Nie bez znaczenia są też przeobrażenia zachodzące w segmencie systemów bezpieczeństwa. Producenci w ostatnich latach wprowadzili wiele innowacji, a także opracowali nowe strategie, aby mocniej niż do tej pory uderzyć w cyberprzestępców. Szczególnie dużo dzieje się u dostawców aplikacji do ochrony urządzeń końcowych. Kij w mrowisko włożył Brian Dye, który cztery lata temu oznajmił na łamach „The Wall Street Journal”, że tradycyjne oprogramowanie antywirusowe wykrywa zaledwie 45 proc. wszystkich ataków. Skoro ówczesny wiceprezes Symanteca sam przyznał, że antywirusy są nieskuteczne, trudno mieć co do tego wątpliwości. W ten sposób Brian Dye zapoczątkował małą rewolucję w segmencie rozwiązań do ochrony punktów końcowych. W tamtym okresie na rynku pojawili się przedstawiciele nowej fali (FireEye, Carbon Black), natomiast doświadczeni dostawcy antywirusów zaczęli modyfikować produkty. W rezultacie do sprzedaży zaczęły trafiać zaawansowane rozwiązania wykorzystujące mechanizmy sztucznej inteligencji i głębokiego uczenia.

– Antywirusy nie opierają swojego działania na sygnaturach złośliwego oprogramowania. Dzięki wykorzystywanej przez nas chmurze plików oraz innym technikom nowej generacji jesteśmy w stanie szybciej reagować na nowe ataki – tłumaczy Thomas Siebert, kierownik technologii ochrony w G Data.

Również F-Secure w ostatnim czasie zmienia swoją strategię w zakresie ochrony urządzeń oraz danych. Producent przechodzi od detekcji pojedynczych zagrożeń i binarnych reakcji do wykrywania opartego na przepływie danych i ich kontekście oraz do zautomatyzowanych reakcji uwzględniających ryzyko zdarzeń.

Rok pod znakiem cryptojackingu

Cyberprzestępcy bardzo chętnie stosują znane od lat metody, takie jak phishing, spam czy malware. Tego typu działania są uciążliwe chociażby ze względu na powszechność występowania. Osoby odpowiedzialne za bezpieczeństwo powinny trzymać rękę na pulsie i nie lekceważyć najprostszych ataków. Tym bardziej że pracownicy cały czas nabierają się na stare sztuczki hakerów. Niemniej, aby powstrzymać w ten sposób działających napastników, nie trzeba sięgać po najbardziej zaawansowane systemy ochrony.

Sieciowi przestępcy nie próżnują i każdego roku wzbogacają swój arsenał o nowe narzędzia, takie jak ransomware i różnego rodzaju exploity. Jeszcze wyżej w hierarchii zagrożeń znajdują się ataki ukierunkowane – hakerzy wysyłają malware lub fałszywe e-maile do konkretnych, wyselekcjonowanych odbiorców. W tym kontekście warto zwrócić uwagę na jednorazowe akcje cyberprzestępcze przeprowadzane przez agencje wywiadowcze. Do tej pory chyba najbardziej spektakularna była inwazja północnokoreańskich hakerów na Sony. Z kolei w ubiegłym roku było głośno o Industroyerze, wirusie atakującym obiekty przemysłowe na Ukrainie.

– Niestety, w tego typu przypadkach zabezpieczenie firmy przed atakami wymagałoby ogromnych nakładów finansowych – twierdzi Marcin Galeja, Sales Engineer w F-Secure.

W 2018 r. na szczycie listy największych zagrożeń sieciowych pojawił się cryptojacking. Z danych Arcabitu wynika, że stosunek prób infekcji za pomocą oprogramowania kopiącego waluty do infekcji z użyciem oprogramowania szyfrującego dane obecnie wynosi 7:1.

Cryptojacking polega na wykorzystaniu komputera użytkownika odwiedzającego stronę internetową do kopania kryptowalut. Napastnicy absorbują ok. 60 proc. wydajności procesora. Internauci zazwyczaj nie zdają sobie sprawy, że padli ofiarą ataku. Skuteczną ochronę przed tego typu zagrożeniami zapewnia zaktualizowane oprogramowanie antywirusowe bądź dobry firewall. Wprawdzie nie jest to infekcja tak dotkliwa jak ransomware, aczkolwiek obniża komfort pracy, a także przyczynia się do wzrostu rachunków za energię elektryczną. Eksperci zwracają uwagę na to, że w przyszłości przestępcy przejmujący władzę nad komputerami użytkowników mogą ich użyć w innym, dużo gorszym celu niż kopanie kryptowalut.

– Cryptojacking zyskał popularność wśród hakerów z dwóch powodów. Pierwszy to gigantyczny wzrost cen niektórych kryptowalut, nawet o kilkaset razy w porównaniu z 2017 r. Drugi wiąże się z pojawieniem na czarnym rynku łatwej w użyciu platformy umożliwiającej generowanie wirtualnej waluty przez strony internetowe – ocenia Kamil Sadkowski, starszy analityk zagrożeń z ESET-a.

EDR – broń przeciw zaawansowanym atakom

Wprawdzie oprogramowanie antywirusowe wciąż odgrywa istotną rolę w procesie ochrony urządzeń końcowych, niemniej producenci wprowadzają na rynek bardziej zaawansowane produkty. Na fali wznoszącej znajdują się rozwiązania Endpoint Detection & Response (EDR) przeznaczone do wczesnego wykrywania ataków. Ich rola polega na detekcji nowych, potencjalnie niebezpiecznych zdarzeń, aplikacji, kodów itp. EDR stanowi swojego rodzaju odpowiedź producentów aplikacji bezpieczeństwa na cyberataki wymierzone w konkretne przedsiębiorstwa.

– Tego typu rozwiązania już działają w Polsce. Odpowiednie moduły, a nawet całe platformy uruchamiane w środowisku lokalnym lub chmurowym spotkały się z dobrym przyjęciem wśród rodzimych klientów. Myślę, że z biegiem czasu ich popularność będzie wzrastać – mówi Damian Przygodzki, inżynier wsparcia technicznego w ABC Data.

Również specjaliści z Dagmy widzą przyszłość EDR w jasnych barwach.

– Jeszcze do niedawna traktowano to rozwiązanie jako uzupełnienie antywirusów. Ale zauważamy, że wchodzi ono do głównego nurtu – tłumaczy Paweł Jurek, wicedyrektor ds. rozwoju katowickiego dystrybutora.

Należy zaznaczyć, że EDR jest produktem przeznaczonym dla dużych firm. Jego zastosowanie pozwala uzyskać mnóstwo cennych informacji, z tym że analiza danych, a następnie podejmowanie na ich podstawie decyzji wymaga odpowiedniej wiedzy. W mniejszych przedsiębiorstwach trudno byłoby znaleźć pracowników, którzy podjęliby się realizacji tego typu zadań. Zdaniem przedstawicieli F-Secure ciekawą alternatywną dla tradycyjnego modelu jest EDR oferowane w formie usługi. W przypadku wyboru tej opcji klient nie musi monitorować incydentów ani zarządzać nimi, a o potencjalnych zagrożeniach zawiadamia go integrator.

Mobilni na celowniku

Cyberprzestępcy biorą na cel nie tylko laptopy bądź serwery, ale również smartfony. Inteligentne telefony komórkowe, podobnie jak komputery stacjonarne, są narażone na działanie trojanów bankowych, cryptojacking oraz ransomware. Co ciekawe, okup za odszyfrowanie smartfona wynosi od 10 do 500 dol. Analitycy G Data w pierwszym półroczu bieżącego roku wykryli ponad 2 mln nowych próbek złośliwego oprogramowania na urządzenia z systemem operacyjnym Android. To niemal 40 proc. więcej niż rok wcześniej.

