Orange stosuje własne rozwiązania do walki z cyberzagrożeniami i to daje przewagę

In-house’owe rozwiązania często są skuteczniejsze w ochronie sieci telekomunikacyjnej przed cyberzagrożeniami ‒ uważa Przemysław Dęba, dyrektor cyberbezpieczeństwa w Orange Polska. Wynika to ze specyfiki lokalnych zagrożeń, które niekoniecznie są identyczne z tym, co się dzieje na świecie do czego muszą się dopasować dostawcy globalnych rozwiązań. Filtrowanie cyberzagrożeń na poziomie sieci, to nie tylko oszczędzanie technicznych zasobów operatora, ale ‒ i to przede wszystkim ‒ szansa na wyższą jakość usług abonenckich. Aczkolwiek na horyzoncie widać trendy, które mogą odebrać telekomom wszelką sprawczość w tym zakresie.

To kolejny tekst w ramach cyklu „Cyberbezpieczeństwo” realizowanym w naszej współpracy z serwisem TELKO.in oraz Orange.

 

GSMONLINE.PL/TELKO.in: Niedawno jedną z bliskich mi osób o mało co nie „zrobili” na fałszywą stronę banku. Dosyć sprytnie ją podeszli: na podstawie anonsu w serwisie ogłoszeniowym wyłudzili dane dostępowe do banku, przewalutowali pewną kwotę pieniędzy na złote a potem zgłosili się po tę „nadpłatę”. Dopiero kiedy poprosili o kod BLIK, niedoszłej ofierze zapaliła się ostrzegawcza lampka…

 

PRZEMYSŁAW DĘBA, dyrektor cyberbezpieczeństwa w Orange Polska: Oryginalny scenariusz; chyba po raz pierwszy o takim słyszę. Ale widać, że to nie był klient Orange Polska.

 

 

W przypadku waszego klienta jak by to wyglądało?

 

Pod jaką domeną znajdowała się fałszywa strona banku?

 

Dokładnie nie pamiętam, ale faktycznie URL nie miał nic wspólnego z nazwą banku. To umknęło ofierze.

 

Gdyby ten klient korzystał z dostępu do internetu w sieci Orange, to jest duża szansa, że fałszywa domena byłaby zablokowana. O ile mi wiadomo, większość operatorów w Polsce korzysta z listy fałszywych domen dostarczanej przez CERT Polska. My, poza tą listą, korzystamy z własnego narzędzia opartego na machine learning, dzięki któremu sami wychwytujemy i blokujemy po kilkaset fałszywych domen dziennie ‒ nie tylko kilka razy więcej niż inni ISP, ale przede wszystkim znacznie szybciej.

 

Ile jest teraz domen na czarnej liście Orange?

 

To się zmienia dynamicznie. Mogę powiedzieć, że w ubiegłym roku zablokowaliśmy ponad 360 tys. domen (na które chciało wejść 5,5 miliona internautów).

 

Czy skomplikowanie systemu filtracji zagrożeń jest wprost proporcjonalne do wielkości sieci, którą zarządzacie?

 

To jest skomplikowane przede wszystkim z powodu wielkiej ilości zdarzeń. W sieci Orange codziennie notujemy miliardy zapytań o domeny, w tym ponad milion to domeny nowe. Z tego miliona każdego dnia robimy ekstrakcję ok. 500 domen związanych z phishingiem z czego 400 jest kwalifikowane pełnym automatem, a około 100 podlega ręcznym weryfikacjom. Nie wolno się pomylić, żeby nie zablokować użytkownikom prawidłowych funkcji sieci. To spora odpowiedzialność.

 

Zdarzały się błędy?

 

Zdarzały się, ale mechanizmy są dokładnie monitorowane. Takie przypadki są wyłapywane w czasie rzeczywistym i naprawiane. Bez rozwiązań machine learning skuteczne filtrowanie takiej ilości danych jest dzisiaj praktycznie niemożliwe.

 

To musi pochłaniać duże zasoby sprzętowe.

 

Bynajmniej. Kluczem jest precyzja reguł filtrowania i tempo wprowadzenia do systemu identyfikatorów ‒ najlepiej jeszcze przed atakiem, a w każdym razie najszybciej, jak się da, po rozpoczęciu ataku. Jeżeli identyfikatory wprowadzi się zbyt późno to, mówiąc kolokwialnie, kto miał zostać okradziony, to już został okradziony.

 

To znaczy, że ochrona sieci telekomunikacyjnej wielkości Orange, to zadanie podobne do ochrony sieci lokalnego ISP?

 

Nie ująłbym tego dokładnie w ten sposób (zwłaszcza jeżeli chodzi o ataki typu DDoS), ale phishing jest jednak atakiem jakościowym i tutaj na pewno kluczem  skutecznej ochrony jest inteligencja rozwiązań a nie sam potencjał infrastruktury.

 

No właśnie. To jakie jeszcze hakerskie sztuczki można odfiltrować na poziomie sieci telekomunikacyjnej?

 

Filtrujemy ataki malware’owe potocznie znane jako wirusy. Narzędzia ochronne, podobnie jak w phishingu, oparte są na mechanizmach serwerów domen DNS, chociaż czasem korzysta się również z mechanizmów protokołu BGP. Wychwytujemy zagrażający ruch i przekierowujemy na specjalnie przygotowane, własne serwery, gdzie możemy obserwować i badać narzędzia jakie stosują cyberprzestępcy.

 

Czego się można z tego dowiedzieć?

 

Jeżeli tzw. centrum dowodzenia w sieci malware’owej uzna naszą podstawioną maszynę za zakażoną (za bota), to zaczyna się z nią komunikować. A my widzimy jakiego rodzaju komendy wysyła, jakiego rodzaju czynności próbuje dokonać, jakiego rodzaju dane próbuje wykraść… W przypadku niektórych zagrożeń udaje się „wkręcać” do takiej sieci poprzez przejęcie kontroli nad jej zainfekowaną końcówką. Kiedy taka sieć inicjuje atak (na przykład na jakiś bank), to można uzyskać informacje o tym kilka minut czy kilka sekund wcześniej i rozpocząć przeciwdziałania.

 

 

Przestępcy nie są w stanie zorientować się, że sami są śledzeni?

 

To jest raczej trudne. Badacze i organy ścigania próbują niekiedy pójść jeszcze dalej, przejmując kontrolę i zasoby na samym centrum dowodzenia. Z cyberprzestępcami prowadzi się swoistą grę. W sieci Orange dysponujemy strukturą tzw. honey potów, czyli urządzeń z celową podatnością sieciową. Z pełną premedytacją pozwalamy się na nie włamać i analizujemy, co robią cyberprzestępcy. Izolujemy adres IP, z którego się łączą, dopóki podejrzane działania trwają. Dzięki temu ograniczamy sporo ataków, które potencjalnie mogłyby się zdarzyć.

 

Dużo takich adresów obserwujecie?

 

Zazwyczaj na kwarantannie jest kilkanaście tysięcy adresów IP.

 

Przez naszą rozmowę przewinął się problem ataków DDoS…

 

Notujemy ich kilkaset dziennie. Wbrew pozorom ataki DDoS także mają charakter jakościowy. Można je skonstruować tak, że nawet niewielki wolumenowo, ale dobrze wymierzony atak obezwładni ofiary. Walka z DDoS jest o tyle łatwiejsza, że faktycznie zależy od infrastrukturalnego potencjału operatora: im jest większy, tym łatwiej mu się bronić. W dużej sieci telekomunikacyjnej jest kilka linii obrony, są też duże węzły dostawców treści (CDN), które także pomagają neutralizować ataki DDoS.

 

Macie także dużo klientów, dużo końcowych użytkowników internetu, dużo treści… To nie eksponuje Orange na większą liczbę groźnych ataków, niż mniejszych operatorów?

 

Liczy się pojedynczy atak DDoS, bo one raczej się nie kumulują. A tutaj kluczowa jest „wielowarstwowość” obrony.

 

Phishing, malware, DDoS… Jakiego typu ataki można jeszcze filtrować na poziomie sieci telekomunikacyjnej?

 

Nie zapominajmy o smishingu. Na SMS ludzie reagują szybciej i chętniej niż na wiadomości e-mail. Fałszywych SMS-ów blokujemy po około 50 tys. tygodniowo. Zgodnie z przepisami ustawy o zwalczaniu nadużyć w komunikacji elektronicznej korzystamy z wzorców, które dostarcza CERT Polska, jak również z własnych źródeł.

 

Jakie są proporcje obu tych źródeł?

 

Oba są dla nas istotne. W Orange mamy bezpośredni wgląd w ruch sieciowy, więc możemy sami wychwytywać wzorce i szybko na nie reagować.

 

Który z typów ataku, o jakich rozmawialiśmy, stanowi największe wyzwanie na poziomie zarządzania siecią?

