Bezpieczeństwo pod znakiem integracji

Prezes Forcepointa Matthew Moynahan podczas niedawnego wystąpienia w Warszawie zasygnalizował problem marnotrawienia środków na systemy bezpieczeństwa. Zwrócił uwagę, że choć w minionych kilku latach przedsiębiorcy wydali na ochronę danych, urządzeń końcowych i sieci około pół biliona dolarów, to wciąż nikt nie czuje się w pełni bezpieczny, a hakerzy kąsają coraz mocniej. Na listę ofiar cyberataków trafiają nawet globalne koncerny, takie jak Sony, Uber, Yahoo czy Equifax, które przecież trudno podejrzewać o to, że nie inwestują w rozwiązania z zakresu bezpieczeństwa.

Na wyobraźnię potencjalnych klientów działają także skutki ataków takich jak ten na klinikę Singh Health w Singapurze, z której hakerzy wykradli dokumentację medyczną około 1,5 miliona pacjentów, w tym premiera tego kraju.

– Takie incydenty sprawiają, że decydenci zaczynają dostrzegać potrzebę ochrony poufnych danych i systemów IT – mówi Sid Deshpande, analityk Gartnera.

Wszystko wskazuje na to, że w najbliższych latach budżety na produkty i usługi security nadal będą rosnąć. Według Gartnera w 2019 r. globalne wydatki na wymienione rozwiązania wyniosą 124 mld dol. – 12 proc. więcej aniżeli w bieżącym roku. Klienci najwięcej mają wydawać na usługi bezpieczeństwa (64 mld dol.), a także ochronę infrastruktury (15 mld dol.) i na systemy zabezpieczenia sieci (13 mld dol.). W najbliższym roku należy spodziewać się rosnącego popytu na IAM (zarządzanie tożsamością i dostępem), IGA (zarządzenie tożsamością i administracją) czy DLP (zapobieganie wyciekom danych). Według analityków trzy elementy przyczynią się do wzrostu popytu na rozwiązania z zakresu cyberbezpieczeństwa. Są to: rosnąca liczba zagrożeń, potrzeby biznesu i zmiany zachodzące w branży.

Swojego rodzaju chaos w sektorze systemów bezpieczeństwa IT, wynikający z różnorodności rozwiązań i rozdrobnienia tego rynku, wydaje się korzystnym zjawiskiem dla integratorów. Część firm nie radzi sobie z zarządzaniem produktami bezpieczeństwa, jeśli pochodzą od kilku różnych producentów. Przed sprzedawcami otwierają się więc duże możliwości w zakresie konsultingu. Poza tym sami producenci zachęcają do integracji rozwiązań. W tym miejscu można przywołać przykłady takich firm jak McAfee czy Sophos.

– McAfee wychodzi z założenia, że integracja systemów ochrony jest najlepszym sposobem na powstrzymanie hakerów. Taka metoda zapewnia m.in. szybką wymianę informacji pomiędzy poszczególnymi produktami zabezpieczającymi sieć i urządzenia końcowe – tłumaczy Damian Przygodzki, inżynier wsparcia technicznego w ABC Dacie.

Również Matthew Moynahan przekonuje klientów, żeby odchodzili od tradycyjnego modelu zakupów rozwiązań bezpieczeństwa na rzecz inwestycji w dynamiczne systemy ochrony danych łączące DLP i UEBA (User and Entity Behavior Analytics). Jeszcze dalej sięga koncepcja Cisco. Koncern z San Jose lansuje idee sieci intuicyjnej, która dostosowuje się do otoczenia i chroni środowisko IT przed ciągle zmieniającymi się współczesnymi zagrożeniami.

Kłopot z firewallem

Według badań przeprowadzonych przez Untangle małe i średnie firmy zaopatrujące się w systemy bezpieczeństwa najczęściej obawiają się popełnienia błędu przy wyborze firewalla. Wprawdzie sondaż nie dotyczył Polski, niemniej dystrybutorzy oraz resellerzy dostrzegają podobne postawy wśród rodzimych przedsiębiorców.

– Obecnie firewall oraz program antywirusowy stanowią dwie najważniejsze linie obrony przed zagrożeniami. O ile źle działającego antywirusa można łatwo i szybko wymienić, o tyle w przypadku firewalla nie jest to proste. Przedsiębiorcy zazwyczaj wymieniają tego typu sprzęt po pięciu latach. Dlatego ważną rolę w procesie sprzedaży pełni integrator, który powinien pomóc klientowi w doborze optymalnego rozwiązania, zarówno pod kątem wydajności, jak i funkcjonalności – tłumaczy Karol Labe, właściciel Miecz Netu.

