Teoretycznie koronawirus, który w kilka tygodni wyprowadził IT poza biura i spowodował większe niż kiedykolwiek wcześniej rozproszenie infrastruktury, powinien natychmiast zwiększyć sprzedaż rozwiązań do uwierzytelniania i kontroli dostępu. W praktyce tak to nie zadziałało. Dostawcy takich systemów odnotowują wzrosty wynikające przede wszystkim z up-sellingu. Klienci, z powodu rosnącej wagi zdalnego dostępu, zaczęli dokupować licencje na rozwiązania, które już posiadają. Z kolei duża część projektów, które rozpoczęły się w 2019 r. i miały być skończone w 2020 r., została anulowana albo odłożona na czas nieokreślony.

– Nie było czegoś takiego jak w ubiegłych latach, że jeśli projekty były przesuwane w czasie, to tylko na 1-2 kwartały – podkreśla Paweł Rybczyk, Senior Territory Sales Manager CEE&CIS w Wallix.

Teraz powinno być już lepiej

Są jednak optymistyczne przesłanki, by twierdzić, że czas sprzedaży oprogramowania do zabezpieczania dostępu dopiero się zaczyna. Wcześniej budżety musiały zostać przeznaczone na sprzęt, więc zeszłoroczne inwestycje na IT dotyczyły zakupów laptopów, serwerów, rozwiązań do wideokonferencji itp. W tym roku są już pierwsze oznaki innego podejścia. Klienci, dysponując niezbędną infrastrukturą sprzętową i połączeniami VPN, chcą teraz lepiej nadzorować to, co się dzieje w ich środowisku IT.

Na decyzje o zakupie lepszej ochrony bez wątpienia wpływać będzie nagłaśnianie poważnych incydentów bezpieczeństwa w Polsce, takich jak ataki na Małopolski Urząd Marszałkowski czy CD Projekt. Coraz częściej dochodzi do nich w naszym kraju, a pytani przez CRN Polska integratorzy twierdzą, że powoływanie się na te i podobne przykłady bardzo pomaga w rozmowach.

– Ponieważ teraz stały się zdalnymi nawet te zewnętrzne usługi, które wcześniej były realizowane na miejscu w firmie, to klienci chcą mieć lepszy wgląd w zasady takiego dostępu – twierdzi Paweł Rybczyk. – I niekoniecznie kontrolowani muszą być użytkownicy z uprawnieniami superadmina. Firmy chcą wiedzieć, kto i kiedy się łączy, a dodatkowo rejestrować, co robi. Za tym idzie integracja rozwiązań IAM/PAM z uwierzytelnianiem dwuskładnikowym.

Większe zainteresowanie zarządzaniem dostępem przejawia też przemysł, bowiem w zakładach produkcyjnych część czynności, w tym związanych z utrzymaniem czy serwisem urządzeń, zaczęła być wykonywana zdalnie. Wobec konieczności rygorystycznej kontroli dostępu wymagane są profesjonalne zabezpieczenia.

Hasła prędko nie odejdą

Przeszło dwa lata temu Gartner przewidywał, że do 2022 r. 60 proc. korporacji i globalnie działających przedsiębiorstw oraz 90 proc. średnich przedsiębiorstw wdroży metody bezhasłowe w ponad 50 proc. zastosowań, co miało być ogromnym wzrostem w porównaniu z 5 proc. w 2018 r. Na początku 2021 można mieć jednak wątpliwości, czy już za rok hasła znajdą się w odwrocie. Rzeczywiście, postęp techniczny w biometrii i rozwój standardów takich jak FIDO2 sprawiają, że trend „passwordless” przybiera na sile. Powstają ciekawe rozwiązania bazujące na biometrii behawioralnej, która jest połączeniem biometrii i analizy behawioralnej UBA (User Behavior Analytics), czyli uczenia maszynowego – rejestrującego standardowe zachowania użytkownika i alarmującego, gdy odbiegają one od normy. Przykładem może być rozwijana przez polski startup usługa Digital Fingerprints.

Pytani przez CRN Polska dostawcy i integratorzy nie zauważają jednak, by klienci gremialnie rezygnowali z haseł. Zwracają przy tym uwagę, że samo hasło nie powinno być jednak podstawą udzielenia dostępu do systemów newralgicznych. Reguły polityki związane z hasłami zmieniają się, ale pewne przyzwyczajenia użytkowników zostają. Gdy korzysta się z prostych haseł, trzeba być świadomym, że jest wiele metod, które mogą być wykorzystane przez napastników do ich złamania. Kolejnym zagrożeniem jest wykorzystywanie tych samych haseł przez użytkowników w wielu serwisach.