 

Nie widzę dużych różnic. W każdym przypadku kluczowa jest poprawność reguł filtrowania i szybkość ich implementacji. W Orange koncentrujemy się nad zagrożeniami dotykającymi polskiego internetu i dlatego ‒ uważam ‒ że zapewniamy wyższy poziom ochrony niż telekomy korzystające z globalnych rozwiązań, gdzie siłą rzeczy  najlepiej filtrowane są zagrożenia typowe w skali światowej. Tymczasem Polska jest na tyle dużym krajem, aby być celem wyspecjalizowanych ataków wymierzonych tylko w polski internet i tylko w polskich użytkowników. To wymaga koncentracji na tym „kawałku” internetu (jest wiele firm badawczych poza Orange w Polsce, które robią to świetnie).

 

Co można zrobić lepiej lokalnie, czego nie potrafi dostawca rozwiązań globalnych?

 

Nie mówimy o „lepiej”, mówimy o koncentracji na lokalnej specyfice. Dla globalnego dostawcy, który chciałby tak obsłużyć każdy kraj, oznaczałoby to gigantyczne koszty. Rozpoczęliśmy naszą rozmowę od konkretnego ataku na użytkownika internetu w Polsce. Z dużą dozą prawdopodobieństwa można założyć, że globalny dostawca nie blokował tej fałszywej domeny, podczas gdy w sieci Orange Polska byłaby ona blokowana.

Dodam jeszcze, że drugim elementem sieci, na którym można bardzo wiele zrobić są urządzenia końcowe. Spójny system ochrony (bo żadna pojedyncza metoda nie jest idealna) powinien obejmować zarówno sieć, jak i terminale użytkowników.

 

Z tysiąca systemów IT jakie (podobno) działają w Orange Polska, ile służy cyberochronie?

 

Jak wspominałem, jeżeli chodzi o cyberbezpieczeństwo, rzecz jest w jakości a nie w ilości. Rozwijamy własny system, który obejmuje zarówno threat intelligence, detekcję, jak i reakcję w sieci publicznej. W systemie wykorzystujemy również sporo znanych społeczności komponentów open source ‒ zero komercyjnych produktów.

 

Na ile to jest strategia typowa dla telekomów?

 

Z tego co wiem, to w Polsce nie jest typowa. Muszę jednak powiedzieć, że w podobny sposób zaczynają myśleć także inne spółki w Grupie Orange.

 

W jaki sposób udało się wypracować tak unikalną strategię?

 

To koincydencja kilku zjawisk. Przede wszystkim w firmie zawsze była dobra atmosfera dla działań związanych z ochroną sieci i klientów. Mamy własny CERT, który liczy już prawie 30 lat i jest nie mniej doświadczony, niż zaprzyjaźniony z nami zespół CERT Polska. Poza tym efekty pracy można komercjalizować, zarówno w postaci CyberTarczy, która stanowi wyróżnik naszej usługi dostępowej, czy bardziej zaawansowanych rozwiązań dla biznesu.

 

Pana zdaniem to jest przyszłość cyberbezpieczeństwa w telekomach? 

 

Trudno mi powiedzieć. Na pewno można również obserwować bagatelizowanie tego obszaru i traktowania jako jeszcze jednej usługi dodanej, która wyłącznie ma się sprzedać.

Obserwuję jeszcze jeden wyraźny trend, którego finałem może być odebranie telekomu możliwości działania w obszarze cyberbezpieczeństwa.

 

Co pan ma na myśli?

 

Działania tak zwanych Big Techów, które przejmują kontrolę nad kolejnymi obszarami ruchu sieciowego. Publiczny DNS? Już niejeden użytkownik uważa, że komercyjne firmy mają sprawniej działające serwery domen. Wydawcy przeglądarek internetowych zachęcają do korzystania z protokołu DNS over HTTPS, przez co operator traci widoczność ruchu sieciowego. Podobny jest skutek działania telefonów komórkowych z funkcjami anonimizującymi internautów. Niebawem jeszcze operatorzy stracą kontrolę nad komunikacją tekstową, kiedy RCS wyprze SMS-y.

 

Czy to ma skutki czysto biznesowe?

 

Owszem, jeżeli komercyjna usługa bazuje, na przykład, na DNS. W takiej sytuacji operator może stracić możliwość oferowania usług w rodzaju kontroli rodzicielskiej.

 

Macie na to jakiś wpływ?