– Problemem podczas zabezpieczania urządzeń mobilnych jest propagacja szkodliwego oprogramowania. Co chwila w mediach pojawiają się informacje o złośliwych aplikacjach na Androida. Poza tym pracownicy nierzadko tracą smartfony w wyniku kradzieży bądź je po prostu gubią – tłumaczy Grzegorz Michałek, prezes Arcabitu.

Użytkownicy smartfonów z systemem operacyjnym Google bardzo często pobierają aplikacje z internetu, omijając Google Play. Co gorsza, nawet na oficjalnej platformie zakupowej Google niejednokrotnie można natrafić na złośliwe oprogramowanie. Lukas Stefanko, analityk zagrożeń z ESET-a, informuje na swoim blogu, że w ciągu ostatnich kilku miesięcy znalazł 50 złośliwych aplikacji w Google Play, które łącznie pobrano 350 tys. razy. Większość z nich to były gry lub kolorowanki dla dzieci. Zaskakująca jest też naiwność internautów, którym zdarza się zapłacić za program wydłużający czas działania baterii lub wirtualną kartę SD umożliwiającą „rozszerzenie” pamięci o 32 GB. Nie bez przyczyny wiele firm coraz częściej boryka się z problemami związanymi z zarządzaniem mobilnymi terminalami oraz ich ochroną – i poszukuje odpowiednich rozwiązań.

– Producenci zabezpieczeń oferują bardziej inteligentne systemy oparte na analizie zachowania, reputacji, silnikach antywirusowych. Łączą one ochronę przed złośliwymi aplikacjami i bezpieczne przeglądanie zasobów w internecie z efektywnym zarządzaniem urządzeniem, uwzględniając przy tym firmową politykę bezpieczeństwa. Co więcej, bardzo często jedna konsola zabezpiecza środowisko komputerowe oraz mobilne – zauważa Damian Przygodzki.

Łatanie dziur

Publikowane na początku tego roku informacje o lukach występujących w procesorach sprawiły, że kwestie dotyczące uaktualniania oprogramowania, zazwyczaj pomijane w dyskusjach o bezpieczeństwie, znalazły się w centrum uwagi. Wielu ekspertów uważa, że zamieszanie wokół chipów zdopinguje firmy do częstszych aktualizacji oprogramowania i systemów operacyjnych. Co więcej, przykłady Spectre i Meltdown dowodzą, że łatanie dziur wcale nie jest procesem trywialnym. Mniejsze organizacje, korzystające ze stosunkowo niewielkiej liczby urządzeń i prostej infrastruktury, mogą śledzić, testować i wprowadzać poprawki bez stosowania specjalistycznych narzędzi. Natomiast większe firmy, dysponujące złożonymi i niestandardowymi środowiskami informatycznymi, stają przed dużo trudniejszym zadaniem.

Z jednej strony wprowadzone uaktualnienia mogą spowolnić działanie sprzętu i oprogramowania, z drugiej zaś ich brak oznacza… otwartą furtkę dla hakerów. Dlatego też specjaliści od bezpieczeństwa sieciowego zalecają korzystanie z produktów usprawniających wprowadzanie aktualizacji. Umożliwiają one bowiem szybkie i spójne stosowanie łatek na różnych platformach informatycznych. Rozwiązania przeznaczone do aktualizacji software’u wchodzą często w skład większych systemów realizujących funkcje związane z zarządzaniem infrastrukturą i oprogramowaniem. Tego typu produkty oferują m.in. Baramundi, Ivanti czy SolarWinds.

Wprawdzie po szumie medialnym, który wywołały luki w procesorach, w ostatnim czasie nieco mniej mówi się o kłopotach z aktualizacją oprogramowania, niemniej dostawcy systemów operacyjnych z optymizmem patrzą w przyszłość. Najgroźniejsze ataki typu ransomware były skierowane przeciw użytkownikom komputerów z niezaktualizowanym systemem operacyjnym Windows. Ciekawostką jest, że FBI wśród zalecanych dziewięciu kroków zapobiegających atakom typu ransomware na pierwszym miejscu wymienia uaktualnianie systemów operacyjnych i najważniejszych aplikacji. Nie inaczej jest w przypadku cryptojackingu.

– Napastnicy infekują niezabezpieczone witryny złośliwym kodem, który potem trafia na stacje klienckie w celu generowania kryptowaluty. Jeśli użytkownik dba o aktualizacje software’u na urządzeniach końcowych, a w szczególności przeglądarek internetowych, może udaremnić atak lub znacznie zmniejszyć zagrożenie – tłumaczy Sebastian Wąsik, Country Manager w Baramundi software.

Co dalej?

Nadchodzący 2019 r. nie przyniesie rewolucyjnych zmian w rozwoju narzędzi ochronnych. Niemniej integratorzy oraz resellerzy powinni uważnie śledzić najbardziej rozwojowe obszary rynku. Do takich należy segment rozwiązań EDR. Gartner prognozuje, że skumulowany wskaźnik wzrostu dla tej grupy produktów w latach 2015–2020 wyniesie 45 proc., a w 2020 r. producenci mają uzyskać ze sprzedaży systemów EDR 1,5 mld dol. Dużym wyzwaniem jest ujednolicenie zarządzania punktami końcowymi, w związku z czym firmy zaczną częściej poszukiwać systemów UEM (Unified Endpoint Management) i MDM (Mobile Device Management). Sebastian Wąsik uważa, że przedsiębiorcy będą musieli zmierzyć się ze zjawiskiem shadow IT.

– Według Gartnera do 2020 r. co trzeci udany cyberatak w sektorze biznesowym ma być wymierzony w programy umieszczone w chmurze publicznej. Niestety, tylko 7 proc. aplikacji w modelu SaaS spełnia standardy bezpieczeństwa dla przedsiębiorstw – ostrzega Sebastian Wąsik.

Resellerzy poza promocją nowych rozwiązań powinni informować klientów o czyhających na nich zagrożeniach. Nawet najbardziej inteligentne urządzenia i aplikacje zawiodą, jeśli będą obsługiwane przez nieroztropnych użytkowników.

Artykuł Ochrona urządzeń końcowych: jeszcze więcej inteligencji pochodzi z serwisu CRN.

1. Rozpoznanie ryzyka i scenariusze działania

Czynności mające na celu zabezpieczenie firmy należy rozpocząć od ustalenia, co jest dla niej najbardziej ryzykowne, czyli na jakie zagrożenia powinna się przygotować? W jakich sytuacjach atakujący (działający wewnątrz lub z zewnątrz) będzie miał sprzyjające warunki do przysporzenia firmie strat? Należy przeanalizować głównie te zagrożenia dla ważnych danych w przedsiębiorstwie, bez których nie będzie możliwe dalsze prowadzenie biznesu.

2. Kosztorys i zyski

Zewnętrzne wsparcie kosztuje, ale należy uświadomić klientowi, że zdecydowanie mądrzej jest zainwestować pieniądze zawczasu (konsultant będzie mógł spokojnie zebrać informacje i opracować plan działania), niż ponosić dużo wyższe koszty, gdy dojdzie do incydentu. Dobrze jest też wytłumaczyć mu, że w przypadku rozważania zakupu systemów ochronnych nie jest właściwe standardowe analizowanie współczynnika zwrotu kosztów inwestycji.

3. Instrukcja „przeciwpożarowa” dla sieci

Jak inspektorzy przeciwpożarowi dokonują weryfikacji każdego nowego budynku, tak powinna być prowadzona inspekcja firmowej infrastruktury IT. Rolę ekspertów w tej dziedzinie mogą pełnić doświadczeni resellerzy z wartością dodaną lub integratorzy. W efekcie powinna powstać szczegółowa dokumentacja dotycząca budowy infrastruktury, wzajemnych połączeń, współzależności, najważniejszych komponentów i usług.

