O tym, czy sieć jest dobrze zabezpieczona, niezależnie od wielkości firmy, decyduje kompleksowość jej ochrony. Powinna ona obejmować zarówno urządzenia końcowe (m.in. za pomocą rozwiązań VPN czy uwierzytelniania wieloskładnikowego), samą sieć (przez segmentację i logiczne odseparowanie poszczególnych elementów), jak i styk tej sieci z internetem, przy użyciu firewalla. Przy czym właściwe zabezpieczenie sieci powinno bazować na kompleksowym systemie rozwiązań security.

Ochrona brzegu sieci niezmiennie polega na zastosowaniu bramy UTM lub firewalla nowej generacji (NGFW) na styku ze światem zewnętrznym. Wdrożone rozwiązanie ma sprawdzać ruch wchodzący do sieci i z niej wychodzący, zapewniając ochronę przed zewnętrznymi zagrożeniami oraz tymi, które wynikają z niepożądanego zachowania użytkowników. Typowe składowe ochrony bramy UTM obejmują firewall, antywirus, antyspam, sondę IDS/IPS (Intrusion Detection System/Intrusion Prevention System) oraz filtr treści. Kolejną składową zabezpieczenia brzegu sieci stał się w ostatnich latach sandboxing, który działa w chmurze albo w ramach lokalnej infrastruktury.

Zadaniem antywirusa i sandboxingu jest wykrywanie złośliwego kodu w przesyłanych pakietach i zapobieganie pobieraniu zainfekowanych plików. Filtr treści ma uniemożliwiać użytkownikom firmowej sieci otwieranie niebezpiecznych i niepożądanych stron internetowych. Z kolei skuteczny antyspam powinien blokować przekazywanie niebezpiecznych e-maili do skrzynek pocztowych pracowników, a sonda IDS/IPS nie pozwolić na wykorzystanie luk systemowych do potencjalnego ataku.

Dzisiejsze rozwiązania UTM/NGFW zapewniają detekcję i zapobieganie zaawansowanym atakom, a także działania naprawcze. W tym celu mogą wykorzystywać heurystykę i analizę zachowania, wspomniany sandboxing, a także sieci reputacyjne, zarządzanie informacją o zagrożeniach (threat intelligence) i inne zaawansowane mechanizmy, w których coraz częściej stosowane jest uczenie maszynowe.

Do ochrony danych przesyłanych przez internet wykorzystuje się szyfrowanie ruchu, przede wszystkim przy użyciu protokołów SSL i TLS. O ile dekadę temu taki ruch stanowił 15–20 proc. całego transferu danych w internecie, to obecnie jest to blisko 80 proc. Szyfrowaną komunikację wykorzystują także cyberprzestępcy do przeprowadzania ataków. Dlatego dobrze, gdy platforma UTM/NGFW przeprowadza analizę źródeł komunikacji i certyfikatów bezpieczeństwa oraz inspekcję ruchu SSL/TLS.

Zdalna praca albo żadna

Wykorzystując wielofunkcyjny UTM/firewall administratorzy mogą zapewniać pracownikom firmy szybki, łatwy i bezpieczny zdalny dostęp do danych i aplikacji biznesowych oraz przyznawać im bazujące na rolach uprawnienia. Gdy potrzeba więcej zdalnych połączeń, specjalizowane bramy sieciowe, obsługujące technologię VPN (Virtual Private Network), umożliwią tworzenie połączeń wykorzystujących szyfrowane tunele, dzięki którym możliwy jest zdalny dostęp z oddziałów firmy do zasobów w głównej siedzibie (w trybie site-to-site) lub bezpieczny dostęp do nich urządzeniom użytkowników pracujących poza biurem (tryb client-to-site).

W związku z pandemią koronawirusa gwałtownie wzrosło zapotrzebowanie na wszelkie rozwiązania zwiększające bezpieczeństwo zdalnego dostępu do firmowej sieci. Przedsiębiorstwa, chcąc kontynuować działalność, musiały zapewnić zatrudnionym możliwość pracy na odległość. Zorganizowanie jej na dużą skalę wymaga nowych zasad w funkcjonowaniu IT, a ich pośpieszne wprowadzenie może prowadzić do tego, że wiele koniecznych zabezpieczeń zostało przeoczonych lub zlekceważonych. Warto by integratorzy uświadamiali klientom nowe, poważne zagrożenia, jakie przynosi telepraca.

 

Zdalni pracownicy wykorzystują często własne urządzenia końcowe do łączenia się z aplikacjami i sieciami. W trybie home office pracują korzystając ze słabo zabezpieczonych sieci Wi-Fi. Dane, z których korzystają i je przesyłają, nie są objęte taką ochroną, jaką zapewniają sieci firmowe, wykorzystujące skuteczne oprogramowanie antywirusowe, wielofunkcyjne firewalle i narzędzia do automatycznego tworzenia kopii zapasowych. Można się także spodziewać wzrostu liczby ataków phishingowych w celu wyłudzenia informacji od osób pracujących zdalnie.

Dlatego kluczowe znaczenie dla firmowych zespołów IT ma zapewnienie wglądu i kontroli nad tym, jakie urządzenia mają zdalny dostęp do firmowej infrastruktury, w jakim zakresie i kto z nich korzysta. Dzięki wspomnianej technologii VPN osoby pracujące z domu mogą łatwo i bezpiecznie uzyskać dostęp do wymaganych przez nich zasobów firmy bez konieczności fizycznej obecności w biurze. Tak chroniona komunikacja zapewnia wyższy poziom bezpieczeństwa w porównaniu z innymi metodami komunikacji zdalnej. Umożliwiają to zaawansowane algorytmy szyfrowania, które zabezpieczają prywatną sieć przed nieautoryzowanym dostępem.

W dalszej kolejności warto wziąć pod uwagę rozwiązania odpowiedzialne za ochronę użytkowników przed zainfekowanymi linkami i niebezpiecznymi stronami internetowymi, niezależnie od tego, czy korzystają z sieci firmowej czy domowej. Innym ważnym elementem ochrony jest weryfikacja tożsamości użytkowników i wiarygodności urządzeń przed udzielaniem dostępu do zasobów przedsiębiorstwa, chociażby za pomocą wieloskładnikowego uwierzytelniania – mówi Mateusz Pastewski, Cybersecurity Sales Manager w Cisco.

Od VLAN do mikrosegmentacji

Żeby skuteczniej chronić firmową sieć należy ją podzielić, by ewentualne zagrożenia nie mogły się bez problemu w niej rozprzestrzeniać. W przypadku sieci przewodowej w przedsiębiorstwach niezbędna stała się segmentacja sieci przy użyciu VLAN-ów, czyli standardu 802.1Q. Rozwiązanie znacząco poprawia bezpieczeństwo całej infrastruktury i zwiększa szansę, że wrażliwe dane nie wpadną w niepowołane ręce.

Taką funkcjonalność zapewniają już nawet proste przełączniki sieciowe. Dzielić trzeba także sieć Wi-Fi. Punkty
dostępowe powinny umożliwiać stworzenie kilku sieci bezprzewodowych, za pomocą których możliwy jest dostęp do różnych zasobów sieciowych, a w przypadku sieci dla gości – tylko do internetu – twierdzi Robert Gawroński, SMB Channel Manager w TP-Linku.