 

To wynika z wyboru użytkowników końcowych, którzy (nie wiedzieć czemu) często uważają, że globalna firma technologiczna może zrobić dla nich coś więcej lub lepiej niż lokalny podmiot ‒ poddany lokalnym przepisom prawa i lokalnym urzędom regulacyjnym (jakby najwięcej phishingu nie było właśnie na największych portalach społecznościowych, w największych serwisach wideo, czy w największych wyszukiwarkach internetowych). Współczuję też polskiej policji i prokuraturze, jeżeli będzie musiała pytać Big Techy o użytkowników i generowany przez nich ruch w sieci...

Telekomy stopniowo tracą narzędzia przeciwdziałania cyberprzestępstwom i źródło inteligencji jakim te narzędzia zasilają. Pozostaje nam ostatni przyczółek…

 

Jaki?

 

Domowe urządzenia abonenckie, które również mogą być elementem platformy cyberochrony. Do tej pory główną barierą była wydajność tych urządzeń. Dzisiaj to jest jeszcze w powijakach, chociaż są już na rynku routery, które realizują funkcję cyberochrony.

 

Co wam daje dostęp do urządzeń domowych? Przecież ruch nadal realizowany jest w sieci.

 

Zyskujemy dodatkowe narzędzia zarządzania tym ruchem, czym można równoważyć negatywne trendy, o których wspomniałem wcześniej. Jeżeli zaś klient się zgodzi, to możemy mu pomóc w zarządzaniu i zabezpieczaniu jego sieci domowej.

 

Planujecie takie rozwiązania w urządzeniach domowych pod marką Orange?

 

W Grupie Orange szykujemy się do wprowadzenia na CPE otwartego systemu operacyjnego, co otwiera drogę do bardzo różnorakich rozwiązań, w tym z zakresu cyberbezpieczeństwa.

 

Działania Big Techów często oznaczają regulacje. Na ile w pana pracy ważą ostatnio dokonane i jeszcze planowane zmiany w prawie dotyczące bezpieczeństwa w sieci?

 

Istnieje bazowy zestaw regulacji: niegdyś Prawo telekomunikacyjne, teraz Prawo komunikacji elektronicznej. W dziedzinie cyberbezpieczeństwa ani jedno, ani drugie za dużo nie pomaga... Jest także dyrektywa NIS, która nakłada obowiązek raportowania incydentów sieciowych; jest też RODO, które dotyczy ochrony informacji osobowych.

Z najświeższych aktów prawnych ważna jest ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. To jest ewenement na skalę europejską. Nie znam kraju,  w którym oferowano by pakiet cyberbezpieczeństwa na zasadzie usługi publicznej (na skalę globalną punktem odniesienia jest Australia).

 

Ekosystem prawny jest dosyć dynamiczny. Trudno zanim nadążyć?

 

W Orange, gdzie wiele w tym obszarze robimy od lat, nie jest to znowu takie trudne. Zbliża się wdrożenie dyrektywy NIS2 i też nie spodziewam się, żeby to było dla nas kłopotliwe, bo pod wieloma względami jesteśmy już gotowi.

 

Jak się pan odnajduje w tym prawnym ADHD?

 

Problematyka jest ważna, więc rozumiem zainteresowanie decydentów. Nie negując potrzeby regulacji, życzyłbym sobie tylko, żeby ustawy i dyrektywy nie przesłaniały tego co realnie dzieje się w sieci i z jakimi zagrożeniami mamy dzisiaj do czynienia. Bo to niekoniecznie jest to samo. Dostawcy usług sieciowych mają identyfikować prawdziwe zagrożenia i je neutralizować, a nie zastanawiać się jakie procedury wynikają z ostatnich aktów prawnych i jak się do nich dostosować. Nie chciałbym aby w pionach bezpieczeństwa prawnicy zaczęli wypierać inżynierów.

 

Ostatnie pytanie. Gdzie leży punkt ciężkości cyberbezpieczeństwa na poziomie sieciowym: na dbałości o nieprzeciążanie sieci zbędnym ruchem, czy na bezpieczeństwie klientów (czytaj: na jakości usług)?

 

Bez wątpienia ważne są obydwa czynniki, ale bez filtrowania ruchu nasza sieć też nie uległaby przeciążeniu (z tego punktu widzenia najważniejsze jest pewnie blokowanie ataków DDoS). Korzyści po stronie jakości usług są zdecydowanie wyraźniejsze. Dodam, że klient końcowy niekoniecznie sobie jeszcze zdaje z tego sprawę. Świadomość cyberzagrożeń rośnie powoli.

 

Dziękujemy za rozmowę.

rozmawiali Łukasz Dec i Wojciech Piechocki

 

To materiał sponsorowany - powstał na zlecenie firmy Orange Polska.