CYBERBEZPIECZEŃSTWO TO NIE ROZWIĄZANIE, ALE PROCES

bezpieczeństwo, FIRMA

Bezpieczeństwo cyfrowe jako czteroetapowy proces: przewiduj, zapobiegaj, wykrywaj, reaguj

Cyberbezpieczeństwo to temat, o którym nie pisze się już w działach technologicznych, lecz na pierwszych stronach gazet i witryn internetowych. Stało się przedmiotem w amerykańskich szkołach podstawowych. Mówi się, że ma związek z awariami sieci energetycznych. Cyberbezpieczeństwo dotyczy dziś wszystkich branż, krajów i przestrzeni społecznych.

Wszystko to sprawia, że bezpieczeństwo cyfrowe stało się kluczową kwestią dla wielu firm. Dotyczy to zarówno wewnętrznej pracy działów IT, jak i klientów przedsiębiorstw. Gdy ktoś włamuje się do korporacji, która obiecywała klientom poufność i prywatność, staje się boleśnie oczywiste, że w cyberbezpieczeństwie nie chodzi tylko o komputery. Szefowie Ashley Madison (i ich klienci) przekonali się o tym na własnej skórze.

Wygląda na to, że lekcję odrobili też politycy.

Ze względu na coraz liczniejsze przypadki naruszenia bezpieczeństwa danych, które przyciągają coraz więcej uwagi, rządy z całego świata stopniowo zaostrzają wymagania prawne (nawet jeśli niektóre ich działania, jak domaganie się tylnych drzwi do systemów szyfrowania, nie są do końca przemyślane). Firmy będą musiały przyjąć większą odpowiedzialność za bezpieczeństwo cyfrowe, niż kiedykolwiek przedtem. Zostaną też pociągnięte do odpowiedzialności, jeśli nie wypełnią swoich obowiązków.

Jeśli uważasz, że „cyberbezpieczeństwo” to słowo nacechowane emocjonalnie, to masz rację. Co nadaje mu taką wagę? To dobre pytanie. Jeśli cyberbezpieczeństwo opisuje aspekt działalności przedsiębiorstw, jak należy do niego podejść? I czym cyberbezpieczeństwo różni się od tradycyjnych zabezpieczeń IT?

Czy zaczynać od zera?

Niektórzy postrzegają cyberbezpieczeństwo jako fundamentalną zmianę sposobu, w jaki firmy powinny się chronić, i dochodzą do wniosku, że tradycyjne koncepcje zabezpieczeń IT można wyrzucić do kosza. Niedawno w branży bezpieczeństwa obserwowaliśmy nagłówki obwieszczające „śmierć antywirusa”.

Nie był to pierwszy raz, kiedy antywirusowi pisano przedwczesny nekrolog. Podobnie jak płyta winylowa przetrwała jako nośnik dobrej muzyki, tak antywirus stanowi ważną część każdej kompleksowej strategii bezpieczeństwa.

Zagrożenia i zabezpieczenia ewoluują, więc antywirus to już nie tylko sygnatury

Środki bezpieczeństwa stworzone 20 lat temu prawdopodobnie nie wystarczą, żeby ochronić organizacje w dzisiejszym krajobrazie zagrożeń. Ale zagrożenia nie zmieniają się z dnia na dzień – ewoluują latami. To samo dotyczy rozwiązań zabezpieczających. Dodawanie nowych funkcji do tradycyjnego, opartego na sygnaturach skanowania antywirusowego doprowadziło do powstania zintegrowanych stosów ochronnych z wieloma komponentami.

W ramach takiego stosu antywirus nadal pozostaje skuteczny, a w porównaniu z zaawansowaną analizą heurystyczną zużywa mniej zasobów do wykrywania złośliwego oprogramowania. Po co tracić czas procesora na analizę próbek, które można zidentyfikować łatwiejszymi metodami? Właśnie dlatego prawdziwi eksperci od bezpieczeństwa uważają twierdzenie o śmierci antywirusa za „chybioną hiperbolę”.

W 2008 r. firma F-Secure jako pierwsza uzupełniła swoją tradycyjną technologię antywirusową o DeepGuard, zaawansowany mechanizm heurystyczny zdolny do wykrywania ataków dnia zerowego. Rozwiązanie Object Reputation Service Platform (ORSP) – dziś kluczowy komponent F-Secure Security Cloud – początkowo trafiło do produktów F-Secure w 2009 r. i skróciło czas oczekiwania na ochronę przed nowo odkrytymi zagrożeniami z godzin do minut. Tymczasem tradycyjne skanowanie oparte na sygnaturach pozwala nam zoptymalizować wykorzystanie procesora. Klasyfikowanie próbki na podstawie sygnatury zajmuje około 10 milisekund czasu procesora. Zaawansowana analiza może trwać nawet 5 minut.

Jarno Niemelä – senior researcher – F-Secure Labs

A jednak paradygmat się zmienia

Choć technologia poszła do przodu, to sposób, w jaki firmy powinny dziś dbać o bezpieczeństwo, fundamentalnie różni się od podejścia stosowanego jeszcze pięć lat temu. Wynika to z wielu przyczyn, ale można wskazać dwa główne trendy, które wpływają na nową koncepcję cyberbezpieczeństwa w firmach.

Po pierwsze, cyfryzacja procesów i przedsiębiorstw postępuje w bezprecedensowym tempie, więc incydent naruszenia bezpieczeństwa cyfrowego nie kończy się na nadgodzinach w firmowym dziale IT. Dziś technologie informatyczne często napędzają mechanizmy biznesowe wzdłuż całego łańcucha wartości, a jeden incydent może sparaliżować działalność firmy lub nawet zagrozić jej istnieniu.

Po drugie, zagrożenia stają się coraz liczniejsze i bardziej zaawansowane. Rok 2014 był ósmym z rzędu, w którym ilość wykrytego złośliwego oprogramowania podwoiła się, czego wynikiem było średnio 81 ataków na minutę. Oczekuje się, że rok 2015 ponownie przyniósł dwukrotny wzrost. Jednocześnie w niedawnych latach rosło wyrafinowanie malware’u. Jedną z przyczyn jest to, że cybernapastnikami stały się państwa. Przeznaczają one znaczne środki na znajdowanie i przełamywanie słabych punktów w szykach obronnych zarówno indywidualnych użytkowników, jak i korporacji. Szacuje się, że stworzenie złośliwego oprogramowania Duqu 2.0, którego użyto do ataku na producenta rozwiązań zabezpieczających (a także na inne cele) mogło kosztować nawet 10 milionów dolarów. Ponieważ zaś przestępcy często wykorzystują do własnych celów exploity pochodzące z ataków „państwowych”, firmy muszą rozważyć, jak trend ten wpływa na ogólne zaawansowanie zagrożeń sieciowych. (W dodatku rządy, które próbują osłabić mechanizmy zabezpieczające, takie jak szyfrowanie, w związku ze swoimi działaniami wywiadowczymi, jeszcze bardziej pogarszają sytuację).

Ponieważ cyberincydenty są kosztowne, a zagrożenia liczniejsze i bardziej zaawansowane, niż kiedykolwiek przedtem, jest oczywiste, że bezpieczeństwo cyfrowe nie może już sprowadzać się do dorocznego odnowienia subskrypcji na rozwiązanie do ochrony punktów końcowych. Nad cyberbezpieczeństwem muszą pochylić się zarządy firm.

