Cyberbezpieczeństwo to dziedzina, którą od zawsze cechowała ogromna dynamika. Wynika ona z ciągłego wyścigu zbrojeń – z jednej strony rośnie wolumen i różnorodność zagrożeń, a z drugiej trwa nieprzerwany postęp technologiczny, który ma minimalizować ryzyko naruszenia bezpieczeństwa zasobów i danych firmowych. W rezultacie nad tym wszystkim nie jest łatwo zapanować.

Do ciągłych zmian w obszarze bezpieczeństwa dochodzą zewnętrzne okoliczności, które potrafią czasami dodatkowo skomplikować już wcześniej złożoną sytuację. Niewątpliwie takim wydarzeniem był wybuch pandemii Covid-19, w wyniku czego z dnia na dzień większość organizacji musiała zmienić swój sposób działania i przejść na pracę zdalną.

– Paradoksalnie ta sytuacja stała się katalizatorem, radykalnie przyspieszając postęp digitalizacji wielu polskich przedsiębiorstw, a zarazem zwiększając świadomość w zakresie bezpieczeństwa IT. Nastąpił skokowy wzrost zainteresowania rozwiązaniami kompleksowo chroniącymi infrastrukturę wykorzystywaną do pracy zdalnej – począwszy od szyfrowania komunikacji z wykorzystaniem połączeń VPN, poprzez systemy ochrony danych DLP, a skończywszy na zaawansowanych platformach AV/EDR, zabezpieczających urządzenia mobilne – mówi Maciej Twardy, dyrektor techniczny Bakotechu.

Chociaż dzięki wynikającym z pandemii zmianom klienci zaczęli dostrzegać wyraźniej konieczność zabezpieczania się, to pytani przez CRN Polska integratorzy specjalizujący się we wdrożeniach systemów bezpieczeństwa niezmiennie widzą największy problem po stronie mentalnej klientów. A konkretnie w ich podejściu do analizy ryzyka i niedoszacowywania go, a w efekcie zbyt niskich budżetach na cyberbezpieczeństwo.

A przecież wyzwań z obszaru bezpieczeństwa IT w polskich firmach nie brakuje. Specjaliści największe widzą w samych użytkownikach i urządzeniach, z których korzystają.

– Z jednej strony trzeba zabezpieczyć komputer, który jest głównym narzędziem pracy, aby nie był najsłabszym ogniwem w sieci. Z drugiej strony nie można zapominać o edukacji pracowników, ponieważ po dobrym rozeznaniu i przygotowaniu ukierunkowany atak będzie celował w konkretną osobę, aby kliknęła w link lub pobrała plik, który następnie zainicjuje rozprzestrzenienie się zagrożenia w firmowej sieci. Kolejnym zaniedbanym obszarem jest bezpieczeństwo aplikacji webowych, które nie zawsze są chronione tak, jak powinny – zwraca uwagę Maciej Leszczak, Systems Engineer w Exclusive Networks.

Jest antywirus, ale co poza tym?

Czymś, do czego najczęściej ograniczają się klienci i co od lat stanowi swoiste „must-have” w tworzeniu zabezpieczeń w organizacji jest antywirus. To rozwiązanie co prawda ewoluuje, staje się się coraz skuteczniejsze, ale pozostaje przede wszystkim narzędziem detekcji już znanych zagrożeń, a nie prewencji czy reakcji na atak.

– Problem w tym, że w XXI wieku obserwujemy ogromny wzrost zupełnie nowych rodzajów ataku. To już nie są dobrze znane wirusy, trojany czy botnety, tylko coraz bardziej zaawansowane techniki, które wymagają odpowiedzi ogólnie określanej mianem Advanced Threat Protection (ATP). Dlatego nie wystarczy antywirus, a także rozwiązania typu IDS/IPS – mówi Jakub Jagielak, lider technologiczny w obszarze cyberbezpieczeństwa w Atende.

