Jaka przyszłość czeka cyberbezpieczeństwo w erze rosnącej dominacji sztucznej inteligencji (AI) i komputerów kwantowych? Jaki wpływ będą miały te zaawansowane technologie na równowagę sił między cyberprzestępcami a specjalistami od cyberbezpieczeństwa? Jakie wyzwania i możliwości stwarzają te technologie? W kontekście tych zagadnień, rozmawiamy z Michałem Przygodą, Sales Engineerem w Trend Micro.

Bartosz Martyka, BrandsIT: Jak AI i komputery kwantowe wpłyną na cyberbezpieczeństwo? Czy połączenie tych dwóch technologii zwiększy bezpieczeństwo, czy też obie strony – zarówno atakująca, jak i chroniąca – będą dysponowały taką samą bronią, wobec czego nie zmieni to sytuacji?

Michał Przygoda, Trend Micro: Komputery kwantowe to nowy sposób przetwarzania danych, który na pewno znacząco wpłynie na rozwój możliwości AI, czyniąc je skuteczniejszymi i efektywniejszymi. AI, jako dynamicznie rozwijająca się technologia, przekracza dziś wyobrażenia sprzed kilku lat. AI coraz częściej jest wykorzystywana zarówno przez cyberprzestępców, jak i firmy zajmujące się cyberbezpieczeństwem. Jest to ciągła walka między dobrem a złem, gdzie AI otwiera możliwości dla obu stron.

„AI, jako dynamicznie rozwijająca się technologia, przekracza dziś wyobrażenia sprzed kilku lat.”

Kluczowe jest, aby organizacje śledziły rozwój tych technologii i nie pozostawały w tyle. Dzisiejsze zaawansowane systemy bezpieczeństwa wykorzystują AI do efektywnego wykrywania zagrożeń i minimalizowania fałszywych alarmów, co pozwala na szybsze reagowanie w przypadku ataków. Porównując obecne metody z tymi sprzed kilku lat, widzimy znaczącą oszczędność czasu i zasobów.

Obie strony konfliktu cybernetycznego korzystają z AI – zarówno cyberprzestępcy, jak i firmy zajmujące się cyberbezpieczeństwem. Ataki stają się bardziej zautomatyzowane i zoptymalizowane dzięki AI. Dlatego ważne jest, aby nie ustępować pola i wykorzystywać najnowsze technologie w naszych organizacjach.

Bartosz Martyka, BrandsIT: Czy będzie tak, że AI zdominuje ludzkość? To taka fatalistyczna teoria, ale czy uważasz, że powstanie jeden system, który będzie odpowiadał za globalne cyberbezpieczeństwo i żadne dodatkowe aplikacje nie będą potrzebne?

Michał Przygoda, Trend Micro: Przewidywanie dalekosiężnej przyszłości AI jest trudne, ale obecnie nie ma powodów do obaw o dominację AI nad ludzkością. Sztuczna inteligencja dzisiaj opiera się głównie na zaawansowanych mechanizmach statystycznych i analizie ogromnych ilości danych. Wydaje się, że jeszcze daleko jej do osiągnięcia poziomu prawdziwej inteligencji. AI jest jednak skutecznym narzędziem, które możemy wykorzystywać do usprawnienia pracy i procesów. Nie spodziewam się, że w najbliższej przyszłości powstanie jeden globalny system AI, który wyeliminuje potrzebę innych systemów czy aplikacji. Niemniej, AI z pewnością będzie coraz szerzej stosowana w różnych systemach i aplikacjach, zwiększając ich efektywność i funkcjonalność.

„Przewidywanie dalekosiężnej przyszłości AI jest trudne, ale obecnie nie ma powodów do obaw o dominację AI nad ludzkością.”

Bartosz Martyka, BrandsIT: Myślisz, że ludzie będą jeszcze potrzebni w obszarze cyberbezpieczeństwa, czy AI całkowicie nas w tym zakresie wyręczy?

Michał Przygoda, Trend Micro: Ludzie zdecydowanie będą nadal potrzebni w cyberbezpieczeństwie. AI może wspierać i w pewnym zakresie zastępować ludzi, szczególnie w prostszych, monotonnych, powtarzalnych zadaniach, które czasami mogą wydawać się mniej atrakcyjne. Może to prowadzić do zmniejszenia ilości osób potrzebnych do wykonania określonych zadań, ale obecnie zapotrzebowanie na specjalistów z zakresu cyberbezpieczeństwa znacznie przewyższa dostępność kadr. Dlatego obecne wykorzystanie AI w cyberbezpieczeństwie należy traktować pozytywnie.

