Trwa wojna, podczas której cyberprzestępcy inwestują w nowe techniki ataków, starają się obejść tradycyjne zabezpieczenia, czyli firewalle, IPS-y i platformy antywirusowe. Choć wymienione rozwiązania przez lata były standardem bezpieczeństwa, dziś nie stanowią już skutecznej obrony. Zdają sobie z tego sprawę ich użytkownicy. Badanie Ponemon Institute z marca br., które objęło 4268 menedżerów IT z całego świata, ujawniło, że ponad 2/3 z nich (69 proc.) uznaje wykorzystywane w ich firmach środki bezpieczeństwa za nieodpowiednie lub przestarzałe (w całości lub części). To powinien być sygnał do działania dla dostawców z branży security. Rozmowy z klientami, którzy są świadomi ograniczeń ich własnej infrastruktury IT, nie powinny być zbyt trudne.

Oczywiście, najłatwiej dotrzeć do już poszkodowanych. Gdy dochodzi do strat spowodowanych cyberatakiem, to – jak pokazuje najnowszy Cisco Annual Cybersecurity Report – ogromna większość zaatakowanych firm decyduje się na modernizację procesów biznesowych i wdrożenie nowych rozwiązań ochronnych. Zwiększają też liczbę szkoleń z zakresu bezpieczeństwa dla pracowników i wdrażają narzędzia oraz techniki ograniczające ryzyko zagrożeń.

Z tego i wielu innych raportów wynika jednak, że na co dzień osoby odpowiedzialne za bezpieczeństwo w przedsiębiorstwach zmagają się z poważnymi barierami: ograniczonym budżetem, problemami z kompatybilnością systemów i brakiem odpowiednio wykwalifikowanej kadry. Istotnym problemem przedstawionym w raporcie Cisco jest też rosnący poziom złożoności systemów bezpieczeństwa. Aż 65 proc. ankietowanych firm przyznało, że wykorzystuje od 6 do ponad 50 różnych produktów ochronnych. Zwiększa to ryzyko pojawienia się luk w systemach zabezpieczeń i kłopotów z efektywnością owych systemów.

Znający potrzeby klientów integratorzy muszą orientować się w zmianach, jakie w ostatnim czasie zachodzą w podejściu do ochrony przed cyberprzestępcami. Wyposażeni w taką wiedzę mogą stworzyć ofertę skutecznego, czyli odpowiadającego dzisiejszym zagrożeniom, systemu ochrony firmowej sieci.

Składają się na to różne elementy, których zadaniem jest obrona przed atakami nowego typu. Oprócz głównej bariery, jaką jest wydajna zapora sieciowa nowej generacji (NGFW), przydatne będą także rozwiązania przeznaczone do ochrony konkretnych warstw i obszarów sieci.

 

– Chodzi na przykład o firewalle aplikacyjne (WAF) i systemy do ochrony przed atakami DDoS. Współczesne zabezpieczenia coraz częściej wykorzystują także rozwiązania typu sandbox, umożliwiające zneutralizowanie nowych, nierozpoznanych dotychczas próbek złośliwego kodu – tłumaczy Sebastian Krystyniecki, Principal System Engineer w Fortinet.

 

Nie punktowo, lecz systemowo i automatycznie

Wzrasta liczba zagrożeń i sposobów ataku, nośników danych i aplikacji, coraz większe są też zależności między poszczególnymi elementami systemu informatycznego. W rezultacie klienci, którzy decydują się na zakup różnych punktowo działających narzędzi, mających neutralizować konkretne ataki, za moment są zmuszeni do nabycia kolejnych rozwiązań, przeciwdziałających nowym zagrożeniom.

Dlatego – jak przekonuje Mariusz Baczyński, odpowiedzialny za sprzedaż rozwiązań Cisco w regionie Europy Wschodniej – właściwym kierunkiem jest odejście od rozwiązań punktowych i zbudowanie jednej kompleksowej architektury ochronnej. System zabezpieczeń powinien być prosty, otwarty i zautomatyzowany, aby chronić zasoby firmowe przed atakiem, w trakcie i po nim. Kluczowe staje się holistyczne podejście do bezpieczeństwa, które obejmuje ludzi, procesy, dane i technologie. Wszystkie te elementy powinny zostać uwzględnione w projektowaniu lub modernizowaniu firmowej infrastruktury IT. Takie podejście do zagadnień bezpieczeństwa umożliwia bowiem lepsze wykorzystanie dotychczas istniejących systemów ochronnych, zwiększenie ich efektywności i zmniejszenie złożoności. Priorytetem powinna być integracja i automatyzacja, które ułatwią współpracę między poszczególnymi elementami infrastruktury.