Selekcji nie ułatwiają dynamiczne zmiany zachodzące w segmencie cyberbezpieczeństwa. Dostarczane urządzenia stają się coraz bardziej złożone i wymagają od administratorów szerokiej wiedzy, czasami wykraczającej poza branżę security.

– W nowoczesnych przedsiębiorstwach firewall stanowi centralny punkt zarządzania siecią. Rozszerzenie funkcjonalności urządzenia o możliwość zarządzania przełącznikami i siecią bezprzewodową znacznie ułatwia administrację – przekonuje Artur Madejski, Product Manager Fortinet w Veracompie.

Specjaliści z firm dystrybucyjnych bardzo często pomagają klientom i resellerom lub integratorom podczas wdrożeń, zwracając uwagę na aspekty technologiczne i funkcjonalne. Szczególnie cenne jest wsparcie w postaci testów, tym bardziej że nabywcy firewalli nierzadko mają problemy z ustaleniem odpowiedniej wydajności sprzętu.

– Na podstawie podstawowych parametrów, takich jak rodzaj i prędkość łącza, a także informacji o wymaganych funkcjach, liczbie portów oraz sposobie analizy ruchu możemy wybrać odpowiedni model. Drugą część stanowią testy i najlepszą opcją jest w tym przypadku praca na kopii realnego ruchu, przy wykorzystaniu portów SPAN przełączników – wyjaśnia Damian Przygodzki.

Inteligentne firewalle

Palo Alto Networks ponad dekadę temu wywołało rewolucję w segmencie bezpieczeństwa, wprowadzając na rynek tzw. firewalle nowej generacji (NGFW). W 2009 r. Gartner wydał publikację, w której zdefiniował nową rodzinę tych urządzeń. NGFW, w przeciwieństwie do tradycyjnych firewalli, oferuje mechanizmy analizy pakietów działające w warstwie aplikacji, a także system wykrywania zagrożeń (IPS) wraz z inspekcją ruchu szyfrowanego. Firewalle nowej generacji na dobre zadomowiły się na globalnym rynku. Według NSS Labs w Stanach Zjednoczonych ponad 80 proc. przedsiębiorstw korzysta z NGFW.

– Klasyczne zapory umożliwiają filtrowanie ruchu sieciowego w warstwie 3. oraz 4. Filtrowanie ruchu w tych dwóch warstwach jest nadal potrzebne, chociaż już niemal dowolny ruch aplikacji można przesłać poprzez protokół HTTP bądź HTTPS. Dlatego wymagane jest filtrowanie ruchu w wyższych warstwach na poziomie aplikacji. Takie zadania realizują urządzenia UTM oraz NGFW – wyjaśnia Piotr Szymański, Presales Engineer w Connect Distribution.

Co ciekawe, w przestrzeni publicznej pojawiają się zapowiedzi wieszczące koniec ery NGFW. Huawei zapowiada nadejście epoki firewalli ze sztuczną inteligencją. Warto zauważyć, że takimi urządzeniami już od pewnego czasu chwali się Hillstone Networks. Czy mamy zatem do czynienia z kolejną rewolucją na rynku firewalli?

– Na razie to tylko szum marketingowy. Jednakże w niezbyt odległej przyszłości mechanizmy uczenia maszynowego zaczną odgrywać znaczącą rolę w strategii, w analizowaniu i korelacji zdarzeń – przyznaje Aleksander Łapiński, Security Engineer w Check Poincie.

Innym interesującym trendem jest rozwój usług Firewall as a Service (FaaS). Już od kilku lat producenci dopracowują swoją ofertę w tym zakresie. Wprawdzie polskie firmy wykazują umiarkowane zainteresowanie tego typu usługami, ale dystrybutorzy postrzegają FaaS jako perspektywiczny kierunek.

– Firmy, które posiadają wiele odległych biur, centrów danych, a także mobilnych użytkowników, jako pierwsze zainteresują się rozwiązaniami chmurowymi – prognozuje Piotr Szymański.

UTM wciąż potrzebny

Dynamiczny rozwój firewalli, które zyskują nowe funkcje, raczej nie zagraża systemom UTM (Unified Threat Management). Eksperci uważają, że obie grupy produktów znajdą nabywców. Choć świadomość klientów na temat różnic pomiędzy zwykłymi firewallami, NGFW a urządzeniami UTM pozostawia wiele do życzenia. Dlatego integratorzy powinni precyzyjne wyjaśniać to przedsiębiorcom i pomagać w wyborze odpowiedniego rozwiązania.

