Chronimy się przed tym, co już się wydarzyło

  • Materiał partnera
opublikowano: 26-03-2019, 22:00

Jakub Jagielak, dyrektor ds. rozwoju cyberbezpieczeństwa w Atende, i Łukasz Bromirski, dyrektor ds. technologii w Cisco Polska, o ograniczaniu cyberzagrożeń dla firm

Myślisz o rozwiązaniach cyberbezpieczeństwa dla swojej firmy? Skorzystaj z bezpłatnej wersji testowej Cisco Umbrella

Jak wynika z raportu „CISCO Benchmark Study 2019”, ponad 40 proc. respondentów badania Cisco zwiększyło wydatki na technologie zapewniające bezpieczeństwo zasobów cyfrowych, prawie 40 proc. prowadzi szkolenia z zakresu cyberbezpieczeństwa wśród pracowników. Nadal priorytetem na polu bezpieczeństwa jest zwiększenie świadomości użytkowników infrastruktury informatycznej.

Obecnie cyberataki to nie tylko działania pojedynczych hakerów, mowa o całych organizacjach, agendach państwowych łamiących zabezpieczenia agend innych krajów. Nowa rzeczywistość to cyberwywiad i manipulowanie opinią publiczną, wpływanie na wybory polityczne — to wszystko dzieje się w warstwie cyfrowej. Również wywiad i kontrwywiad. Hakowanie wchodzi na nowe poziomy, wpływając na to, co dzieje się w świecie rzeczywistym. Przejmowanie kontroli nad samochodami czy światłami w mieście to już nie scenariusze filmowe, to realne, zademonstrowane zagrożenia.

Urządzenia i człowiek

— Rozwiązania dedykowane cyberbezpieczeństwu powstają jak grzyby po deszczu. Niestety wiele z nich obarczone jest grzechem młodości — czyli nie spełnia surowych wymogów bezpieczeństwa. Ogromna liczba rozwiązań na rynku sprawia, że klient zaczyna się gubić. Bardzo często mamy do czynienia z sytuacją, kiedy firmy zachęcone działaniami marketingowymi kupują i wdrażają rozwiązania dotyczące bezpieczeństwa, a na koniec dnia wdrożone narzędzie okazuje się dziurawe, co umożliwia hakerom swobodne poruszanie się po ich zasobach. W określeniu, jakie rozwiązania są potrzebne, pomoże audyt bezpieczeństwa i to od tego warto zacząć cały proces, a także ze względu na ogromną dynamikę zmian — regularnie go powtarzać, przynajmniej raz w roku. Z drugiej strony, nawet jeśli firma skrupulatnie wybierze dedykowane rozwiązanie, które jest potrzebne i będzie działało skutecznie, należy pamiętać o tym, że jest jeszcze tzw. interfejs białkowy, czyli człowiek. Jest on najsłabszym ogniwem w systemie bezpieczeństwa każdej organizacji. Tak naprawdę większość ataków skierowana jest nie na infrastrukturę, ale właśnie na użytkowników, pracowników, którzy przez niefrasobliwe zachowanie umożliwiają przedostanie się atakującym do organizacji — tłumaczy Jakub Jagielak, dyrektor ds. rozwoju cyberbezpieczeństwa w Atende.

Kamyczek do ogródka

Jak dodaje Łukasz Bromirski, dyrektor ds. technologii w Cisco Polska, poziom sfragmentowania rynku bezpieczeństwa pokazuje, że producenci nie zawsze radzą sobie z tym, żeby efektywnie i kompleksowo, ale jednocześnie w czytelny sposób pokazać użytkownikom, jak używać narzędzi bezpieczeństwa. W idealnym przypadku rozwiązania bezpieczeństwa w ogóle nie powinny być widoczne dla użytkowników. — To powinien być proces, który przebiega w tle. Dzisiaj jest na rynku bardzo dużo rozwiązań dedykowanych cyberbezpieczeństwu. Nadal jednak nie jesteśmy bezpieczni, a wynika to m.in. z tego, że dostawcy mało czasu i uwagi poświęcają na dostarczanie rozwiązań prostych i przejrzystych dla użytkownika — podkreśla Łukasz Bromirski.

To powoduje m.in. to, że z jednej strony działy IT robią, co mogą, żeby zabezpieczyć system firmy, z drugiej użytkownicy, nie mając dostępu do łatwego interfejsu użytkownika w rozwiązaniach bezpieczeństwa, zaczynają je omijać lub wręcz sabotować. Tu działa klasyczna reguła — im więcej zabezpieczeń, tym mniej efektywny będzie biznes i mniej wygodna praca na komputerach. Z kolei jeśli obniżymy poziom bezpieczeństwa, to wygodniej będzie pracować, ale zaraz pojawi się problem z włamaniami i innymi naruszeniami. Konieczny jest złoty środek — spójna architektura bezpieczeństwa obejmująca współpracujące ze sobą i wymieniające się informacjami o zagrożeniach rozwiązania, do minimum ograniczająca wpływ czynnika ludzkiego.