– Dla cyberprzestępców kalkulacja jest prosta: im więcej połączeń i danych, tym więcej możliwości czerpania zysków z działalności przestępczej. Reakcją na rosnącą wraz z rozwojem techniki skalę zagrożeń jest połączenie automatyzacji rozwiązań ochronnych i algorytmów uczenia maszynowego – twierdzi przedstawiciel Cisco.

Zdaniem integratora

• Tomasz Stachowicz, Sales Specialist, Advanced Business Systems

Budżety klientów przeznaczone na ochronę wzrastają, ale wciąż istnieją dwa odmienne podejścia: planowane i reaktywne. Ci klienci, którzy planują swoje budżety, traktują zwiększanie bezpieczeństwa jako ciągły cykl. Natomiast w przypadku postawy reaktywnej dopóki nie dojdzie do utraty danych dopóty budżetu nie ma. Pieniądze znajdują się dopiero, gdy cała firma stoi po ataku. Na szczęście już od lat obserwuję, jak wzrasta udział budżetów planowanych, a maleje reaktywnych.

Jeśli chodzi o stosunek klientów do nowych rozwiązań ochronnych, również mamy do czynienia z dwoma rodzajami zachowań. Są tacy, którzy są otwarci na wszelkiego typu nowości, bo wiedzą, że – gdy chodzi o zagrożenia i ochronę przed nimi – zmiany dokonują się bardzo szybko. Ci klienci są zainteresowani pojawiającymi się technologiami i – jeśli pozwala im na to budżet – są skłonni, by je wypróbować. Nie brakuje jednak i takich, dla których antywirus jest niezmiennie wystarczającym zabezpieczeniem. Generalnie wiedza klientów jednak rośnie, na co wpływ mają kolejne pojawiające się medialne doniesienia o atakach i wyciekach danych, takich chociażby jak przypadek Sony Pictures.

 

Automatyzacja zapewnia szybsze reagowanie na zagrożenia i jest jedynym rozwiązaniem, które ma szansę sprostać rosnącej ilości danych związanej z rozwojem Internetu rzeczy. Jednak to za mało. Dopiero połączenie automatyzacji z rozwiązaniami wykorzystującymi uczenie maszynowe pozwala skutecznie neutralizować ataki oraz umożliwia systemowi bezpieczeństwa uczenie się wczesnego wykrywana zagrożeń. Przykładem są rozwiązania, które wykorzystują sieć jako sensor wykrywający podejrzane zachowania i uczą się na nie reagować. Niezwykle ważne jest również korzystanie z narzędzi analitycznych, aby móc wyciągać wnioski z incydentów i optymalizować system bezpieczeństwa w przyszłości.

Sebastian Zamora, Channel Account Executive w polskim oddziale Sophosu, zauważa, że bez automatyzacji – wobec coraz większej złożoności środowiska IT – działy bezpieczeństwa (jeśli w ogóle istnieją, bo w wielu przedsiębiorstwach nie ma takiej wydzielonej struktury) mogą nie poradzić sobie z zapewnieniem jego właściwej ochrony. Dlatego wszystko zmierza w kierunku samouczących się i automatycznie reagujących rozwiązań.

– Chodzi o to, by na przykład firewall korzystał z informacji dostępnej na punkcie końcowym. Żeby po wykryciu zagrożenia zadziałały procedury, które automatycznie zablokują i zneutralizują zagrożenie, a następnie przywrócą system do pierwotnego stanu. Niełatwo to osiągnąć, ale taka automatyzacja rodzi się właśnie na naszych oczach – zauważa szef kanału sprzedaży w Sophosie.

