Rozhovor s Honzou Markem, architektem služby ATOM ONE

Blog

 
 Martina Koutníková, Jan Marek

Honza Marek, náš kolega a expert na kybernetickou bezpečnost, vede vývojový tým služby ATOM ONE, která byla v listopadu 2020 oceněna titulem IT Produkt roku 2020. Věříme, že v rozhovoru s ním na téma kybernetická bezpečnost a ATOM ONE si přijdou na své jak “ajťáci”, tak přinese odpovědi všem, kteří přemýšlí o nasazení služby. A pokud vás zajímá i něco více o Honzovi, nenechte si ujít závěrečnou část rozhovoru.

V čem ATOM ONE pomůže a před čím chrání?

Všude se říká, že bezpečnost je důležitá. Ale stále to mnohde funguje i bez ní. Proč by mě to mělo firmy a lidi zajímat právě teď? A proč by řešením problému, pokud existuje, byl právě ATOM ONE?

Bezpečnost je důležitá samozřejmě nejen poslední dobou, ale vždy byla. Myslím si, že v posledních letech je to žhavé téma ze dvou důvodů. V prvé řadě se jedná o velice rychle rozvíjející se a zajímavou oblast IT, a to díky přechodu zákazníků do cloudových služeb. Ve druhé řadě se útočníci díky moderním technologiím, obecně dostupnému výpočetnímu výkonu a obrovskému množství informací, dokáží dostat do mnoha prostředí. Samozřejmě primárně do těch, které bezpečnost poslední dobou zanedbávaly. I script kiddie umí za pomoci YouTube videí napáchat v organizacích velkou škodu.

My si uvědomujeme, že existuje na trhu velká řada řešení pro kybernetickou bezpečnost. Většina z nich ale trpí na rychlost a náročnost implementace a při kombinaci více z nich musí IT pracovat s velkým množstvím konzolí a portálů, ve kterých hledá signály. V ATOM ONE jsme se tedy zaměřili na co nejnižší náklady pro nasazení, a hlavně automatické zpracování dat a jejich poskytnutí IT v rámci jednoho portálu. A to si myslím, že se nám podařilo. Navíc jsme vše stavěli jako platformu, kterou jsme nyní schopni rapidně rozšiřovat. Nejedná se tedy o řešení, které dnes nasadíte a ono s postupem času zastarává.

Jak a proč vlastně vznikl ATOM ONE?

Kromě už zmíněných důvodů jsme chtěli trhu nabídnout službu, kterou bude IT opravdu schopné začít rychle používat a která zvýší úroveň zabezpečení ve významně krátkém čase. Co se týče vzniku služby, tak ATOM ONE je vlastně zásadně vylepšený nástupce naší služby ATOM, které vznikla již před více než třemi roky. ATOM ONE se vyvíjel a stále dále vyvíjí modulárně, takže jsme byli schopni se postupně od pár základních funkcí dopracovat až do dnešního stavu. A co je důležité, jsou zde zapracovány zpětné vazby od zákazníků.

Proč by mělo vedení firem o službě vážně /nejen/ uvažovat?

Vedení společností a IT mnohdy nemá k dispozici jeden report, který by shrnoval stav jejich prostředí. Zároveň vedení potřebuje často sledovat i trend rozvoje jejich IT, a s tím související i úrovně zabezpečení. A to je právě jedna z několika zásadních vlastností služby ATOM ONE.

Opravdu může služba zabránit třeba útoku ransomware?

Ransomware se může do společnosti dostat různými cestami – z rukou útočníka, který prolomil bezpečnostní bariéry společnosti, nebo z rukou uživatele, který kliknul na škodlivý odkaz nebo svou stanici nakazil z USB flash disku. Společnosti často řeší reakce a incident response plány, jak se v těchto případech zachovat. My se ale zaměřujeme také na prevenci. Zákazníkovi tedy dáme dopředu informaci o možných zranitelnostech prostředí, které by mohl útočník využít, stejně tak jako o nedostatečných bezpečnostních konfiguracích systémů. V oblasti detekce a reakce samozřejmě také nabízíme důležité funkce, jako například detekce laterálního pohybu útočníka či šíření malware nebo následně sady logů pro následné vyšetřování a analýzu bezpečnostního incidentu.

Kdybys měl vypíchnout 3 věci v ATOM ONE, které jsou top, které by to byly?

Rychlost nasazení, přehledné pohledy na stav prostředí a množství detekcí a korelací. Kdybych si ale mohl dovolit ještě čtvrtou, tak by to bylo kontinuální rozšiřování funkcionalit bez potřeby jakékoli součinnosti zákazníka.

Která část ATOM ONE je nejdůležitější pro manažera a která část pro IT Operations?

Pro manažery je rozhodně nejdůležitější ATOM ONE Central Dashboard, kde právě najdou zmiňovaný agregovaný pohled na stav prostředí. Provoz IT může tento dashboard samozřejmě také využít, ale spíše půjde na jednotlivé intelligence packy a workbooky, které se již více konkrétně zaměřují na dané oblasti a komponenty IT.

Když detekuji nějaké zranitelnosti nebo dokonce pokusy o napadení svého systému, bude moje firemní IT oddělení vždy schopné reagovat na detekované hrozby? Nebo je určitá hranice, kdy by se na měl vzít odborník, kdy na to moje IT stačit nebude? Lze to nějak rozpoznat, lze rozlišit tu hranici, kdy je nepravděpodobné, že situaci zvládneme ve firmě vlastními silami?

Tohle je samozřejmě extrémně závislé na velikosti a schopnostech týmů v dané společnosti. Za mě například rozhodně platí, že řádnou forenzní analýzu si nemůže společnost nikdy provést sama a musí ji řešit externě z důvodu nezávislosti.

Z pohledu řešení bezpečnostních incidentů záleží také na dopadu a rozsahu a reakčních schopnostech interních týmů. Rozhodně si myslím, že pokud společnost nedokáže dostatečně rychle reagovat, měla by ihned kontaktovat odborníka. Stejně tak v průběhu incident response, kdy společnost již nedokáže dál nalézt pacienta nula či se jim nedaří zastavit útočníka ve společnosti. V obou případech dokáže odborník pomoci a ve finále náklad na řešení incidentu a finanční dopad kybernetického útoku je nižší. Chápu, že se společnosti snaží problém řešit vlastními silami, ale je to stejné jako se zdravím – lehké nachlazení řešíte v rámci svých znalostí, ale někdy je nutné už na tu pohotovost zajet nebo si domů záchranku zavolat.

img

Jak služba vznikla, co je jejím jádrem

Jak se služba programovala?

ATOM ONE má za sebou včetně předchozí verze už více než 3 roky vývoje. Na úplném začátku byl vývoj na straně Microsoft Azure a následně jsme se přesunuli k vlastnímu agentovi, kolektorům apod. Na vývoji služby celou dobu pracuje náš dedikovaný interní engineering team. Celá služba je nejen pro zákazníky, ale i pro nás postavena tak, aby vše bylo co nejvíce automatizované. Kromě samotné služby jsme si tedy také vyvinuli nemalé množství interních nástrojů pro nasazení, správu a analytické činnosti služby ATOM ONE. Když bych to shrnul, tak se bavíme technicky o vývoji za pomoci PowerShell, C#, python, KQL, Azure ARM a dalších.

Co je jejím jádrem?

To se dá vzít ze dvou úhlů pohledu. Na straně náběru dat je jádrem náš ATOM ONE agent a gateway, které se starají také o optimalizaci dat. Na straně portálu a pohledů na data je to rozhodně Azure Log Analytics workspace. Tam se dějí veškerá kouzla spojená s korelací dat a identifikací nedostatků sledovaného prostředí.

Jak je samotná služba zabezpečena, aby se nestala vektorem pro útočníky?

