Artykuł Bezpieczeństwo sieci: od podstaw do sztucznej inteligencji pochodzi z serwisu CRN.
]]>W walce z cyberzagrożeniami wciąż problem stanowi zbyt późne identyfikowanie ataków. W szybkim wykrywaniu incydentów i reagowaniu na nie pomóc mają rozwiązania w rodzaju SIEM (Security Information and Event Management), zapewniające szeroki wgląd w system IT oraz funkcje monitorowania i analizy zdarzeń w czasie rzeczywistym. Problem w tym, że często wgląd ten bywa zbyt szeroki, dostarczana jest masa danych i trudno wyłowić te, które mają jakieś znaczenie. Dlatego z jednej strony rośnie rola zewnętrznych usług, a z drugiej automatyzacji – usprawniającej wykrywanie zagrożeń i bazującej na algorytmach maszynowych.
DOBRY FIREWALL TO WCIĄŻ PODSTAWA
Gdy zaobserwowano jak duże szkody wyrządził ransomware WannaCry zmieniło się podejście do bezpieczeństwa sieci. Gdy coraz częściej mają miejsce ataki dnia zerowego, w których wykorzystywane są nieujawnione wcześniej luki w zabezpieczeniach systemów i aplikacji, UTM oparty na zabezpieczeniach sygnaturowych przestaje wystarczać.
Niezmiennie podstawą ochrony sieci są wszelkiego rodzaju firewalle nowej generacji, bo oferując wiele funkcji, zastąpiły urządzenia brzegowe realizujące pojedyncze zadania. Klientom zależy zwłaszcza, by chroniły przed atakami z wykorzystaniem ruchu szyfrowanego, których jest coraz więcej. Wcześniej szyfrowana komunikacja była poza kontrolą firewalli, ale teraz standardem stało się już rozszywanie sesji SSL. Ważnym elementem nowoczesnego firewalla jest sandboxing. Klienci chcą też kontroli dostępu do sieci, uzyskiwanego za pomocą urządzeń mobilnych. Ci, którzy korzystają z usług zewnętrznych, potrzebują rozwiązania do zarządzania dostępem uprzywilejowanym. Ze swojej strony dostarczamy klientom kompleksową ochronę w formie sprzętowej lub programowej, przy czym bardzo istotna jest wartość dodana, wynikająca z naszych kompetencji. Najwięcej zarabia się bowiem na sprzedaży usług, czyli dokładaniu swojej wiedzy i doświadczenia do oferowanych produktów. Sprzedajemy swój pomysł na bezpieczeństwo, pokazując klientom, jak można sieć podzielić i skonfigurować, czy też jak kontrolować użytkowników, czyli optymalnie wykorzystać kupione narzędzia.
– Tradycyjne narzędzia nie zapobiegną już atakowi, w wyniku którego dojdzie do zaszyfrowania dysków lub innych szkód – tłumaczy Mariusz Bajgrowicz, Security Product Manager w Ingram Micro.
Podstawą aktywnej ochrony sieci pozostaje zatem UTM, ale już nie tylko z typowymi licencjami obejmującymi: antywirus, antyspam, IDS/IPS i podstawowy filtr sieciowy. Nowe platformy zapewniają detekcję i zapobieganie zaawansowanym atakom, a także działania naprawcze. W tym celu mogą wykorzystywać heurystykę i analizę zachowań, sandboxing, sieci reputacyjne, zarządzanie informacją o zagrożeniach (Threat Intelligence) i inne mechanizmy.
Rosnącą popularnością cieszy się zwłaszcza sandboxing, który jest realizowany w chmurze albo lokalnie, w ramach platformy sprzętowej. Są klienci, którzy wybierają sandboxing jako uzupełnienie posiadanych rozwiązań UTM. W ostatnich latach nastąpił znaczny spadek cen sprzętu, po części spowodowany agresywną polityką producentów, którzy chcą w ten sposób zwiększać swoje udziały rynkowe. Firmy używające kilkuletnich urządzeń często decydują się zatem na ich wymianę na zupełnie nowe, oferujące więcej funkcji, w tym właśnie „piaskownicę”.