Sztuczna inteligencja jest skuteczna w analizie i przetwarzaniu dużych ilości danych, co jest kluczowe w cyberbezpieczeństwie. Jednak zawsze będą potrzebni ludzie do podejmowania decyzji, kształtowania polityki bezpieczeństwa i interpretacji skomplikowanych sytuacji. Na obecnym etapie nie ma obaw, że AI całkowicie zastąpi ludzi w tej dziedzinie.

Bartosz Martyka, BrandsIT: Jaki wpływ ma geopolityka na cyberbezpieczeństwo? Czy ataki, które dzisiaj mają miejsce, są bardziej finezyjne i wyrafinowane, czy raczej opierają się na standardowych, utartych ścieżkach, przed którymi możemy się zabezpieczyć w przewidywalny sposób?

Michał Przygoda, Trend Micro: Geopolityka odgrywa znaczącą rolę w dziedzinie cyberbezpieczeństwa. Przykładem może być konflikt na Ukrainie, który pokazuje, że cyberprzestrzeń stała się areną działań militarnych i wojennych. Inwestycje i nakłady finansowe na rozwój nowych rodzajów zagrożeń cybernetycznych są znaczne, a celem jest stworzenie ataków, które nie zostaną wykryte przez przeciwnika.

Pojawianie się nowych, niebezpiecznych kodów i wykorzystanie nowych podatności, tzw. 'zero-day exploits’, które nie są znane i na które nie ma jeszcze łatek bezpieczeństwa, znacznie potęguje ryzyko. Nowe techniki ataku mogą być wykorzystywane wielokrotnie nie tylko w kontekście konfliktów, ale również w atakach na różne cele na całym świecie. Wpływ geopolityki na rozwój cyberprzestępczości jest zatem bardzo duży i wpływa na dynamikę tego świata.

Bartosz Martyka, BrandsIT: W jaki sposób możemy się chronić?

Michał Przygoda, Trend Micro: Ochrona w zakresie cyberbezpieczeństwa powinna być podejmowana w sposób kompleksowy. Po pierwsze, kluczowe jest stworzenie i egzekwowanie odpowiedniej polityki bezpieczeństwa. Aby tę politykę skutecznie realizować i chronić nasze zasoby, potrzebne są dwa komponenty. Pierwszy to ochrona za pomocą systemów bezpieczeństwa IT, jak urządzenia typu firewall czy rozwiązania zainstalowane na stacjach końcowych. Ich zadaniem jest wykrywanie niebezpiecznego kodu, raportowanie zagrożeń i korelacja różnych typów informacji.

Drugi, równie istotna, to edukacja pracowników. Często zapominamy, że ludzki czynnik jest często najsłabszym ogniwem w cyberbezpieczeństwie. Możemy inwestować znaczne środki w zaawansowane systemy bezpieczeństwa, ale jeśli zaniedbamy szkolenie pracowników, aby byli świadomi potencjalnych zagrożeń i wiedzieli, jak postępować bezpiecznie, to mimo wszystkich zabezpieczeń organizacja może być podatna na ataki. Przykładem może być otwarcie szkodliwego załącznika w złośliwej wiadomości e-mailu, co może zainfekować system mimo obecności zabezpieczeń.

Dlatego powinniśmy działać dwutorowo: wdrażać skuteczne systemy bezpieczeństwa, śledzić rozwój rynku i wykorzystywać najnowsze technologie do przeciwdziałania zaawansowanym atakom, a jednocześnie regularnie szkolić pracowników, aby zwiększać ich świadomość w zakresie bezpiecznego obchodzenia się z danymi firmowymi.

Bartosz Martyka, BrandsIT: Jak Trend Micro radzi sobie z wyzwaniami związanymi z podatnościami w systemach informatycznych, zwłaszcza biorąc pod uwagę te, które są powszechnie znane, a także te bardziej ukryte, jak podatności typu zero-day? Czy możesz również opowiedzieć więcej na temat programu ZDI i jego roli w procesie ochrony przed podatnościami?