Skorzystaj z bezpłatnej wersji testowej Cisco Umbrella nawet do 42 dni, otrzymaj spersonalizowany raport i konsultację z ekspertem Atende atende.pl/umbrella

Podział odpowiedzialności

— Doradzałbym, żeby podzielenie odpowiedzialności za bezpieczeństwo systemu było bardzo wyraźnie określone już

w czasie rozmów z klientami — mówi Jakub Jagielak.

— Producent czy integrator nie jest w stanie wziąć pełnej odpowiedzialności za nieprzewidywalne zachowania ludzi w organizacji. Problem dotyczy podniesienia świadomości bezpieczeństwa (z angielskiego security awareness). To m.in. cykl szkoleń, które powinien przeprowadzać każdy pracodawca wśród swoich pracowników nt. zachowania w sieci, procedur bezpieczeństwa itp. To przekłada się na praktykę i wzrost poziomu świadomości i cyberbezpieczeństwa w organizacji. Jak przekonuje Łukasz Bromirski, odpowiedzialnością dostawcy technologii zawsze będzie to, żeby ta technologia sama była tworzona w procesach, w których zarządza się jej bezpieczeństwem.

— Innymi słowy, jeśli dostarczamy routery albo oprogramowanie antymalwerowe na stacje, to sami powinniśmy mieć mechanizmy, które sprawiają, że uznajemy i gwarantujemy, iż to, co dostarczamy, jest bezpieczne, a jeśli znajdziemy jakieś błędy, to w ramach transparentnego procesu będziemy w stanie zapewnić użytkowników, że np. wykryta wada zostanie poprawiona, a następnie zainstalowana. Tego integrator nie jest samodzielnie w stanie zrobić — np. samemu wygenerować łatkę na oprogramowanie czy sprzęt. Natomiast producent, dostarczając integratorowi do integracji u klienta komponenty rozwiązania, musi jak najlepiej zrealizować swoją rolę — dostarczyć dojrzałe, stabilne, dobrze działające rozwiązanie — tłumaczy przedstawiciel Cisco.

Podkreśla konieczność partnerstwa i dojrzałej współpracy między dostawcą technologii a integratorem.

— Po stronie integratora pozostaje odpowiednie zainstalowanie systemu, zaimplementowanie polityk, monitoring, szybkie reagowanie na awarie i naruszenie bezpieństwa, usługi serwisowe... — komentuje przedstawiciel Atende i dodaje: — Środowiska bezpieczeństwa są heterogeniczne. To oznacza, że jako integrator odpowiadamy u klienta za rozwiązania różnych producentów i naszą rolą jest spójne zarządzanie całą infrastrukturą, bazując na informacjach, które dostarczają nam producenci, a także kontrolowanie efektywności tej infrastruktury.

Pierwszy sygnał

Może się zdarzyć, że producent wie, iż rozwiązanie jest dziurawe, ale chce je sprzedać (z założeniem, że natychmiast udostępni także łatkę), albo że jeszcze nie zdaje sobie sprawy, że jest gdzieś błąd. W obu przypadkach pierwszym, który sygnalizuje problem, jest integrator.

Dzisiejsze środowiska bezpieczeństwa są bardzo dynamiczne i pojawiają się zjawiska jak tzw. zero-day, czyli sytuacja, w której haker wykorzystuje podatność, o której nawet producent jeszcze nie wie. To problem całego przemysłu.

— Jeżeli coś takiego się zdarza, to dostawca powinien mieć wyspecjalizowane wewnętrzne komórki, które proaktywnie zajmują się tematem. To znaczy, że mimo iż nie dostał jeszcze oficjalnego zgłoszenia, że są np. luki w firewallach, routerach, przełącznikach, ale np. na podstawie powtarzającego się sygnału serwisowego od klienta, że np. resetuje mu się urządzenie, reagują i rozwiązują problem. W Cisco też mamy taką komórkę — Cisco PSIRT. Na przestrzeni ostatnich pięciu lat znam dwa takie przypadki, kiedy nasze urządzenia w ten sposób atakowano, bez wcześniejszych zgłoszeń od badaczy. Dzięki zespołowi PSIRT byliśmy w stanie szybko i skutecznie zareagować — opowiada Łukasz Bromirski.

Security awareness

Program uświadamiania to zasadniczy element projektowania systemu bezpieczeństwa. Podnoszenie świadomości dotyczącej cyberbezpieczeństwa jest procesem uniwersalnym.

Oczywiście zmieniają się systemy informatyczne i ich funkcjonalność, niemniej pewne wyuczone zachowania — typu nie klikaj na nieznany e-mail, nie otwieraj nieznanych załączników, zgłoś incydent do administratora, uważaj, gdzie przechowujesz dane — pozostają niezmienne — tłumaczy Jakub Jagielak.