Nawet, gdy firma już dysponuje tak wyrafinowanymi mechanizmami, jak sandboxing, administrator nie może zapominać o podstawowych regułach zapewnienia bezpieczeństwa. Dlatego bardzo ważną funkcją platformy ochronnej jest wymuszanie instalowania aktualizacji systemowych na urządzeniach końcowych, jak tylko się pojawią. Warto zwracać zatem uwagę klientów na fakt, że pozostawienie niezałatanej luki jest jak otwarcie drzwi do systemu informatycznego z zaproszeniem do ataku. Można przy tym demonstrować, jak proces dostarczania łatek jest realizowany przez poszczególnych producentów platform bezpieczeństwa sieciowego.
Krzysztof Hałgas
dyrektor Bakotechu
Działanie w modelu usługowym to dziedzina, która w ostatnim czasie najszybciej się rozwija. Gdy zatrudnienie dobrego administratora stało się problemem, decydujący się na zewnętrzną usługę klient nie musi martwić się o wykwalifikowanych specjalistów. Dzięki niej ma dostęp do fachowców o potrzebnych kompetencjach. Taki model działania sprawia także, że klient ma szersze pole manewru – może łatwo zrezygnować z niepotrzebnej już usługi lub zmienić ją na inną. Dlatego obserwujemy systematyczny wzrost znaczenia oferty usługowej. To już nie są tylko najprostsze rozwiązania, w tej formie klient może już kupić praktycznie większość narzędzi zapewniających bezpieczeństwo IT.
Sławomir Karpiński
prezes Connect Distribution
Sytuacja na rynku UTM-ów dynamicznie się zmienia. Rozwiązania i marki, które jeszcze parę lat temu były poza zasięgiem finansowym polskich klientów, dziś są dla nich dostępne. Poza ceną, na którą klienci nadal zwracają baczną uwagę, ważna jest wydajność. I to nie tylko opisana w specyfikacji urządzenia, lecz potwierdzona przez praktyczne testy. A są produkty, w których po włączeniu wszystkich funkcji ochrony wydajność spada dramatycznie. Dlatego nawet w małych projektach ważny jest etap Proof of Concept, podczas którego weryfikuje się rzeczywiste możliwości rozwiązania.
Istotnym elementem UTM powinna być także ochrona sieci bezprzewodowych. O ile LAN bywa dobrze zabezpieczony, o tyle o firmy zwykle zapominają o WiFi. Punkty dostępowe, przez które łączy się wiele osób, są bardzo często pozbawione ochrony realizowanej przez UTM, a zatem rozwiązanie, które integruje bezpieczeństwo obu rodzajów sieci, bardzo się przydaje.
SZYFROWANIE TO BROŃ OBOSIECZNA
Wzrost ilości przesyłanych zaszyfrowanych danych, które w październiku ubiegłego roku stanowiły aż połowę globalnego transferu (generowanego zarówno przez zwykłych użytkowników, jak i cyberprzestępców), postawił przed specjalistami ds. cyberbezpieczeństwa nowe wyzwania związane z monitorowaniem zagrożeń. Z jednej strony stosowane obecnie na dużą skalę szyfrowanie połączeń i danych w spoczynku wyraźnie zwiększa poziom ich bezpieczeństwa, z drugiej także cyberprzestępcy wykorzystują ruch szyfrowany, np. w celu ukrycia zapytań wysyłanych do serwerów Command and Control. W ciągu ostatniego roku eksperci Cisco zaobserwowali trzykrotny wzrost częstości wykorzystywania szyfrowanej komunikacji sieciowej w sprawdzanym ruchu związanym z plikami malware. Konieczne staje się więc użycie właściwych mechanizmów ochrony.
W efekcie niezbędnym elementem zabezpieczenia firmowych sieci są wszelkiego rodzaju bramy VPN. Rozwiązania przeciwdziałające atakom, bazujące na ruchu zaszyfrowanym, wchodzące w skład nowoczesnych platform UTM/NGFW lub oferowane jako oddzielne produkty, przeprowadzają analizę źródeł komunikacji i certyfikatów bezpieczeństwa oraz wykorzystują proxy SSL. Ten ostatni mechanizm zapobiega nawiązaniu bezpośredniej komunikacji z urządzeniem końcowym i – działając zgodnie ze schematem legalnego „man in the middle” – rozdziela jedno połączenie na dwa: ze źródłem ruchu i z chronionym użytkownikiem.