Jeszcze dalej idzie mikrosegmentacja, która wynika z podejścia zero-trust. W tym modelu odrzuca się założenie, że wszystko w wewnętrznej sieci, za firewallem, jest bezpieczne. Zero-trust oznacza, że nikt nie jest zaufany, a użytkownicy mają dostęp tylko do tych zasobów, których potrzebują do pracy i żadnych innych (najniższy poziom uprawnień). Każde żądanie dostępu jest weryfikowane, tak jakby pochodziło z otwartej sieci. Zanim dostęp zostanie przyznany, każde połączenie musi zostać w pełni uwierzytelnione, autoryzowane i zaszyfrowane. Dodatkowo do wykrywania anomalii i reagowania na nie w czasie rzeczywistym używa się rozbudowanej analityki. Zapobiega to swobodnemu poruszaniu się po sieci, dzięki czemu atakujący nie uzyska dostępu do całej wewnętrznej infrastruktury przedsiębiorstwa, nawet jeśli uda mu się włamać do sieci.
Wykorzystanie rozwiązań umożliwiających realizację strategii ograniczonego zaufania w celu zabezpieczenia dostępu do sieci, aplikacji i urządzeń powinno wzrastać. Jak wynika z badania Cisco 2020 CISO Benchmark, obecnie tylko 17 proc. firm stosuje mikrosegmentację bazującą na zasadzie zero-trust w celu ochrony cyfrowych zasobów. Trochę lepiej jest w przypadku uwierzytelniania wieloskładnikowego (MFA) – tę skuteczną technikę kontroli dostępu stosuje 27 proc. przedsiębiorstw.

Zdaniem integratora

Ryszard Rumiński, dyrektor Działu Wdrażania Technologii Cyberbezpieczeństwa, Exon Computer Systems

W obliczu pandemii koronawirusa ogromnie wzrósł popyt na rozwiązania umożliwiające bezpieczny zdalny dostęp do firmowych zasobów i pracę na odległość. Zwłaszcza sektor publiczny, instytucje rządowe i samorządy wykazują chęć zakupu tego rodzaju systemów, co bardzo ułatwia specustawa, znosząca konieczność przeprowadzania przetargu w przypadku towarów lub usług niezbędnych do walki z wirusem. Wcześniej dostęp zdalny był wykorzystywany najczęściej tylko przez administratorów, więc był realizowany przy użyciu firmowych urządzeń, takich jak firewalle czy UTM-y. Obecnie, gdy trzeba go zorganizować dla setek, czy nawet tysięcy, pracowników, UTM zwykle nie wystarczy, więc najlepszą opcją stają się specjalizowane rozwiązania, które można szybko wdrożyć, aby w bardzo bezpieczny sposób obsłużyć tak wielu użytkowników. Wobec zwiększonego zagrożenia (związanego chociażby z wykorzystaniem domowych komputerów, pozostających poza kontrolą działu IT), skuteczną ochronę zapewniają takie metody udostępniania zasobów, jak otwierane w przeglądarce portale. Pracownicy uzyskują przez nie dostęp tylko do tych plików, aplikacji i zdalnych pulpitów, do których mają uprawnienia. Nie ma wtedy konieczności zestawiania klasycznego tunelu VPN i przepuszczania potencjalnie niebezpiecznego ruchu sieciowego.

 

Korelacja informacji o zdarzeniach w sieci

Poziom ochrony firmy przed atakami zależy od poziomu kompetencji zespołów IT. Jak wynika ze wspomnianego raportu Cisco, ochrona danych we wszystkich połączeniach użytkowników w sieci została uznana za spore wyzwanie. W sumie 41 proc. badanych przedsiębiorstw uważa, że ich centra danych są niezwykle trudne do obrony przed cyberatakami, a jednocześnie 39 proc. przyznało, że ma problemy z zabezpieczeniem aplikacji. Najbardziej kłopotliwym miejscem do obrony danych stała się chmura publiczna – 52 proc. uznaje ją za bardzo lub niezwykle trudną do zabezpieczenia, a dla 50 proc. to infrastruktura chmury prywatnej stanowi największe wyzwanie w zakresie bezpieczeństwa.

