w Q1 2019 roku pewna firma antywirusowa wykryła ponad 30 000 różnych próbek trojana Emotet. Zatem w jaki sposób szybko i możliwe jak najmniejszym kosztem zasobów komputerowych zidentyfikować złośliwe oprogramowanie? W sieci neuronowej wyszkala się perceptrony w celu szybkiego wykrywania złośliwego oprogramowania. Uczenie maszynowe nie jest sztuczną inteligencją. Mamy do czynienia z porównywaniem różnych właściwości czystych plików z właściwościami złośliwego oprogramowania na masową skalę. Używanie definicji sztucznej inteligencji jest nieadekwatne, ale nie można producentom odmówić zrobionego skoku milowego. Rozwiązania zabezpieczające bardzo mocno zmieniły się na przestrzeni lat, dlatego obecnie producenci oferują bardzo dobre produkty monitorujące praktycznie każdy element sieci.

Nie byłoby to możliwe bez zastosowania sieci neuronowych. Wprawdzie dostawcy oprogramowania bezpieczeństwa często nadużywają pojęcia sztucznej inteligencji, aczkolwiek nie można odmówić im postępów w wykrywaniu zagrożeń. Przez ostatnie lata rozwiązania, które mają temu służyć, wzbogaciły się o nowe funkcje. Wielu producentów oferuje systemy wnikliwie monitorujące praktycznie każdy element sieci.

Oczywiście producenci i dystrybutorzy muszą przy tym zmierzyć się z bardziej przyziemnymi problemami.

Poważnym wyzwaniem jest erozja cen w segmencie narzędzi ochrony punktów końcowych, a także uzyskanie wzrostów na dojrzałym rynku. Z kolei nowe kanały dystrybucji, takie jak sprzedaż przez telekomy, wymusza niższą marżowość, co może być hamulcem do dalszego wzrostu.

– zauważa Paweł Jurek.

Wiele wskazuje na to, że ekspansja zaawansowanych narzędzi ochronnych przyczyni się do zwiększenia popularności modelu usługowego. Choć jak na razie rodzimi resellerzy i integratorzy nie przejawiają większego zainteresowania taką formą sprzedaży. Tak czy inaczej w najbliższych latach będziemy świadkami bardzo ciekawej i coraz zacieklejszej rywalizacji nie tylko między siłami dobrej i złej strony mocy, lecz także wśród dostawców rozwiązań ochronnych.

Zdaniem specjalisty

Popyt na aplikacje zabezpieczające sukcesywnie rośnie, co jest zasługą coraz bardziej wyrafinowanych cyberataków. W bieżącym roku odnotowaliśmy wzrost zainteresowania systemami EDR ze strony dużych przedsiębiorstw, dla których istotne znaczenie ma analiza zachowania w sieci. Barierą hamującą sprzedaż tych systemów jest niewystarczająca wiedza administratorów na temat ich obsługi, a także niewielka liczba firm korzystających z SOC. Największym wyzwaniem stojącym przed producentami aplikacji ochronnych jest dostarczanie nowych rozwiązań kompleksowo zabezpieczających sieć. Mam tutaj na myśli sandboxing, EDR, szyfrowanie i wykorzystanie mechanizmów sztucznej inteligencji. W tym kontekście producenci powinni wprowadzać innowacje, które nie wpływają na wydajność urządzeń.

— Karol Labe, CEO Miecz Net

Zauważamy wzrost świadomości użytkowników, jeśli chodzi o zabezpieczenia stacji i urządzeń końcowych, co bezpośrednio przekłada się na rosnące wymagania dotyczące produktów popularnie nazywanych systemami antywirusowymi. Klienci poszukują bardziej złożonych rozwiązań oferujących nie tylko sam skaner antywirusowy, lecz także zabezpieczających przed zagrożeniami typu ransomware. Istotnym aspektem z punktu widzenia klienta końcowego jest możliwość centralnej administracji zabezpieczeniami, a także metodologia aktualizacji systemów. Przy czym ważnym trendem w rozwoju systemów antywirusowych jest nie tylko detekcja i neutralizacja zagrożeń, lecz także prewencja i ograniczenie skutków zaistniałego incydentu. Właśnie dlatego producenci rozwiązań ochronnych coraz chętniej sięgają po technologię sztucznej inteligencji, centralne chmurowe konsole zarządzające i wieloplatformowość oferowanych rozwiązań – Windows, iOS, Android i Linux.

