Brak zaufania podstawą strategii bezpieczeństwa

Praca hybrydowa spowodowała gwałtowne poszerzenie środowiska wymagającego ochrony. Dlatego w coraz większym stopniu firmy decydują się na skorzystanie z koncepcji Zero Trust, która polega na tym, aby z założenia nie ufać ani ludziom, ani urządzeniom, za pomocą których próbują uzyskać dostęp do cyfrowych systemów przedsiębiorstwa.

Co wyjątkowego ma w sobie Zero Trust w porównaniu z tradycyjnym podejściem, że wszyscy producenci w branży cyberbezpieczeństwa starają się dostosować swoje produkty do tej koncepcji? Najkrócej rzecz ujmując: w tradycyjnym modelu, gdy ktoś uzyskał dostęp do sieci, był później traktowany jako podmiot zaufany. Zero Trust natomiast oznacza brak zaufania dla każdego elementu systemu, zewnętrznego czy wewnętrznego. Na każdym etapie jego komunikacji z innym zasobem muszą być zweryfikowane relacje zaufania i prawa dostępu.

– Zasada Zero Trust polega na tym, że wymagana jest ścisła weryfikacja tożsamości każdej osoby lub urządzenia, które próbuje uzyskać dostęp do sieci lub aplikacji – tłumaczy Jolanta Malak, dyrektor Fortinet w Polsce. – Weryfikacja ta ma zastosowanie niezależnie od tego, czy dane urządzenie lub użytkownik znajduje się już w obrębie sieci, czy też nie. Ponowna weryfikacja tożsamości może być wywołana poprzez zmianę używanego urządzenia, lokalizacji, częstotliwości logowania lub po określonej liczbie nieudanych prób logowania.

Wiele przedsiębiorstw ma problemy ze stworzeniem strategii ochronnej, a zdaniem ekspertów ds. bezpieczeństwa Zero Trust może być traktowany jako gotowy dla niej schemat. Jako dobra praktyka zawiera zbiór pewnych działań, stosowanych technik i narzędzi, które ułatwiają stworzenie odpowiedniej strategii już na etapie projektowania systemu, albo w fazie integracji posiadanych rozwiązań.

Trzeba przygotować się na atak

Wobec skali zmasowanych i ukierunkowanych działań cyberprzestępców, a także precyzji ich działania, nie można już zastanawiać się, czy dojdzie do ataku. Trzeba raczej zapytać: kiedy? Kluczowe więc staje się, jak szybko administratorzy w danym podmiocie zorientują się, że atak nastąpił. Niestety, wyniki wielu badań nie napawają optymizmem. Wytykają przedsiębiorcom duże braki w obszarze cyberbezpieczeństwa, w tym niewiedzę, czym są krytyczne dane i zasoby oraz jakich zabezpieczeń należy użyć, by je chronić.

Jednak nawet jeśli firmy inwestują w niezbędne narzędzia, to kolejne ankiety pokazują, że wykrycie ataku oraz reakcja na niego mogą trwać bardzo długo. Według ekspertów IBM-u średni czas, jaki w 2020 r. upływał od początku ataku do momentu jego wykrycia, wynosił aż 228 dni! Kolejnych 80 dni potrzebowano na ostateczne powstrzymanie wykrytego ataku. Te liczby wiele mówią o skuteczności wykorzystywanych zabezpieczeń.

Celem cyberprzestępców jest dziś każdy. Bezpieczna nie może czuć się ani mała firma (której właściciel zwykle zakłada, że nie posiada nic cennego), ani duża (której zarząd uważa, że spore pieniądze wydane na ochronę gwarantują święty spokój).

– Nigdy nie wolno zakładać, że jesteśmy w pełni chronieni przed atakującymi. Warto wziąć poprawkę na to, że nawet najlepsza architektura może zostać zaatakowana – mówi Przemysław Kania, dyrektor generalny Cisco. – Wtedy niezbędny okaże się przygotowany wcześniej plan awaryjny, obejmujący wszystkie najistotniejsze obszary działania firmy, jak dział prawny, kadry, finanse, IT czy zarząd.

Jeśli jednak z góry założyć, że atak wcześniej czy później i tak nastąpi, czy w takim razie można mniej uwagi poświęcać prewencji? Oczywiście, że nie. Zapobieganie zawsze będzie lepsze niż leczenie. Podstawą ochrony wciąż są systemy, w których na poziomie technicznym zintegrowane są różne – w zależności od potrzeb – narzędzia zabezpieczające.

Jednak stworzenie takiego środowiska to dopiero połowa sukcesu. Ograniczy ryzyko włamania, ale całkowicie go nie wyeliminuje. Chociaż warstwa prewencji nie przestaje być ważna w powstrzymywaniu większości zagrożeń, potrzeba też technik wykrywania i reagowania na atak, który potrafi omijać zabezpieczenia. Ważne, by niedługo po tym, jak do niego dojdzie (a dojdzie na pewno), wiedzieć, co i w jaki sposób zostało skompromitowane, a także jakie następnie działania powinny zostać podjęte. W tej sytuacji o wszystkim decyduje czas – im więcej cyberprzestępcy zdążą wykraść informacji, tym więcej kosztować będą skutki włamania.

Zdaniem integratora

Paweł Zwierzyński, inżynier sieciowy, Vernity Paweł Zwierzyński, inżynier sieciowy, Vernity  

Od tego, jak dobrze będą chronione połączenia WAN, zależy bezpieczeństwo całego, coraz bardziej rozproszonego środowiska firmowego. Wiele możliwości zapewniają w tym zakresie nowoczesne platformy firewall. Kluczem do skutecznego zabezpieczenia sieci rozległej są optymalne reguły polityki dostępowej firewalla, wsparte dodatkowymi mechanizmami ochronnymi, takimi jak: skaner antywirusowy z funkcją sandbox, system IPS, kontrola podejrzanych plików oraz wykrywanie komunikacji z zarządzanymi przez cyberprzestępców serwerami command and control (C&C). Trzeba przy tym zdawać sobie sprawę, że optymalna polityka dostępowa i konfiguracja firewalla nie są czymś stworzonym raz na zawsze. Powinno się je regularnie kontrolować i rozwijać.