Słowem, potrzeba narzędzi, które – wykorzystując uczenie maszynowe/sztuczną inteligencję oraz analizę behawioralną – będą w stanie określać, czy mamy do czynienia z cyberatakiem. Są one już powszechnie dostępne i można je wdrażać w organizacjach różnej wielkości.

Przykładowo, sieć małych przychodni nie będzie potrzebować platformy SIEM, bo jest to za duże i zbyt skomplikowane rozwiązanie. Można tam natomiast postawić na narzędzie do wykrywania zagrożeń i reagowania na nie w punktach końcowych, czyli EDR, a w ślad za nim wdrożyć NDR, a więc rozwiązanie do analizy incydentów i reagowania na nie w sieci. Tego rodzaju systemy potrafią już skutecznie chronić przed zagrożeniami typu zero-day, czyli nieznanymi – twierdzi Jakub Jagielak.

Rozwiązanie EDR zabezpieczy stacje końcowe przed różnego typu atakami, stale będzie monitorować to, co dzieje się w systemie, i reagować na anomalie. Dzięki niemu uzyska się również ochronę przed złośliwymi plikami, które mogą być wgrane poprzez dowolne urządzenia podpięte do portu USB (jeśli firma nie zadba o to, by zablokować taką możliwość).

– W ochronie aplikacji webowych natomiast powinno sprawdzić się rozwiązanie Web Application Firewall, które pomoże chronić firmowe aplikacje, a co za tym idzie poufne dane klientów. Należy też pamiętać o podatnościach, które mogą pojawić się w wykorzystywanej aplikacji – tłumaczy Maciej Leszczak.

Dzięki analizie wspieranej przez uczenie maszynowe rozwiązania WAF mają możliwość budowania profilu ochrony. Firmom, które wymagają spełniania normy PCI-DSS, stosowanie WAF jest wprost rekomendowane.

Zdaniem specjalisty

Michał Porada, Business Development Manager Cisco Security, Ingram Micro  

Czasy, kiedy firewall sprzętowy był głównym elementem infrastruktury bezpieczeństwa już dawno minęły. Nie oznacza to, że należy z niego rezygnować, ale duże wyzwanie pojawia się już za firewallem, po stronie sieci lokalnej. To tam trzeba sobie odpowiedzieć na pytanie, czy rzeczywiście mamy do czynienia z siecią „zaufaną”? Czy ruch z hostów, którym mamy ufać, bo przecież są nasze – służbowe, zawsze zasługuje na miano bezpiecznego? Później sprawa staje się jeszcze bardziej skomplikowana, bo dochodzimy do kwestii związanych z segmentacją po stronie LAN, stworzeniem procedur dostępowych, ich odpowiednim wymuszeniem i monitoringiem. Zasada najmniejszego uprzywilejowania bardzo ładnie funkcjonuje w teorii. To, że jej założenie jest proste i w sumie można je streścić w zdaniu: „mamy dostęp tylko do niezbędnych elementów i zasobów”, wcale nie oznacza, że zawsze jest właściwie realizowana w firmowych sieciach.

  
Sebastian Zamora, Sales Manager Poland, Progress  

Pomimo dużej dynamiki zmian stałym elementem cyberbezpieczeństwa w organizacjach pozostaje triada, którą tworzą ludzie, procesy oraz produkty. Klientów dotyka problem niedoboru wysoko wykwalifikowanych kadr w segmencie security. W efekcie firmy konkurują o specjalistów, którzy byliby w stanie właściwie opisać procesy w organizacji, by następnie dobrać odpowiednie narzędzia. Współpraca między firmami a ośrodkami akademickimi w celu podniesienia jakości edukacji absolwentów to droga do uzupełniania braków w obsadzie działów security. Kluczowa jest również dostarczana wraz z narzędziami IT automatyzacja umożliwiająca sprawną i wiarygodną obróbkę nieskończonych ilości danych.