Zostałem poproszony o przedstawienie stanowiska AVLab na kilka tematów dotyczących cyberbezpieczeństwa z kategorii testowania produktów ochronnych oraz sztucznej inteligencji, którą wykorzystuje się m.in. do analizy zagrożeń. Portal SafetyDetectives.com znany jest przede wszystkim z publikowania wartościowych informacji na temat wycieków baz danych. Posiada własny Research Lab współpracujący z zespołami CERT na całym świecie. Wystartowali w roku 2018 i od tego czasu byli cytowani m.in. przez The New York Times, Bloomberg, The Verge, LifeHacker i innych.
Czy możesz po krótce przedstawić informacje na temat AVLab?
Ponad dekada to nowoczesnej erze kawał czasu – od roku 2012 zajmujemy się szeroko rozumianym cyberbezpieczeństwem. Cyberprzestrzeń i wszystko co z nią związane sprawia, iż nie ma nudy. Od 14 lat dostarczamy społeczności interesujące informacje z zakresu przeciwdziałania zagrożeniom internetowym poprzez testy zabezpieczeń, artykuły, relacje ze szkoleń, konferencje, materiały edukacyjne. Mogę powiedzieć, iż przez około 10 lat robiliśmy to lokalnie w Polsce, chociaż już wcześniej współpracowaliśmy z producentami z Europy oraz z USA w zakresie przygotowywania szczegółowych recenzji ich produktów i usług, raportów dotyczących prywatności, szyfrowania, ochrony urządzeń końcowych. Od roku 2023 jesteśmy Testerem w AMTSO oraz należymy do Cyber Transparency Forum, gdzie pełnimy funkcję audytora, zajmując się analizą, oceną danych telemetrycznych i systemów należących do producentów rozwiązań cyberbezpieczeństwa. Uważam, iż przez ostatnie lata skrupulatnie pracowaliśmy, aby zyskać wielki kredyt zaufania naszych czytelników. Natomiast teraz jako jedno z najbardziej zaufanych laboratoriów testujących, naszą ofertę kierujemy do dostawców zabezpieczeń dla urządzeń osobistych i rozwiązań biznesowych, którzy chcieliby sprawdzić się w naszych różnych rodzajach testów.
W jaki sposób firma AVLab wyróżnia się na zatłoczonym rynku cyberbezpieczeństwa?
Rynek cyberbezpieczeństwa w istocie jest zatłoczony, ale my jako Testerzy znaleźliśmy swoją niszę. Rynek zabezpieczeń przez cały czas ma jedną wadę: brak odpowiednich standardów i jest w nim za mało przejrzystości. Pozwól, iż to wyjaśnię: klienci końcowi mają za mało informacji podanych do ręki, które mogłyby faktycznie pomóc w wyborze skutecznego rozwiązania przeciwko współczesnym zagrożeniom. Powiem szczerze, iż testy publiczne przeprowadzane przez takie laboratorium jak nasze, nie są w stanie określić globalnej skuteczności danego rozwiązania ochronnego z uwagi na odmienne i skomplikowane środowiska robocze klientów na całym świecie. Zmierzam do tego, iż producenci mogliby zacząć publikować zanonimizowane dane dotyczące ochrony punktów końcowych zamiast samych historycznych danych na temat zagrożeń i ataków, które zdołali wykryć. interesujące raporty zawsze są przydatne, bo pokazują aktualne trendy i pozwalają przewidzieć, co może dziać się w kolejnym kwartale na rynku cyberzagrożeń, ale to za mało, jeżeli chcemy wyjść poza schematy i zaufać producentowi rozwiązania bezpieczeństwa na podstawie danych, których niestety brakuje w przestrzeni publicznej. Bez takich informacji firmy nie są w stanie realnie określić, czy dany produkt bezpieczeństwa sprawdzi się długoterminowo, a jeżeli tak, to jak ta ochrona w danym okresie rzeczywiście była skuteczna dla innych klientów z regionu lub innego kontynentu.
Wracając do pytania – co nas wyróżnia? Uważam, iż jesteśmy najbardziej transparentnym laboratorium, jeżeli chodzi o udostępnianie do publicznej informacji danych z testów. Może dlatego, iż tych danych gromadzimy tak wiele. Dzięki nim chcemy dostarczać rzetelne dowody dla producentów w przypadku jakichkolwiek wątpliwości dla próbek złośliwego oprogramowania, ataków. Dzięki tym danym nasze narzędzia do testowania mogą spełniać wysokie, niepisane normy – producenci oczekują od nas, abyśmy wykonywali swoją robotę jak najlepiej. Staramy się to robić, ponieważ to przyczynia się do poprawy ich produktów, co jest też efektem współpracy AVLab z producentami, którzy postanowili nam zaufać.
Pozwól mi podać przykład: opublikowane dane z naszych testów obejmują nie tylko marketingowe wyniki. Publikujemy także krajobraz zagrożeń, najważniejsze informacje z aktywności malware, ciekawostki na temat tzw. LOLBINs, sumy kontrolne zagrożeń, zrzuty ekranu oraz inne logi. Producenci po zakończonych testach są obdarzani jeszcze większą porcją technicznych danych, a już niedługo zaimplementujemy do naszych narzędzi dodatkowe funkcje, dzięki którym jeszcze bardziej transparentni. Innymi słowy nasi czytelnicy dostaną jeszcze więcej danych do analizy w tym dodatkowe dowody potwierdzające wyniki. Pragnę podkreślić, iż chcemy być liderem transparentności, ponieważ żadne z dużych laboratoriów testujących tego nie robi.
Prowadzimy też stronę Transparency Page (https://avlab.pl/en/changelog/). Zbieramy regularnie opinie od producentów, z którymi współpracujemy. Od nich mamy feedback techniczny – czy to co robimy, robimy dla nich poprawnie. Mówią nam, co chcieliby, abyśmy zmienili, co powinniśmy wdrożyć, aby ulepszyć naszą pracę. W miarę możliwości finansowych łączymy ich pomysły z naszymi. Efektem naszej kooperacji są publikacje oraz wykorzystywane materiały AVLab na stronach producentów oraz komentowane testy przez społeczność.
W jaki sposób sztuczna inteligencja zmienia krajobraz cyberbezpieczeństwa, szczególnie w zakresie wykrywania zagrożeń?
Myślę, iż w taki sam sposób, w jaki AI oddziałuje na tworzenie nowych ataków i zagrożeń. AI w cyberbezpieczeństwie nie jest czymś nowym, ponieważ już wcześniej producenci stosowali na szeroką skalę algorytmy samouczące się, AI pewne procesy w analizie big-data usprawnia i przyśpiesza, ale przez cały czas nie może zastąpić człowieka, który jest odpowiedzialny za ewentualne zautomatyzowanie i pilnowanie efektów pracy AI.
Generalnie AI pomaga identyfikować nowe, nieznane wzorce zagrożeń. Zapewnia już całkiem dobrą pomoc dla administratorów oraz zespołów IT, o ile produkt bezpieczeństwa wspiera generatywne zapytania: możliwe jest lepsze manualne zarządzanie incydentami, które zostają wykryte w sieci, lepsza identyfikacja ataków z integracją z różnymi z bazami danych takimi jak MITRE, aby dostarczać więcej informacji na temat zachowania plików i procesów z urządzeń pracowników. Tak naprawdę pod nazwą AI przez cały czas kryją się wspaniałe pomysły inżynierów oprogramowania, którzy mogą lepiej wykorzystywać potencjał wielkich baz danych, kolektywnych informacji z punków końcowych. W chwili obecnej AI jeszcze nie standardem, rdzeniem w produktach bezpieczeństwa.
W jaki sposób globalna sieć honeypotów przyczynia się do gromadzenia zróżnicowanego zestawu próbek złośliwego oprogramowania?
Z technicznego punktu widzenia nasze honeypoty stanowią 10% zapotrzebowania na malware in-the-wild z tego powodu, iż gromadzimy je z potrzebą przeprowadzania testów dla środowiska Windows. Wynika to też z tego, iż są to systemy symulujące różne usługi Windows oraz protokoły, przy czym atakowanie tych systemów na całym świecie realizowane jest tako samo, dlatego zagrożenia, które udaje nam się zebrać, są często wielokrotnie zduplikowane. Tymczasem najlepszym źródłem linków i próbek potencjalnego złośliwego systemu jest X, Telegram, Discord i inne. Pozyskujemy tysiące linków URL, ale wcześniej musimy je odfiltrować, aby do testów przekazać tylko realne zagrożenia. I tutaj jest to jeden z kilku najbardziej zaawansowanych procesów, jakie każda próbka musi przejść przez etap pre-selekcji, aby dostać się do naszych testów na produktach bezpieczeństwa.
Jak ważna jest automatyzacja w dzisiejszym środowisku cyberbezpieczeństwa i w jakim kierunku ewoluuje?
Myślę, iż na to pytanie najlepiej byliby w stanie odpowiedzieć producenci produktów bezpieczeństwa, bo to oni wyznaczają kierunek rozwoju. Z naszego punktu widzenia, testerów tych rozwiązań, najważniejsza jest szybkość reakcji w oparciu o analizę dużych porcji danych, które produkty bezpieczeństwa dzięki unowocześnianym technologiom są w stanie gromadzić coraz więcej, z różnych systemów operacyjnych. Środowiska pracy mogą być lepiej zabezpieczone poprzez automatyczne testowanie mające na celu wskazanie luk i podatności, niepoprawnych konfiguracji, uprawnień do zasobów.
Jakie trendy lub zmiany przewidujesz w zakresie testowania cyberbezpieczeństwa w ciągu najbliższych kilku lat?
Nie jest wykluczone, iż branża testowania produktów bezpieczeństwa zmieni się bardzo, ale też nie wykluczam, iż zmieni się nieznacznie. Dużo się teraz mówi AI, o automatyzacji, ale tak samo dużo zależy od tego, w jakim kierunku będą rozwijać się systemy operacyjne. Choćby ostatnie zapowiedzi firmy Microsoft, która myśli o wycofaniu modułów produktów bezpieczeństwa z jądra systemu. Za deweloperami systemów pójdą producenci systemu ochronnego. My jako strona niezależna będziemy gdzieś pośrodku, przez cały czas pokazując klientom końcowym mocne oraz słabe strony zabezpieczeń. Jedno jest pewne, iż będziemy chcieli współpracować z dostawcami rozwiązań na rzecz ulepszania ich systemu i budowania bezpiecznej cyberprzestrzeni.
Oryginalny materiał opublikowany jest na stronie safetydetectives.com.