4. Czas na przegląd

Przygotowywanie strategii działania na wypadek sytuacji kryzysowej to również doskonała okazja dokładnego przyjrzenia się infrastrukturze sieci oraz niektórym procesom z nią związanym. Słabe punkty pojawiają się w szczególności w tych sieciach, które rozrastały się przez wiele lat. Czasem stosowane są w nich „punktowe” środki zaradcze, często obecnie już nieskuteczne, a odpowiedzialne za ich wdrożenie osoby w firmie już nie pracują. Dlatego należy skorzystać z możliwości i zaproponować klientowi pozbycie się starych, byle jakich rozwiązań. A jeśli to niemożliwe, trzeba je w raporcie bardzo szczegółowo opisać oraz udokumentować.

5. Uzyskanie wsparcia z zewnątrz

Należy rozważyć, czy w sytuacji awaryjnej nie byłoby wskazane, a nawet konieczne skorzystanie przez klienta ze wsparcia z zewnątrz. Ma to duży sens szczególnie w mniejszych firmach, gdzie nie opłaca się zatrudnianie ekspertów, których wiedza na co dzień nie byłaby wystarczająco efektywnie wykorzystywana.

6. Sprawy do rozwiązania i plany awaryjne

Wśród parametrów, które trzeba koniecznie określić, jest m.in. maksymalny tolerowany czas przestoju w przypadku  usług, które firma świadczy i z których korzysta. Jego analiza ma swoje korzenie w zarządzaniu ryzykiem, a pozyskane dane mają bezpośredni wpływ na strategię postępowania w sytuacji kryzysowej. Czasem w planie działań w czasie awarii trzeba wręcz uwzględnić konieczność korzystania z papierowej dokumentacji podczas obsługi niektórych procesów (i upewnić się, że pracownicy klienta potrafią to robić).

7. Checklisty, checklisty, checklisty

W przypadku zaistnienia sytuacji kryzysowej ważne jest, by plan działania mający na celu utrzymanie ciągłości funkcjonowania firmy i wyeliminowanie problemu był tak prosty, jak to tylko możliwe (będzie wtedy łatwiejszy do wdrożenia w razie konieczności). Jest to niezwykle ważne, gdyż sytuacje kryzysowe są z reguły bardzo stresogenne, co w niektórych przypadkach odbija się również na zdolności do zachowania spokoju i rozwagi przez pracowników.

8. Konieczny ekwipunek

Do pracy mającej na celu wyeliminowanie problemu należy zawczasu przygotować wiele narzędzi. Praktyka pokazuje, że przydają się czytniki kart SD i nowe karty, czyste płyty CD, mały koncentrator sieciowy, latarki i baterie, różnego rodzaju kable sieciowe w kolorach, które nie są na co dzień wykorzystywane w serwerowni, adaptery szeregowe umożliwiające skorzystanie z konsoli sprzętu sieciowego, notatniki i długopisy oraz… zapas kawy.

9. Linie komunikacyjne

Niezbędną częścią strategii jest stworzenie przejrzystych zasad komunikacyjnych przedstawiających sposób, w jaki sytuacja awaryjna jest zgłaszana, a następnie określenie, jak będą wyglądały punkty kontaktowe agregujące informacje o procesie rozwiązywania problemu (nie jest dobrym pomysłem wysyłanie raportu e-mailem do wiadomości 25 osobom). Jeśli awaria dotknie usługi zewnętrzne, skutecznym rozwiązaniem jest zaangażowanie do pracy innych działów, takich jak PR, w celu przekazywania informacji o postępie w likwidowaniu problemu.

10. Mądrze wykorzystuj logi
W sytuacjach kryzysowych jednym z efektywniejszych źródeł informacji są zestawy logów z zapory sieciowej i wszystkich serwerów, w tym kontrolerów domeny. Pracę często ułatwia także dostęp do logów urządzeń klienckich. Logi należy przechowywać przez minimum rok poza środowiskiem produkcyjnym, aby nie stały się celem ataku.

11. Materiał dowodowy

Niezależnie od specyfiki danej sytuacji kryzysowej należy unikać podejmowania prób jej rozwiązania „na skróty”, by jak najszybciej przywrócić normalne funkcjonowanie firmy. Istnieją przypadki, w których trzeba zachować informacje o sposobie przeprowadzenia ataku, aby móc usunąć przyczynę awarii. Przeinstalowanie oprogramowania na komputerze, który został zainfekowany przez złośliwy program, może skutkować zniszczeniem kluczowych danych, które mogą być niezbędne do opracowania strategii ochronnej na przyszłość.

12. Ćwiczenie czyni mistrza

Każdy z opracowanych planów powinien zostać przećwiczony przez wskazanych w nim pracowników, dział IT i zarząd. Uwidoczni to słabe punkty i pomoże poczuć się pewniej osobom, które w sytuacji awaryjnej będą rozwiązywać problem. Ćwiczenia mogą być przeprowadzone zarówno w sali konferencyjnej, jak i w środowisku produkcyjnym lub przy użyciu jego kopii wykonanej do tego właśnie celu.

Artykuł Gaszenie wirtualnych pożarów: czy klienci są gotowi? pochodzi z serwisu CRN.

Ochrona poczty elektronicznej od lat jest jednym z filarów oferty firmy Sophos. Jej zabezpieczenie (jak i ochronę innych zasobów przed skutkami szkodliwych programów przenoszonych przez e-maile) umożliwia kilka narzędzi. Producent podkreśla, że w ramach strategii zsynchronizowanej ochrony jego rozwiązania wymieniają się informacjami, dzięki czemu możliwe jest szybsze reagowanie, gdy firma zostanie zaatakowana.

Wielopunktowe zabezpieczenie

Jednym z podstawowych narzędzi do ochrony poczty elektronicznej jest Sophos Email Appliance. To rozwiązanie typu wszystko w jednym, które zapewnia szyfrowanie wiadomości, ochronę przed wyciekami informacji (DLP), moduł antyspamowy i zabezpieczenie przed złośliwym kodem oraz zagrożeniami dnia zerowego. Chroni przed phishingiem oraz dostarcza administratorom informacji o tym, jakie dane opuszczają firmę w wiadomościach e-mail.

Użytkownicy doceniają przede wszystkim funkcję Time-of-Click, która chroni przed skutkami klikania w linki URL w podejrzanych wiadomościach e-mail. Każda próba otworzenia strony z takiego linku inicjuje weryfikację jego reputacji w chmurowej bazie Sophos SXL. Aby korzystać z tej funkcji, nie trzeba instalować żadnego oprogramowania klienckiego.

Bardzo ważne jest również szyfrowanie zapewniane przez moduł SPX Encryption. W wiadomościach, które powinny być zabezpieczone w ten sposób, treść oraz załączniki są kodowane i umieszczane w specjalnym pliku PDF. Proces ten jest całkowicie transparentny i nie wymaga zarządzania kluczami deszyfrującymi ani instalowania dodatkowego oprogramowania.

Rozwiązanie Email Appliance jest oferowane w dwóch wersjach – sprzętowej i jako maszyna wirtualna. Do wyboru są trzy modele urządzeń, różniących się wydajnością (od 120 tys. do 550 tys. przetwarzanych wiadomości na godzinę). Natomiast maszyny wirtualne mają cztery wersje i są przeznaczone dla od 300 do 10 tys. użytkowników (odpowiednio od 60 tys. do 600 tys. wiadomości na godzinę).

Bezpieczna piaskownica

W wybranych rozwiązaniach firmy Sophos – także w Email Appliance – wykorzystywany jest mechanizm Sandstorm. zabezpiecza on przed ransomware’em i uporczywymi atakami (APT). Stanowi uzupełnienie produktów ochronnych producenta – zapewnia wykrywanie i blokowanie ignorowanych przez inne systemy zakamuflowanych zagrożeń dzięki zastosowaniu wydajnego, bazującego na chmurze środowiska testowego sandbox kolejnej generacji.