Jeśli więc skuteczna ochrona firmowych danych jest sama w sobie tak trudna, to może stać się wręcz niewykonalna z powodu braku specjalistów ds. bezpieczeństwa na rynku. Na całym świecie do końca 2020 r. ma brakować 3 mln takich ekspertów, a w samej Polsce w tym czasie deficyt ma sięgnąć 10 tys. Dlatego przedsiębiorstwa coraz częściej korzystają z outsourcingu, polegając w kwestiach cyberbezpieczeństwa głównie na wiedzy i doświadczeniu specjalistów zewnętrznych. Ten trend to szansa dla integratorów, którzy będą w coraz większym stopniu funkcjonować jako dostawcy zewnętrznych usług zarządzanych w zakresie cyberochrony jako Managed Security Service Providerzy.
Rozwijając swój biznes jako MSSP, integrator również potrzebuje specjalistów i odpowiednich narzędzi. Wobec wykładniczego wzrostu ruchu sieciowego detekcja odchyleń od wzorców, mogących wskazywać na zagrożenie, staje się coraz większym wyzwaniem. Jeszcze trudniejsze staje się reagowanie na nie. Trzeba zmierzyć się z wielką liczbą informacji generowanych przez rozwiązania ochronne i agregowanych oraz korelowanych przez rozwiązania typu SIEM. Zdecydowana większość z tych danych dotyczy zdarzeń będących odchyleniem od normy, które w rzeczywistości wcale nie są incydentami bezpieczeństwa. Jeśli więc administratorzy mają pod opieką środowisko złożone z wielu setek czy tysięcy urządzeń, z których SIEM agreguje logi i wysyła alerty o każdym teoretycznie podejrzanym zdarzeniu, to z powodu braku czasu i specjalistów wiele zdarzeń nie doczeka się analizy.

Bezpieczeństwo w cenie kawy

Według badania Cisco „The Security Bottom Line: How much security is enough?”, 46 proc. firm zatrudniających od 250 do 999 pracowników wydaje na cyberbezpieczeństwo do 250 tys. dol. rocznie. Czy to dużo? Jeżeli przyjmiemy najwyższy deklarowany poziom wydatków w przedsiębiorstwie o najniższym zatrudnieniu w tej grupie, koszt bezpieczeństwa wynosi 2,7 dol. na pracownika dziennie. To mniej więcej tyle, ile kosztuje kawa. Gdy taka firma przeznaczy na cyberbezpieczeństwo maksymalną deklarowaną przez uczestników badania kwotę – 1 mln dol. rocznie, koszt w przeliczeniu na jednego pracownika wyniesie około 11 dol. dziennie.

Na polskim rynku wydatek rzędu 250 tys. dol. rocznie robi ogromne wrażenie, w szczególności wśród mniejszych firm. Coraz częściej jednak mogą one dokonać zakupu rozwiązań bezpieczeństwa w modelu subskrypcyjnym, zamiast ponoszenia jednorazowego wydatku. Wówczas kwota ta nie powinna wydawać się już tak ogromna – mówi Mateusz Pastewski, Cybersecurity Sales Manager w Cisco.

Podejmując decyzję o inwestycji w rozwiązania z zakresu bezpieczeństwa, należy obliczyć, jakie mogą być skutki cyberataku. Dla wielu małych firm brak ciągłości działania, chociażby przez tydzień, może oznaczać bankructwo. Chcąc ocienić, ile przedsiębiorstwa powinny wydać na cyberbezpieczeństwo, należy wziąć pod uwagę więcej czynników niż jedynie ich wielkość, a więc także branżę, w której działają, bo potencjalne skutki ataku będą o wiele poważniejsze w przypadku instytucji finansowych czy sektora energetycznego.

 

Niezbędne inteligentne wspomaganie

Jak zatem odróżnić prawdziwe incydenty bezpieczeństwa od tych fałszywych? Z pomocą przychodzą: sztuczna inteligencja (artificial intelligence), uczenie maszynowe (machine learning) i uczenie głębokie (deep learning). Jeśli człowiek pozostaje najsłabszym ogniwem w systemie ochrony, to nowe, wykraczające poza jego możliwości rozwiązania stają się jedynym sposobem, by radzić sobie ze skalą i złożonością zagrożeń. Ułatwiają one analizę wzorców ruchu sieciowego i szybką identyfikację potencjalnych anomalii.