Grzegorz Krzątała
Channel Leader, Juniper Networks
W zapewnianiu bezpieczeństwa sieci ważne są trzy elementy. Po pierwsze, rozciągnięcie funkcjonalności NGFW na wszystkie elementy infrastruktury sieciowej. Już nie tylko firewall, ale i przełączniki oraz routery muszą pełnić rolę elementów, które służą do egzekwowania reguł polityki bezpieczeństwa. Po drugie, kluczowa staje się pełna automatyzacja reagowania na incydenty bezpieczeństwa. Obecnie administratorzy nie poradzą sobie sami, to sieć musi wykryć atak i podjąć właściwe działania, aby wyizolować zagrożenie i nie dopuścić do jego rozprzestrzeniania się. I wreszcie trzeci element: ochrona środowisk fizycznych oraz wirtualnych i to nie tylko we własnej infrastrukturze, ale także w zasobach chmurowych.
Czasy, gdy na zakup NGFW mogli sobie pozwolić tylko najwięksi i najbogatsi klienci, to już przeszłość. Producenci coraz częściej oferują rozwiązania, które mogą chronić zarówno małe firmy, jak i korporacje. Zapewniają, jeśli nie taki sam, to bardzo zbliżony poziom zabezpieczeń. Ceny można zatem dostosować do finansowych możliwości klienta.
– Inna jest tylko wielkość „pudełka”, skalowalność i wydajność rozwiązania. Natomiast wykorzystywane są te same silniki antywirusowe, tak samo działa obsługa SSL i sandboxing – wyjaśnia Mariusz Bajgrowicz.
KONTROLA DOSTĘPU, ZWŁASZCZA UPRZYWILEJOWANEGO
Kontrola dostępu do sieci to jeden z najistotniejszych aspektów bezpieczeństwa sieciowego. Decyduje o tym, kto ma dostęp, do jakiego zasobu i przy użyciu jakiego urządzenia. Może zapobiec łączeniu się z siecią z nieautoryzowanych urządzeń, ograniczyć dostęp do określonych plików i zasobów sieciowych, określić jakie uprawnienia powinny być przydzielone poszczególnym osobom w firmie. Uwzględnione w procesie projektowania sieci mechanizmy kontroli dostępu ułatwiają wprowadzanie zawartej w przepisach RODO zasady Privacy by Design i zapobiegają kradzieży informacji.
Obecnie stosowanie całościowych rozwiązań typu Network Access Control w przedsiębiorstwach jest utrudnione. Kontrolą dostępu muszą być bowiem objęte nie tylko zestandaryzowane korporacyjne komputery PC, ale i mnóstwo rozmaitego sprzętu mobilnego (często będącego własnością użytkowników). Do tego dochodzą urządzenia tworzące Internet rzeczy, zwirtualizowane serwery itp. W dodatku do sieci podłączają się nie są tylko pracownicy firmy, ale także usługodawcy, serwisanci, partnerzy, dostawcy lub goście. Dlatego producenci zaczęli się skupiać na określonych rodzajach dostępu, tworząc prostsze w użyciu, a dzięki temu skuteczniejsze narzędzia ochronne.
Mariusz Bajgrowicz
Security Product Manager, Ingram Micro
Rozwiązania typu UTM/NGFW są oferowane w cenach na tyle atrakcyjnych, że przedsiębiorcy często wolą kupić nowe urządzenie, niż przedłużać umowę wsparcia dla starszego sprzętu. W ten sposób, praktycznie za cenę odnowienia posiadanych licencji i wsparcia, otrzymują lepszą ochronę, lepiej przystosowaną do aktualnych, a także przyszłych zagrożeń. Nowe urządzenia są znacznie wydajniejsze i wyposażone w bogatsze funkcjonalnie oprogramowanie, zapewniające lepsze zarządzanie. Najczęściej umożliwiają też wykorzystanie wielu mechanizmów obrony przed zaawansowanymi atakami dnia zerowego, w tym sandboxing.
Dawid Królica
Area Sales Manager, Extreme Networks
Wiele przedsiębiorstw doświadczyło strat finansowych i wizerunkowych z powodu ataków wykorzystujących niezabezpieczone punkty końcowe połączone z firmową siecią. Rozwiązaniem nie może być tylko odcięcie portów albo zwiększenie fizycznej ochrony w budynku. Efektywna kontrola dostępu wymaga proaktywnego podejścia i zagwarantowania, by wszystkie urządzenia końcowe były właściwie zabezpieczone i wolne od niebezpiecznych plików, zanim zostanie im przyznany dostęp do wewnętrznych zasobów sieciowych danej firmy.
Ze względu na nowe przepisy o ochronie danych osobowych dostawcy zwracają uwagę klientów na to, jak ważne staje się zarządzanie dostępem uprzywilejowanym. Rośnie potrzeba stosowania rozwiązań Privileged Access Management, zwłaszcza wykorzystania ich podstawowych funkcji, czyli nagrywania sesji i zarządzania hasłami. Wynika to przede wszystkim z coraz powszechniejszego wykorzystania w firmach outsourcingu, który sprawia, że użytkownikom spoza firmy przydziela się dostęp do najważniejszych jej zasobów (w tym wrażliwych danych), często właśnie na poziomie uprzywilejowanym, a przy tym bardzo słabo kontrolowanym. Standardowa funkcja PAM, czyli nagrywanie sesji, po pierwsze zapewnia bezpieczeństwo (zniechęcając zarejestrowanego użytkownika do nadużyć i prowadząc dokumentację wszelkich działań potrzebną do audytu i ewentualnych dochodzeń śledczych), po drugie – umożliwia dokładne rozliczanie z wykonanej pracy.
Jednak rozwiązania PAM to dużo więcej niż nagrywanie sesji. Dzięki nim można ułatwić klientom ochronę zasobów i przestrzeganie regulacji prawnych bądź branżowych przez zabezpieczanie, zarządzanie oraz monitorowanie uprzywilejowanych kont i uzyskiwanego za ich pomocą dostępu. Taka ochrona obejmuje różne elementy systemowe i infrastrukturalne – od systemów operacyjnych, baz danych i aplikacji po urządzenia sieciowe, wirtualizatory i chmurowe aplikacje SaaS.
ZA DUŻO ALERTóW, ZA MAŁO SPECJALISTóW
Rozwiązania typu UTM/NGFW to bardzo pożyteczne, wręcz niezbędne narzędzia do ochrony sieci – pokazują, co się dzieje w systemie. Informacje są zapisywane w logach, które następnie gromadzi rozwiązanie SIEM. Ma to pomóc w szybkim wykrywaniu incydentów i reagowaniu na nie, zapewniając szczegółowy wgląd w system IT oraz funkcje monitorowania i analizy zdarzeń w czasie rzeczywistym. To kolejny element, na którym powinno bazować zabezpieczanie sieci w każdym przedsiębiorstwie, tym bardziej że platformy SIEM „trafiły pod strzechy”.
– Jeszcze kilka lat temu tego typu rozwiązania, oferowane przez zaledwie kilku dostawców, były drogie i przeznaczone wyłącznie dla bardzo dużych firm. Nawet średnie przedsiębiorstwa nie brały pod uwagę zakupu tego produktu – zauważa Krzysztof Hałgas, dyrektor Bakotechu.
Obecnie w sprzedaży znajduje się ogromna liczba narzędzi zapewniających agregowanie i korelowanie logów systemowych. A SIEM stał się podstawowym elementem ochrony sieci, szczególnie że jako rozwiązanie gromadzące informacje o tym, to co się w niej zdarzyło, zyskuje na znaczeniu w kontekście RODO.
Administratorzy muszą się obecnie mierzyć z wielką masą informacji generowanych przez platformy UTM/NGFW/IDS/IPS, agregowanych i korelowanych przez rozwiązania typu SIEM. Problemem jest jednak trudna do prześledzenia liczba ujawnianych zdarzeń, z których zdecydowana większość jest odchyleniem od normy, ale w rzeczywistości nie ma związku z żadnym atakiem. Przykładowo, skanowanie portów serwera może być wstępem do ataku, ale najczęściej nie jest.
Paweł Rybczyk
Business Developer CEE&Russia, Wallix
W obszarze bezpieczeństwa sieci mamy dwie warstwy kontroli. Pierwsza obejmuje przepływ danych przez sieć, który w ramach ochrony jest analizowany przez rozmaite narzędzia pod kątem incydentów. Druga to zarządzanie dostępem w odniesieniu nie tylko do punktów końcowych – baz danych, serwerów, urządzeń użytkowników – ale także elementów tworzących firmową sieć, przełączników, routerów oraz firewalli. W drugim przypadku bardzo ważne jest zarządzanie kontami uprzywilejowanymi oraz kontrola zautomatyzowanej komunikacji między urządzeniami a aplikacjami.