Sandstorm skanuje wszystkie pliki pod kątem znanych zagrożeń (m.in. z wykorzystaniem sygnatur złośliwego kodu, baz podejrzanych adresów URL itp.). Jeśli plik nie został pobrany ze strony sklasyfikowanej jako bezpieczna i znajduje się w nim wykonywalny kod, automatycznie oznaczany jest jako podejrzany. Suma kontrolna takiego pliku jest wysyłana do znajdującego się w chmurze mechanizmu reputacyjnego usługi Sophos Sandstorm w celu sprawdzenia, czy jego działanie było już wcześniej analizowane. Jeśli plik był wcześniej weryfikowany, Sandstorm sprawdza informacje o jego reputacji i zezwala na uruchomienie tego pliku lub uniemożliwia ten proces.

Jeżeli suma kontrolna pliku nie była wcześniej znana, jego kopia jest przekazywana do bezpiecznego chmurowego środowiska testowego sandbox usługi Sophos Sandstorm. Tam plik jest uruchamiany, a jego zachowanie monitorowane. Po tej analizie (trwa najwyżej 120 s) stosowne informacje o pliku są przekazywane do rozwiązań ochronnych Sophos zainstalowanych w zasobach użytkownika.

Artykuł powstał we współpracy z firmą Sophos.

Artykuł Sophos kompleksowo ochroni pocztę pochodzi z serwisu CRN.

NAKIVO Backup & Replication to rozwiązanie wykonujące kopie typu image-based backup. Oznacza to, że nie trzeba instalować oprogramowania w każdej maszynie wirtualnej oraz na serwerze, co ułatwia wdrożenie, ale także oszczędza czas administratora potrzebny na konfigurację procesu backupu.

Takie aplikacje jak Exchange, Active Directory, MS SQL czy Oracle wymagają do pracy bazy danych. Jeżeli działają one w maszynach wirtualnych, ich backup stanowi wyzwanie, ponieważ konieczne jest zapewnienie spójności podczas tworzenia kopii bazy. Gwarantuje to NAKIVO, dzięki zgodności z oprogramowaniem wirtualizacyjnym VMware, a także Hyper-V – współpracującym z usługą Microsoft Volume Shadow Copy (VSS) działającą wewnątrz maszyny wirtualnej.

Idealna para

Oprogramowanie NAKIVO Backup & Replication można w prosty sposób zainstalować na serwerach NAS firmy QNAP (narzędzie to jest dostępne w sklepie QNAP App Center).

Dzięki zestawowi użytecznych funkcji zapewnia ono oszczędność przestrzeni dyskowej podczas wykonywania kopii wirtualnych maszyn. Nie ma konieczności stosowania plików wymiany danych (swap) ani partycjonowania przestrzeni, a mechanizm deduplikacji w obrębie całego repozytorium eliminuje bloki z powtarzającymi się danymi (deduplikacja sama w sobie jest najbardziej efektywna właśnie w przypadku wirtualnych maszyn i backupu). Następnie każdy unikalny blok danych jest automatycznie kompresowany, co także wpływa na zminimalizowanie rozmiaru kopii zapasowej.

Oprogramowanie NAKIVO zapewnia tzw. wieczny backup przyrostowy (forever incremental), w ramach którego śledzi zmiany w blokach danych i wykonuje kopie tylko tych zmienionych. W przypadku backupu przyrostowego maszyn wirtualnych działających w VMware wykorzystywany jest mechanizm Changed Block Tracking (NAKIVO zostało wyposażone we własny sterownik CBT, który umożliwia backup w darmowej wersji oprogramowania VMware ESXi), a w środowisku Hyper-V – narzędzie Resilient Change Tracking.

NAKIVO w połączeniu z QNAP zapewniają także znacznie niższą cenę (nawet pięciokrotnie) całego środowiska backupowego w porównaniu z cenami tradycyjnych rozwiązań o podobnej charakterystyce sprzętowej, przeznaczonych do backupu wirtualnych maszyn. Oprogramowanie NAKIVO może być instalowane w większości modeli serwerów QNAP, nawet w urządzeniach tak podstawowej klasy jak TS-473.

Artykuł powstał we współpracy z firmą QNAP.

Artykuł Ochrona maszyn wirtualnych nie musi być droga pochodzi z serwisu CRN.

Spodziewany wzrost na rynku bezpieczeństwa chmury jest związany z rosnącym popytem na rozwiązania służące zabezpieczaniu danych poza granicami firmowych sieci. Przyczyniają się do tego m.in. regulacje prawne nakładające na organizacje określone obowiązki związane z ochroną danych w przypadku korzystania z chmury. W szczególności dotyczy to niektórych branż, np. ochrony zdrowia i sektora finansowego.

Wraz ze wzrostem liczby przedsiębiorstw korzystających z chmury zwiększy się częstotliwość cyberataków i ich zaawansowanie. Przedsmak skali tego zjawiska pokazują zdarzenia z ostatnich dwóch lat, w tym spektakularne ataki na serwisy Ashley Madison, Home Depot, Anthem, a nawet na niektórych producentów zabezpieczeń, np. Kaspersky Lab.

Myśląc o ochronie systemów cloud computingu, warto skupić się przede wszystkim na zabezpieczeniu chmury hybrydowej. Właśnie w tym kierunku będą ewoluować dzisiejsze środowiska wirtualne wykorzystywane przez firmy. W przyszłości mają się bowiem składać z lokalnej, prywatnej infrastruktury IT oraz chmury publicznej. Oba obszary potrzebują zabezpieczonych kanałów komunikacji (np. szyfrowania) oraz zunifikowanego zarządzania. Eksperci z Kaspersky Lab przewidują, że do 2020 r. wydatki na bezpieczeństwo chmury hybrydowej zwiększą się od 2,5 do 3 razy w porównaniu z prognozami na 2017 r.

Zabezpieczenia zaprojektowane pod kątem wirtualizacji

Nowoczesne centra danych zmieniają się gwałtownie pod wpływem wirtualizacji, chmury i nowych metod wdrażania aplikacji, jak kontenery. Wiele firm korzystających z wirtualizacji i chmury uważa, że zabezpieczenie tego rodzaju środowisk wymaga zupełnie nowych metod. Jednak w praktyce trudno zauważyć fundamentalne różnice. Wciąż potrzebne są rozwiązania ochronne, które wykorzystuje się w lokalnym środowisku. Powinny być jednak uzupełnione o nowe możliwości, związane z dostosowaniem do dynamicznego charakteru chmury obliczeniowej i koniecznością nadążania za zmianami zachodzącymi w infrastrukturze IT.

Wyzwaniem jest poszukiwanie balansu między wydajnością środowiska wirtualnego a jego bezpieczeństwem. Zastosowanie tradycyjnego rozwiązania ochronnego, wykorzystującego tzw. agenty, to zły wybór w przypadku infrastruktury wirtualnej. Używanie takich zabezpieczeń może pozbawić użytkownika większości zalet wirtualizacji w wyniku nadmiernego obciążenia zasobów i ruchu sieciowego. Dlatego najlepiej oferować klientom zabezpieczenia, w których wprowadzono istotną zmianę – działają one bezagentowo (lub z lekkim agentem) dzięki ścisłej integracji z platformami wirtualizacji. W rozwiązaniach bezagentowych funkcje bezpieczeństwa są w całości zaimplementowane na poziomie hypervisora. Z kolei lekki agent to oprogramowanie instalowane w maszynach wirtualnych, który realizuje część podstawowych funkcji typowego agenta. Zadania wymagające większej mocy obliczeniowej są zaś przekazywane do specjalnej maszyny wirtualnej.