Czy jednak rozwiązania oparte na AI, ML i DL są na tyle dojrzałe, że już dzisiaj są w stanie zapewnić natychmiastowe korzyści z wdrożenia? Warto przypomnieć, że już jakąś dekadę temu AI była bardzo promowana w kontekście monitoringu wizyjnego. Miała być wtedy doskonałym remedium na błędy pracowników ochrony wpatrujących się przez długie godziny w wiele ekranów monitorów. Okazało się, że zamiast poprawy bezpieczeństwa efektem zastosowania sztucznej inteligencji była nieakceptowalna liczba fałszywych alarmów. Rozwiązania, które miały odciążyć ludzi, w rzeczywistości dokładały im pracy. Zamiast przynosić oszczędności, zwiększały koszty.

Od tamtego czasu – dzięki postępowi technologicznemu – wiele się zmieniło, czego dowodzi wspomniany już rozwój technik nadzoru wideo. Użytkownicy mają do dyspozycji coraz doskonalsze algorytmy i znacznie większą moc obliczeniową (za sprawą chmury wręcz nieograniczoną). Nie oznacza to jednak, że użycie sztucznej inteligencji w systemie bezpieczeństwa jest bezproblemowe. Żeby osiągnąć wyraźne korzyści, trzeba poradzić sobie z wyzwaniami, których wciąż nie brakuje. Wdrożenie rozwiązań ochronnych wykorzystujących sztuczną inteligencję zakończy się sukcesem tylko wtedy, gdy źródła informacji, podłączone do platform danych, będą dostarczać algorytmom AI właściwe dane wejściowe.

Higiena to podstawa

Gdy tak dużo uwagi poświęca się zagrożeniom typu zero-day, rośnie przekonanie, że najważniejsze staje się posiadanie bardzo zaawansowanych technologii. W rezultacie mniej uwagi poświęca się podstawom higieny bezpieczeństwa oraz nadawaniu właściwych priorytetów incydentom bezpieczeństwa. Koncentrowanie się na najbardziej złożonych zagrożeniach skutkuje tym, że wiele firm ma zbyt wiele różnych rozwiązań ochronnych i traci dużo energii na ich integrowanie i przenoszenie informacji z jednego narzędzia do drugiego. Nawet jeśli dysponuje się najbardziej wyrafinowanymi mechanizmami ochrony, nie można zapominać o podstawowych zasadach.
Zwłaszcza, że nie jest z tym najlepiej. Liczba przypadków naruszeń wynikających z braku aktualizacji systemów i wykorzystywanego przez firmy oprogramowania łatających dziury w zabezpieczeniach, a także wielkość powodowanych przez nie strat zamiast maleć – rośnie. Jak wynika z CISO Benchmark Report 2020, aż 46 proc. przedsiębiorstw (w porównaniu z 30 proc. w poprzednim roku) zanotowało incydent spowodowany niezałataną podatnością.

Dlatego bardzo ważne jest, aby platforma ochronna zawierała oprogramowanie wymuszające aktualizacje na urządzeniach końcowych, jak najszybciej od momentu, gdy stają się one dostępne. Integratorzy powinni zwracać uwagę klientów na fakt, że pozostawienie niezałatanej luki jest jak otwarcie drzwi do systemu informatycznego
z zaproszeniem do ataku. Warto także pokazywać im, jak proces dostarczania łatek jest realizowany przez rozwiązania bezpieczeństwa sieciowego różnych producentów.
Należy także uświadomić klientom, że podstawą w ograniczaniu zagrożeń jest prawidłowe konfigurowanie urządzeń ochrony. Ich ustawienia powinny być regularnie aktualizowane i kontrolowane tak, by w ekosystem bezpieczeństwa nie wkradł się chaos wynikający z wprowadzania szybkich, doraźnych zmian w środowisku IT, niekontrolowanych aktualizacji polityki bezpieczeństwa oraz wdrażania nowych urządzeń końcowych.