Tony Velleca, CEO la CyberProof, vorbește despre ce amenințări cibernetice pun probleme organizațiilor și cum pot acestea să implementeze o strategie de Continuous Threat Exposure Management (CTEM) pentru a-și îmbunătăți protecția. Interviul acoperă cele mai frecvente riscuri, motivele pentru care evaluările punctuale nu mai sunt suficiente și pașii practici pe care îi pot urma responsabilii de securitate.
Amenințările s-au complicat: AI generativ accelerează atacurile și le face mai greu de detectat. În ultimii ani peisajul s-a dinamizat, apar zilnic vulnerabilități și vectori noi. Echipa de cercetare a CyberProof observă atacuri recurente precum compromiterea email-urilor de business, ingineria socială și vulnerabilitățile la terți. Aceste tehnici nu sunt întotdeauna foarte sofisticate, dar acum sunt dezvoltate mai rapid și devin mai dificil de sesizat grație inteligenței artificiale.
Printre tendințele recente se numără atacuri care profită de conflictele geopolitice și de tehnicile dezvoltate în contextul cyberwarfare, ceea ce a permis adversarilor să își extindă loviturile spre sisteme OT și IoT și să vizeze industrii precum producția. În ultimii patru ani a crescut cu 55% numărul atacurilor DDoS asupra infrastructurilor critice. Sectorul sănătății a fost intens vizat: 67% din organizațiile medicale au fost afectate de atacuri de tip ransomware în 2024. Totodată, grupările APT cooperează tot mai mult cu grupuri de ransomware, iar campaniile de tip “name-and-shame” au atins un vârf, cu 40 de victime listate activ pe site-urile de scurgere de date. Atacurile asupra lanțului de aprovizionare software sunt din ce în ce mai costisitoare: se estimează că pagubele ar putea ajunge la 138 miliarde de dolari până în 2031, față de 46 miliarde în 2023.
Aceste date arată că organizațiile au nevoie de o înțelegere complexă și actualizată a amenințărilor pentru a-și ajusta operațiunile de securitate și a-și proteja rețelele eficient.
Evaluările de securitate făcute o singură dată pe an nu mai sunt suficiente, explică Velleca. Peisajul amenințărilor evoluează rapid, iar AI și alte tehnologii permit atacatorilor să conceapă metode mai eficiente și mai rapide. Limitarea la o verificare anuală lasă lacune în apărare. În plus, există o criză de personal în cybersecurity: Forumul Economic Mondial raportează că 67% din organizații au un deficit moderat până la critic de competențe în domeniu, ceea ce lasă echipele suprasolicitate și inundate de alerte. Apărătorii nu au luxul surprizelor; au nevoie de o viziune holistică și în timp real asupra amenințărilor, pentru a putea prioritiza resursele acolo unde contează mai mult.
Ce ar trebui să facă acum un CISO? Velleca recomandă trei direcții clare. În primul rând, să înțeleagă amenințările specifice organizației: doar așa echipele de securitate pot prioritiza corect alertele și economisi timp și resurse. În al doilea rând, să optimizeze capabilitățile defensive deja existente: în contextul unor bugete restrânse, valorificarea la maximum a instrumentelor din dotare reduce supraîncărcarea și oferă o sursă unică de adevăr pentru echipă. În al treilea rând, să reducă proactiv expunerea: evaluarea continuă a suprafeței de atac și testele de penetrare ajută la identificarea punctelor prin care actorii rău intenționați ar putea intra în rețea, astfel încât resursele să fie direcționate acolo unde este nevoie.
Mulți responsabili pun accent pe managementul posturii de securitate, mai ales pe fondul apariției soluțiilor noi și a instrumentelor AI. Totuși, înainte de toate e esențial managementul estate-ului. Fără o imagine completă a rețelei și a componentelor acesteia, nu poți măsura corect postura de securitate. Aici intervine CTEM.
Continuous Threat Exposure Management, pe scurt CTEM, este prezentat drept următorul pas în securitate. CTEM urmărește permanent vulnerabilitățile și reduce suprafețele posibile de atac, identificând și mitigând punctele slabe înainte ca ele să fie exploatate. Prin combinarea scanărilor automate, analizei conduse de AI și informațiilor despre amenințări, echipele primesc alerte în timp real. Spre deosebire de alte soluții, CTEM oferă o imagine continuă și automată asupra posturii organizației, permițând detectarea și remedierea rapidă a riscurilor. De asemenea, completează și întărește strategii deja folosite: operationalizarea inteligenței despre amenințări pentru evaluarea expunerii, prioritizarea expunerilor în funcție de amenințări țintite și managementul suprafeței defensive prin adaptarea regulilor de detecție, a playbook-urilor și procedurilor de recuperare.
Implementarea eficientă a unui program CTEM pornește de la trei pași practici. Primul este fundamentul: gestionarea estate-ului. Toate activele, on-premise, cloud sau OT, trebuie inventariate, clasificate conform politicii de securitate, atribuite la categoria de risc corespunzătoare și desemnate unui proprietar. Acest pas e esențial, dar adesea omis. Al doilea pas presupune colectarea și analiza telemetriei de securitate și transformarea concluziilor în acțiuni concrete; metodologia folosită leagă rezultatele de tacticile și campaniile prioritare prin cadre ca MITRE. Al treilea pas este continuitatea: procesul trebuie să ruleze permanent și să includă mecanisme de trenduri bazate pe risc, pentru a urmări evoluția expunerilor și eficiența măsurilor aplicate.
Vă întreb: ce pas credeți că ar fi cel mai greu de implementat în organizația voastră și de ce?
Interesant punct de vedere, dar mi se pare că problema cea mai grea rămâne managementul estate-ului — la noi zici că inventarierea e un proiect fără sfârșit: sisteme uitate, OT neconectat la CMDB, cloud spălat pe cap de devi fără tagging corect. În plus, lipsește personalul ca să transforme telemetria în acțiuni concrete; ai date peste cap, dar cine le prioritizează? Probabil soluția pragmatica e combinația: 1) curățenie rapidă pe asset-uri critice, 2) playbook-uri simple, 3) automatizări la nivel de triere — dar cine face roadmapul când toată lumea e pe foc, asta e marea întrebare.
cred că cel mai greu ar fi inventarierea și conectarea tuturor assetilor din org adică pare banal dar când ai cloud hibrid, servere legacy, IoT care nu minti, parteneri care nu răspund si OT care se mișcă lent devine un coșmar de coordonat
și daaa resurse nu-s, ai nevoie de ownership clar si cineva care să facă curat în date altfel telemetria e zgomot nu signal
probabil o soluție pragmatică ar fi începe cu top 20% chestii critice și să tragi automat taguri după riscuri dar știu, ușor de zis greu de făcut lol