Błędem jest przyjmowanie, że zabezpieczenia sprzętowe, które dobrze sprawdzają się w środowisku fizycznym, będą równie dobrze współpracować z maszynami wirtualnymi. Z drugiej strony warto jednak pamiętać, że producenci zabezpieczeń i systemów zarządzania wyposażają je w coraz nowsze funkcje i narzędzia, które są „świadome” wirtualizacji. Zdecydowanie warto więc stosować oprogramowanie emulujące zabezpieczenia fizyczne, które można zainstalować w specjalnie przygotowanych do tego celu maszynach wirtualnych.

Wirtualizacja i backup

Kopie zapasowe maszyn wirtualnych można tworzyć, używając produktów do backupu maszyn fizycznych. Wymagają one instalowania agentów w każdym chronionym serwerze. Jednak, podobnie jak w przypadku rozwiązań ochronnych, ubocznym efektem jest poważny narzut. To główny czynnik, który zdecydował, że na rynku pojawiły się narzędzia backupowe specjalnie do ochrony środowisk wirtualnych. Klienci stoją więc przed zasadniczą decyzją: wybrać rozwiązanie stworzone wyłącznie z myślą o wirtualizacji (i używać dwóch różnych systemów – drugiego do ochrony systemów fizycznych) czy raczej system, który potrafi chronić jednocześnie serwery fizyczne i wirtualne. Trudno wskazać, które podejście jest lepsze; często decydującym czynnikiem może po prostu okazać się cena.

Wirtualizacja daje pewne nowe możliwości w zakresie backupu. Ponieważ maszyna wirtualna to plik, można za jednym razem skopiować zarówno dane, jak i konfigurację danej maszyny. Wówczas podstawowy plik maszyny wirtualnej jest blokowany w celu wykonania jego tzw. kopii migawkowej (snapshot), zaś wprowadzane w tym czasie zmiany związane z aktywnością maszyny są rejestrowane i wprowadzane później do pliku.

Mechanizmy tworzenia kopii zapasowych są wbudowane w hypevisor, ale nie skalują się dobrze i w praktyce najczęściej stosuje się dodatkowe narzędzia, które umożliwiają wykorzystanie wszystkich zalet, jakie daje wirtualizacja w zakresie backupu. Przykładowo świetną funkcją jest przywracanie wybranych obiektów (np. pojedynczych plików) z pełnej kopii maszyny wirtualnej.

Problemy użytkowników, które można pomóc rozwiązać

Dużym wyzwaniem dla klientów okazuje się różnorodność ich środowisk IT – najczęściej jest to połączenie serwerów wirtualnych i fizycznych, które wymagają zabezpieczenia. Istotnym ułatwieniem w takiej sytuacji są rozwiązania, które umożliwiają zarządzanie bezpieczeństwem wszystkich serwerów, bez względu na miejsce, w którym się znajdują (serwery fizyczne, wirtualne, chmura publiczna).

Dynamiczna natura wirtualizacji z punktu widzenia bezpieczeństwa stanowi wyzwanie, jeśli chodzi o przypisywanie reguł do maszyn wirtualnych i ich przestrzeganie. Poza tym maszyny wirtualne mogą być modyfikowane sposobami, jakie w przypadku serwerów fizycznych zdarzają się niezwykle rzadko. Przykładowo można bardzo szybko dokonać zmiany interfejsów sieciowych czy grupowania portów, co może sprawić, że wprowadzony wcześniej podział sieci na strefy przestanie funkcjonować. W środowisku wirtualnym można uzyskać pożądany rodzaj izolacji czy podział na strefy, ale trudność sprawia przyporządkowanie wdrożonych reguł do maszyn wirtualnych. Należy zatem oferować rozwiązania, które ułatwią zarządzanie regułami sieciowymi i będą współpracować z hypervisorami, co da im wgląd w środowisko wirtualne. Myśląc długofalowo, warto wybierać zintegrowane rozwiązania, które lepiej „wiążą” reguły bezpieczeństwa z maszynami wirtualnymi.

Ważną kwestią jest też bezpieczeństwo maszyn wirtualnych, które są wyłączone. Są one bowiem narażone na zainfekowanie szkodliwym kodem, a poza tym zdarza się, że są pomijane przez skanery antywirusowe. W efekcie w momencie uruchamiania takich maszyn wewnątrz firmowego środowiska może dojść do aktywacji wirusa, który nie zostanie wykryty przez zabezpieczenia działające na brzegu sieci.

Warto wspomnieć, że wyjątkowo uciążliwą bolączką dla użytkowników infrastruktury wirtualnych desktopów (VDI) są ataki typu ransomware. Najczęściej słyszy się o przypadkach zaszyfrowania dysków w fizycznych stacjach roboczych, ale to samo może się stać również z wirtualnymi pulpitami. Co więcej, w tym drugim przypadku skutki ataku mogą być dużo poważniejsze. Maszyna wirtualna jest bowiem uruchamiana z centrum danych, co oznacza, że aktywacja złośliwego kodu może mieć wpływ na całą infrastrukturę i procesy biznesowe. Jeśli ransomware zaszyfruje wzorcowy obraz (tzw. golden image), z którego korzysta wiele wirtualnych desktopów, każdy z nich będzie zainfekowany. Dlatego zabezpieczanie VDI nie może ograniczać się do zainstalowania programów ochronnych w każdej maszynie wirtualnej. Dodatkowo potrzebne jest rozwiązanie zaprojektowane specjalnie pod kątem zwirtualizowanego środowiska.

Bezpieczeństwo sieci

Wirtualizacja sprawia, że w jednym serwerze fizycznym powstaje sieć wirtualnych połączeń. Pojawiły się już ataki ukierunkowane na wirtualne sieci, ponieważ często komunikacja niewychodząca poza serwer fizyczny nie jest kontrolowana. Administratorzy sieciowi powinni monitorować i zabezpieczać ruch w wirtualnych sieciach w sposób podobny do tego, jaki ma miejsce w przypadku sieci fizycznych.

Narzędzia do monitoringu umożliwiają wykrycie takich zagrożeń jak botnety czy inne rodzaje ataków. Dlatego konieczna jest instalacja systemu IDS czy innych zabezpieczeń. Według firmy badawczej Research and Markets wirtualizacja to główny czynnik napędzający wzrost sprzedaży właśnie w segmencie rozwiązań do ochrony sieci.

Rozwój zabezpieczeń

Najwyraźniejszym trendem technologicznym jest dążenie do maksymalnej integracji rozwiązań zabezpieczających różne środowiska, aby uzyskać w nie pełny wgląd i usprawnić zarządzanie. Widać też wzrost liczby ataków na środowiska wirtualne i hybrydowe, ponieważ są one coraz powszechniej wykorzystywane w przedsiębiorstwach. Obszar ten wymaga więc szczególnej uwagi pod kątem wykrywania nowych, zaawansowanych zagrożeń.

Ponadto same zabezpieczenia będą coraz częściej oferowane w postaci wirtualnej bądź chmurowej. Już kilka lat temu analitycy z IDC zauważyli, że firmy zaczynają preferować wdrażanie zabezpieczeń w postaci oprogramowania instalowanego w maszynach wirtualnych (tzw. virtual appliance) zamiast stosowania tradycyjnych rozwiązań sprzętowych i programowych. W tej formie można uruchomić zaporę sieciową, system IPS/IDS czy aplikację antyspamową. Z kolei rozwiązania typu vCPE (virtual Customer Premise Equipment) udostępniają klientom np. funkcje firewalli czy połączeń VPN za pomocą oprogramowania, a nie sprzętu. Technologie tego typu umożliwiają klientom zamawianie na żądanie nowych usług lub dostosowywanie już używanych rozwiązań.

Artykuł Wirtualizacja i chmura też potrzebują zabezpieczeń pochodzi z serwisu CRN.

