Każda kryzysowa sytuacja wymaga nadzwyczajnych środków bezpieczeństwa, również w stosunku do sieci. Tym bardziej zasada ograniczonego zaufania powinna odgrywać tu główną rolę. Warto wyciągnąć wnioski z obecnej sytuacji, by lepiej przygotować się na nieoczekiwane zmiany w przyszłości.

W związku z powszechnym przejściem na pracę zdalną zdecydowanie wzrosło nasilenie ruchu generowanego w wirtualnych prywatnych sieciach VPN i odbywającego się przez wszelkiego typu systemy do wideokonferencji. Nie wszyscy pracownicy dysponowali służbowym sprzętem mobilnym, więc w większości przypadków wyrażono zgodę na pracę na prywatnych komputerach, w modelu BYOD. Sytuacja ta wymuszała często zmiany zapisów polityki bezpieczeństwa związane z możliwością łączenia się z internetem z sieci lokalnej pracownika, a nie przez centralę firmy, zabezpieczoną profesjonalnymi systemami i urządzeniami sieciowymi.

Pełny wgląd w pracę sieci

Większość przedsiębiorstw nie była gotowa na tak drastyczne zmiany i konieczność wprowadzenia z dnia na dzień rozwiązań  gwarantujących wysoką przepustowość sieci. Nastąpił boom zakupowy narzędzi VPN-owych, laptopów, systemów do wideokonferencji i nasilenie innych, powiązanych inwestycji. Wiele firm decydowało się na zakupy, choć nie zebrały wszystkich potrzebnych informacji.

Tymczasem do podjęcia optymalnej decyzji, adekwatnej do sytuacji w sieci, administrator potrzebuje kompleksowych danych dotyczących stopnia wykorzystania łącza internetowego w związku z nasileniem ruchu VPN, rodzaju prowadzonej w ten sposób komunikacji, a także liczby korzystających z niej równocześnie użytkowników. Przydatne są również informacje o wydajności sieci i jakości połączenia osób pracujących zdalnie oraz o pojawianiu się nowych anomalii lub ataków w związku ze złagodzoną polityką bezpieczeństwa.

Tego typu informacji dostarczają rozwiązania firmy Flowmon, dzięki analizie danych przesyłanych z urządzeń sieciowych (routerów, przełączników, firewalli) za pomocą protokołu NetFlow lub podobnego. Analizowany jest ruch generowany przez użytkowników zdalnych wewnątrz sieci lokalnej. Jeżeli administrator chce monitorować również ruch wychodzący do internetu, a nie tylko ruch wewnętrzny, należy sprawdzić, w którym miejscu taka komunikacja będzie widoczna. Być może jedynym takim miejscem będzie firewall – wówczas należy dołączyć do analizy dane z niego uzyskane.

Jeżeli urządzenia sieciowe nie są w stanie wygenerować danych zgodnie z protokołem NetFlow lub jedynym dostępnym protokołem jest sFlow (zbyt niedokładny), można zastosować sondę Flowmon, która dostarczy niezbędnych informacji do centralnego kolektora. Sonda będzie też niezbędna do uzyskania pomiarów wydajności sieci, czyli jakości połączenia dla użytkowników zdalnych, oraz wglądu w warstwę L7. System Flowmon wykona również analizę behawioralną ruchu sieciowego, automatycznie wykryje zagrożenia i wskaże urządzenia będące źródłem anomalii w sieci.

Artykuł Sieć zawsze pod kontrolą, także w trudnych czasach pochodzi z serwisu CRN.

Zyxel ATP – zapora sieciowa nowej generacji

Piaskownica

Integralnym elementem systemu jest tzw. piaskownica (sandbox), czyli wyodrębniona strefa w chmurze, do której trafiają nieznane, potencjalnie zagrożone pliki niewykrywalne przez standardowe mechanizmy zabezpieczeń. Tam są identyfikowane, zapewniając przy tym ochronę przed atakami typu zero-day (całkiem nowe ataki, na które producenci zabezpieczeń nie mają jeszcze sposobu). Piaskownica izoluje nieznane pliki i weryfikuje, czy są to nowe typy złośliwego oprogramowania.

Piaskownica izoluje i weryfikuje nieznane pliki

Zasada 3xZ

Co jeszcze składa się na ochronę za pomocą zapory sieciowej ATP? Warto kierować się zasadą 3xZ, czyli „zablokuj, zapoznaj się, zapobiegaj”. Co to w praktyce oznacza?

Zablokuj – odnosi się do blokowania już znanych zagrożeń. Ochrona wielowarstwowa, z domyślnej usługi bezpieczeństwa, może blokować złośliwy i podejrzany ruch, zapewniając bezpieczeństwo sieci biznesowej.

Zapoznaj się – dotyczy poznania zagrożenia. Cloud Intelligence identyfikuje wszystkie nowe zagrożenia, dodaje je do bazy danych w chmurze, uczy się ich, ewoluuje i dzięki temu zwiększa bezpieczeństwo sieci przed kolejnymi atakami.

Zapobiegaj – oznacza zapobieganie nieznanym zagrożeniom. Cloud Intelligence wyodrębnia najważniejsze informacje o zagrożeniach i zapewnia stałą aktualizację wszystkich zapór ogniowych ATP. Ta globalna synergia współdzielenia umożliwia zaporom sieciowym ATP zapobieganie ukrytym zagrożeniom.

Wyciąganie wniosków

W systemach tego typu nie wolno zapomnieć o takich komponentach jak raportowanie i analityka. To one pozwalają mieć wgląd w to, co dzieje się z oprogramowaniem, i ulepszać system bezpieczeństwa.

Panel kontrolny zapory sieciowej ATP oferuje przyjazne dla użytkownika infografiki ze statystykami i z listą zagrożeń. Udostępnia siedmiodniową historię i podsumowanie ruchu, zapewniając szybki przegląd zabezpieczeń sieci.

Użytkownicy mogą również wykorzystywać aplikację SecuReporter do dalszej pogłębionej analizy zagrożeń. Oferuje ona kompleksowe zestawienie statystyk z korelacją danych i dostarcza niestandardowe raporty, niezbędne dla firm i dostawców usług dodanych.

Seria ATP od Zyxel obejmuje modele: ATP200, ATP500 i ATP800.

Artykuł Zasada 3xZ, czyli cyberochrona marki Zyxel pochodzi z serwisu CRN.

„Rozwiązanie, które zarekomendują nasi partnerzy w oparciu o przeprowadzony wywiad, może obejmować sprzęt i/lub technologie dopasowane do potrzeb i wielkości organizacji. Firmy będą za nie płacić comiesięczny abonament. Oznacza to, że zarówno koszty sprzętu, jak i dostępu do technologii są dla naszych klientów wydatkami typu OPEX, czyli traktowanymi jako koszty prowadzenia biznesu” – wyjaśnia Sebastian Cygan, Security Sales Manager w SonicWall.

Jeśli firma zamawia od SonicWall w ramach SECaaS sprzęt z licencjami bezpieczeństwa, minimalny okres, na jaki musi zamówić usługę, to 12 miesięcy. Jeśli w ramach zamawianego pakietu jest tylko odnowienie licencji bezpieczeństwa (firma posiada swoje urządzenie SonicWall), umowa musi zostać zawarta na minimum 3 miesiące. W dowolnym momencie po upływie okresu minimalnego klient może poprosić o zmianę parametrów zabezpieczeń, np. przez wymianę sprzętu na bardziej wydajny.

Artykuł SonicWall chce sprzedawać w Polsce „Security as a Service” pochodzi z serwisu CRN.

Generalnie polityka archiwizacji i składowania danych w firmie zawsze powinna być dostosowana do faktycznych potrzeb i racjonalna ekonomicznie. W wielu firmach „strategią” przechowywania nośników jest wydzielona szafa z odpowiednio oznaczonymi nośnikami. Owszem, samo uporządkowanie woluminów (podpisanie, skatalogowanie i ich odpowiednie rozmieszczenie) znacznie ułatwi i przyśpieszy proces dostępu do zarchiwizowanych danych. Jednak od kompleksowych systemów składowania zwykle wymaga się więcej.

Oprócz uporządkowania danych z punktu widzenia bezpieczeństwa informacji istotne jest także uwzględnienie różnych możliwych scenariuszy. Należą do nich przypadkowe (bądź celowe) skasowanie danych przez użytkownika/pracownika, ich utrata wskutek błędu oprogramowania lub w wyniku uszkodzenia sprzętu, w tym również fizycznego uszkodzenia nośników, zdarzenia losowe (pożar, powódź itp.), kradzieże sprzętu i/lub nośników danych itp.

Trzeba też pamiętać, że zarządzanie nośnikami to nie tylko kwestia archiwizacji i kopii zapasowych, ale jest ono powiązane również z zarządzaniem licencjonowanym oprogramowaniem wykorzystywanym w firmie, które przecież nadal w znacznej części dostarczane jest na odpowiednich nośnikach danych.

Wreszcie nie sposób pominąć tego, że strategia zarządzania danymi w większości firm jest – przynajmniej częściowo – narzucona przez ustawodawcę. Polskie prawo wymusza przechowywanie wielu rodzajów danych (księgowych, osobowych) w odpowiedni sposób, a to oznacza konieczność dysponowania zarówno infrastrukturą przystosowaną do ich przechowywania (dotyczy to zarówno nośników własnych oraz wynajmowanych), jak i rozwiązaniami umożliwiającymi sprawne zarządzanie szybko rosnącym zbiorem informacji.

Fizyczna ochrona danych

Kontrola dostępu do danych znajdujących się w stałym obiegu musi obejmować również nośniki archiwizacyjne. O ile nikogo dziś nie dziwi konieczność uwierzytelniania użytkownika podczas próby dostępu do udostępnionego dokumentu na firmowym serwerze, o tyle kwestia fizycznej ochrony nośników przechowujących danych oraz informacji na nich zapisanych dla wielu podmiotów nie jest w pełni oczywista.

Na polskim rynku jest wiele rozwiązań, które zapewniają bezpieczne przechowywanie nośników zawierających wrażliwe dane, kopie zapasowe i inne wartościowe dane. Sejfy na nośniki zapewniają nie tylko fizyczną ochronę dostępu, ale także zabezpieczają dane przed różnymi czynnikami zewnętrznymi: wodą, ogniem, impulsem elektromagnetycznym, upadkiem itp.

Warto jednak przy tym pamiętać, że np. ognioodporność nie jest pojęciem równoznacznym z żaroodpornością. O ile ognioodporna szafa na nośniki danych może się sprawdzić w przypadku krótkotrwałej emisji ognia (szybko ugaszonego za pomocą automatycznych systemów ppoż. instalowanych w nowoczesnych biurowcach), o tyle niekoniecznie ochroni nośniki w razie długotrwałego narażenia na wysoką temperaturę. Niektóre z firm oferują urządzenia stanowiące połączenie klasycznego sejfu i serwera NAS bądź dysku zewnętrznego podłączanego do stacji roboczej przez popularne interfejsy wymiany danych (USB 2.0/3.0, eSATA itp.).

Transport nośników

Przechowywanie nośników z danymi wyłącznie w jednym miejscu nigdy nie jest optymalnym rozwiązaniem. Nie ma tu znaczenia skala działania firmy. Bez względu na to, czy chodzi o kilkuosobową działalność gospodarczą, czy międzynarodową korporację, polityka bezpieczeństwa powinna uwzględniać możliwość przechowywania dwóch kopii ważnych danych – zarówno w siedzibie firmy, jak i poza macierzystą lokalizacją.

Oprócz zapewnienia bezpieczeństwa nośników z wrażliwymi danymi/kopiami zapasowymi – zarówno w siedzibie firmy, jak i w zapasowej lokalizacji – równie ważne jest odpowiednie zabezpieczenie ich podczas transportu. Ułatwiają to specjalne walizki dostosowane do różnego typu nośników (np. taśm DLT, LTO Ultrium, DDS 4 mm, MTC, Titanium i wielu innych). Tego typu urządzenia produkują m.in. firmy ProDevice, Imation oraz Turtle Case. Oprócz odpowiedniego wyprofilowania przestrzeni ładunkowej dla różnych typów nośników walizki dodatkowo zapewniają zabezpieczenie przed wilgocią czy wręcz wodoodporność, a także amortyzację wstrząsów i wibracji.

Dla bardziej wymagających klientów przeznaczone są pojemniki o znacznie podwyższonej wytrzymałości na wstrząsy bądź zabezpieczające przed zmianami temperatury (hermetyzacja) oraz wyładowaniami elektrostatycznymi. Dodatkowym wyposażeniem pojemników transportowych może być moduł GPS gwarantujący śledzenie w czasie rzeczywistym lokalizacji nośników danych.

Tomasz Filipów

dyrektor, Diskus

W firmach posiadających dużą liczbę nośników mogą sprawdzić się rozwiązania automatyzujące poszczególne etapy zarządzania nimi. Klientowi można zaproponować np. usługę etykietowania zgodnie z przyjętą przez niego strategią numeracji. Etykietowanie może być przeprowadzone zarówno w siedzibie klienta, jak i u usługodawcy oraz połączone z nabywaniem nowych nośników. Jednak gdy nośniki mają być transportowane w celu wykonania takiej operacji, należy także zadbać o odpowiednie ich zabezpieczenie podczas tego procesu.

Szyfrowanie i pułapki implementacji

Nawet najbardziej bezpieczne scenariusze w zakresie przechowywania i transportu danych powinny zakładać możliwość utraty nośników (np. w wyniku kradzieży). Dlatego nieodzowne w skutecznym zabezpieczaniu wrażliwych danych przed niepowołanym dostępem jest szyfrowanie.

Funkcje kryptograficzne są obecnie implementowane niemal w każdym rozwiązaniu umożliwiającym przechowywanie danych, wykonywanie kopii zapasowych czy archiwizację. W przypadku biznesowych stacji roboczych szyfrowanie nośników może być jedną z funkcji danej maszyny, w czym pomagają stanowiące integralną część konstrukcyjną danego sprzętu układy TPM (Trusted Platform Module) z zaimplementowanymi funkcjami kryptograficznymi. Bardzo użyteczne są pamięci USB z wbudowanym układem TPM, który chroni dane przed niepowołanym dostępem.

Zwolennicy bardziej otwartych rozwiązań mogą zdecydować się na użycie oprogramowania do szyfrowania danych. Niestety, przykład popularnego i bezpłatnego oprogramowania TrueCrypt, przez wielu użytkowników mylnie uważanego za aplikację o otwartym kodzie źródłowym, pokazuje, że zaufanie do rozwiązań udostępnianych bezpłatnie może słono kosztować. De facto TrueCrypt – chociaż nawet polska Wikipedia kwalifikowała go jako oprogramowanie open source – nigdy nie był programem opublikowanym zgodnie z zasadami otwartej licencji. Projekt ten został porzucony praktycznie z dnia na dzień, a ostatnia wersja programu ma niewiele wspólnego z narzędziem zabezpieczającym dane i jest wręcz pozbawiona funkcji szyfrujących. Dlatego reseller powinien oferować klientowi komercyjne produkty, które zapewniają szyfrowanie danych. To umożliwia unikanie ryzyka, że w którymś momencie rozwiązanie się zdezaktualizuje, a firma zostanie zmuszona do zmiany metod szyfrowania, co oznacza dodatkowe koszty.

Niszczenie danych i nośników

Nośniki, podobnie jak urządzenia służące do ich odczytu i zapisu, zużywają się w trakcie eksploatacji. W efekcie bardzo istotną kwestią, która powinna być uwzględniona w każdej strategii zarządzania nimi jest bezpieczne usunięcie zużytych nośników i zniszczenie ich wraz ze wszystkimi danymi, które mogłyby się na nich znajdować.

Przekonanie potencjalnego klienta do tego, że nie powinien po prostu wyrzucać zużytych nośników, jest o tyle proste, że media na całym świecie bardzo często nagłaśniają przypadki „wycieków” wrażliwych danych, spowodowane prostymi błędami w zakresie bezpiecznego zarządzania nośnikami danych.

W sprzedaży jest wiele niszczarek dysków, taśm i innych nośników danych wykonanych z twardych materiałów. Urządzenia spełniające odpowiednie normy i certyfikaty (w Polsce Certyfikat Akredytacji Bezpieczeństwa Teleinformatycznego jest wydawany przez Służbę Kontrwywiadu Wojskowego) są bardzo drogie. Dlatego mniejszym firmom, które rzadko potrzebują całkowitej dezintegracji nośników z danymi, należy raczej zaproponować usługę niszczenia danych.

Ciekawe rozwiązanie oferuje firma BOSSG Data Security. Opracowana przez tę polską spółkę technologia LiquiData jest autorską, zgłoszoną do opatentowania, metodą chemicznego niszczenia nośników danych. W przeciwieństwie do powszechnie stosowanych na rynku niszczarek mechanicznych, mielących nośniki, technologia LiquiData oprócz rozdrobnienia (zgodnie z normą DIN 32?757, klasa tajności 4) dosłownie rozpuszcza nośniki. Cały proces niszczenia może być zrealizowany za pomocą tzw. Mobilnego Centrum Utylizacji Danych, bezpośrednio w siedzibie klienta bądź w miejscu przez niego wskazanym.

Oczywiście zniszczenie danych nie zawsze musi oznaczać również dezintegrację samego nośnika. W przypadku nośników magnetycznych (np. klasycznych dysków twardych) urządzeniami szybko likwidującym wszelki zapis na dysku, co uszkadza napęd i uniemożliwia dalsze korzystanie z niego, są różnego typu demagnetyzery (zwane też degausserami). Ich zaletą jest szybkość operacji – całkowite usunięcie danych z dowolnego dysku to kwestia kilkudziesięciu sekund. Urządzenia te są jednak drogie, np. Degausser ProDevice ASM120 Basic jest oferowany przez firmę Diskus w cenie ok. 15 tys. zł netto.

Najtańszą metodą skutecznego usunięcia danych jest skorzystanie z odpowiedniego oprogramowania, dostępnego w wersjach płatnych (zgodnych ze standardami, drukujących odpowiednie raport z procesu niszczenia), jak też bezpłatnych. „Kosztem” jest tu jednak czas – proces ten może trwać nawet kilka godzin, a dla zwiększenia pewności usunięcia danych cykl nadpisywania trzeba kilkukrotnie powtórzyć. Dlatego sens korzystania z tej metody jest tylko wtedy, gdy do usunięcia danych przeznaczone są małe ilości nośników.

Odzyskiwanie danych dla firm

Nawet najbardziej dopracowana strategia zarządzania danymi musi uwzględniać wariant „katastrofy”, czyli scenariusz, w którym część danych jest tracona, a ich odzyskanie może wymagać wsparcia wyspecjalizowanych firm. Takich, które dysponują profesjonalnym laboratorium, umożliwiającym operowanie na nośnikach w sterylnych warunkach.

W Polsce zdecydowanym liderem w zakresie tego typu usług jest katowicki Kroll Ontrack (firma ma własny kanał partnerski zrzeszający około 2 tys. firm), ale świadczą je też HDLab, Mediarecovery, Dabi, DataLab, DataMax Recovery, TRS System czy Akte. Wiele z tych firm zajmuje się również wspomnianymi wcześniej usługami outsourcingu informatycznego w zakresie bezpiecznego przechowywania i kasowania danych.

Dla resellera oferującego sprzęt i usługi związane z bezpieczeństwem informatycznym oferowanie usług przechowywania, transportu, archiwizacji danych, zarządzania nośnikami, niszczenia danych, niszczenia nośników czy wreszcie – odzyskiwania danych po awarii to dodatkowe, niemal gwarantowane i – co ważne – stałe źródło dochodu. Danych przetwarzanych w przedsiębiorstwach będzie coraz więcej, a to oznacza rosnące wymagania w zakresie zarządzania dużymi zbiorami informacji, również przez zarządzanie nośnikami zawierającymi kopie zapasowe i archiwa. Tymczasem wciąż w wielu firmach nie archiwizuje się danych i nie wykonuje kopii zapasowych, można więc zaproponować takie usługi kolejnym klientom.

Artykuł Starych dysków nie wyrzucaj na śmietnik pochodzi z serwisu CRN.