In-house’owe rozwiązania często są skuteczniejsze w ochronie sieci telekomunikacyjnej przed cyberzagrożeniami ‒ uważa Przemysław Dęba, dyrektor cyberbezpieczeństwa w Orange Polska. Wynika to ze specyfiki lokalnych zagrożeń, które niekoniecznie są identyczne z tym, co się dzieje na świecie do czego muszą się dopasować dostawcy globalnych rozwiązań. Filtrowanie cyberzagrożeń na poziomie sieci, to nie tylko oszczędzanie technicznych zasobów operatora, ale ‒ i to przede wszystkim ‒ szansa na wyższą jakość usług abonenckich. Aczkolwiek na horyzoncie widać trendy, które mogą odebrać telekomom wszelką sprawczość w tym zakresie. To kolejny tekst w ramach cyklu „Cyberbezpieczeństwo” realizowanym w naszej współpracy z serwisem TELKO.in oraz Orange Polska.
GSMONLINE.PL/TELKO.in: Niedawno jedną z bliskich mi osób o mało co nie „zrobili” na fałszywą stronę banku. Dosyć sprytnie ją podeszli: na podstawie anonsu w serwisie ogłoszeniowym wyłudzili dane dostępowe do banku, przewalutowali pewną kwotę pieniędzy na złote a potem zgłosili się po tę „nadpłatę”. Dopiero kiedy poprosili o kod BLIK, niedoszłej ofierze zapaliła się ostrzegawcza lampka…
PRZEMYSŁAW DĘBA, dyrektor cyberbezpieczeństwa w Orange Polska: Oryginalny scenariusz; chyba po raz pierwszy o takim słyszę. Ale widać, że to nie był klient Orange Polska.
W przypadku waszego klienta, jak by to wyglądało?
Pod jaką domeną znajdowała się fałszywa strona banku?
Dokładnie nie pamiętam, ale faktycznie URL nie miał nic wspólnego z nazwą banku. To umknęło ofierze.
Gdyby ten klient korzystał z dostępu do internetu w sieci Orange, to jest duża szansa, że fałszywa domena byłaby zablokowana. O ile mi wiadomo, większość operatorów w Polsce korzysta z listy fałszywych domen dostarczanej przez CERT Polska. My, poza tą listą, korzystamy z własnego narzędzia opartego na machine learning, dzięki któremu sami wychwytujemy i blokujemy po kilkaset fałszywych domen dziennie ‒ nie tylko kilka razy więcej niż inni ISP, ale przede wszystkim znacznie szybciej.
Ile jest teraz domen na czarnej liście Orange?
To się zmienia dynamicznie. Mogę powiedzieć, że w ubiegłym roku zablokowaliśmy ponad 360 tys. domen (na które chciało wejść 5,5 miliona internautów).
Czy skomplikowanie systemu filtracji zagrożeń jest wprost proporcjonalne do wielkości sieci, którą zarządzacie?
To jest skomplikowane przede wszystkim z powodu wielkiej ilości zdarzeń. W sieci Orange codziennie notujemy miliardy zapytań o domeny, w tym ponad milion to domeny nowe. Z tego miliona każdego dnia robimy ekstrakcję ok. 500 domen związanych z phishingiem, z czego 400 jest kwalifikowane pełnym automatem, a około 100 podlega ręcznym weryfikacjom. Nie wolno się pomylić, żeby nie zablokować użytkownikom prawidłowych funkcji sieci. To spora odpowiedzialność.
Zdarzały się błędy?
Zdarzały się, ale mechanizmy są dokładnie monitorowane. Takie przypadki są wyłapywane w czasie rzeczywistym i naprawiane. Bez rozwiązań machine learning skuteczne filtrowanie takiej ilości danych jest dzisiaj praktycznie niemożliwe.
To musi pochłaniać duże zasoby sprzętowe.
Bynajmniej. Kluczem jest precyzja reguł filtrowania i tempo wprowadzenia do systemu identyfikatorów ‒ najlepiej jeszcze przed atakiem, a w każdym razie najszybciej, jak się da, po rozpoczęciu ataku. Jeżeli identyfikatory wprowadzi się zbyt późno to, mówiąc kolokwialnie, kto miał zostać okradziony, to już został okradziony.