Prostym i efektywnym rozwiązaniem do backupu oraz przywracania plików jest serwer QNAP NAS z linuksowym systemem operacyjnym QTS, bezpieczniejszym od bardziej narażonych na ataki systemów z rodziny Windows. Serwer został wyposażony w bezpłatny mechanizm migawek, które rejestrują metadane poza systemem plików i umożliwiają zachowywanie oraz przywracanie różnych wersji konkretnego pliku, folderu, a nawet całego woluminu. W razie ataku ransomware’u lub wystąpienia nieoczekiwanego zdarzenia w systemie można przywrócić wcześniejszy stan danych zarejestrowany w migawce.

Dzięki temu, że funkcja migawek w serwerach QNAP bazuje na blokach danych, możliwe jest tworzenie przyrostowych kopii zapasowych, co zapewnia oszczędność miejsca. Zapisywanie tylko wprowadzonych zmian skraca też do kilku minut czas tworzenia kopii zapasowych i przywracania danych. Zabezpieczone dane można także skopiować na inny serwer QNAP NAS, aby uzyskać dodatkowe zabezpieczenie. Użytkownicy systemu Windows dzięki migawkom mogą przywracać pliki bezpośrednio z Eksploratora Windows (przez kliknięcie prawym przyciskiem myszy), co eliminuje konieczność angażowania w ten proces administratorów IT.

Serwery QNAP NAS zapewniają tworzenie 1024 migawek. Mechanizm ten wprowadzono  w następujących urządzeniach: TS-X51 (maks. 256 migawek), TS-X53, TVS-X63, TVS-X70, TVS-X71, TVS-X73, TVS-X79, TVS-X80, TVS-X82, TES-X85 oraz TDS-X89. Korzystanie z tej funkcji wymaga co najmniej 4 GB pamięci RAM zainstalowanej w serwerze.

Migawki całego woluminu mogą być wykonywane automatycznie przed utworzeniem kopii zapasowej za pomocą funkcji RTRR lub rsync, nawet kiedy zawiera on otwarte pliki. Wbudowane w QTS narzędzia ułatwiają też tworzenie spójnych migawek z serwerów Microsoft VSS i VMware vSphere.

Artykuł powstał we współpracy z firmą QNAP.

Artykuł Backup na serwer QNAP ochroni dane przed ransomware pochodzi z serwisu CRN.

Oczywiście, najłatwiej dotrzeć do już poszkodowanych. Gdy dochodzi do strat spowodowanych cyberatakiem, to – jak pokazuje najnowszy Cisco Annual Cybersecurity Report – ogromna większość zaatakowanych firm decyduje się na modernizację procesów biznesowych i wdrożenie nowych rozwiązań ochronnych. Zwiększają też liczbę szkoleń z zakresu bezpieczeństwa dla pracowników i wdrażają narzędzia oraz techniki ograniczające ryzyko zagrożeń.

Z tego i wielu innych raportów wynika jednak, że na co dzień osoby odpowiedzialne za bezpieczeństwo w przedsiębiorstwach zmagają się z poważnymi barierami: ograniczonym budżetem, problemami z kompatybilnością systemów i brakiem odpowiednio wykwalifikowanej kadry. Istotnym problemem przedstawionym w raporcie Cisco jest też rosnący poziom złożoności systemów bezpieczeństwa. Aż 65 proc. ankietowanych firm przyznało, że wykorzystuje od 6 do ponad 50 różnych produktów ochronnych. Zwiększa to ryzyko pojawienia się luk w systemach zabezpieczeń i kłopotów z efektywnością owych systemów.

Znający potrzeby klientów integratorzy muszą orientować się w zmianach, jakie w ostatnim czasie zachodzą w podejściu do ochrony przed cyberprzestępcami. Wyposażeni w taką wiedzę mogą stworzyć ofertę skutecznego, czyli odpowiadającego dzisiejszym zagrożeniom, systemu ochrony firmowej sieci.

Składają się na to różne elementy, których zadaniem jest obrona przed atakami nowego typu. Oprócz głównej bariery, jaką jest wydajna zapora sieciowa nowej generacji (NGFW), przydatne będą także rozwiązania przeznaczone do ochrony konkretnych warstw i obszarów sieci.

– Chodzi na przykład o firewalle aplikacyjne (WAF) i systemy do ochrony przed atakami DDoS. Współczesne zabezpieczenia coraz częściej wykorzystują także rozwiązania typu sandbox, umożliwiające zneutralizowanie nowych, nierozpoznanych dotychczas próbek złośliwego kodu – tłumaczy Sebastian Krystyniecki, Principal System Engineer w Fortinet.

Nie punktowo, lecz systemowo i automatycznie

Wzrasta liczba zagrożeń i sposobów ataku, nośników danych i aplikacji, coraz większe są też zależności między poszczególnymi elementami systemu informatycznego. W rezultacie klienci, którzy decydują się na zakup różnych punktowo działających narzędzi, mających neutralizować konkretne ataki, za moment są zmuszeni do nabycia kolejnych rozwiązań, przeciwdziałających nowym zagrożeniom.

Dlatego – jak przekonuje Mariusz Baczyński, odpowiedzialny za sprzedaż rozwiązań Cisco w regionie Europy Wschodniej – właściwym kierunkiem jest odejście od rozwiązań punktowych i zbudowanie jednej kompleksowej architektury ochronnej. System zabezpieczeń powinien być prosty, otwarty i zautomatyzowany, aby chronić zasoby firmowe przed atakiem, w trakcie i po nim. Kluczowe staje się holistyczne podejście do bezpieczeństwa, które obejmuje ludzi, procesy, dane i technologie. Wszystkie te elementy powinny zostać uwzględnione w projektowaniu lub modernizowaniu firmowej infrastruktury IT. Takie podejście do zagadnień bezpieczeństwa umożliwia bowiem lepsze wykorzystanie dotychczas istniejących systemów ochronnych, zwiększenie ich efektywności i zmniejszenie złożoności. Priorytetem powinna być integracja i automatyzacja, które ułatwią współpracę między poszczególnymi elementami infrastruktury.

– Dla cyberprzestępców kalkulacja jest prosta: im więcej połączeń i danych, tym więcej możliwości czerpania zysków z działalności przestępczej. Reakcją na rosnącą wraz z rozwojem techniki skalę zagrożeń jest połączenie automatyzacji rozwiązań ochronnych i algorytmów uczenia maszynowego – twierdzi przedstawiciel Cisco.

Automatyzacja zapewnia szybsze reagowanie na zagrożenia i jest jedynym rozwiązaniem, które ma szansę sprostać rosnącej ilości danych związanej z rozwojem Internetu rzeczy. Jednak to za mało. Dopiero połączenie automatyzacji z rozwiązaniami wykorzystującymi uczenie maszynowe pozwala skutecznie neutralizować ataki oraz umożliwia systemowi bezpieczeństwa uczenie się wczesnego wykrywana zagrożeń. Przykładem są rozwiązania, które wykorzystują sieć jako sensor wykrywający podejrzane zachowania i uczą się na nie reagować. Niezwykle ważne jest również korzystanie z narzędzi analitycznych, aby móc wyciągać wnioski z incydentów i optymalizować system bezpieczeństwa w przyszłości.

Sebastian Zamora, Channel Account Executive w polskim oddziale Sophosu, zauważa, że bez automatyzacji – wobec coraz większej złożoności środowiska IT – działy bezpieczeństwa (jeśli w ogóle istnieją, bo w wielu przedsiębiorstwach nie ma takiej wydzielonej struktury) mogą nie poradzić sobie z zapewnieniem jego właściwej ochrony. Dlatego wszystko zmierza w kierunku samouczących się i automatycznie reagujących rozwiązań.

– Chodzi o to, by na przykład firewall korzystał z informacji dostępnej na punkcie końcowym. Żeby po wykryciu zagrożenia zadziałały procedury, które automatycznie zablokują i zneutralizują zagrożenie, a następnie przywrócą system do pierwotnego stanu. Niełatwo to osiągnąć, ale taka automatyzacja rodzi się właśnie na naszych oczach – zauważa szef kanału sprzedaży w Sophosie.

Z pomocą przychodzi sztuczna inteligencja

Wciąż jednym z największych problemów w walce z cyberzagrożeniami jest zbyt późne identyfikowanie ataków. Dlatego tak ważna staje się możliwość szybkiego wykrywania incydentów i reagowania na nie. To zadanie dla zoptymalizowanej do pracy w konkretnym środowisku platformy Security Information and Event Management, zapewniającej szeroki wgląd w system IT oraz funkcje monitorowania i analizy zdarzeń w czasie rzeczywistym.

Jednak dr inż. Mariusz Stawowski, odpowiedzialny za rozwój strategii biznesowej oraz zarządzanie działem technicznym Clico, zwraca uwagę, że tradycyjne narzędzia zarządzania bezpieczeństwem, w tym także SIEM, mogą nie wykrywać na czas incydentów i w praktyce są używane dopiero, gdy dojdzie do naruszenia bezpieczeństwa – wycieku danych lub zakłócenia procesów biznesowych. Dlatego na rynku pojawili się nowi gracze, którzy wykorzystują w swoich rozwiązaniach metody matematyczne.

– Nowa technika, o nazwie User Behavior Analytics, wykorzystuje modelowanie statystyczne i probabilistyczne, analizę behawioralną oraz uczenie maszynowe. Z punktu widzenia klientów UBA to inteligentny SIEM, do utrzymania którego nie trzeba zatrudniać wielkiego zespołu ekspertów. Złożone i czasochłonne prace wykonuje za niego analityka UBA – wyjaśnia Mariusz Stawowski.

Specjaliści są też przekonani, że możemy się spodziewać rozwoju metod uczenia maszynowego, które usprawniają proces wykrywania incydentów. Wśród niech jest deep learning, czyli zaawansowana forma sztucznej inteligencji, której zasada działania przypomina sposób, w jaki mózg człowieka uczy się rozpoznawać obiekty. Metoda ta może wywrzeć duży wpływ na cyberbezpieczeństwo, szczególnie jeśli chodzi o wykrywanie oprogramowania typu zero-day, nowych odmian malware’u oraz wyrafinowanych ataków APT.

Potrzebna wiedza o tym, co i jak chronić

Na etapie projektowania zabezpieczeń bardzo istotne jest zdefiniowanie metod pomiaru parametrów określających poziom bezpieczeństwa. Umożliwia to ocenę obecnego stanu zabezpieczeń firmy i ulepszanie stosowanych praktyk w przyszłości.

Dlatego wśród najważniejszych zmian w zakresie cyberbezpieczeństwa wyróżnia się wzrost zainteresowania klientów dotychczas niedocenianym aspektem IT, jakim jest audyt. Badanie podatności i szacowanie ryzyka związanego z posiadanymi rozwiązaniami, strukturą czy zasobami przedsiębiorstwa zapewnia lepsze poznanie ich słabych stron oraz w sposób planowy i efektywny kosztowo zabezpieczenie tych obszarów, które wymagają największej uwagi.

Obecnie trwają równoległe prace wielu międzynarodowych przedsiębiorstw nad modelami ilościowymi szacowania poziomu cyberbezpieczeństwa. Po przeprowadzeniu audytu uniwersalnymi metodami i narzędziami ma być możliwe poznanie poziomu podatności posiadanych zasobów na ataki i skali ryzyka – zarówno związanych bezpośrednio z IT (sprzętem, aplikacjami, sieciami), jak i z samym przedsiębiorstwem (jego strukturą, zasobami ludzkimi, stosowanymi procedurami, regulaminami itp.). Takie szacowanie ryzyka staje się dla klientów ważne również z powodu wzrastających kosztów zabezpieczeń.

Widoczne są także próby stworzenia przez dostawców uniwersalnej platformy ochronnej. Integrowałaby w sobie narzędzia do audytu i badania podatności systemowych (nie tylko sieciowych), moduły do zbierania logów systemowych, informacji o ruchu w sieci i przepływie danych na wszystkich urządzeniach, a zarazem wykrywała aktywnie wszelkie podejrzane incydenty oraz umożliwiała automatyczną integrację z różnorakimi narzędziami, często zewnętrznymi, które zasilałyby system informacjami i sygnaturami wykrytych wcześniej incydentów. Coraz więcej przedsiębiorstw poszukuje tego rodzaju systemu, który mógłby zastąpić punktowe rozwiązania do skanowania podatności, narzędzia do korelacji logów i zdarzeń (SIEM), IDS-y, IPS-y, rozwiązania do wykrywania APT i wiele innych produktów.

– Platform tego typu będzie się pojawiać coraz więcej, a producenci rozwiązań punktowych zaczną z czasem integrować w swoich produktach coraz więcej modułów, które łącznie będą chronić znacznie większy obszar sieci – ocenia Krzysztof Hałgas.

Bezpieczeństwo w przemyśle i IoT

Integratorzy powinni zwrócić uwagę na jeszcze jeden ważny, a do tej pory często pomijany obszar zabezpieczeń, wymagający dużych zmian. To ochrona przed atakami na infrastrukturę krytyczną kraju.

– Konsekwencje incydentów w tym obszarze mogą być bardzo poważne, jak chociażby wyłączenie dostaw energii, wody czy gazu, utrata ciągłości pracy fabryk, bądź katastrofa ekologiczna – przestrzega Mariusz Stawowski z Clico.

W większości przedsiębiorstw w Polsce systemy automatyki przemysłowej przez całe lata nie podlegały nadzorowi IT. W efekcie specjaliści od automatyki nie znają natury zagrożeń z obszaru IT, a informatycy mają niewielką wiedzę o świecie Operational Technology.

Główny problem polega na tym, że nie wiadomo, co trzeba chronić. Ponieważ za ten obszar przez wiele lat odpowiadały firmy zewnętrzne, specjalizujące się w automatyce przemysłowej, brakuje wiedzy i dokumentacji mówiącej o tym, jak systemy automatyki przemysłowej są połączone z Internetem i środowiskiem informatycznym. Dlatego wdrażanie na ślepo firewalli i innych zabezpieczeń technicznych nie prowadzi do zwiększenia poziomu bezpieczeństwa, lecz generuje niepotrzebne koszty. Mariusz Stawowski daje przykład ataku cybernetycznego na ukraińską sieć energetyczną w grudniu 2015 r., który doprowadził do pozbawienia prądu tysięcy ludzi.

– Firmy ukraińskie miały wdrożone firewalle i nie ochroniło ich to przed atakami. W przypadku infrastruktury krytycznej potrzebne jest podejście znane z ochrony kluczowych systemów IT, oparte na dokładnym rozpoznaniu ryzyka i odpowiednim zarządzaniu nim – wyjaśnia przedstawiciel dystrybutora.

Pierwszym etapem działań, mających na celu ulepszenie ochrony infrastruktury firm z branży energetycznej czy przemysłowej, powinno być zatem stworzenie dokumentacji, a następnie rozszerzenie polityki bezpieczeństwa IT przedsiębiorstwa o obszar OT i w ślad za tym wdrożenie adekwatnych rozwiązań.

Automatyka w przemyśle to tylko jeden z wielu aspektów rosnącego Internetu rzeczy. Wraz z jego rozwojem przed cyberprzestępcami otwierają się duże możliwości manipulowania ruchem danych płynących do i z milionów urządzeń końcowych oraz ataków z wykorzystaniem połączonych w IoT „rzeczy”. Może to prowadzić do kradzieży wrażliwych danych, zakłócania procesów biznesowych, szkód i awarii w podstawowej infrastrukturze oraz blokowania działania Internetu przez ataki DDoS o wielkiej skali. Przykładem jest atak na serwery firmy Dyn, wykorzystujący botnet Mira, przeprowadzony z użyciem urządzeń IoT – kamer IP, czujników i innego rodzaju sprzętu. Przez kilka godzin blokował dostęp do takich serwisów jak Netflix, Amazon i Twitter. Przed podobnymi incydentami tym trudniej się bronić, że urządzenia dołączane do Internetu rzeczy najczęściej nie są projektowane w sposób umożliwiający ich łatwą i szybką aktualizację.

