Start w Cyber
Ekspert Start w Cyber

Krzysztof Smaga

Architektura bezpieczeństwa | SOC | Detection Engineering | Analiza ryzyka | Cyberbezpieczeństwo praktyczne. Krzysztof pokazuje, że skuteczne cyberbezpieczeństwo zaczyna się od analizy ryzyka, procesów, właściwej architektury i praktycznego podejścia do realnych zagrożeń.

Architektura bezpieczeństwa SOC Detection Engineering Analiza ryzyka Zero Trust
Wróć do ekspertów LinkedIn

O ekspercie

Krzysztof Smaga od lat jest związany z technologią i cyberbezpieczeństwem. Jego zainteresowanie komputerami zaczęło się jeszcze pod koniec lat 80., a od początku fascynowały go zarówno mechanizmy działania systemów, jak i ich psucie oraz ochrona.

Zanim termin „cyberbezpieczeństwo” na dobre zadomowił się w branży, działał już w obszarze bezpieczeństwa teleinformatycznego i bezpieczeństwa operacyjnego. Dzięki temu budował doświadczenie jeszcze w czasach, gdy wiele dzisiejszych pojęć i specjalizacji nie było tak jasno nazwanych jak obecnie.

W swojej pracy podkreśla znaczenie analizy ryzyka, właściwie opisanych procesów i praktycznego podejścia do architektury bezpieczeństwa. Zwraca uwagę, że same narzędzia nie wystarczą, jeśli nie stoją za nimi dobre decyzje, konfiguracja i dojrzałość organizacyjna.

Bliskie są mu również tematy związane z SOC, detection engineering, automatyzacją oraz nowoczesnymi zagrożeniami, w tym wykorzystaniem AI i deepfake’ów. W rozwoju specjalistów ceni praktykę, homelaby, współpracę i ciągłe poszerzanie kompetencji.

Rozmowa z Krzysztofem

Poniżej znajdziesz pełną rozmowę z Krzysztofem o drodze do cyberbezpieczeństwa, architekturze bezpieczeństwa, SOC, detection engineering, automatyzacji, AI oraz rozwoju w branży.

1. Droga do zaawansowanego cyber

Jak wyglądała Twoja droga od pierwszych zainteresowań technologią do pracy przy zaawansowanych zagadnieniach cyberbezpieczeństwa?

Pierwsze zainteresowanie komputerami to koniec lat 80. XX wieku… ale przez całe życie przy komputerze interesowało mnie psucie systemów i ich ochrona.

W którym momencie zrozumiałeś, że cyberbezpieczeństwo stanie się Twoją główną specjalizacją?

Kiedy taki termin jeszcze nie funkcjonował w eterze. Wtedy używało się po prostu terminu „bezpieczeństwo teleinformatyczne”. Wtedy zajmowałem się w firmie, w której pracowałem, bezpieczeństwem operacyjnym.

Jakie projekty lub doświadczenia zawodowe najbardziej wpłynęły na Twój rozwój jako specjalisty cyber?

Ważnym na pewno był projekt podziału TPSA na domeny informacyjne Korpo, Hurt i Detal zgodnie z wymaganiami Porozumienia TP-UKE. W tym projekcie miałem możliwość weryfikacji różnych systemów i sprawdzania zgodności ich działania z wymaganiami proceduralnymi i technicznymi.

2. Architektura bezpieczeństwa i realne zagrożenia

Wiele organizacji inwestuje dziś w narzędzia bezpieczeństwa, ale nadal pada ofiarą incydentów.

Nie wystarczy nakupować drogich pudełek. Trzeba je jeszcze odpowiednio skonfigurować.

Gdzie Twoim zdaniem najczęściej leży problem: w technologii, architekturze czy procesach?

W ludzkiej mentalności.

Jakie elementy architektury bezpieczeństwa są dziś absolutnie kluczowe w organizacjach?

Analiza ryzyka oraz opisanie procesów, a dopiero potem pisanie procedur.

Czy Twoim zdaniem model Zero Trust jest realnym rozwiązaniem dla większości firm, czy raczej koncepcją trudną do wdrożenia w praktyce?

A to są firmy, które jeszcze nie stosują Zero Trust? ;)

3. SOC, detection engineering i automatyzacja

W ostatnich latach coraz więcej mówi się o Detection Engineering.

Mówi się.

Jak Twoim zdaniem powinien wyglądać nowoczesny proces budowania detekcji zagrożeń?

Przede wszystkim należy zastanowić się, jakie zagrożenia mamy możliwe. Bez porządnie zrobionej analizy ryzyka nie ma co mówić o jakiejkolwiek detekcji. I to jest punkt wyjścia dla dalszych rozważań. Nie ma jednego sposobu idealnego dla wszystkich rodzajów podmiotów.