Každý zákazník má své vlastní dedikované Microsoft Azure prostředky a je jedno, zda ATOM ONE nasazujeme kompletně včetně Microsoft Azure či do zákazníkova Azure tenanta. Zde je tedy řešena základní bezpečnost izolací. Do prostředí jsou vždy přístupy řízeny za pomoci unikátních servisních účtů. Do každého prostředí je přístup povolen a prováděn pouze z důvěryhodných a zabezpečených služeb a zařízení. Sdílené služby na úrovni našeho backendu, které se starají o nasazení a údržbu jednotlivých ATOM ONE instancí podléhají našim vnitřním velice striktním bezpečnostním pravidlům. Používáme vždy zabezpečenou komunikaci a veškeré citlivé informace ukládáme za pomoci moderních bezpečnostních technologií. Komponenty vždy provozujeme ve více instancích k zajištění dostupnosti a máme připravené plány pro obnovu a Incident Response. Úroveň zabezpečení námi poskytovaných služeb pravidelně revidujeme a neustále zlepšujeme.

Jaký je rozdíl mezi nativními Microsoft službami a ATOM ONE?

ATOM ONE využívá velké množství Microsoft komponent, které samy o sobě poskytují zásadní informace o stavu sledovaného prostředí. ATOM ONE ale tyto informace rozšiřuje o vlastní, které jsou ty často klíčové pro běh firemního IT. Liší se tedy ve sběru dat, způsobu zpracování a množstvím vizualizací dat, úrovní a logiky korelace dat a možností integrací téměř neomezeného množství datových zdrojů. Díky našemu týmu také neustále rozvíjíme detekční pravidla a službu rozšiřujeme o detekce nejnovějších hrozeb.

Kolik času mi zabere starost o ATOM ONE?

Na to je velice jednoduchá odpověď. Kromě instalace agentů služby ATOM ONE, která vám zabere méně než jednu minutu na jednom systému, se nemusíte starat následně už o nic. Data se odesílají a zpracovávají automaticky, agenti a veškeré s nimi související komponenty na úrovni Microsoft Azure se také v pravidelných intervalech aktualizují automaticky.

Má cenu pořizovat ATOM ONE, pokud jsem se dosud nedostal ani k bezpečnostnímu desateru zmiňovanému NÚKIB?

Rozhodně. ATOM ONE vám poskytne pohled na vaše prostředí od těch nejobecnějších a základních detekcí až po pokročilé scénáře. Navíc dnes se sice jedná o doporučení, ale časem se z nich dle mého názoru stanou nařízení. Není tedy na co čekat a začít řešit kybernetickou bezpečnost pořádně dnes, ať jste společnost o pěti nebo tisících zaměstnancích.

Více o architektovi služby a vedoucím vývojové týmu ATOM ONE

Je o Tobě známo, že se věnuješ již dlouho oblasti kybernetické bezpečnosti. Proč zrovna tato oblast?

Vždycky mě bavilo IT kvůli své komplexnosti, složitosti systémů, jejich internímu fungování atd. S přechodem společností do cloudu se ale tento aspekt ztrácí. V cloudu je vše většinou vyrobeno na klik a vlastně v mnoha, samozřejmě ne ve všech, případech je všem jedno, co se děje na pozadí. A protože jsem historicky řešil správu prostředí, kde bezpečnost také hrála svou roli, tak jsem se k ní upnul. Kromě toho, že mohu stále řešit skutečně technické aspekty a sledovat útoky ve světě, se rozvíjím. Co ale vnímám jako asi klíčový důvod - je smysl mé práce – kybernetickou bezpečnost musí řešit všichni a všem pomůže, pokud ji budou zvládat, a to bez ohledu na produkty, které mají nasazené. Mám tedy opravdu dobrý pocit, když od zákazníka odcházím s vědomím, že se bude nyní schopen lépe bránit útočníkovi.

