Експерт: Девід Атч
Кар’єра Девіда Атча у сфері безпеки та його шлях до корпорації Майкрософт нетиповий для більшості: "Я починав в Армії оборони Ізраїлю (ЦАХАЛ) на посаді фахівця з кібербезпеки, відповідаючи за захист від атак і відстеження загроз. Я багато займався реагуванням на інциденти, криміналістикою і взаємодією з промисловими системами керування".
Під час служби в ЦАХАЛі Атч познайомився з двома колегами, які згодом заснували фірму CyberX, що займається питаннями промислової безпеки IoT й ОТ. Пізніше, після закінчення служби в ЦАХАЛі, його прийняли на роботу в CyberX. "Я жартую, що ніколи не був на співбесіді. В армії не проводять співбесід, а просто беруть на службу. CyberX найняла мене, а потім корпорація Майкрософт придбала компанію, тому я ніколи не проходив офіційної співбесіди. У мене навіть резюме немає".
"Майже всі атаки, які ми спостерігали протягом останніх років, починалися з доступу до IT-мережі, що використовувалася в OT-середовищі. Безпека критичної інфраструктури – це глобальний виклик, який вимагає значних зусиль. Ми маємо бути інноваційними у створенні інструментів та проведенні досліджень, щоб дізнатися більше про ці типи атак.
Робота Атча в корпорації Майкрософт зосереджена на питаннях, пов’язаних із безпекою IoT та OT. Вона включає вивчення протоколів, аналіз шкідливого програмного забезпечення, дослідження вразливостей, проактивний пошук загроз державного рівня, профілювання пристроїв для визначення особливостей їх поведінки в мережі та розробку систем, які збагачують продукти Microsoft знаннями про IoT.
"Ми живемо в епоху глобальної взаємодії. Очікується, що всі елементи мають бути пов’язані, щоб забезпечити роботу в режимі реального часу, коли ІТ-програмне забезпечення підключається до мережі, що дає змогу передавати дані з відкритих джерел у хмару. Я думаю, що корпорація Майкрософт бачить майбутнє саме так – усе підключено до хмари. Підприємства отримують більш цінну аналітику даних, автоматизацію та ефективність, яких не могли досягти раніше. Надзвичайна швидкість розвитку технологій зв’язку пристроїв, а також їх неповна інвентаризація та контроль в організаціях часто створюють можливості для зловмисників", – пояснює Атч.
З огляду на це найкращим підходом до боротьби зі зловмисниками, націленими на ІТ й ОТ, є нульова довіра та видимість пристроїв. Критично важливо розуміти, що входить до складу мережі й до чого вона підключена. Чи має пристрій доступ до Інтернету? Чи обмінюється він даними з хмарою? Чи може хтось отримати доступ іззовні? Якщо так, то чи маєте ви засоби для виявлення доступу зловмисника? Як ви керуєте доступом співробітників або підрядників до виявлення аномалій?
Оскільки в деяких організаціях керування виправленнями може бути неможливим або неймовірно трудомістким, а деяке програмне забезпечення не підтримується спільнотою операторів, усувати вразливості слід за допомогою інших заходів. Наприклад, виробник не може просто так зупинити завод, щоб протестувати й виправити певну функцію.
Варто додати, що я не виконую цю роботу самостійно. Щодня я дізнаюся щось нове від компетентної команди дослідників, відстежувачів загроз і захисників".