 

Z pomocą przychodzi sztuczna inteligencja

Wciąż jednym z największych problemów w walce z cyberzagrożeniami jest zbyt późne identyfikowanie ataków. Dlatego tak ważna staje się możliwość szybkiego wykrywania incydentów i reagowania na nie. To zadanie dla zoptymalizowanej do pracy w konkretnym środowisku platformy Security Information and Event Management, zapewniającej szeroki wgląd w system IT oraz funkcje monitorowania i analizy zdarzeń w czasie rzeczywistym.

Jednak dr inż. Mariusz Stawowski, odpowiedzialny za rozwój strategii biznesowej oraz zarządzanie działem technicznym Clico, zwraca uwagę, że tradycyjne narzędzia zarządzania bezpieczeństwem, w tym także SIEM, mogą nie wykrywać na czas incydentów i w praktyce są używane dopiero, gdy dojdzie do naruszenia bezpieczeństwa – wycieku danych lub zakłócenia procesów biznesowych. Dlatego na rynku pojawili się nowi gracze, którzy wykorzystują w swoich rozwiązaniach metody matematyczne.

Krzysztof Hałgas

prezes zarządu Bakotechu

Starając się zabezpieczyć sieć klienta przed współczesnymi zagrożeniami, trzeba ją dobrze poznać, zanim dokona się wyboru rozwiązania. Należy wyszukać najbardziej podatne na ataki elementy, oszacować ryzyko w różnych obszarach sieci i ustalić priorytety inwestycji. Podczas dobierania zabezpieczeń sieciowych warto zwrócić uwagę na zunifikowane platformy bezpieczeństwa w zakresie monitorowania oraz analizy ruchu i zdarzeń sieciowych, które pomogą uzyskać odpowiedni poziom informacji o środowisku i skuteczniej oraz szybciej zabezpieczać zagrożone obszary. Klientowi zainteresowanemu rozwiązaniami do ochrony urządzeń (serwerów, baz danych, hostów, środowisk wirtualnych, urządzeń mobilnych) warto zaproponować przetestowanie nowoczesnych narzędzi chroniących zasoby nie na podstawie sygnatur, ale innych mechanizmów, które o wiele skuteczniej przeciwdziałają zagrożeniom dnia zerowego.

 

– Nowa technika, o nazwie User Behavior Analytics, wykorzystuje modelowanie statystyczne i probabilistyczne, analizę behawioralną oraz uczenie maszynowe. Z punktu widzenia klientów UBA to inteligentny SIEM, do utrzymania którego nie trzeba zatrudniać wielkiego zespołu ekspertów. Złożone i czasochłonne prace wykonuje za niego analityka UBA – wyjaśnia Mariusz Stawowski.

Specjaliści są też przekonani, że możemy się spodziewać rozwoju metod uczenia maszynowego, które usprawniają proces wykrywania incydentów. Wśród niech jest deep learning, czyli zaawansowana forma sztucznej inteligencji, której zasada działania przypomina sposób, w jaki mózg człowieka uczy się rozpoznawać obiekty. Metoda ta może wywrzeć duży wpływ na cyberbezpieczeństwo, szczególnie jeśli chodzi o wykrywanie oprogramowania typu zero-day, nowych odmian malware’u oraz wyrafinowanych ataków APT.

 

Potrzebna wiedza o tym, co i jak chronić

Na etapie projektowania zabezpieczeń bardzo istotne jest zdefiniowanie metod pomiaru parametrów określających poziom bezpieczeństwa. Umożliwia to ocenę obecnego stanu zabezpieczeń firmy i ulepszanie stosowanych praktyk w przyszłości.

Dlatego wśród najważniejszych zmian w zakresie cyberbezpieczeństwa wyróżnia się wzrost zainteresowania klientów dotychczas niedocenianym aspektem IT, jakim jest audyt. Badanie podatności i szacowanie ryzyka związanego z posiadanymi rozwiązaniami, strukturą czy zasobami przedsiębiorstwa zapewnia lepsze poznanie ich słabych stron oraz w sposób planowy i efektywny kosztowo zabezpieczenie tych obszarów, które wymagają największej uwagi.

