Профил на експерта: Дейвид Атч
Кариерата на Дейвид Атч в сферата на сигурността и пътят му към Microsoft са нетипични за повечето от тях: "Започнах в Израелските сили за отбрана (IDF) в сферата на киберсигурността, като защитавах атаки и ловях заплахи. Занимавах се с реагиране на инциденти, криминалистика и взаимодействие със системи за индустриален контрол."
По време на службата си в IDF Атч се запознава с двама колеги, които впоследствие основават фирмата CyberX, занимаваща се с индустриален IoT и OT сигурност. По-късно той е нает в CyberX, когато службата му в IDF приключва. "Шегувам се, че никога не съм имал интервю за работа. В армията не се провеждат интервюта, а просто те набират. CyberX ме вербува, а след това Microsoft придоби компанията, така че никога не съм имал официално интервю за работа. Дори нямам автобиография."
"Почти всяка атака, на която станахме свидетели през последната година, започваше от първоначален достъп до ИТ мрежа, който се използваше в средата на ОТ. Защитата на критичната инфраструктура е световно предизвикателство, с което е трудно да се справим. Трябва да сме иновативни в създаването на инструменти и провеждането на изследвания, за да научим повече за тези видове атаки.
Работата на Атч в Microsoft се фокусира върху въпроси, свързани със сигурността на IoT и OT. Тя включва изучаване на протоколи, анализ на зловреден софтуер, изследване на уязвимости, търсене на заплахи от национални държави, профилиране на устройства, за да се разбере как се държат в мрежата, и разработване на системи, които обогатяват продуктите на Microsoft с познания за IoT.
"Намираме се в свързана епоха, има очакване, че всичко трябва да е свързано, за да се осигури преживяване в реално време, където ИТ софтуерът се свързва с мрежата, позволявайки на ОТ данните да се пренасят в облака. Мисля, че именно тук Microsoft вижда бъдещето, където всичко е свързано с облака. Това осигурява по-ценен анализ на данните, автоматизация и ефективност, които предприятията преди не са могли да постигнат. Огромната скорост на свързаната еволюция на тези устройства и непълната инвентаризация и видимост на организациите към тях често накланят полето на игра в полза на нападателите", обяснява Атч.
Въпреки това най-добрият подход за борба с нападателите, насочени към ИТ и ОТ, е нулевото доверие и видимостта на устройствата, като разбирането на това какво имате в мрежата и с какво е свързано е от решаващо значение. Изложено ли е устройството на интернет? Осъществява ли комуникация с облака или някой отвън може да получи достъп до него? Ако е така, разполагате ли със средства за откриване на достъпа на нападателя? Как управлявате достъпа на служителите или изпълнителите, за да откриете аномалии?
Тъй като управлението на корекциите може да е невъзможно в някои организации - или да отнема изключително много време - а някои софтуери в общността на операторите не се поддържат, трябва да намалите уязвимостите с други мерки. Например, производителят не може лесно да затвори фабриката, за да тества и поправи нещо.
Трябва да добавя, че не се занимавам с тази работа сам. Талантливият екип от изследователи, ловци на заплахи и защитници ми дава възможност да продължавам да се уча всеки ден."