— Maciej Kotowicz, Senior Channel Account Executive, Sophos

Mówiąc o wykorzystywaniu sztucznej inteligencji w dzisiejszych rozwiązaniach IT, mamy tak naprawdę na myśli zastosowanie konkretnych jej metod, takich jak uczenie maszynowe czy sieci neuronowe. Te naukowe metody są znane od kilkudziesięciu lat i z powodzeniem wykorzystuje się je w bardziej złożonych systemach, także w oprogramowaniu antywirusowym. O ile sieci neuronowe i uczenie maszynowe ułatwiają przetwarzanie ogromnej liczby plików, a także wspierają niektóre warstwy ochrony wbudowane w naszym oprogramowaniu antywirusowym, o tyle nie sposób uznać tych pojedynczych metod za złoty środek chroniący przed wszelkimi atakami. Dopiero wykorzystanie kilkudziesięciu zróżnicowanych warstw ochrony zapewnia użytkownikom naszych systemów skuteczną minimalizację ryzyka podczas korzystania z sieci.

— Kamil Sadkowski, starszy analityk zagrożeń, Eset

Użytkownicy domowi i małe firmy zazwyczaj oczekują, że oprogramowanie antywirusowe będzie działać na zasadzie „instaluję, aktywuję i działa, chroni”. Więksi odbiorcy szukają rozwiązań, w których dodatkowo będą mieć możliwość interakcji z producentem, jeśli chodzi o kontrolę nad bezpieczeństwem ich systemów i dostosowania funkcji oprogramowania do konkretnych, często nietypowych sytuacji. Zdarzało się, że dla wybranych, dużych klientów na ich życzenie dodawaliśmy do naszych pakietów określone funkcje. Wychodzimy przy tym z założenia, że oprogramowanie antywirusowe odgrywa taką rolę jak systemy bezpieczeństwa w samochodzie. Ich zadaniem jest błyskawiczna reakcja w sytuacjach stanowiących zagrożenie. Mówimy tu zarówno o sytuacjach znanych, czyli takich, do których już kiedyś doszło, jak i przypadkach związanych z niespotykanymi jeszcze wektorami ataków i wariantami szkodliwego oprogramowania.

— Grzegorz Michałek, CEO mks_vir

Po zeszłorocznym peaku związanym z regulacjami unijnymi wzmożone zainteresowanie rozwiązaniami bezpieczeństwa się utrzymało. Klienci wciąż wykazują się dużym zaufaniem do tzw. tradycyjnych systemów antywirusowych. Jednak zauważalne jest także poszukiwanie rozwiązań komplementarnych lub umożliwiających przywrócenie działania przedsiębiorstwa po różnego rodzaju awariach, niekoniecznie związanych z zagrożeniami typu malware. Antywirusy wciąż pozostają w wąskim gronie rozwiązań podstawowych, tych pierwszego wyboru, jeżeli chodzi o bezpieczeństwo w firmach. Optymistyczne są także liczne prognozy, w tym Gartnera, określające wzrost wydatków na oprogramowanie w regionie EMEA na ponad 3 proc. w 2020 r. Ze spokojem patrzymy w przyszłość.

— Robert Dziemianko, PR Manager, G Data

Cybergangi profesjonalizują się i tworzą coraz więcej autorskich rozwiązań – często stworzonych w celu ataków na określone branże, a nawet konkretne firmy. Do wykrywania takich zagrożeń nie wystarczą już tradycyjne antywirusy. Niezbędne jest stosowanie znacznie bardziej zaawansowanych technologii, takich jak sandbox, rozbudowana analiza heurystyczna, uczenie maszynowe, EDR czy ochrona przed atakami DDoS. Same produkty to jednak nie wszystko. Muszą być wsparte zaawansowanymi usługami, łącznie z ekspercką wiedzą o cyberzagrożeniach i szkoleniami podnoszącymi świadomość personelu firm w zakresie bezpieczeństwa. Ci dostawcy rozwiązań ochronnych, którzy nie mają jeszcze w ofercie takich produktów i usług, będą musieli bardzo szybko zaadaptować się do nowego krajobrazu.

— Bartosz Prauzner-Bechcicki, dyrektor ds. sprzedaży, Kaspersky Lab Polska

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz