Bezpieczeństwo w każdym elemencie IT – (nie)możliwy ideał CISO?

Jest to związane zarówno z pracą zdalną, jak i upowszechnieniem modelu korzystania z usług i narzędzi w modelu chmurowym.

Jak przewiduje firma analityczno-badawcza Gartner – do 2025 r. 99 proc. problemów z bezpieczeństwem informatycznym będzie wynikiem indywidualnego błędu użytkownika chmury (źródło). W związku ze wzrastającą liczbą nowych usług i aplikacji błąd ludzki jest nie do uniknięcia. Organizacje działające w oparciu o usługi w modelu SaaS i zespoły pracujące zdalnie potrzebują wysoce zautomatyzowanego systemu kontroli dostępu. Jakie narzędzia powinny być wykorzystywane w każdej organizacji chcącej zapobiegać niebezpieczeństwom związanym z wykorzystywaniem systemów IT?

Podstawa to zapora sieciowa

Właściwa konfiguracja zapory sieciowej to podstawa – ten krok umożliwi zaimplementowanie nowej polityki bezpieczeństwa organizacji. Zapora powinna być niczym szwajcarski scyzoryk – posiadać wszystkie możliwe narzędzia, które umożliwią ochronę. Najważniejsze z nich to:

• Identyfikacja aplikacji – niezależnie od używanego przez nią portu, protokołu, szyfrowania SSH/SSL, w tym TLS 1.3 i HTTP/2 oraz innych złożonych technik,
• Mechanizm inspekcji treści – wykorzystujący zaawansowane metody wykrywania i blokowania prób wykorzystania luk bezpieczeństwa, użycia malware, przepełnienia bufora i skanowania portów, a także umożliwiający ochronę sieci przed stosowanymi przez włamywaczy metodami omijania zabezpieczeń i maskowania ataków,
• Identyfikacja użytkowników – ułatwia tworzenie polityk bezpieczeństwa firewalli opartych o aplikacje dla specyficznych użytkowników i ich grup dla połączeń wychodzących i przychodzących i obowiązuje niezależnie od miejsca pobytu użytkowników (w centrali, w oddziałach oraz w domu) i rodzaju urządzenia, umożliwia też wdrażanie dla użytkowników systemów uwierzytelniania wieloskładnikowego (MFA) bez wprowadzania zmian w aplikacjach,
• Klasyfikacja urządzeń – umożliwia tworzenie reguł na podstawie charakterystyki i typu urządzeń IoT komunikujących się poprzez firewall oraz pomaga znajdować powiązania między zdarzeniami bezpieczeństwa i urządzeniami podłączonymi do sieci,
• Ochrona protokołu DNS – większość szkodliwego oprogramowania wykorzystuje protokół DNS lub używa go do eksfiltracji i infiltracji danych, dlatego niezbędne są mechanizmy wykrywające próby ataków za pomocą DNS,
• Filtrowanie stron www i ochrona przed phishingiem – odpowiednie kategoryzowanie odwiedzanych przez użytkowników stron oraz blokowanie dostępu do stron uczestniczących w cyberatakach,
• Sandboxing – umożliwia wysłanie przesyłanych plików do analizy, na podstawie której dostarczane są informacje o szkodliwości plików.

Wszystkie te funkcje może wspierać uczenie maszynowe, które umożliwia zwiększenie wykrywalności potencjalnych zagrożeń. Dobrym przykładem realizacji powyższych funkcji jest zestaw narzędzi Palo Alto Networks Strata, który obejmuje wydajne zapory sieciowe posiadające wszystkie wspomniane zabezpieczenia oraz możliwość wdrożenia nie tylko maszyn fizycznych, ale też w środowiskach wirtualnym, chmurowych czy nawet ostatnio bardzo rozwijanych kontenerowych wraz z możliwością łatwego zarządzania całym środowiskiem.

Ochrona stacji końcowych

Dużym wyzwaniem specjalistów od bezpieczeństwa od zawsze było zablokowanie ataku na komputerze użytkownika. Obecnie istnieją rozwiązania, które zapobiegają takim atakom i precyzyjnie wykrywają zagrożenia w środowisku organizacji. Analizują one duże ilości różnorodnych danych z wykorzystaniem analizy behawioralnej (analiza standardowych czynności użytkownika oraz wykrywanie podejrzanych – odchodzących od normy a przez to podejrzanych zachowań), profilowania zachowania sieci i użytkowników, statycznej i dynamicznej analizy kodu oraz uczenia maszynowego.

Dzięki temu możliwe jest stworzenie pełnego obrazu każdego incydentu oraz odtworzenie jego przebiegu, włącznie z odnalezieniem pierwotnej przyczyny problemów. Sam proces analizy zagrożeń realizowany jest wielokrotnie szybciej niż dotąd. Dostępna staje się funkcja manualnego, proaktywnego wyszukiwania zagrożeń (ang. threat hunting) oraz izolowania podejrzanych hostów, zatrzymywanie podejrzanych procesów czy blokowanie podejrzanych plików w kwarantannie.

Tymi rozwiązaniami posługuje się system Palo Alto Cortex XDR, jeszcze lepiej chroniąc komputery pracowników organizacji (Microsoft Windows, MacOS, Linux) oraz używane w pracy urządzenia mobilne (Android, iOS).

Ochrona dostępu do danych w chmurze

W bardzo szybkim tempie rozwijamy wykorzystanie usług w chmurze, a to powoduje coraz więcej zagrożeń. Powszechne staje się wykorzystywanie zasobów takich dostawców, jak Amazon i Google, i za ich pomocą przetwarzanie procesów biznesowych. Powoduje to konieczność zwiększonego zaangażowania działów bezpieczeństwa w ochronę przesyłanych i przetwarzanych danych poza organizacją.

Ochrona użytkowników mobilnych pracujących w chmurze, wymaga kontroli ruchu wszystkich aplikacji na wszystkich portach. W 9 na 10 przypadkach niezbędna jest deszyfracja ruchu SSL/TLS.

Przykładowym rozwiązaniem dla takiego wyzwania jest produkt Prisma Access, który konsoliduje wiele produktów w tym firewalla jako usługę (FWaaS), dostęp do sieci oparty na modelu zero trust (ZTNA), CASB (Cloud Access Security Broker), bezpieczną bramę internetową (SWG) i wiele innych elementów zarządzanych z jednej konsoli.

Powyższy opis nie wyczerpuje wszystkich niezbędnych elementów cyberbezpieczeństwa, w celu ochrony zasobów IT organizacji konieczne jest zastosowanie całego spektrum zintegrowanych systemów bezpieczeństwa. Ich odpowiednie wdrożenie oraz ich prawidłowe utrzymanie powinno znacząco podnieść bezpieczeństwo organizacji. Warto też podkreślić, że najważniejszym i niezbędnym elementem dla każdego CISO powinien być dedykowany zespół do utrzymywania, analizowania i ciągłego udoskonalania zabezpieczeń.