Obecnie trwają równoległe prace wielu międzynarodowych przedsiębiorstw nad modelami ilościowymi szacowania poziomu cyberbezpieczeństwa. Po przeprowadzeniu audytu uniwersalnymi metodami i narzędziami ma być możliwe poznanie poziomu podatności posiadanych zasobów na ataki i skali ryzyka – zarówno związanych bezpośrednio z IT (sprzętem, aplikacjami, sieciami), jak i z samym przedsiębiorstwem (jego strukturą, zasobami ludzkimi, stosowanymi procedurami, regulaminami itp.). Takie szacowanie ryzyka staje się dla klientów ważne również z powodu wzrastających kosztów zabezpieczeń.

Paweł Śmigielski

Sales Manager, Stormshield

Współczesny skuteczny system ochrony sieci powinien obejmować dwa obszary: warstwę zabezpieczającą, m.in. firewall, IPS, antywirus, antyspam czy sandbox oraz warstwę raportującą. Ważne, żeby wybrany system integrował różne moduły ochrony i możliwa była wymiana i korelacja informacji między nimi. Jej efektem będzie np. określanie reputacji hostów w sieci na podstawie danych uzyskanych z IPS-a, antywirusa oraz sandboxa. Raportowanie natomiast powinno umożliwiać gromadzenie i porządkowanie logów generowanych przez system ochrony i przedstawianie ich w bardziej czytelnej graficznej postaci. Ułatwi to nie tylko bieżący monitoring bezpieczeństwa sieci, ale także wprowadzanie proaktywnych działań mających
na celu zwiększenie jego poziomu.

 

Widoczne są także próby stworzenia przez dostawców uniwersalnej platformy ochronnej. Integrowałaby w sobie narzędzia do audytu i badania podatności systemowych (nie tylko sieciowych), moduły do zbierania logów systemowych, informacji o ruchu w sieci i przepływie danych na wszystkich urządzeniach, a zarazem wykrywała aktywnie wszelkie podejrzane incydenty oraz umożliwiała automatyczną integrację z różnorakimi narzędziami, często zewnętrznymi, które zasilałyby system informacjami i sygnaturami wykrytych wcześniej incydentów. Coraz więcej przedsiębiorstw poszukuje tego rodzaju systemu, który mógłby zastąpić punktowe rozwiązania do skanowania podatności, narzędzia do korelacji logów i zdarzeń (SIEM), IDS-y, IPS-y, rozwiązania do wykrywania APT i wiele innych produktów.

– Platform tego typu będzie się pojawiać coraz więcej, a producenci rozwiązań punktowych zaczną z czasem integrować w swoich produktach coraz więcej modułów, które łącznie będą chronić znacznie większy obszar sieci – ocenia Krzysztof Hałgas.

 

Bezpieczeństwo w przemyśle i IoT

Integratorzy powinni zwrócić uwagę na jeszcze jeden ważny, a do tej pory często pomijany obszar zabezpieczeń, wymagający dużych zmian. To ochrona przed atakami na infrastrukturę krytyczną kraju.

– Konsekwencje incydentów w tym obszarze mogą być bardzo poważne, jak chociażby wyłączenie dostaw energii, wody czy gazu, utrata ciągłości pracy fabryk, bądź katastrofa ekologiczna – przestrzega Mariusz Stawowski z Clico.

W większości przedsiębiorstw w Polsce systemy automatyki przemysłowej przez całe lata nie podlegały nadzorowi IT. W efekcie specjaliści od automatyki nie znają natury zagrożeń z obszaru IT, a informatycy mają niewielką wiedzę o świecie Operational Technology.

Główny problem polega na tym, że nie wiadomo, co trzeba chronić. Ponieważ za ten obszar przez wiele lat odpowiadały firmy zewnętrzne, specjalizujące się w automatyce przemysłowej, brakuje wiedzy i dokumentacji mówiącej o tym, jak systemy automatyki przemysłowej są połączone z Internetem i środowiskiem informatycznym. Dlatego wdrażanie na ślepo firewalli i innych zabezpieczeń technicznych nie prowadzi do zwiększenia poziomu bezpieczeństwa, lecz generuje niepotrzebne koszty. Mariusz Stawowski daje przykład ataku cybernetycznego na ukraińską sieć energetyczną w grudniu 2015 r., który doprowadził do pozbawienia prądu tysięcy ludzi.