– Jeśli administratorzy mają pod opieką środowisko złożone z wielu setek czy tysięcy urządzeń, z których SIEM agreguje logi i wysyła alerty o każdym podejrzanym zdarzeniu, w krótkim czasie przestają w ogóle reagować na te ostrzeżenia – twierdzi Paweł Rybczyk, Business Developer CEE&Russia w firmie Wallix.
W dodatku na rynku brakuje specjalistów ds. bezpieczeństwa, którzy mogliby logi sprawdzać i interpretować. To szansa dla integratorów, którzy w charakterze dostawców zewnętrznych usług zarządzanych mogą rozbudować ofertę dla klientów o Security Operations Center as a Service. Oczywiście musi być to usługa z prawdziwego zdarzenia, bo oferowanie klientowi sprawdzania logów raz na tydzień mija się z celem.
AUTOMATYZACJA, A NAWET SZTUCZNA INTELIGENCJA
Równolegle do rozwoju usług zewnętrznych będzie rosło znaczenie rozwiązań, które – wykorzystując sztuczną inteligencję oraz uczenie maszynowe – mogą automatycznie analizować ruch sieciowy. Mechanizm ich działania polega na uczeniu się wzorców w działającej sieci i na tej podstawie identyfikowaniu odchyleń od normy. Obserwujemy obecnie pierwsze zastosowania sztucznej inteligencji w zakresie bezpieczeństwa sieciowego.
– Celem jest użycie algorytmów zamiast sygnatur w analizie ruchu sieciowego po to, by liczba alertów zmniejszyła się z tysięcy do kilku tygodniowo, za to rzeczywiście istotnych dla bezpieczeństwa – wyjaśnia Paweł Rybczyk.
Według autorów raportu Cisco 2018 Annual Cybersecurity Report wdrażanie rozwiązań z zakresu uczenia maszynowego zwiększy bezpieczeństwo sieci, ponieważ w dalszej perspektywie mogą one „nauczyć się” wykrywać wzorce w szyfrowanych połączeniach, chmurze oraz środowisku Internetu rzeczy. Część z 3,6 tys. profesjonalistów, którzy wzięli udział w ankiecie Cisco, przyznaje, że chętnie uzupełniłoby portfolio posiadanych narzędzi o rozwiązania z zakresu uczenia maszynowego oraz sztucznej inteligencji, ale zniechęca ich duża liczba błędnych alertów (false positives) generowanych przez te systemy. Dalszy rozwój wspomnianych, wciąż nowatorskich, technik zapewne znacząco zwiększy liczbę prawidłowych wskazań w monitorowanym środowisku sieciowym.
Nic nie zastąpi własnych testów
W wyborze platform bezpieczeństwa sieciowego klienci mogą zwracać uwagę na wyniki testów przeprowadzanych przez niezależne organizacje. Przykładowo, pokazują one jak spada wydajność wielofunkcyjnego firewalla po włączeniu kolejnych mechanizmów ochrony. Dostawcy i ich partnerzy twierdzą, że w sprzedaży tego typu urządzeń (i wszelkich rozwiązań ochrony sieciowej) wyraźnie pomaga pozycja zajmowana przez producenta w magicznym kwadrancie Gartnera. W ocenie producentów ważne są też raporty przedstawiające ich zaangażowanie w wykrywanie dotychczasowych zagrożeń oraz przygotowanie do przyszłych zadań.
Skuteczniej niż zewnętrzne testy i raporty przekona jednak potencjalnego nabywcę okazja sprawdzenia możliwości systemów UTM/NGF w środowisku funkcjonującym w jego firmie. Warto zatem przedsiębiorstwu poszukującemu nowego rozwiązania zapewnić do testów kilka rozwiązań z tej samej półki cenowej i ułatwić porównanie ich możliwości. Wpięcie urządzenia do sieci i uzyskanie po dwóch tygodniach jego używania raportów mówiących, ile jest luk w systemie, ile szkodliwego oprogramowania przepuściły obecnie wykorzystywane zabezpieczenia, a także sprawdzenie, jak przyjazny i funkcjonalny jest interfejs zarządzania, to najlepszy sposób na dobranie właściwej dla danego środowiska platformy UTM.
Artykuł Bezpieczeństwo sieci: od podstaw do sztucznej inteligencji pochodzi z serwisu CRN.
]]>