Kariera Davida Atcha w dziedzinie zabezpieczeń i jego droga do firmy Microsoft jest dość nietypowa. „Zaczynałem w izraelskich siłach zbrojnych w roli związanej z cyberbezpieczeństwem: obroną przed atakami i wyszukiwaniem zagrożeń. Wymagało to przede wszystkim reagowania na zdarzenia, zbierania danych dowodowych i interakcji z przemysłowymi systemami kontroli”.
Podczas służby w izraelskich siłach zbrojnych Atch poznał dwóch współpracowników, którzy założyli później firmę CyberX zajmującą się zabezpieczeniami przemysłowej infrastruktury IoT i OT. Po zakończeniu swojej służby został przez nich zrekrutowany. „Żartuję, że nigdy nie byłem na rozmowie kwalifikacyjnej. Armia nie przeprowadza rozmów, tylko rekrutuje. Zostałem zrekrutowany przez CyberX, a potem Microsoft przejął firmę, więc nigdy nie odbyłem formalnej rozmowy kwalifikacyjnej. Nie mam nawet CV”.
„Niemal wszystkie ataki, które zaobserwowaliśmy w zeszłym roku, zaczęły się od uzyskania dostępu do sieci informatycznej, a z niej do środowiska OT. Zabezpieczenia infrastruktury krytycznej są globalnym wyzwaniem, dla którego trudno znaleźć rozwiązanie. Musimy wykazać innowacyjne podejście do tworzenia narzędzi i prowadzenia badań, aby dowiedzieć się więcej o tego typu atakach.
Zadania Atcha w firmie Microsoft skupiają się na zagadnieniach związanych z zabezpieczeniami infrastruktury IoT i OT. Obejmują badanie protokołów, analizę złośliwego oprogramowania, badanie luk w zabezpieczeniach, wyszukiwanie zagrożeń ze strony państwowych grup hakerskich, profilowanie urządzeń, aby zrozumieć ich zachowanie w sieci, i tworzenie systemów, które wzbogacą produkty firmy Microsoft o wiedzę z zakresu Internetu rzeczy.
„Żyjemy w erze połączenia. Istnieje oczekiwanie, że wszystko powinno być połączone, aby zapewnić środowisko działające w czasie rzeczywistym, w którym oprogramowanie technologii IT łączy się z siecią, umożliwiając przepływ danych technologii OT do chmury. Sądzę, że Microsoft w tym właśnie widzi przyszłość, w połączeniu wszystkiego w chmurze. To zapewni bardziej wartościową analizę danych i wydajność, jakiej przedsiębiorstwa nie były w stanie wcześniej osiągnąć. Przewaga atakujących wynika często z niesamowitej szybkość, z jaką następuje ewolucja tych połączonych urządzeń, oraz niepełnego obrazu i widoczności tego procesu, którymi dysponują organizacje” — wyjaśnia Atch.
Najlepszym podejściem w walce z atakującymi obierającymi za cel infrastrukturę IT i OT jest model Zero Trust i widoczność urządzeń — krytyczne jest zrozumienie elementów sieci i ich połączeń. Czy urządzenie jest narażone na zagrożenia przez Internet? Czy komunikuje się z chmurą lub czy ktoś może uzyskać dostęp z zewnątrz? Jeśli tak, czy masz środki, aby zauważyć dostęp atakującego? Jak zarządzasz dostępem pracowników lub wykonawców, aby zauważać anomalie?
W niektórych organizacjach zarządzanie poprawkami może być niemożliwe lub wysoce czasochłonne, a część oprogramowania w społeczności operatora jest nieobsługiwana. Dlatego ograniczanie luk w zabezpieczeniach musi przebiegać przy użyciu innych środków. Na przykład producent nie może po prostu zamknąć fabryki, aby przeprowadzić testy i zastosować poprawki.
Muszę dodać, że nie zajmuję się tym sam. Pracując z utalentowanym zespołem badaczy, analityków zagrożeń i specjalistów ds. ochrony, codziennie nadal się uczę”.