Bezpieczne zyski

Z punktu widzenia integratora i resellera bezpieczeństwo IT od dawna stanowi obszar dający szansę na spore zyski. Rośnie grono klientów, dla których to już nie tylko ochrona przed zagrożeniami, ale niezwykle istotne narzędzie rozwoju biznesu. Coraz mniejsza robi się natomiast grupa tych, dla których inwestowanie w systemy zabezpieczeń są formą ubezpieczenia, więc – jak w przypadku polisy – próbują jak najwięcej zaoszczędzić, bo a nuż nic się nie wydarzy.

Szefowie firm, w tym dyrektorzy finansowi, są coraz bardziej świadomi wagi zarządzania ryzykiem. Coraz częściej też chcą mieć klarowny obraz zagrożeń, z jakimi mogą mieć do czynienia ich przedsiębiorstwa. Zdając sobie sprawę, jaki wpływ udane ataki mogą mieć na ich pozycję w firmie, szukają pomocy w znalezieniu sposobu, by im przeciwdziałać. Dlatego integratorzy powinni wesprzeć działy IT w zapewnieniu monitoringu firmowego systemu informatycznego i dostarczeniu raportów, które w prosty sposób wyjaśniałyby zarządowi, jakie warianty ochrony będą w przypadku ich przedsiębiorstwa najbardziej korzystne, a jednocześnie najbardziej efektywne kosztowo.

 

– Firmy ukraińskie miały wdrożone firewalle i nie ochroniło ich to przed atakami. W przypadku infrastruktury krytycznej potrzebne jest podejście znane z ochrony kluczowych systemów IT, oparte na dokładnym rozpoznaniu ryzyka i odpowiednim zarządzaniu nim – wyjaśnia przedstawiciel dystrybutora.

Pierwszym etapem działań, mających na celu ulepszenie ochrony infrastruktury firm z branży energetycznej czy przemysłowej, powinno być zatem stworzenie dokumentacji, a następnie rozszerzenie polityki bezpieczeństwa IT przedsiębiorstwa o obszar OT i w ślad za tym wdrożenie adekwatnych rozwiązań.

Automatyka w przemyśle to tylko jeden z wielu aspektów rosnącego Internetu rzeczy. Wraz z jego rozwojem przed cyberprzestępcami otwierają się duże możliwości manipulowania ruchem danych płynących do i z milionów urządzeń końcowych oraz ataków z wykorzystaniem połączonych w IoT „rzeczy”. Może to prowadzić do kradzieży wrażliwych danych, zakłócania procesów biznesowych, szkód i awarii w podstawowej infrastrukturze oraz blokowania działania Internetu przez ataki DDoS o wielkiej skali. Przykładem jest atak na serwery firmy Dyn, wykorzystujący botnet Mira, przeprowadzony z użyciem urządzeń IoT – kamer IP, czujników i innego rodzaju sprzętu. Przez kilka godzin blokował dostęp do takich serwisów jak Netflix, Amazon i Twitter. Przed podobnymi incydentami tym trudniej się bronić, że urządzenia dołączane do Internetu rzeczy najczęściej nie są projektowane w sposób umożliwiający ich łatwą i szybką aktualizację.

Dr inż. Mariusz Stawowski

odpowiedzialny za rozwój strategii biznesowej oraz zarządzanie działem technicznym Clico

Współczesne zabezpieczenia techniczne są „ślepe” na aspekty biznesowe, najważniejsze dla przedsiębiorstw. Dlatego potrzebna jest nowa strategia bezpieczeństwa. Tworząc ją dla klienta, należy, po pierwsze, przygotować go na występowanie incydentów naruszających bezpieczeństwo i szybką reakcję na nie, gdyż nie uda się uniknąć wszystkich. Po drugie, trzeba skoncentrować uwagę na systemach IT pełniących najważniejszą rolę w firmie, bo nie ma możliwości zapewnienia całej infrastrukturze ochrony na wysokim poziomie. Po trzecie, konieczne będzie zautomatyzowanie procedur reakcji na incydenty w najważniejszych systemach IT, aby móc reagować przed naruszeniem bezpieczeństwa. Administratorzy powinni umieć zareagować na przełamanie zabezpieczeń, zanim dojdzie do wycieku danych i zakłócenia ważnych procesów przedsiębiorstwa.