Chmurowe środowiska zarządzania infrastrukturą IT, w ramach których zapewniana jest łączność pomiędzy urządzeniami zdalnych pracowników, oddziałami firm czy środowiskami brzegowymi, wymagają nieustannego weryfikowania poziomu zabezpieczeń. A ponieważ jest to zadanie niełatwe, konieczne okazuje się zastosowanie wieloaspektowego podejścia, w które wpisują się architektury SSE (Security Service Edge) i SASE (Secure Access Service Edge).

Niezbędne w SASE funkcje cyberbezpieczeństwa obejmują rozwiązania Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) oraz firewalle sieciowe. W sytuacji, gdy są dostarczane oddzielnie od infrastruktury SD-WAN, oferuje się je jako SSE. Jeśli zaś są wdrażane łącznie jako rozwiązanie jednego dostawcy, funkcjonują jako Unified SASE.

– Takie skalowalne platformy zawierają kilka funkcji, obecnych także w odrębnych produktach. O bezpieczeństwo na brzegu sieci dba SSE, zaś uwierzytelnianie użytkowników i urządzeń łączących się z siecią z dowolnego miejsca umożliwia Universal ZTNA. Z kolei szybką, szyfrowaną łączność pomiędzy wszystkimi punktami w sieci zapewnia Secure SD-WAN – tłumaczy Grzegorz Gondek, Business Development Manager w polskim oddziale Fortinetu.

Według Gartnera globalny potencjał sprzedażowy (Total Addressable Market) rozwiązań SASE wyniesie w 2027 r. aż 25 mld dol. Klienci będą wykorzystywać je przede wszystkim do zapewniania bezpieczeństwa danych przetwarzanych przez zdalnych pracowników, migracji ze środowisk VPN do ZTNA, a także wdrażania projektów chmurowych i innych, wspierających procesy cyfrowej transformacji.

Im więcej warstw tym lepiej

Zła wiadomość jest taka, że nie ma cudownego rozwiązania, które w 100 proc. zagwarantuje odporność firmowej sieci na cyberatak. Dobra natomiast jest taka, że istnieją środki, które można podjąć, aby zminimalizować ryzyko, a w najgorszym przypadku ograniczyć wpływ ataku na przedsiębiorstwo. Dostawcy i eksperci proponują podejście bazujące na ochronie warstwowej, wykorzystujące wiele środków bezpieczeństwa, reguł polityki oraz rozwiązań w celu zabezpieczenia środowiska IT przed cyberatakami i wyciekami danych. Cel jest prosty: jak najbardziej utrudnić atakującemu przeniknięcie przez kolejne warstwy ochrony sieciowej, kradzież wrażliwych danych i szkodliwy wpływ na infrastrukturę.

– Wobec coraz bardziej zaawansowanych ataków ważne staje się monitorowanie nie tylko brzegu sieci, ale współpraca UTM/NGFW z zewnętrznymi narzędziami, takimi jak EDR czy XDR. Takie podejście sprawia, że korelowane są zdarzenia nie tylko na brzegu sieci, ale również w urządzeniach końcowych, co dzięki macierzom MITRE ATT&CK ułatwia zablokowanie pojawiających się zagrożeń we wczesnej fazie. Idąc jeszcze dalej, producenci korzystają ze specjalnych playbooków, które dają możliwość reagowania na konkretne zagrożenia. To pokazuje, że w bezpieczeństwie sieci nadal funkcjonuje zasada cebuli. Im więcej warstw ochrony, tym bezpieczniejsi będziemy – mówi Piotr Zielaskiewicz, Senior Product Manager Stormshield w DAGMA Bezpieczeństwo IT.

Problemem bezpieczeństwo… zabezpieczeń

Gdy zwiększyły się możliwości ochrony urządzeń końcowych, hakerzy przenieśli swoją uwagę na systemy bezpieczeństwa sieciowego. Ponieważ pełnią one rolę frontowych drzwi do środowiska IT, stanowią wyjątkowo pożądany cel dla cyberprzestępców.

Z badania Forescout wynika, że w 2023 r. liczba exploitów, których celem były routery, zapory sieciowe, VPN-y i inne urządzenia infrastruktury sieciowej, wzrosła do 11 proc. wszystkich exploitów ogółem, a więc prawie czterokrotnie w porównaniu z rokiem 2022. Z kolei specjaliści z należącej do Google Cloud i zajmującej się cyberbezpieczeństwem firmy Mandiant, twierdzą, że w 2023 r. wykorzystano dziewięć luk w produktach bezpieczeństwa sieciowego, czyli niemal dwukrotnie więcej niż w 2022 r. (gdy było ich pięć).

Coraz częściej podatności te wychodzą na jaw jako exploity zero-day, czyli wcześniej nieznane luki, które zostały już wykorzystane w atakach. Podatności te nazywane są zero-day ponieważ dostawcy nie mieli praktycznie żadnego czasu na opracowanie i dystrybucję poprawek.

W styczniu tego roku doszło do masowego wykorzystania przez cyberprzestępców trzech luk w rozwiązaniu VPN Ivanti Connect Secure. Jak stwierdzono, w wyniku ataków skompromitowanych zostało tysiące urządzeń. Obok ataków na klientów Ivanti Connect Secure, częstym zjawiskiem w ostatnich miesiącach stały się ataki wykorzystujące luki dnia zerowego w lokalnie instalowanych firewallach.

Przykładowo, w lutym ujawniono, że w takich atakach była wykorzystywana krytyczna luka w systemie operacyjnym FortiOS firmy Fortinet. Później, w połowie kwietnia, Palo Alto Networks ostrzegało o krytycznej luce w oprogramowaniu PAN-OS swoich firewalli, która była wykorzystywana już w momencie ujawnienia. Kilka dni potem Cisco Systems poinformowało o groźnej podatności dotyczącej zintegrowanego Management Controllera, stosowanego w licznych urządzeniach sieciowych. Kod, który może zostać użyty do wykorzystania luki, został publicznie udostępniony. W pierwszej połowie tego roku ujawniono także serię innych podatności o wysokim i krytycznym poziomie zagrożenia, wpływających na zapory sieciowe wielu dostawców.