Michał Przygoda, Trend Micro: W Trend Micro skupiamy się intensywnie na kwestiach podatności oprogramowania. Prowadzimy m.in. program Zero Day Initiative (ZDI), który odgrywa kluczową rolę w naszym procesie identyfikacji i reagowania na podatności. Program ten, najogólniej mówiąc, polega na skupowaniu z rynku informacji o nowych  podatnościach. Jeżeli  ktoś  znajdzie  nową  podatność i chce  zachować się etycznie, to  może  ją  zgłosić  bezpośrednio  do  producenta albo  może  zgłosić  do  ZDI -a.  W ZDI procedura zgłaszania podatności jest bardzo prosta. My  weryfikujemy, czy  faktycznie  jest to  nowa  podatność. Następnie zgłaszamy do danego  producenta  informację  o  danej  podatności.  Oczywiście osobie, która zgłosiła podatność, wypłacamy  wynagrodzenie  za  czas i za  wiedzę,  jaką  musiała  zdobyć, żeby daną podatność zdobyć. Wykorzystujemy  też  te  informacje,  żeby  chronić  naszych  klientów. Warto zwrócić uwagę i poddać analizie ataki z ostatnich lat, zwłaszcza te, które wyrządziły największe szkody, większość z nich wykorzystywała istniejące podatności. Dlatego istotne jest, aby systemy operacyjne i inne usługi były regularnie aktualizowane, choć rozumiemy, że w większych firmach może to być proces skomplikowany i czasochłonny.

Podatności możemy podzielić na dwie kategorie: zero-day, o których nikt nie wie i które są rzadziej wykorzystywane, oraz te powszechnie znane, które są dużo bardziej niebezpieczne dla przeciętnych organizacji. W przypadku powszechnie znanych podatności, informacje o nich są łatwo dostępne w Internecie, co zwiększa ryzyko ataków.

Naszym rozwiązaniem jest tzw. wirtualny patching, który chroni serwery przed atakami wykorzystującymi znane podatności, dopóki nie zostanie zastosowana fizyczna łatka. To zapewnia ochronę w okresie pomiędzy wykryciem podatności a momentem, gdy możliwe jest zastosowanie oficjalnej łatki.

„Naszym rozwiązaniem jest tzw. wirtualny patching, który chroni serwery przed atakami wykorzystującymi znane podatności, dopóki nie zostanie zastosowana fizyczna łatka.”

Ponadto, Trend Micro Research, zespół ponad 1200 osób, stale analizuje darknet i cyberprzestrzeń, identyfikując nowe typy ataków i niebezpiecznego kodu. Dzięki inicjatywie Zero Day Initiative zbieramy informacje o nowych podatnościach, nagradzając odkrywców i jednocześnie informując producentów o wykrytych podatnościach. Te informacje są nieocenione w tworzeniu wirtualnych patchy, które chronią systemy naszych klientów.

Bartosz Martyka, BrandsIT: Jakie wyzwania związane z implementacją AI i automatyzacji w zakresie cyberbezpieczeństwa najczęściej napotyka biznes?

Michał Przygoda, Trend Micro: Obecnie  AI w organizacjach stosowana jest najczęściej jako rozszerzenie możliwości istniejących aplikacjach, dokowanych do realizacji określonych zadań . Moduł AI w tych aplikacjach ma na celu zwiększenie ich skuteczności, dokładności i szybkości działania. Natomiast jeśli chodzi o automatyzację, obserwujemy jej znaczący wpływ, szczególnie w obszarze tworzenia oprogramowania. Firmy coraz częściej stosują metodykę DevOps, charakteryzującą się szybkimi i częstymi aktualizacjami oprogramowania. To podejście wiąże się z dynamiczną zmianą sposobu tworzenia oprogramowania, gdzie korzysta się z gotowych komponentów, w tym elementów open source.

Jednakże wykorzystanie gotowych komponentów niesie ryzyko bezpieczeństwa, szczególnie jeśli chodzi o zewnętrzne biblioteki, które mogą zawierać szkodliwy kod. Wyzwanie polega na weryfikacji bezpieczeństwa tych elementów, gdyż kompromitacja jednej biblioteki może wpłynąć na bezpieczeństwo wielu firm, w tym tych w łańcuchu dostaw.

Innym aspektem związanym z dynamicznym wytwarzania kolejnych wersji oprogramowania, jest weryfikacja podatności. Musimy regularnie sprawdzać, czy nowo wdrożone oprogramowanie nie zawiera nowych podatności. Wymaga to stosowania nowych narzędzi i metod, które są elastyczne i mogą być nieinwazyjnie wkomponowane w proces DevOps, często za pomocą interfejsów API.

Bartosz Martyka, BrandsIT: Jak Trend Micro wykorzystuje AI i automatyzację w swoich produktach i usługach?

Michał Przygoda, Trend Micro: W rozwiązaniach Trend Micro intensywnie wykorzystujemy AI i technologie automatyzacji. Naszym flagowym produktem jest Platforma Trend Vision One, której serce stanowi system XDR. System ten zbiera dane telemetryczne z różnych elementów infrastruktury, w tym stacji końcowych, serwerów i systemów ochrony poczty, a także z sond sieciowych. Analiza i korelacja tych ogromnych ilości danych to kluczowe zadanie, w którym AI i techniki uczenia maszynowego odgrywają nieocenioną rolę. Dzięki tym technologiom jesteśmy w stanie wyciągnąć wartościowe informacje z morza danych, identyfikując konkretne zdarzenia stanowiące zagrożenie i eliminując fałszywe alarmy.

Ponadto, AI jest także wykorzystywana do wsparcia klientów korzystających z naszej platformy. Na przykład, poprzez czat mogą zadawać pytania AI dotyczące interpretacji konkretnych zdarzeń bezpieczeństwa. Po wykryciu ataku lub incydentu bezpieczeństwa przez platformę, AI może dostarczyć szczegółowe informacje i pomóc zinterpretować łańcuch przyczynowo-skutkowy zdarzeń. 

Bartosz Martyka, BrandsIT: Jakie porady mógłbyś dać managerom IT w zakresie przygotowania się na nadchodzące wyzwania w cyberbezpieczeństwie?

Michał Przygoda, Trend Micro: W kontekście środowisk chmurowych, kluczowe jest zapewnienie właściwej konfiguracji i świadomość podziału odpowiedzialności. Coraz więcej ataków w środowiskach chmurowych związana jest z ich niepoprawną konfiguracją. Zatem pierwszym krokiem jest upewnienie się, że infrastruktura chmurowa jest odpowiednio zabezpieczona i skonfigurowana.

„W kontekście środowisk chmurowych, kluczowe jest zapewnienie właściwej konfiguracji i świadomość podziału odpowiedzialności.”

Następnie, w obliczu wprowadzenia Dyrektywy NIS 2, ważne jest, aby organizacje objęte tą regulacją skupiły się na ciągłej analizie ryzyka. NIS 2 wymaga od firm prowadzenia takiej analizy, co może być wyzwaniem. W tym kontekście warto rozważyć wykorzystanie platformy Trend Vision One, która oprócz zbierania danych telemetrycznych i korelacji informacji w celu wykrywania ataków, oferuje także ciągłą analizę ryzyka. Ta analiza jest dostępna zarówno dla całej organizacji, jak i dla poszczególnych użytkowników czy stacji roboczych. Dzięki temu Trend Vision One umożliwia łatwe wdrożenie i zarządzanie analizą ryzyka, co jest wielkim wyzwaniem, szczególnie w mniejszych i średnich organizacjach, gdzie zasoby ludzkie mogą być ograniczone.

Bartosz Martyka, BrandsIT: Dziękuję za rozmowę.

Michał Przygoda – Sales Engineer w Trend Micro  – Od ponad 15 lat związany z branżą IT. Jako inżynier wsparcia sprzedaży odpowiedzialny jest za wsparcie klientów oraz partnerów podczas całego procesu implementacji technologii bezpieczeństwa oferowanych przez Trend Micro – począwszy od analizy i definicji potrzeb, po implementację i utrzymanie systemu. 
Doświadczenie zawodowe zdobywał w podczas licznych projektów z zakresu bezpieczeństwa teleinformatycznego realizowanych na rzecz największych instytucji i firm w Polsce. Przed rozpoczęciem pracy w Trend Micro w maju 2017 r. zatrudniony był w takich firmach jak McAfee czy Comp S.A.