— Czy to będzie produkcja, energetyka czy logistyka lub informatyka, procesy security awareness, szkolenia i doradztwo pozostają takie same. To obowiązek pracodawcy i tu widziałbym rolę zarządów, które — jeśli nie mają wiedzy w ramach organizacji — mogą korzystać z wiedzy firm doradczych, konsultantów zewnętrznych. Przykład idzie z góry — podsumowuje.

Strategia bezpieczeństwa

— Strategia ogólna się nie zmieniła, bezpieczeństwo staramy się budować warstwami. Natomiast praktyka podejścia do budowania bezpieczeństwa ewoluuje. Kiedyś rozwiązanie typu firewall postawione na brzegu sieci wydawało się znakomitym rozwiązaniem dla bezpieczeństwa sieci. Dziś mówimy o architekturze zero trust; nie tylko nie ufamy niczemu, co się dzieje wokół nas i naszego komputera, ale chcielibyśmy, żeby ten komputer, niezależnie od tego gdzie się znajduje, domagał się bezpiecznego uwierzytelnienia użytkownika. Przechodzimy więc od bardzo ogólnego modelu zagrożeń do modelu, w którym skupiamy się na pojedynczych wręcz aplikacjach, obecnie także mobilnych — wyjaśnia Łukasz Bromirski.

To wynika też z faktu, że internet się zmienił. Stał się naturalnym środowiskiem pracy, współpracy, wymiany informacji, nie wspominając o usługach webowych, na których oparty jest praktycznie cały współczesny biznes. Oczywiście strategia bezpieczeństwa powinna być dopasowana do zmieniających się czasów i zmieniających się organizacji, szczególnie gdy mamy do czynienia z bardzo dynamiczną sytuacją na rynku bezpieczeństwa, Z jednej strony specjaliści skupiają się na budowaniu reaktywnej strategii bezpieczeństwa, przystosowującej się do aktualnych zagrożeń.

— Pamiętajmy, że fantazja hakerów i innych atakujących w sieci nie zna granic. W tej chwili pojawiają się tak wysublimowane metody ataków, których wcześniej nie posądzilibyśmy, że mogą być źródłem potencjalnego zagrożenia — podkreśla Jakub Jagielak.

— Ci, którzy atakują, są krok przed nami i te narzędzia, które tworzymy, mają chronić nas przed tym, co już się wydarzyło. Ale jest jeszcze druga strona medalu; obecnie, wykorzystując np. analizy behawioralne czy sztuczną inteligencję, a także doświadczenie z realizacji projektów u wielu różnych klientów jesteśmy jako integrator w stanie wyobrazić sobie to, co się może wydarzyć w przyszłości — pociesza przedstawiciel Atende.

ABC cyberbezpieczeństwa

Czynnik ludzki jest najważniejszy, od niego zaczyna się 80–90 proc. wszystkich ataków. W większości przypadków powodzenie ataku zależy od wykorzystania niewiedzy, nieuwagi, zachęcenia do niebezpiecznego zachowania, jak np. klikniecie linku ze szkodliwym oprogramowaniem.

Zainstaluj odpowiednie oprogramowanie chroniące komputery przed szkodliwym oprogramowaniem malware i ransomware.

Każda firma będzie zaatakowana o ile już nie jest ofiarą hakera. 50 proc. firm deklaruje, że padła ofiarą ataku hakerskiego. W obecnej chwili, każdy podmiot musi mieć przygotowane procedury bezpieczeństwa na wypadek naruszenia, nadużycia spowodowanego aktywnością hakera.

Przygotuj plany awaryjne z konsultantami, na wypadek niespodziewanego naruszenia bezpieczeństwa.

Dostosuj się do szybko zmieniającego się otoczenia Chociaż dziś znamy większość potencjalnych zagrożeń i potrafimy się przed nimi zabezpieczyć i bronić, a nasze systemy bezpieczeństwa wykazują się wysoką skutecznością, jutro może się okazać, że są one podatne na ataki całkowicie innego typu, a nasza organizacja wymaga nowych zabezpieczeń.

Monitoruj lub zleć monitoring najnowszych zagrożeń i metod ochrony przed nimi (threat hunting).

Monitoruj i reaguj W każdym momencie funkcjonowania organizacji musimy być przygotowani na potencjalne zagrożenie. Powinniśmy monitorować każdy element systemów (każdą potencjalną drogę ataku). Monitorować i sprawdzać, co się dzieje w naszej infrastrukturze informatycznej.

Zainstaluj narzędzie klasy SIEM lub zleć usługę monitoringu zewnętrznym firmom SOC.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Materiał partnera

Polecane

Inspiracje Pulsu Biznesu