Jakie znaczenie mają dziś automatyzacja i SOAR w pracy zespołów bezpieczeństwa?

Kluczowe. Nie musimy przeglądać tysięcy linii logów. Dostajemy alert, gdy coś się dzieje.

Jak Twoim zdaniem powinna wyglądać współpraca między SOC, zespołami IT i zespołami DevOps?

Wymiana wiedzy i doświadczeń online.

4. Nowoczesne zagrożenia

Jakie trendy w atakach cyber obserwujesz w ostatnich latach?

Rośnie nam AI, więc rosną ataki z wykorzystaniem deepfake’ów. Nie możemy być już pewni, że osoba, z którą rozmawiamy na komunikatorze wideo, faktycznie jest tą osobą, a nie jakimś awatarem.

Czy sztuczna inteligencja zmienia sposób prowadzenia ataków i obrony w cyberbezpieczeństwie?

W przypadku obrony znacznie ułatwia, ponieważ pozwala na korelację większej liczby metryk i szybką analizę trendów.

Jakie obszary cyber Twoim zdaniem będą najważniejsze w najbliższych 3–5 latach?

Deepfake’i w różnych odsłonach: wideo, dźwięk, rozmowy na żywo.

5. Narzędzia i praktyka

Jakie narzędzia lub technologie Twoim zdaniem mają dziś największy wpływ na skuteczne wykrywanie zagrożeń?

Narzędzia typu NDR, XDR oraz monitorujące, typu Zabbix.

Czy budowanie własnych środowisk laboratoryjnych nadal ma sens w nauce cyberbezpieczeństwa?

Nie rozumiem tego pytania. Jeśli nie masz laba, to jak chcesz się uczyć? Wracamy do lat 90. i fizycznego psucia i naprawiania komputerów/systemów?

Jakie projekty lub eksperymenty poleciłbyś osobom, które chcą rozwijać się w bardziej zaawansowanych obszarach cyber?

Udział w wydarzeniach społecznościowych, jak ISSA Local.

6. Rozwój specjalisty cyber

Jak Twoim zdaniem zmienia się rola specjalisty cyber w organizacjach?

Kiedyś był to po prostu admin, który odpowiadał za wszystko. Dziś mamy różne specjalizacje: od adminów przez operatorów SOC po pentesting. Im dalej jesteśmy, tym więcej mamy specjalizacji, ponieważ liczba rodzajów zagrożeń także się zwiększa.

Jakie kompetencje, poza technicznymi, są dziś kluczowe dla ekspertów cyber?

Znajomość prawa: prawo telekomunikacyjne, ustawa o prawie autorskim, ustawa o krajowym systemie cyberbezpieczeństwa… można sporo wymieniać. Bezpiecznik nie musi być prawnikiem i specjalistą, ale podstawy musi znać. Ważną rzeczą jest także umiejętność komunikacji i współpracy. Nie ma tu miejsca dla wiecznie sfochowanych adminów, którzy nie będą współpracować z innymi „bo nie”.

Czy Twoim zdaniem specjalista cyber powinien się specjalizować bardzo wąsko, czy raczej rozwijać szeroką wiedzę technologiczną?

Szeroka wiedza podstawowa + specjalizacja.

7. Rady dla osób wchodzących do cyber

Jakie fundamenty techniczne są absolutnie niezbędne dla osób, które chcą dojść do poziomu eksperckiego?

Nie ma się co oszukiwać – znajomość Linuksów to sprawa kluczowa. Większość Internetu działa na systemach linuksowych lub pochodnych.

Jakie błędy najczęściej popełniają osoby uczące się cyberbezpieczeństwa?

Boją się pytać bardziej doświadczonych od siebie.

Gdybyś miał zaproponować 12-miesięczny plan rozwoju dla osoby wchodzącej do cyber, od czego powinna zacząć?

Zbuduj homelaba – wystarczy jeden komputer na początek. Zainstaluj, nawet na defaultach Proxmoksa, postaw wirtualki i tłucz różne scenariusze zgodnie ze ścieżką, jaka Cię interesuje.

Szybka seria 🔥

Linux czy Windows w pracy cyber?

Linux4Ever

SOC czy Red Team?

Pomidor

Najważniejsza umiejętność specjalisty cyber?

Cierpliwość i szybkie podejmowanie decyzji

Jedna rada dla osób chcących zostać ekspertem w cyber?

Syndrom oszusta pogłębia się wraz ze wzrostem wiedzy i umiejętności