Česká společnost Taktik se věnuje podnikovým řešením od virtualizace až po bezpečnost. Bezpečnostní řešení umí nejen navrhnout, nasadit, řídit, ale i testovat a případného útočníka vysledovat. Hovořili jsme o tom se Zdeňkem Koptou, který má tyto technologie v Taktiku na starosti.
S čím se organizace nejčastěji potýkají při zajištění ochrany proti kybernetickým hrozbám?
Potíží je samozřejmě hodně, kdybychom začali tou největší, pak jsou to finance. K tomu se zároveň řadí velká komplexnost dnešního IT prostředí, většinou sestávajícího z historicky zděděných i nových systémů. V neposlední řadě pak propracovanost dnešních útoků.
Uvádíte, že rychle postavíte řešení, která jsou bezpečná, škálovatelná a přizpůsobitelná. Platí to jen pro nová řešení, nebo lze platformu pro řízení kybernetických rizik nasadit i pro zmíněná a v podstatě nejrozšířenější zděděná (legacy) řešení?
K zákazníkům přistupujeme individuálně a navrhujeme řešení, jaké by pro ně mělo být ideální. Samozřejmě to zahrnuje i vše, co už ve své infrastruktuře zákazník má. Pokud jsou jeho stávající systémy funkční a dávají smysl, zakomponujeme je do nového celku, který mu navrhneme. Pak ověříme vhodnost, nasadíme bezpečnostní řešení, zprovozníme a případně spolu s ním i spravujeme.
Spousta bezpečnostních řešení je asi dobrá, ale ukazuje se, že je potřeba je i centrálně sledovat a řídit. Vyhovuje vaše nabídka i tomu?
Určitě, nutnost řešení bezpečnosti správně nasadit, ale i potom řídit, je naprosto klíčová. Často se u zákazníků setkáváme s tím, že mají perfektní a drahý produkt, který ale není dobře nasazen, nebo se o něj nikdo pořádně nestará. Pak i ten nejlepší produkt, který má podle analytické společnosti Gartner hodnocení v pravém horním kvadrantu označujícím technologické vize a lídry, neposkytuje svoje služby, jak by měl. Jde o jeden z aspektů, kdy organizace nemá finance, v tomto případě na lidi, kteří by se o to měli starat. Zde vidíme o obrovský potenciál pro ML a AI, kdy je systém schopen autonomně fungovat. Výsledkem pak je, že zákazník nejen že dostane informaci o zranitelnosti, incidentu, zašifrování dat, ale správný autonomní systém je v dnešní době schopen takovým útokům i zabránit a včas uživatele upozornit.
Kybernetických útoků je dnes hodně druhů. Lze je také nějak simulovat, testovat případně které?
Útoky simulovat samozřejmě lze, my máme k tomu přímo určený produkt SimSpace. Dal by se charakterizovat jako kybernetická střelnice. Jde o přesný ekvivalent, když si do takové nějaké jdete cvičně zastřílet. Víte, jak se zbraň chová, jakou dá ránu. V případě SimSpace jde o testovací nástroj, které replikuje útoky na vaše virtuální provozní prostředí. Oproti penetračním testům je výhodou, že si můžete dovolit opravdu všechno, není problém toto virtuální prostředí útokem naprosto zbourat, abyste si vyzkoušel opravdu reálný průběh. Výsledkem je doporučení pro odstranění chyb v produkčním prostředí. Zároveň je přínos pro specialisty zákazníka v podobě informace, že útok si zažijí v reálu naživo, na vlastním testovacím prostředí. Odladí si v něm, jak se útoky projevují, odhalí zranitelnosti, a když se pak nějaká objeví v jejich produkčním prostředí, vědí, co mají dělat, jak útok zastavit, koho kontaktovat a jak dalšímu útoku předcházet.
Zdeněk Kopta, Taktik
Běží SimSpace on-site, v cloudu, nebo případně hybridně?
SimSpace běží v obojím prostředí a umíme se přizpůsobit požadavkům zákazníka. Ti, kteří spadají do kritické infrastruktury, armádní entity, samozřejmě požadují nasazení on-site, on-premise, tj. přímo v místě zákazníka. Banky zase typicky požadují cloudové nasazení v libovolném rozsahu, aby jej mohly škálovat podle potřeby.
Umí SimSpace nějak spolupracovat se SIEM (Security Information and Event Management)? Umíte s pomocí SimSpace také vysledovat útočníka a poskytnout důkazy?
SimSpace umí spolupracovat se SIEM, a to buď produkčním systémem zákazníka, nebo se nastaví jeho dvojník v testovacím prostředí. Jde však o testovací platformu, která neslouží k přímému sledování útoků na produkční prostředí, na to existují jiná řešení, například Attivo Networks. V případě Attivo Networks jde o řešení, které útočníka přímo naláká na návnady, nebo jej nasměruje přímo tam, kam chceme, kde už sledujeme jeho kroky a sbíráme důkazy. Typicky v případě insidera, který vynáší data, informace ven a chce poškodit systémy vlastní organizace.
Lze SimSpace nějak vyzkoušet, existuje nějaké demo?
Prakticky na všechna řešení z našeho portfolia nabízíme proof-of-concept (PoC) u zákazníka. Na jednu stranu jsou totiž unikátní, na českém a slovenském trhu relativně nová, takže si zákazník chce ověřit platnost našich tvrzení a slibů. Na druhou stranu při ověřování PoC u zákazníka často zjistíme věci, o nichž doposud neměl ani ponětí. Může jít o nedostatky v konfiguraci jeho infrastruktury, procesy, toky dat, o nichž netušil. Při PoC může získat informaci, která mu může pomoci s dimenzováním a vlastním fungováním jeho infrastruktury.