Dlouho jsi se věnoval oblasti nasazení a správy operačních systémů ve firemních prostředích. A stále vídáme, že se opravují výchozí instalace nebo jen kopírují ISO klíčenky. Vnímáš, že v oblasti bezpečnosti mají firmy potenciál postoupit skutečně dále?

Naštěstí velké množství služeb a obecně Windows operační systém je hned po instalaci poměrně dobře zabezpečen. Pro firemní prostředí to chce samozřejmě ještě donastavit a vylepšit, ale obecně jsou dnes společnosti, v tom naprostém základu, chráněny alespoň částečně hned po nasazení. Já si myslím, že technologicky máme všichni k dispozici to, co potřebujeme pro efektivní zajištění kybernetické bezpečnosti, a to bez extrémních nákladů. Problém je ovšem přesně ale v přístupu IT. Jde se často „po papírech“ než po skutečné obranyschopnosti. Priority jsou stále na rozvoj než na udržitelnost, a ta se týká také bezpečnosti. Samotné IT si často problémy dělá samo tím, že například používá privilegované účty na nezabezpečených stanicích nebo skrze tyto účty brouzdají po internetu. Když to shrnu, tak opravdu všichni máme k dispozici nástroje, a hlavně i znalosti, ale musíme se adekvátně chovat, a to i za cenu trochu nižšího komfortu nebo vyššího nákladu.

Napadá tě nějaký největší bezpečnostní problém a zároveň největší poučení z tvé praxe, který bys mohl anonymně sdílet?

Podle mne jsou stále největším problémem znalosti uživatelů a publikování služeb IT do internetu, které se tu nerozmáhají jen díky pandemii koronaviru – IT to vždy dělalo a dovolím si říct, že vždy takto nebezpečně. Dnes je toho jen větší množství. Když se vrátím ale k uživatelům, tak jejich gramotnost v oblasti kybernetické bezpečnosti je dle mého názoru dnes stále velice nízká. Ano, uživatelé už mnohdy slyšeli, že nemají klikat na podezřelé odkazy, otevírat podezřelé přílohy a sdělovat někomu svoje přihlašovací údaje, či ho pouštět ke své stanici. Jaké je ale realita? Skutečně uživatel pozná phishing? Je na něj trénovaný? Skutečně odmítne svou stanici dát do rukou osobě, která mu říká, že je zde, aby mu zprovoznila kritickou aplikaci společnosti?

Prozradíš, jak relaxuješ, kde bereš zdroj energie pro svou práci, která skutečně znamená být vždy o krok, nebo spíše kroky, dále než útočníci (hackeři)?

Možná to zní paradoxně, ale energii a chuť mám jen když mám pocit dostatečných znalostí pro boj s útočníkem. Ačkoli to tedy bere energii samo o sobě, tak sebevzdělání je to, co mi pak dává dostatek klidu a energie.

Když je na to čas, tak s tchánem vyrážím na horské kolo. Jednou za rok se navíc vždy snažíme vyškrábat na nějaký alespoň kilometr vysoký kopec nebo i vyšší, když se nám dařilo cestovat do zahraničí. Jak jsem se od něj naučil, tak mě nejvíce baví ta cesta do kopce než dolů. Nedokážu si představit jezdit po rovině na silnici.

img

Jak se Ti pracovalo s týmem, který s Tebou službu vyvíjel?

Mám ten nejlepší tým, který bych si mohl představit. Bez něj by moje práce neměla vůbec žádný dopad a význam. Jim patří mé velké díky za každodenní usilovnou práci. Všichni jsou sehraní, spolupracují, řeší problémy a zadání efektivně, a to i v dnešní době, kdy se nemůžeme potkávat osobně tak často nad pořádným brainstormingem.

Sdílej v médiích

Kontakt

Nenašli jste, co hledáte? Pošlete nám zprávu a zůstaneme s vámi ve spojení.

* Vyžadované pole

Osobní data použijeme pouze pro vypracování odpovědi na dotaz. Pravidla zpracování osobních údajů

map us
map eu
{ } { } { } { }