Dlatego bardzo wzrosło zainteresowanie rozwiązaniami MFA (uwierzytelniania wieloskładnikowego, najczęściej 2FA) w najróżniejszej formie. Jednakże z jakichkolwiek systemów klienci by nie korzystali, jeżeli nie będą za tym stały odpowiednie reguły polityki bezpieczeństwa, ich egzekwowanie i monitoring, na nic całe przedsięwzięcie.

– Warto pamiętać o zasadzie „least privilege”, czyli nieudzielania użytkownikom większego dostępu niż potrzebują do wykonania danego zadania – mówi Michał Porada, Business Development Manager Cisco Security w Ingram Micro. – Im mniej dostępu, szczególnie do zasobów newralgicznych, tym administratorzy lepiej śpią. Uprawnienia powinny być okresowo sprawdzane, ponieważ w firmach role pracowników często mogą się zmieniać, zaś treść dokumentu polityki bezpieczeństwa należy weryfikować. Uwierzytelnianie się za pomocą 2FA powinno być stosowane wszędzie, gdzie to możliwe.

Według Pawła Zwierzyńskiego, inżyniera sieciowego w Vernity, istotne jest, by użytkownicy posiadali uprawnienia do systemów zgodnie z funkcją biznesową jaką sprawują w firmie. Bardzo często są one jednak zbyt duże – zarówno w warstwie sieciowej, jak i systemowej.

– Nawet jeśli na początku zasady dostępu odpowiadają pełnionym funkcjom biznesowym, to po pewnym czasie ich spójność nie zostaje zachowana, czy to przez błędy administratorów, czy przez umyślne dawanie większych uprawnień dla „świętego spokoju”. Dlatego tak ważne jest ich cykliczne rewidowanie – mówi przedstawiciel poznańskiego integratora.

Michał Porada sugeruje, by zadawać klientowi wiele pytań o rzeczy, które mają bezpośredni wpływ na bezpieczeństwo w jego firmie. Przykładowo: co się stanie po podłączeniu małego routera Wi-Fi do gniazdka LAN w ścianie obok drukarki? Czy zapewniony jest wgląd w aktywność pracowników? Z jakich aplikacji oni korzystają i w jakim stanie są stacje końcowe? Czy pracownik nie próbuje logować się do konkretnych systemów wewnętrznych z wykorzystaniem nieautoryzowanego urządzenia?

Czym jest Zero Trust?

Skrajnym ograniczeniem i pełną kontrolą dostępu, a ostatnio bardzo nośnym marketingowo hasłem, jest koncepcja Zero Trust, powstała już wiele lat temu. U jej podstaw leży konieczność weryfikowania wszelkich prób połączenia z systemem przed udzieleniem dostępu do niego. Zasadą jest brak zaufania do wszystkich i wszystkiego, nawet jeśli to coś podłączone jest już do sieci lokalnej.

– Model ten nie jest możliwy do wdrożenia za pomocą jednego „magicznego pudełka”, bo tak naprawdę pociąga za sobą wiele elementów funkcjonujących w infrastrukturze oraz dotyczy całkowitej zmiany podejścia w dostępie do danych i zasobów, a także reguł polityki z tym związanych – mówi Michał Porada. – W rezultacie mocno dotyka użytkowników końcowych i chociaż dużo się mówi o Zero Trust, to pełne wdrożenie nie jest w tym przypadku procesem ani szybkim i tanim, ani bezbolesnym.

Choć na rynku zaczęły się pojawiać kompletne oferty promowane pod szyldem Zero Trust, to jednak wielu specjalistów uważa, że nie są to tak naprawdę produkty gotowe do wdrożenia i użycia. Szyte na miarę podejście Zero Trust wymaga zwykle użycia różnych produktów, co powinno wynikać ze specyfiki konkretnego klienta. Wdrożenie trzeba poprzedzić weryfikacją wszystkich zasobów w infrastrukturze klienta oraz każdego dostępu i dopiero na tej podstawie wprowadzać ograniczenia. Problem polega na tym, że potrzebnej do tego wiedzy w przedsiębiorstwach brakuje. O ile strategiczne podejście wykazują jeszcze duże firmy, o tyle mniejsze nie mają wystarczającego know-how.

Dopiero, gdy posiada się konsekwentnie realizowaną strategię bezpieczeństwa, można wdrażać różne produkty, które pomogą w realizacji modelu Zero Trust. Dlatego integrator oferujący taki produkt powinien klientowi pomóc w stworzeniu strategii, która będzie wystarczająca nie na miesiąc lub dwa, ale znacznie dłużej. Swoją drogą, dzięki temu, niejako przy okazji, relacja z klientem także staje się długoterminowa.

– W tym kontekście Zero Trust jest czymś pozytywnym. Klienci chcą o tym podejściu rozmawiać, a dla partnerów to szansa zrobienia z bezpieczeństwa projektu, a nie sprzedaży tego czy innego produktu – mówi Paweł Rybczyk.

W kontrze do Zero Trust wydają się działać niektórzy dostawcy rozwiązań bazujących na sztucznej inteligencji. Twierdzą, że zamiast zamykać wszystko, lepiej jest wdrożyć coś, co nauczy się prawidłowych zachowań w danym środowisku, wyszukując anomalie i reagując na nie. Ten rynek jest jednak wciąż w fazie rozwoju.

Zdaniem integratora

Paweł Zwierzyński, inżynier sieciowy, Vernity  

Z początkiem pandemii wyzwania, jakie pojawiły się u naszych klientów, dotyczyły głównie problemów wydajnościowych. Ich infrastruktury nie były gotowe na tak duży wzrost liczby użytkowników pracujących zdalnie. Później na pierwszy plan wyszły kwestie związane z bezpieczeństwem. Większość klientów korzysta tylko z haseł, co stanowi duże zagrożenie. Często dane uwierzytelniające do VPN to również poświadczenia korporacyjne, na przykład do Office 365, więc atakujący, przechwytując je, uzyskuje dostęp do infrastruktury – mieliśmy taki przypadek. Przy dostępie tylko na podstawie haseł i bez polityki w tym obszarze w każdej firmie znajdzie się użytkownik z hasłem typu „Zima2021!”. Klienci są coraz bardziej świadomi, że hasła to za mało i zaczynają postrzegać wieloskładnikowe uwierzytelnianie jako konieczne. Kolejne zagrożenie dotyczy tego, że domowe biura stały się w sumie zdalnymi oddziałami firm, a w domu działają urządzenia IoT. Łatwo się do nich włamać i przez nie uzyskać dostęp do infrastruktury firmowej.

  

Przyspieszenie na rynku usług bezpieczeństwa

Warto odnotować, że wśród klientów biznesowych zaczyna rosnąć zainteresowanie modelem subskrypcyjnym. Użytkownicy tacy mniej chętnie inwestują w wieczyste licencje, których cena zakupu jest odpowiednio większa, choć potem nie trzeba już nic płacić. Dzieje się tak, gdy przedsiębiorcy nie są pewni, jak rozwinie się sytuacja w gospodarce. Przy czym są klienci, którzy nie tylko decydują się na abonament, ale nierzadko chcą, by wybrane rozwiązanie ochronne było zarządzane przez dostawcę usługi.

– Nie chodzi tu o oferty SOC, których przybyło w ostatnich latach, ale ogólnie o usługę bezpiecznego dostępu do infrastruktury, która może bazować na różnych rozwiązaniach ochronnych – dodaje Paweł Rybczyk. – Może to być VPN oraz IAM/PAM z usługą zarządzania dostępem dla klienta, który nie dysponuje odpowiednim zespołem technicznym, by mógł tym zajmować się sam, albo nie ma czasu na kolejne szkolenie swojego przeciążonego personelu IT.

Wcześniej model MSSP z dużymi oporami przebijał się w Polsce do świadomości klientów, dostawców i ich partnerów. Wydaje się, że pandemia i krótkoterminowe planowanie wyraźnie zwiększyły trend świadczenia usług na zasadzie abonamentu, którymi zainteresowany jest nie tylko sektor prywatny, ale także publiczny. Dzięki temu integratorzy coraz częściej będą musieli nie tylko dostarczyć klientowi same produkty, jak przełącznik, router, firewall czy inne zabezpieczenia, ale „opakować” je kompleksową usługą, związaną z zarządzaniem czy integracją z innymi systemami. Co ważne, taki pakiet będzie wynikać z opracowanej wspólnie przez obie strony strategii bezpieczeństwa.

Jak chmura zmieni rynek zabezpieczeń?

Są sygnały z rynku, że klienci przenoszący się do chmury rezygnują z wdrożonych wcześniej we własnej infrastrukturze zabezpieczeń, w tym rozwiązań zarządzania dostępem. Gdy chodzi o chmurę i jej bezpieczeństwo, osobom odpowiedzialnym za IT w firmach zdarza się wpadać z jednej skrajności w drugą. Najpierw cloud był środowiskiem, któremu w ogóle nie należy ufać. Obecnie z kolei można spotkać się z opiniami, że po migracji do chmury już nie trzeba martwić się o narzędzia ochrony, bo wszystko zapewnia jej operator.

Takim klientom warto przypomnieć, kto odpowiada za bezpieczeństwo chmury i w jakim stopniu. Wszyscy dostawcy chmury publicznej proponują model odpowiedzialności współdzielonej z użytkownikiem. W przypadku często wybieranej przez przedsiębiorstwa usługi IaaS operator jest odpowiedzialny za całą infrastrukturę obsługującą – za usługi podstawowe, oprogramowanie do wirtualizacji i sprzęt, łatanie luk i naprawianie błędów w tym obszarze, a także zasilanie i redundancję centrum danych. Rzeczywiście, operator wnosi odporność na zagrożenia, ale tylko niektóre, na przykład ataki typu DDoS.

Dla użytkownika współdzielona odpowiedzialność w usłudze IaaS oznacza, że odpowiada on za to, co wnosi, czyli za systemy i aplikacje. Zarządzanie nimi, ich aktualizowanie i łatanie jest po jego stronie. Co ważne (choć może się to wydać mniej oczywiste), również do niego należy konfiguracja sieci i jej zabezpieczeń. Musi więc zadbać o wdrożenie także narzędzi do kontroli dostępu i uwierzytelniania, najlepiej zintegrowanych w jeden system ochrony dla wykorzystywanego najczęściej środowiska hybrydowego.

– Wykorzystanie chmury wiele zmienia, bo zapewnia wygodną obecnie decentralizację zasobów i możliwość korzystania z usług SaaS – mówi Michał Porada. – Trzeba jednak pamiętać, że dostęp do instancji chmurowych i przechowywanych tam danych również musi zostać odpowiednio zabezpieczony. Przechwycenie loginu i hasła bądź typowe błędy, na przykład przy ustaleniu dostępu do danych, mogą być początkiem dramatu.

Dostawcy wciąż dostosowują swoje oferty – proponują produkty, które są w stanie zabezpieczać dostęp zarówno w chmurze (w tym również w modelu multi-cloud), jak i on-premise. Dla klientów, którzy posiadają jakąś własną infrastrukturę i jednocześnie obawiają się uzależnienia od jednego usługodawcy, może to być lepszy wybór w porównaniu z natywnymi dla chmury narzędziami, które są oferowane przez jej operatorów.

Zdaniem producenta

Paweł Rybczyk, Senior Territory Sales Manager CEE&CIS, Wallix  

W Polsce jako MSSP zaczynają działać operatorzy centrów danych, którzy chcą uzupełnić swoją ofertę infrastruktury o warstwę bezpieczeństwa i aplikacji. Ale nie tylko oni, bo w usługi wchodzą także niektórzy nasi integratorzy, którzy z różnych produktów ze swojego portfolio tworzą całościową ofertę as-a-Service pod wspólnym szyldem, na przykład bezpiecznego dostępu. Takie rozwiązanie nie jest wtedy hostowane po stronie partnera, jak w przypadku operatora centrum danych, tylko wdrażane u klienta, który płaci za nie abonament obejmujący, oprócz licencji, także zarządzanie. De facto w takim modelu dla producenta czy dystrybutora to integrator staje się klientem końcowym.

  
Michał Porada, Business Development Manager Cisco Security, Ingram Micro  

Firmy stanęły wobec wielkiego wyzwania, by z jednej strony zadbać o własne bezpieczeństwo, a z drugiej o komfort pracownika działającego w trybie zdalnym. Gdy wiele z nich ma już za sobą przygotowanie infrastruktury, odpowiednich licencji i reguł polityki, rośnie wśród nich chęć zapewnienia bezpieczniejszego i bardziej kontrolowanego dostępu. W tym tkwi przyczyna zainteresowania takimi rozwiązaniami jak 2FA oraz wykorzystaniem zaawansowanych możliwości narzędzi typu NAC do tworzenia granularnych zasad dostępu, zależnych nie tylko od poświadczeń, ale również wielu innych elementów, jak urządzenie, zainstalowane oprogramowanie, aktualizacje itp.

  
Bogdan Lontkowski, dyrektor regionalny na Polskę, Czechy, Słowację i kraje bałtyckie, Ivanti  

Od wybuchu pandemii na świecie gwałtownie wzrosła liczba niemal wszystkich rodzajów cyberataków, co związane jest przede wszystkim z masowym przechodzeniem firm na pracę zdalną i skupieniem się przestępców na użytkowniku końcowym, który w warunkach pracy w domu stał się jeszcze słabszym niż dotychczas ogniwem systemu. W efekcie łatwiejsze stało się wykradanie haseł, chociażby przy użyciu phishingu. Gdy każdy tydzień przynosi przykłady udanych ataków, w tym na firmy w Polsce, świadomi zagrożeń klienci będę szukać narzędzi, które w modelu Zero Trust pomogą im w zintegrowaniu dostępu do chmury, aplikacji i sieci, umożliwiając korzystanie z hybrydowego IT.