Sieci pod wnikliwą kontrolą

Hybrydowe środowisko pracy często wymaga wdrożenia zaawansowanych narzędzi do ochrony i monitoringu sieci oraz urządzeń. Komputery konsumenckie rzadko są objęte rygorystyczną polityką bezpieczeństwa. W związku z tym mogą zawierać złośliwe oprogramowanie i liczne luki w zabezpieczeniach. Jeśli jednak użytkownicy korzystaliby wyłącznie ze służbowych notebooków i smartfonów, to i tak łączą się za pośrednictwem domowych sieci Wi-Fi.

W rezultacie setki tysięcy urządzeń, z których część może być potencjalnie niepewnych, łączy się z sieciami korporacyjnymi. To niesie ze sobą całą masę zagrożeń. Jak wynika z badania na temat bezpieczeństwa pracy zdalnej przeprowadzonego przez Fortinet, aż 60 proc. przedsiębiorstw doświadczyło wzrostu liczby prób ataku w trakcie przechodzenia na ten model, zaś 34 proc. przyznaje, że taki atak się powiódł.

– Należy pamiętać, że pracownicy są rozproszeni, dlatego administrator powinien mieć możliwość zdalnego zarządzania tym oprogramowaniem z centralnej konsoli – mówi Patryk Struzikowski. – W ten trend świetnie wpisują się rozwiązania chmurowe. Bardzo przydatne jest też zbieranie logów z różnych systemów przez rozwiązania typu Security Information and Event Management i ich korelowanie w jednym miejscu.

SIEM zdaje egzamin wszędzie tam, gdzie potrzebna jest korelacja informacji pochodzących z wielu źródeł. System gromadzi, filtruje i koreluje dane, dzięki czemu działy IT uzyskują dostęp do konkretów o istotnych zdarzeniach, odsianych od informacyjnego szumu. Ciekawą alternatywą dla SIEM może być już niedługo oprogramowanie XDR (eXtended Detection And Response), które jest rozszerzeniem EDR-a. Gromadzi ono i w automatyczny sposób analizuje dane z różnych systemów, takich jak urządzenia końcowe, serwery plików, baz danych i poczty elektronicznej, a także z chmury i sprzętu sieciowego.

Jednak dostawcy SIEM nie zamierzają oddawać pola i wciąż rozwijają swoje produkty. Jednym z przykładów jest funkcja symulacji podatności. Korzystający z niej użytkownik może na podstawie gotowych scenariuszy dostarczanych przez producenta w łatwy sposób sprawdzić najbardziej narażone na atak miejsca we własnej infrastrukturze.

Nowym narzędziem, które umożliwia nadzór nad stanem sieci pod kątem występujących zagrożeń jest SOAR (Security Orchestration, Automation and Response). Systemy tej klasy pobierają i analizują dane, podobnie jak SIEM, ale idą o krok dalej, gdyż inicjują zautomatyzowane działania w odpowiedzi na określone zdarzenia. Według danych Gartnera wdrożenie SOAR pozwala zwiększyć nawet o 10 proc. dziennie możliwości analiz każdej próbki złośliwego oprogramowania czy selekcji alertów. Nieco mniej znanym rozwiązaniem jest platforma SVP (Security Validation Platfom), która umożliwia przeprowadzenie symulacji naruszeń i cyberataków w bezpiecznym, kontrolowanym środowisku.

– Przedsiębiorstwa coraz częściej korzystają z takich rozwiązań, aby zidentyfikować wszystkie luki i słabe punkty w swoich systemach bezpieczeństwa. Testowanie pod kątem walidacji bezpieczeństwa określa również, czy dany system bezpieczeństwa spełnia stawiane przed nim wymagania – tłumaczy Paweł Żuchowski, CTO w QDP.

Alternatywa dla VPN?

Wirtualne sieci prywatne (VPN) istnieją od ćwierć wieku. Przez długie lata znajdowały zastosowanie w środowiskach korporacyjnych. Jednak lawinowy przyrost cyberataków, idący w parze z bezprecedensowym wykorzystaniem internetu w erze Covid-19 sprawił, że usługi VPN stały się jednym z najpopularniejszych narzędzi do ochrony internautów. Zespół badawczy Atlas VPB przeanalizował pobrania aplikacji VPN w 85 wybranych krajach w 2021 r. Liczba unikalnych pobrań sięgnęła 785 mln w 2021 r., co stanowi wzrost o 184 proc. rok do roku. To imponujący rezultat, aczkolwiek eksperci wskazują alternatywne zabezpieczenia, które powoli mogą wypierać VPN.

– Wirtualne sieci prywatne VPN ustępują powoli narzędziom nastawionym na bardziej kompleksową ochronę – mówi Tomasz Stanisławski. – Należy tutaj oczywiście wymienić bramy SWG, będące chmurowymi następcami rozwiązań Web Proxy nastawionych na filtrowanie ruchu internetowego. SWG zapewnia dodatkowo ochronę przed zagrożeniami stricte chmurowymi, w tym analizę, monitorowanie i zdolność podejmowania reakcji w kontekście aplikacji i usług chmurowych, weryfikacji tożsamości, a także mechanizmów DLP.

Czasy, kiedy przedsiębiorstwa mogły wyznaczyć strefę zaufaną, a następnie skutecznie ją zabezpieczyć, minęły bezpowrotnie. Personel pracuje zarówno w strefie zaufanej, jak i niezaufanej. Podobnie jest z aplikacjami, które znajdują się w lokalnym centrum danych i chmurze publicznej. Mobilność użytkowników oraz postępujący wzrost popularności usług chmurowych spędzają sen z oczu szefom działów IT. Według Gartnera do 2023 r. aż 75 proc. udanych cyberataków będzie następstwem nieodpowiedniego zarządzania uprawnieniami oraz weryfikacji tożsamości i praw dostępu.

Jednym ze sposobów na zastopowanie hakerów jest koncepcja Zero Trust. W dużym uproszczeniu, zakłada ona brak zaufania wobec wszystkich użytkowników sieci, przy wyjściu z założenia, że każdą aktywność należy traktować tak, jakby pochodziła z otwartej sieci. Nie bez przyczyny producenci systemów bezpieczeństwa coraz częściej promują rozwiązania Zero Trust Network Access (ZTNA) jako skuteczniejszy mechanizm od VPN-a. Podstawowa różnica polega na tym, że ZTNA zapewnia dostęp tylko do określonych usług lub aplikacji, podczas gdy VPN pozwala uzyskać dostęp do całej sieci. Nowy model umożliwia ochronę rozproszonych sieci w przedsiębiorstwach – od centrów danych, przez oddziały, aż po użytkowników zdalnych. Gartner szacuje, że do 2023 r. 60 proc. przedsiębiorstw wycofa większość swoich wirtualnych sieci VPN na rzecz ZTNA.

W ostatnim czasie wiele mówi się też o Secure Access Service Edge (SASE). Jedną z obowiązujących reguł tego modelu jest dostęp do sieci bazujący na tożsamości użytkownika, urządzenia i aplikacji, zamiast identyfikacji na podstawie adresu IP lub fizycznej lokalizacji urządzenia. Przejście na tak zdefiniowaną koncepcję ochrony danych upraszcza zarządzanie regułami polityki bezpieczeństwa.

Chociaż nowe koncepcje na papierze wyglądają bardzo dobrze, ich wdrożenie może okazać się dla niektórych drogą przez mękę. Według badania FortiGuard Labs ponad 50 proc. firm nie jest w stanie wdrożyć kluczowych funkcji składających się na model Zero Trust.