„Téměř každý útok, který jsme v posledním roce zaznamenali, začal počátečním přístupem do IT sítě, který byl pak využit v prostředí provozních technologií (OT).“
David Atch Analýza hrozeb Microsoft, vedoucí výzkumu zabezpečení IoT/OT
Profil experta: David Atch
Kariéra Davida Atche v oboru zabezpečení a jeho cesta do Microsoftu je netypická: „Začínal jsem v Izraelských obranných silách (IDF) v roli pracovníka kybernetické bezpečnosti, který bránil útokům a proaktivně vyhledával hrozby. Hodně jsem se zabýval reakcemi na incidenty, forenzní analýzou a interakcí s průmyslovými řídicími systémy."
Během služby v IDF se David Atch seznámil se dvěma kolegy, kteří později založili firmu CyberX zabývající se zabezpečením průmyslových zařízení IoT a OT. Společnost CyberX ho později najala, když skončila jeho služba v IDF. „Rád říkám jako vtip, že jsem nikdy nebyl na pracovním pohovoru. Armáda neprovádí pohovory, ale pouze nábor. Společnost CyberX mě najala a pak tuto společnost koupil Microsoft, takže jsem nikdy neabsolvoval formální pracovní pohovor. Nemám ani žádný životopis.“
„Téměř každý útok, který jsme v posledním roce zaznamenali, začal počátečním přístupem do IT sítě, který byl pak využit v prostředí provozních technologií (OT). Zabezpečení kritické infrastruktury je celosvětovou výzvou, kterou je obtížné řešit. Musíme být inovativní při vytváření nástrojů a provádění výzkumu, abychom se o těchto typech útoků dozvěděli více.
David Atch se při práci v Microsoftu zaměřuje na problematiku zabezpečení Internetu věcí (IoT) a provozních technologií (OT). To zahrnuje studium protokolů, analýzu malwaru, výzkum ohrožení zabezpečení, proaktivní vyhledávání hrozeb ze strany státních aktérů, profilování zařízení s cílem pochopit, jak se chovají v síti, a vývoj systémů, které obohacují produkty Microsoftu o poznatky týkající se Internetu věcí.
„Žijeme v propojené době. Očekává se, že vše by mělo být propojeno, aby bylo možné poskytovat prostředí fungující v reálném čase, kdy se IT software připojuje k síti, která umožňuje tok dat OT do cloudu. Myslím, že právě v tom vidí Microsoft budoucnost, kdy bude vše propojeno s cloudem. To poskytuje možnosti přínosnější analýzy dat, automatizace a efektivity, kterých podniky dříve nemohly dosáhnout. Ohromná rychlost vývoje připojení těchto zařízení a neúplné inventáře a přehled organizací o těchto zařízeních často poskytují výhodnou pozici útočníkům,“ vysvětluje David Atch.
Nejlepší přístup v boji proti útočníkům, kteří se zaměřují na IT a OT, je zavedení principů nulové důvěry (Zero Trust) a udržování přehledu o zařízeních, přičemž je důležité porozumět tomu, co máte v síti a k čemu je to připojeno. Je zařízení vystaveno internetu? Komunikuje s cloudem? Nebo k němu může získat přístup někdo zvenčí? Pokud ano, máte prostředky k odhalení přístupu útočníka? Jak spravujete přístup zaměstnanců nebo dodavatelů, abyste zaznamenali případné anomálie?
Vzhledem k tomu, že správa oprav může být v některých organizacích nemožná nebo časově velmi náročná a některý software v komunitě operátorů není podporován, musíte možnosti ohrožení zabezpečení zmírňovat jinými opatřeními. Výrobce například nemůže snadno odstavit továrnu, aby něco otestoval a opravil.
Musím dodat, že tuto práci nedělám sám. Díky talentovanému týmu lidí, kteří se věnují výzkumu, proaktivnímu vyhledávání hrozeb a obraně, se můžu každý den dál učit.“