UTM najczęściej sprawdza się w małych i średnich firmach, które chętnie sięgają po wielofunkcyjne kombajny. Urządzenie oferuje takie funkcje jak: IPS, IDS, filtrowanie adresów URL czy usług VPN. Użytkownicy nowych modeli mogą też filtrować ruch w warstwie aplikacyjnej czy integrować sprzęt ze środowiskiem chmury publicznej. Jednakże niemal identyczne funkcje znajdują się w specyfikacji NGFW.

– Firewalle nowej generacji są przeznaczone dla większych firm, gdyż oferują wyższe przepustowości łącza aniżeli UTM. Poza tym integrowane są z zewnętrznymi aplikacjami i zapewniają wyższy poziom ochrony, pozwalający na analizę pakietów ruchu szyfrowanego, który stanowi powyżej 70 proc. całego ruchu w internecie – wyjaśnia Piotr Szymański.

Eksperci przyznają, że prosty podział na duże i małe przedsiębiorstwa nie zawsze sprawdza się przy wyborze produktów. Choć UTM-y są kojarzone głównie z małymi i średnimi przedsiębiorcami, coraz częściej trafiają do koncernów czy instytucji finansowych, gdzie z powodzeniem funkcjonują w lokalnych oddziałach. Administratorzy sieciowi doceniają łatwość zarządzania urządzeniami z centrali, a także prostotę i przejrzystość systemów raportowania oraz reakcji na zdarzenia.

Nowe zagrożenia, nowe produkty

Sytuacja na rynku systemów bezpieczeństwa zmienia się w szybkim tempie. Z jednej strony wynika to z rozwoju technologii, a drugiej – z przebiegłości hakerów. Niepośledni wpływ na dobór rozwiązań mają także uwarunkowania prawne, takie jak RODO. Resellerzy przyznają, że wraz z wejściem w życie tego rozporządzenia wyraźnie wzrósł popyt na produkty DLP.

– Niestety, nie wszyscy administratorzy są świadomi, że posiadają to narzędzie w swoich zasobach. Popularne UTM-y i systemy służące do ochrony poczty elektronicznej dysponują mechanizmami DLP – dodaje Artur Madejski.

W najbliższych latach sen z powiek administratorów sieci spędzać będą procesy związane z migracją do chmury publicznej. Pokłosiem tego trendu będzie poszerzanie się sieci przedsiębiorstw, a tym samym zacieranie granic, których trzeba bronić.

– Niezwykle trudno określić, gdzie powinna kończyć się ochrona nowoczesnego przedsiębiorstwa. Problem ten dostrzegli już kilka lat temu wiodący producenci systemów bezpieczeństwa. Obecnie wielu z nich oferuje integrację ze środowiskami chmury publicznej i prywatnej, dostarczając rozwiązania z zakresu ochrony w wersji zwirtualizowanej pod postacią kontenerów lub usługi oferowanej przez providera – wyjaśnia Artur Madejski.

Na rynku pojawiły się też systemy CASB (Cloud Access Security Broker), przeznaczone dla przedsiębiorstw korzystających z aplikacji chmurowych i przechowujących dane poza swoją siedzibą. Ale zagrożenia przychodzą nie tylko z zewnątrz. Nierzadko przyczyną wycieku danych jest niedbalstwo pracowników lub ich celowe działania na szkodę organizacji. Dlatego na fali wznoszącej znajdują się systemy analizujące zachowania użytkowników oraz urządzeń, które potrafią wykryć anomalie odbiegające od standardowych zachowań (UEBA).

Ciągłe zmiany w segmencie bezpieczeństwa zmuszają resellerów do większej aktywności, a zwłaszcza śledzenia rynkowych nowinek. Ale gra jest warta świeczki. Hakerzy nigdy nie złożą broni, a właściciele firm nie poradzą sobie z cyberatakami bez wsparcia specjalistów. Przedsiębiorcy uczestniczący w badaniu 2018 Cyberthreat Defence Report wśród największych przeszkód uniemożliwiających skuteczną obronę przed cyberatakami wymienili: brak wykwalifikowanego personelu, niską świadomość pracowników i zbyt dużą ilość danych, nad którymi trzeba zapanować.