Artykuł Ochrona coraz bardziej automatyczna pochodzi z serwisu CRN.

Niektóre z tych dysków są wodoodporne i potrafią zachować informacje, kiedy pozostają w zanurzeniu na głębokości do 1 m. Wybrane modele mają jeszcze inne zabezpieczenia. Część została wyposażona w mikroładunek wybuchowy chroniący dysk przed próbą wyjęcia z urządzenia. Inne w takim przypadku zaleją wnętrze pamięci żywicą. Na konferencji zaprezentowano też dyski SSD zaopatrzone w system Smart ECC.

W świetle nadchodzących zmian prawnych można powiedzieć, że produkty te są przeznaczone w zasadzie dla wszystkich przedsiębiorstw. Do 2018 r. ma bowiem zostać zakończone wdrażanie zaleceń dyrektywy GDPR, co oznacza, że firma, w której dojdzie do naruszenia bezpieczeństwa danych, zostanie ukarana grzywną w wysokości do 4 proc. swojego rocznego globalnego dochodu lub grzywną do 20 mln euro – w zależności od tego, która kwota będzie większa. Co gorsza, będzie musiała oficjalnie poinformować o tym fakcie krajowy organ nadzorczy.

Na wojnie z hakerami

Jeśli chodzi o walkę z zagrożeniami ze świata typowo wirtualnego, to FEN preferuje rozwiązania, które, używając nomenklatury wojskowej, mają spójny system dowodzenia, ale też umożliwiają zwalczanie różnego rodzaju ataków. Cechy takie ma produkt Sophosa, który chroni użytkowników przed ransomware’em, wirusami, a także utrudnia wyciek danych. Produkt zabezpiecza PC i różnego rodzaju urządzenia mobilne. Jak mówi producent, rozwiązanie to jest przeznaczone głównie dla klientów zatrudniających od kilkudziesięciu do kilku tysięcy osób. System Sophos jest dostępny w wersji chmurowej i on-premise – Sophos Cloud i Endpoint Protection, z tym że w Europie ciągle preferuje się tę drugą.

Z kolei w dziedzinie bezpieczeństwa elektrycznego Knsorcjum FEN poleca zasilacze z linii CyberPower zgodne z techniką GreenPower, które – jak zapewnia producent – zużywają mniej mocy niż urządzenia klasyczne. Jeśli natomiast chodzi o backup, to w ofercie dystrybutora znajduje się oprogramowanie gorzowskiej firmy Xopero Software, partnera strategicznego QNAP. Ten drugi producent specjalizuje się w wytwarzaniu urządzeń do składowania informacji dla różnego rodzaju klientów, od użytkowników indywidualnych aż po duże przedsiębiorstwa.

Artykuł Konsorcjum FEN: różne oblicza ochrony pochodzi z serwisu CRN.

Pomimo powszechnego stosowania hasła do komputera jako jedynego zabezpieczenia, niewielu managerów IT w Polsce uważa je za najskuteczniejszą metodę kontroli dostępu (stwierdziło tak 14 proc. pytanych). Biometria cieszy się największym zaufaniem (55 proc.), wyprzedzając karty dostępu (20 proc.) oraz kod PIN (2 proc.).

Badanie Intela zostało zrealizowane w dużych firmach (zatrudniających powyżej 150 pracowników) w Polsce, Czechach, Rumunii i na Węgrzech. Na pytania odpowiedziało 80 decydentów IT z polskich przedsiębiorstw różnych branż.

Wyniki dla pozostałych krajów regionu również wskazują na problem niedostatecznego zabezpieczenia dostępu do firmowych urządzeń i zasobów.

Artykuł Firmowe PC są słabo chronione pochodzi z serwisu CRN.

Zebrane pliki – w celu poznania ich zachowania i określenia rodzaju zagrożenia – są uruchamiane w bezpiecznym, izolowanym środowisku. Jeśli plik zostanie uznany za potencjalnie złośliwy, rozwiązanie Sandstorm przeprowadza dodatkową analizę, jednocześnie blokując możliwość uruchomienia danego pliku w środowisku produkcyjnym. Tworzy też rozbudowany raport, dzięki któremu administratorzy mogą przeprowadzić szczegółową analizę, np. źródeł występującego zagrożenia.

Jednym z podstawowych zadań realizowanych przez Sophos Sandstorm jest zaawansowana ochrona przed ukierunkowanymi atakami. Wykrywa w sieci nieznane złośliwe oprogramowanie wykradające dane i je blokuje. Wykorzystuje w tym celu własne rozwiązania w chmurze obliczeniowej. Dzięki temu skutecznie reaguje na ataki typu APT i zagrożenia zero-day. Wiedza o zagrożeniach i wykrytych anomaliach czerpana jest z monitoringu sieci oraz analizy zaobserwowanych incydentów w module sandbox. Na podstawie tych informacji wykonywane są odpowiednie czynności, ale także redukowane fałszywe alarmy.

Sophos Sandstorm jest w stanie blokować zagrożenia, których nie wykrywają inne rozwiązania (część ataków projektowanych jest specjalnie tak, aby omijały zabezpieczenia w urządzeniach sandbox pierwszej generacji). Zastosowanie przez Sophos emulacji pełnego systemu umożliwia szczegółowy podgląd zachowania nieznanego złośliwego oprogramowania i zapewnia wykrycie złośliwych ataków, nierozpoznawanych przez inne produkty. Sophos Sandstorm ocenia potencjalne zachowanie złośliwego kodu we wszystkich rodzajach urządzeń – w komputerach z systemami operacyjnymi Windows, Mac OS X oraz Android, serwerach fizycznych i wirtualnych, urządzeniach infrastruktury sieciowej, a także serwerach usług internetowych (web, e-mail, aplikacji).

Rozwiązanie Sophos Active Sandbox wstępnie precyzyjnie filtruje ruch, dzięki czemu tylko podejrzane pliki są przekazywane do modułu sandbox. W ich uruchamianiu występują więc minimalne opóźnienia, które mają znikomy wpływ na wydajność pracy użytkowników.

Oprogramowanie Sophos Sandstorm dostępne jest jako moduł, który w pełni integruje się z innymi, obecnymi już wcześniej w ofercie producenta rozwiązaniami ochronnymi. Zabezpieczenie przed ukierunkowanymi atakami zaczyna działać natychmiast po uaktualnieniu subskrypcji i implementacji Sandstorm.

Najważniejszym produktem zawierającym moduł Sophos Sandstorm jest urządzenie Sophos Web Appliance. Jako że 80 proc. zagrożeń pochodzi z Internetu, sprzęt ten zapewnia skuteczną, silną ochronę przed pochodzącymi z globalnej sieci zaawansowanymi atakami, zaprojektowanymi tak, aby omijały konwencjonalne rozwiązania ochronne.

Moduł Sophos Sandstorm jest oferowany zarówno nowym użytkownikom Sophos Web Appliance, jak i dotychczasowym klientom posiadającym aktywną subskrypcję (w formie uaktualnienia).

Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są: AB, Akbit i Konsorcjum FEN.

Dodatkowe informacje:

 

Sebastian Zamora,

Channel Account Executive, Sophos,

sebastian.zamora@sophos.com

Artykuł powstał we współpracy z firmą Sophos.

Artykuł Sandbox następnej generacji pochodzi z serwisu CRN.