Bezpieczeństwo cyfrowe jako proces czteroetapowy

W F-Secure przyjęliśmy model cyberbezpieczeństwa, który stanowi rozwinięcie adaptacyjnej architektury bezpieczeństwa opracowanej przez firmę Gartner. W skrócie, wychodzimy z założenia, że skoro działalność firmy zależy od technologii informatycznej, a incydent naruszenia zabezpieczeń może mieć na nią destrukcyjny wpływ, to cyberbezpieczeństwo staje się kwestią zarządzania ryzykiem, godną uwagi kierownictwa. Oznacza to, że cyberbezpieczeństwo jest w równej mierze procesem, co zagadnieniem technicznym. Zgodnie z modelem Gartnera, wyróżniamy w tym procesie cztery etapy, z których każdy może i powinien być wspierany przez technologię.

Untitled

1- PRZEWIDUJ: poznaj zagrożenia, określ powierzchnię ataku, odkryj słabe punkty

Aby wprowadzić właściwe środki bezpieczeństwa, musisz wiedzieć, na co powinieneś zwrócić uwagę. Dobrym punktem wyjścia jest określenie potencjalnych przeciwników (cyberprzestępcy, konkurenci, haktywiści, terroryści itd.) oraz szkód, jakie może spowodować naruszenie zabezpieczeń – czyli analiza ryzyka.

Ważną częścią tej analizy jest dokładne ustalenie powierzchni ataku, choć nie jest to łatwe. Firmy często nie znają swojego „śladu cyfrowego”, więc nie zdają sobie sprawy z potencjalnych punktów, przez które napastnicy i zagrożenia mogą przeniknąć do systemu. Ponadto środowiska IT w wielu przedsiębiorstwach rosły organicznie, co oznacza splątane ze sobą systemy, infrastrukturę zarządzaną przez zewnętrznych dostawców oraz firmy trzecie cyfrowo połączone i zintegrowane z procesami biznesowymi.

Ścisłe kontrolowanie tego wszystkiego jest praktycznie niemożliwe. Choć istnieją rozwiązania techniczne, które mogą zapewnić niezbędny wgląd w system, sporządzenie mapy cyfrowego środowiska to za mało. Trzeba przeskanować je pod kątem podatności na atak, aby odkryć jego słabe punkty. Dostarczy to informacji umożliwiających podjęcie konkretnych działań, które będą stanowić następny etap w procesie cyberbezpieczeństwa.

2 – ZAPOBIEGAJ: minimalizuj płaszczyznę ataku, zapobiegaj incydentom

Znajomość zagrożeń i słabych punktów pozwoli Ci wykorzystać wszystkie dostępne środki do ograniczenia powierzchni ataku. Możesz zrobić wiele, ale musisz wziąć pod uwagę ograniczenia, w ramach których będziesz pracował — najczęściej budżet i zasoby. Wzmacnianie systemu, konfigurowanie zapór sieciowych oraz ukierunkowane eliminowanie luk w zabezpieczeniach oprogramowania (firm trzecich i Twojego własnego) pozwala zmniejszyć liczbę słabych punktów. W tej fazie procesu do akcji wkraczają istniejące rozwiązania do zabezpieczania punktów końcowych. Rozwiązania te chronią potencjalne ofiary przed kontaktem ze złośliwym oprogramowaniem. Nawet kiedy napastnik przenika do zaatakowanego środowiska, odfiltrowują one miliony złośliwych programów. Tę warstwę ochrony zapewniają nowoczesne techniki, takie jak analiza reputacji, oraz mechanizmy kontroli, na przykład kontrola dostępu do aplikacji lub stron internetowych. Ważną rolę odgrywa tu również tradycyjne skanowanie antywirusowe.

Automatyczne zarządzanie poprawkami jeszcze bardziej ogranicza podatność na atak i gwarantuje szybkie łatanie nowo odkrytych luk w zabezpieczeniach, radykalnie skracając czas, w którym atak może się powieść. Innym (często zaniedbywanym) środkiem ochrony jest promowanie kultury bezpieczeństwa w firmie. Ludzie są zwykle najsłabszym ogniwem w strategii bezpieczeństwa, a niedawne badania potwierdzają, że to najsłabsze ogniwo ponosi odpowiedzialność za większość cyberincydentów.

3 – WYKRYWAJ: rozpoznawaj incydenty i zagrożenia, izoluj je i ograniczaj

Wspomniane już złośliwe oprogramowanie Duqu 2.0 wykorzystywało trzy poprzednio nieznane słabe punkty – tak zwane luki dnia zerowego. Posługiwało się również zaawansowanymi technikami unikania wykrycia, przez co istniejące rozwiązania zabezpieczające praktycznie nie były w stanie go wychwycić. Kiedy w obiegu jest takie wyrafinowane oprogramowanie, a każdego dnia pojawiają się tysiące nowych metod ataku, musisz pracować z założeniem, że prędzej czy później ktoś lub coś przełamie Twoje szyki obronne. Najgorszy scenariusz to taki, że jesteś atakowany, ale o tym nie wiesz. Im dłuższy incydent, tym większe potencjalne szkody, ponieważ napastnicy mają więcej czasu na spenetrowanie Twojego środowiska i kradzież danych. Obecnie sprawy mają się tak, że wykrycie włamania zajmuje firmom miesiące (nie dni).

Aby ograniczyć ten czas ukrycia, trzeba wdrożyć rozwiązania i procesy, które pozwolą dostrzec trwający atak. Wymaga to wielu rzeczy, w tym zadbania o to, aby ochrona punktów końcowych nie działała tylko w tradycyjnym trybie „antidotum” (poprzez badanie sygnatur), ale również zapewniała wykrywanie heurystyczne, blokując i izolując podejrzane operacje w punktach końcowych. Potrzebne będzie również rozwiązanie do monitoringu, które zaalarmuje Cię, kiedy w Twoim środowisku będzie działo się coś potencjalnie szkodliwego. Oprócz wprowadzenia takich komponentów technologicznych konieczne jest rutynowe monitorowanie i ocenianie stanu bezpieczeństwa. Tylko wtedy będziesz mógł szybko reagować na incydenty, co prowadzi nas do ostatniego etapu procesu.

4 – REAGUJ: reaguj na incydenty, ograniczaj szkody, analizuj i ucz się

Jak pokazują głośne przypadki, takie jak włamanie do Sony, firmy są często nieprzygotowane na incydenty naruszenia cyberbezpieczeństwa. Jeśli traktujesz bezpieczeństwo cyfrowe jako kwestię zarządzania ryzykiem, powinieneś przygotować plan ciągłości biznesowej na wypadek takiego incydentu. Wiele firm nie jest w stanie obronić się samodzielnie. Upewnij się zatem, że masz doświadczonych partnerów, którzy mogą pomóc, kiedy dojdzie do katastrofy. Czas ma kluczowe znaczenie, a po wykryciu włamania często nie wiadomo, jak głęboko przeniknęli napastnicy i czy usunięto wszystkie ślady ataku. Będziesz musiał skorzystać z technik i narzędzi informatyki śledczej, aby opanować sytuację i odzyskać zaufanie do swoich systemów. Nawet kiedy system w pełni odzyska sprawność, powinieneś szczegółowo zbadać, jak doszło do włamania. W ten sposób koło się zamknie, ponieważ odkryjesz nowe słabe punkty, co z kolei pomoże Ci wzmocnić środki defensywne i zwiększyć stopień bezpieczeństwa.

Podsumowanie

Ochrona nigdy nie jest stuprocentowo skuteczna, ale gotowość ma kluczowe znaczenie. Wzmocnij zatem środki bezpieczeństwa, aby ograniczyć ryzyko, i zawsze pracuj z założeniem, że prędzej czy później ktoś Cię przechytrzy. Takie podejście zagwarantuje, że kiedy dojdzie do katastrofy, poradzisz sobie z nią w profesjonalny sposób.

Są dwa rodzaje firm: te, do których się włamano, i te, które jeszcze o tym nie wiedzą.

Jens Tonke, wiceprezes ds. usług cyberbezpieczeństwa, F-Secure

Tagi

Oceń artykuł

0 głosów

2 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: