Robert Sell: “Najopasniji kibernetički napadi danas često ne aktiviraju nijedan alarm”
Jedan od gostiju Span Cyber Security Arene, koja se održava od 20. do 22. svibnja u Poreču govori o novoj generaciji cyber prijetnji, ulozi umjetne inteligencije, geopolitičkim cyber operacijama i tome zašto će identitet postati glavna meta budućih napada.
Robert Sell ne govori poput poznatog stručnjaka za kibernetičku sigurnost. Njegov rječnik više podsjeća na nekoga tko je godinama promatrao kako se sustavi raspadaju iznutra, tiho, postupno i gotovo uvijek neprimijećeno. Kada govori o modernim cyber prijetnjama, ne govori o budućnosti, nego o sadašnjosti koju većina organizacija još uvijek ne priznaje.
Sell, osnivač i predsjednik Trace Labsa te jedan od gostiju ovogodišnje Span Cyber Security Arene, smatra da posljednjih nekoliko godina nisu donijele samo rast broja prijetnji, već i radikalnu promjenu njihove prirode. Napadači danas “kombiniraju umjetnu inteligenciju s ljudskim slabostima, stvarajući modele napada koji su istovremeno skalabilni, jeftini i izuzetno učinkoviti”.
“Perimetar više praktički ne postoji”, kaže Sell.
Upravo ta asimetrija najviše zabrinjava sigurnosne stručnjake. Dok organizacije prolaze kroz spore procese zakrpavanja sustava i interne procedure, napadači eksploite pretvaraju u operativno oružje gotovo u realnom vremenu.
Sell smatra da većina kompanija i dalje ulaže disproporcionalno puno novca u prevenciju, dok zanemaruje ono što je ključno, “detekciju i odgovor na incidente”. Napredne prijetnje, upozorava, rijetko dolaze kroz “glavni ulaz”. Umjesto spektakularnih proboja, moderni APT napadi oslanjaju se na tiho zadržavanje unutar sustava mjesecima, ponekad i godinama.
“Najveća pogreška je pretpostaviti da je sve u redu samo zato što nema upozorenja”, objašnjava Sell. “U praksi je upravo tišina često najopasniji signal.”
Globalna politika
Geopolitika je pritom postala neodvojivi dio cyber prostora. Sell smatra kako današnje sofisticirane operacije nije moguće razumjeti bez razumijevanja globalnih političkih odnosa. Granice između državnih operacija i kriminalnih skupina, tvrdi Sell, više gotovo da ne postoje.
Rusija, Kina, Iran i Sjeverna Koreja razvili su potpuno različite modele djelovanja. Sjeverna Koreja koristi krađe kriptovaluta za financiranje programa razvoja oružja, dok Iran cyber kampanje povezuje s diplomatskim pritiscima i regionalnim tenzijama. U takvom okruženju, kaže Sell, praćenje geopolitičkog kalendara često omogućuje predviđanje sljedećeg vala napada.
No najveći problem možda nije ono što je vidljivo, nego ono što je godinama ostalo izvan fokusa industrije.
Dok je korporativni IT sektor postajao sve otporniji, operativna tehnologija, sustavi koji upravljaju energetskim mrežama, proizvodnim pogonima ili postrojenjima za obradu vode, ostala je ranjiva i često potpuno nenadzirana. Mnogi od tih sustava nikada nisu ni dizajnirani sa sigurnosnim modelom na umu, a njihovo ažuriranje može ugroziti kontinuitet poslovanja.
“To je sporo razvijajuća kriza koja se skriva iza složenosti”, upozorava Sell.
Pesimistična predviđanja
Njegova predviđanja za sljedećih pet godina ne zvuče optimistično. Napadi će postati autonomniji, brži i teži za atribuciju. Umjetna inteligencija dramatično će sniziti cijenu sofisticiranih operacija, do razine na kojoj će alati koji su nekoć bili rezervirani za nacionalne države postati dostupni pojedincima.
A glavno bojište više neće biti mreže ni uređaji.
“Identitet postaje nova fronta”, kaže Sell. “Tko ste, kako se autentificirate i kako se povjerenje uspostavlja u stvarnom vremenu – upravo se tamo razvija sljedeća generacija napada.”
Ipak, Sellovo ime nije vezano samo uz cyber sigurnost. Trace Labs, organizacija koju je osnovao, izgradio je na ideji da se metode “open-source intelligencea” mogu koristiti za nešto mnogo konkretnije od korporativne sigurnosti, za pronalazak nestalih osoba.
Ideja je nastala iz frustracije. Sell je godinama promatrao koliko ogromna količina javno dostupnih podataka ostaje neiskorištena jer policijske agencije jednostavno nemaju kapacitete za njihovu obradu. Istovremeno je vidio potencijal OSINT zajednice i energije koja se okupljala oko CTF natjecanja.
Htio je stvoriti sustav koji će taj entuzijazam preusmjeriti prema stvarnim problemima.
Rad na nestalim osobama
Tako je nastao model koji kombinira crowdsourcing, gamifikaciju i OSINT metodologiju kako bi stotine volontera simultano radile na stvarnim slučajevima nestalih osoba. Umjesto teorijskih zadataka, sudionici Trace Labs OSINT Search Party CTF-ova rade na tragovima koji potencijalno mogu pomoći obiteljima i istražiteljima.
“Kada obitelj dobije novi trag zahvaljujući nečemu što je netko pronašao u nekoliko sati, to vrijedi više od bilo koje osvojene zastavice”, kaže Sell.
Prema njegovu mišljenju, ključna razlika između tradicionalnog fizičkog praćenja i OSINT-a leži u razmjeru. Fizički nadzor uvijek je ograničen ljudima i lokacijom. OSINT omogućuje paralelno praćenje desetaka tragova kroz više država bez napuštanja radnog stola.
Upravo će o tim temama Sell govoriti i na Span Cyber Security Areni, gdje će održati dva predavanja. U prvom će usporediti metode fizičkog praćenja i OSINT-a te pokazati kako se tradicionalne tehnike mogu primijeniti na moderni open-source intelligence. Drugo predavanje fokusirat će se na insajderske prijetnje i način na koji pojedinci iznutra djeluju poput organiziranog poslovnog modela.
No rast količine javno dostupnih podataka donosi i novi problem. Više nije izazov prikupiti informacije, nego ih smisleno povezati. Sell smatra da će budućnost OSINT-a ovisiti upravo o sposobnosti razlikovanja relevantnog od beskorisnog, posebno u eri umjetne inteligencije.
AI će ubrzati procese analize, ali će istovremeno povećati rizik od lažnih poveznica, potvrđivanja vlastitih pretpostavki i stvaranja lažnog osjećaja sigurnosti.
“Najbolji OSINT operateri za pet godina neće biti oni koji koriste najviše alata”, zaključuje Sell. “Bit će to oni koji razumiju gdje završava moć umjetne inteligencije, a počinje ljudska prosudba.”
