Obecnie pracownicy korzystają z rozmaitych urządzeń, łączą się z różnych miejsc z zasobami korporacyjnymi. W związku z tym poleganie wyłącznie na ochronie każdego urządzenia i konta, które może łączyć się z systemami firmy, jest nie tylko trudne, ale często katastrofalne, ponieważ atakujący przechodząc przez jedne drzwi zyskują dostęp do całego „królestwa”.

Dlatego coraz częściej wspomina się o stosowaniu zasady Zero Trust, opartej na przekonaniu, że każdy użytkownik, urządzenie oraz adres IP uzyskujący dostęp do zasobów stanowi zagrożenie dla bezpieczeństwa firmowej sieci i danych. Dopóki nie udowodni, że jest inaczej.

– Sam fakt, że ktoś przebywa w budynku, nie upoważnia go do tego, aby mieć dostęp do ważnych rzeczy i miejsc, które się w nim znajdują – obrazowo mówi Anshu Sharma, CEO Skyflow, startupu zajmującego się projektowaniem systemów bezpieczeństwa IT.

Liczne przykłady pokazują, że cyberprzestępcy mogą uderzyć z dowolnego miejsca, a napastnicy wcale nie muszą być wytrawnymi hakerami, aby osiągnąć zamierzony przez siebie cel. W Darknecie za niezbyt wygórowane sumy można znaleźć narzędzia służące do przeprowadzania różnego rodzaju ataków, w tym także ransomware. Nie bez przyczyny niektórzy przedsiębiorcy zaczynają powątpiewać w skuteczność stosowanych od lat technologii i rozwiązań. Nowym batem na hakerów ma być właśnie koncepcja Zero Trust. Przyjęcie takiej linii obrony wymaga zmiany wielu wielu warstw zabezpieczeń.

Jedną z kluczowych kwestii jest dodanie uwierzytelniania wieloskładnikowego na kontach firmowych oraz ograniczenie do niezbędnego minimum użytkownikom oraz systemom dostępu do zasobów i infrastruktury. Dobrym pomysłem jest również umieszczenie najbardziej wrażliwych danych w jednym miejscu, zamiast rozrzucać je po różnych bazach danych firm. Tyle teoria, a jak wygląda to w praktyce?

Częściową odpowiedź na to pytanie przynoszą wyniki badań przeprowadzonych wśród 185 amerykańskich firm przez TeleGeography. Wynika z nich, że 35 proc. respondentów wdrożyło w ubiegłym roku jeden lub więcej elementów zabezpieczeń typu Zero Trust (ZTS) i Secure Access Service Edge (SASE) w 2021 r. Co ciekawe, blisko 100 proc. ankietowanych, którzy przyjęli ZTS, zastosowało uwierzytelnianie wieloskładnikowe MFA (Multi-Factor Authentication). Poza tym uczestnicy badania wymieniali regułę pojedynczego logowania (single sign-on), zasady dostępu zdalnego użytkowników i urządzeń oraz zarządzanie dostępem uprzywilejowanym. Natomiast znikomy odsetek badanych wykorzystywał oprogramowanie do analizy zachowania użytkowników.

Zdaniem analityków TeleGeography do postępującej adaptacji modelu Zero Trust w znacznym stopniu przyczynił się wzrost liczby zdalnych pracowników. Warto też zauważyć, że wśród decydentów rośnie świadomość odnośnie do nowej koncepcji bezpieczeństwa. O ile w 2019 r. zasady Zero Trust znało zaledwie 8 proc. badanych, o tyle w roku ubiegłym ten wskaźnik wyniósł już 20 proc.

Mali ufają bardziej

Jednym z rozwiązań wspierających administratorów w realizacji zadań związanych z weryfikacją tożsamości jest uwierzytelnianie wieloskładnikowe. Według większości specjalistów systemy MFA powinny stanowić nieodzowny element rozwiązań bezpieczeństwa IT. Uwierzytelnianie wieloskładnikowe wymusza na użytkowniku, który chce dostać się do strzeżonych zasobów, co najmniej dwuetapową weryfikację (2FA). Nie wystarczy samo podanie hasła i loginu. W przypadku bardzo zaawansowanych systemów elementów weryfikacji może być znacznie więcej niż dwa.

MFA stanowi dodatkowe zabezpieczenie kont użytkowników. Takie rozwiązanie daje niemal 100-procentową pewność, że każdy, kto uzyskuje dostęp do informacji firmy i loguje się do jej systemów, jest naprawdę tym, za kogo się podaje. W ten sposób w dużym stopniu minimalizujemy ryzyko włamania niepowołanych osób do uprzywilejowanych kont. Jednak należy podkreślić, że odnotowano już przypadki, kiedy hakerzy potrafili oszukać system MFA.

Adaptacja MFA w większych firmach oraz instytucjach postępuje stosunkowo szybko, czego nie można powiedzieć o segmencie MŚP. Jak wynika z raportu Cyber Readiness, sporządzonego na podstawie badań przeprowadzonych wśród małych i średnich firm z Ameryki Północnej, Australii, Azji oraz Europy, zaledwie 28 proc. respondentów wymaga stosowania MFA na swoim oprogramowaniu, sprzęcie i urządzeniach sieciowych.

– Wśród małych i średnich firm 2FA jest bardzo rzadko spotykanym rozwiązaniem. Myślę, że na polskim rynku z uwierzytelniania wieloskładnikowego korzysta z niego mniej niż jedna czwarta. Co nie zmienia faktu, że administratorzy bardzo pozytywnie reagują na 2FA, gdyż używają go w życiu prywatnym. Inaczej wygląda to w przypadku dużych przedsiębiorstw, gdzie tego rodzaju zabezpieczenia są stosowane znacznie częściej niż w segmencie MŚP – tłumaczy Kamil Budak, Product Manager Senhasegura w Dagmie.

Nie ulega wątpliwości, że upowszechnienie się MFA na rynku konsumenckim sprzyja adaptacji MFA w małych i średnich firmach. Szefowie chętniej wydadzą pieniądze na coś, co nie jest dla nich czarną magią, ale zwykłą czynnością wykonywaną przynajmniej kilka razy w tygodniu.

Natomiast z punktu widzenia rodzaju aplikacji oraz kont wymagających uwierzytelniania wieloskładnikowego, na szczycie listy Cyber Readiness znalazły się bazy danych (45 proc.), a następnie oprogramowanie finansowo-księgowe i HR. Inne usługi wymagające pomocy MFA obejmowały konta w mediach społecznościowych, programy do obsługi poczty e-mail i kalendarzy, jak też aplikacje zwiększające wydajność oraz zdalny dostęp.

Użytkownicy mogą korzystać z różnych metod MFA. Firmy biorące udział w badaniu Cyber Readiness najczęściej wymieniały: powiadomienia push na telefon lub alternatywny adres mejlowy (29 proc.), jednorazowe hasła (28 proc.),urządzenia bazujące na tokenie (15 proc.), automatycznie generowane kody (12 proc) czy biometrię (7 proc.).

Artykuł Nigdy nie ufać, zawsze weryfikować pochodzi z serwisu CRN.

Rośnie nie tylko liczba cyberataków czy wysokość haraczy wymuszanych przez napastników, ale przybywa też nowego malware’u. Każdego dnia AV-TEST Institute rejestruje ponad 450 tys. nowych złośliwych i potencjalnie niechcianych aplikacji. Tylko w grudniu ubiegłego roku systemy telemetryczne Bitdefendera wykryły 232 nowe odmiany oprogramowania ransomware. Część ekspertów uważa wręcz, że cyberprzestępczość stała się problemem numer jeden ludzkości, a cyberataki stanowią większe potencjalne zagrożenie dla naszej przyszłości niż broń jądrowa.

Przykładowo, wszystko wskazuje na to, że w najbliższych miesiącach, jeśli nie latach, działy IT będą musiały walczyć z konsekwencjami ujawnienia luki Log4Shell. Choć w styczniu br. liczba prób jej wykorzystania spadła, nie oznacza to, że problem całkowicie zniknął. Zdaniem analityków Sophosa udało się jedynie zażegnać zagrożenie masowym atakiem, aczkolwiek luka będzie powszechnie wykorzystywana do cyberataków w przyszłości.

Warto o tym pamiętać w kontekście tworzenia strategii aktualizowania oprogramowania w przedsiębiorstwie. Napastnicy niejednokrotnie bowiem najpierw zapewniają sobie dostęp do sieci z wykorzystaniem niezałatanej luki, a potem czekają nawet kilka miesięcy na odpowiednim moment, aby uderzyć. Ten sposób działania jest charakterystyczny m.in. dla grup przestępczych powiązanych z Iranem i Koreą Północną.

Antywirusy skuteczne w testach

Kilka lat temu pojawiła się grupa specjalistów negujących potrzebę stosowania oprogramowania antywirusowego. Robert O’Callahan, twórca przeglądarki Mozilla Firefox, zachęcał do odinstalowywania antywirusów i poleganiu na zabezpieczeniach dostępnych w systemie. Z kolei Bryan Dye, ówczesny wiceprezes Symanteca, oznajmił wszem i wobec, że antywirus zmarł śmiercią naturalną. Jednak przepowiednie te się nie spełniły. Oprogramowanie antywirusowe trzyma się całkiem dzielnie i – jeśli wierzyć wynikom badań przeprowadzanych przez takie instytucje jak AV-TEST czy AV-Comparatives – nadal potrafi wykrywać malware. Najlepsze programy osiągają nawet stuprocentową skuteczność.

Jednak analitycy AV-Comparatives w „Summary Report 2021” odradzają raczej używanie darmowych i najtańszych produktów. Owszem, czasami zdarza się, że pod pewnymi względami aplikacje bezpłatne i komercyjne są ze sobą porównywalne, ale diabeł tkwi w szczegółach. Jedną z głównych wad darmowych antywirusów jest najczęściej ograniczone wsparcie techniczne. Poza tym, dostawcy okrajają freeware z najbardziej wartościowych funkcji.

– Wśród klientów indywidualnych istnieje grupa osób, które wybiorą jakikolwiek produkt ochronny, jeśli tylko jest on dostępny za darmo – mówi Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie. – Ja jednak zalecam bardziej odpowiedzialne podejście, czyli ochronę sprzętu i danych za pomocą dobrej jakości, sprawdzonego, zaufanego programu antywirusowego. Z tych samych powodów, z których zapinamy pasy w samochodzie.

Czynnikiem napędzającym popyt na jakościowe produkty jest ofensywa gangów szyfrujących dane. Według danych Sophosa w 2021 r. aż 8 na 10 incydentów bezpieczeństwa dotyczyło ransomware’u.

– Obserwujemy znaczny wzrost świadomości użytkowników, którzy decyzję o zakupie podejmują nie tylko na bazie ceny, ale także możliwości ochronnych samego oprogramowania – zauważa Grzegorz Nocoń, inżynier systemowy w Sophosie. – Jednak nie wystarczy ono w przypadku ataków prowadzonych poprzez luki w systemach operacyjnych czy aplikacjach. Obserwujemy, że tego typu podatności wykorzystują po krótkim czasie od ich wykrycia zarówno profesjonalne grupy, jak i amatorzy. Należy się więc liczyć z faktem, że nadal będą masowo używali tego sposobu do włamań.

Coraz więcej ciekawych rzeczy związanych z bezpieczeństwem dzieje się w segmencie urządzeń mobilnych. Przez lata uważano, że cyberatakami szczególnie zagrożeni są użytkownicy smartfonów z systemem operacyjnym Android. Wprawdzie w ubiegłym roku było podobnie, ale przy okazji upadł też mit bezpiecznych iPhone’ów. Przyczynił się do tego głównie fakt, że analitycy z Citizen Lab wykryli lukę bezpieczeństwa ForcedEntry w systemie iOS, pozwalającą na aktywację w telefonie systemu szpiegowskiego Pegasus. Niewykluczone, że znajdująca się ostatnio w centrum zainteresowania mediów historia o izraelskim programie przyczyni się do wzrostu sprzedaży rozwiązań ochronnych dla smartfonów Apple’a.

Artykuł Bezpieczeństwo IT w przebudowie pochodzi z serwisu CRN.