Każde z trzech
wspomnianych zdarzeń łączy to, że przestępcy mieli uprzywilejowany dostęp do
systemów IT – taki z prawami administratora, przydzielany pracownikom
firmy, ale także zewnętrznym partnerom. Snowden był właśnie zewnętrznym
zleceniobiorcą zatrudnionym przez NSA. Również sprawca wycieku z Korea
Credit Bureau miał zapewniony dostęp do wewnętrznych systemów koreańskich
operatorów kart kredytowych, zaś w przypadku Anthem posłużono się danymi
logowania jednego z administratorów firmy. Jeśli tak potężne instytucje
nie potrafiły zadbać o kontrolę dostępu uprzywilejowanego, to znaczy, że
problem jest poważny. Potwierdzają to statystyki. Według „2015 Verizon Data
Breach Report” aż 55 proc. naruszeń bezpieczeństwa określanych jako wewnętrzne
jest związanych z wykorzystaniem kont uprzywilejowanych.

Wobec tego bez wątpienia warto zainteresować się rynkiem PAM
– rozwiązań, które mają chronić przed tego rodzaju zagrożeniem. Rynkiem,
który według szacunków analityków odnotowuje około 30-proc. wzrost rok do
roku.

Zaufanie ma swoje granice

Firmowe systemy IT są pod kontrolą administratorów, ale czy
ktoś ma kontrolę nad nimi? Mariusz Stawowski, dyrektor działu technicznego
w Clico, zwraca uwagę, że często informatycy w ramach wykonywania
swoich obowiązków zyskują ogromną władzę, co sprawia, że mogą stanowić realne
zagrożenie dla bezpieczeństwa przedsiębiorstwa.

– W firmach, w których nie
zostały zastosowane odpowiednie środki nadzoru, administratorzy baz danych mają
dostęp do najbardziej poufnych informacji, administratorzy poczty
elektronicznej mogą śledzić korespondencję innych pracowników, administratorzy
aplikacji mogą podszywać się pod jej użytkowników, a administratorzy
zabezpieczeń mogą je wyłączyć w celu umożliwienia naruszenia
bezpieczeństwa – wylicza ekspert z Clico.

Podobne zagrożenie
stanowią zewnętrzni serwisanci, którzy często mają zdalny dostęp do najbardziej
krytycznych systemów przedsiębiorstwa. Mariusz Stawowski przypomina, że atak,
który w ubiegłym roku sparaliżował system energetyczny Ukrainy, polegał na
wykorzystaniu zdalnego dostępu do stacji SCADA, a więc urządzeń
odpowiedzialnych za sterowanie systemem dystrybucji energii. Dlatego jego
zdaniem zastosowanie przez klientów specjalistycznych narzędzi PAM, służących
do kontroli i zarządzania dostępem użytkowników uprzywilejowanych, ma duże
uzasadnienie biznesowe.

Piotr Kawa, Network
Departament Manager Poland & CEE w Bakotechu, powołuje się na raporty
wiodących organizacji zajmujących się bezpieczeństwem, takie jak „Insider
Threat Report” oraz „CERT Insider Threat Center”. Na ich podstawie twierdzi, że
dużo trudniej wykrywa się i zapobiega zagrożeniom wewnętrznym (generowanym
w dużej mierze przez użytkowników uprzywilejowanych) niż tym pochodzącym
z zewnątrz. Chcąc im przeciwdziałać, klienci muszą odpowiedzieć sobie na
pytania: jacy uprzywilejowani użytkownicy mają dostęp do krytycznych zasobów,
jak z nich korzystają i czy nie dochodzi do wykroczeń bądź naruszeń
polityk bezpieczeństwa.

Privileged Access Management – made in Poland

 

Polska nie jest białą plamą na mapie producentów PAM.
Z tego powodu światowi dostawcy tego rodzaju rozwiązań mają z jednej
strony łatwiej, bo często nie muszą polskim klientom od początku tłumaczyć,
czym są takie narzędzia. A z drugiej strony wchodzą w obszar, na
którym od kilku lat prężnie działa lokalny producent i zdążył już odnieść
spory sukces. Mowa o firmie Wheel Systems, sprzedającej swoje rozwiązania
informatyczne największym klientom na polskim rynku – z sektora
finansowego, energetycznego, telekomunikacyjnego, przemysłu, branży
internetowej i wielu innych.

Działający za pośrednictwem partnerów polski producent
stworzył najpierw CERB AS – wieloskładnikowy system uwierzytelnienia,
który umożliwia scentralizowane zarządzanie użytkownikami oraz kontrolę dostępu
do zasobów z wykorzystaniem różnych metod uwierzytelnienia. Zdobył uznanie
głównie w sektorze finansowym. A ponieważ klienci zgłaszali Wheel
Systems potrzebę posiadania rozwiązania do nagrywania sesji i zarządzania
hasłami, powstał system FUDO. To obecnie sztandarowy produkt warszawskiej
firmy, służący do stałego monitoringu, kontroli i rejestracji zdalnych
sesji dostępu do systemów informatycznych.

Przedstawiciel Bakotechu
zauważa, że choć wiele organizacji korzysta z systemów zbierania logów, to
nie są one zbyt użyteczne, z uwagi na zbyt wiele danych do interpretacji.
Poza tym są one również zasobochłonne.

– Kluczem jest monitorowanie
i analizowanie działań użytkowników uprzywilejowanych w czasie
rzeczywistym – przekonuje Piotr Kawa.

Zdaniem Pawła Rybczyka,
business developera CEE&Russia w firmie Wallix, w ostatnim czasie
na rozwiązania PAM patrzy się bardziej w kontekście monitoringu dostępu i
rejestracji dostępu zdalanego. Choć elementem tego typu systemów jest funkcja
zarządzania kontami uprzywilejowanymi i hasłami, to moduł ten może zabierać
bardzo dużo czasu przy implementacji polityki bezpieczeństwa.

Trzy pytania do…

 

Pawła Rybczyka, business developera
CEE&Russia w firmie Wallix

CRN
PAM to nisza na rynku bezpieczeństwa?

Paweł
Rybczyk Staram się unikać
nazywania PAM niszowym rozwiązaniem. Jeśli już tak je traktujemy, to tylko
z zastrzeżeniem, że jest to stan przejściowy. Staram się tłumaczyć
partnerom, że choć klient jest najczęściej wyposażony w firewalle
i inne zabezpieczenia, to potrzebuje jeszcze czegoś, co będzie zachowywać
się jak system kamer w budynku – monitorować i rejestrować wszystkie
działania administracyjne. Takie elementy PAM, jak nagrywanie sesji i
zarządzanie hasłami, staną się niedługo podstawowym elementem polityki
bezpieczeństwa dowolnej wielkości firmy.

 

CRN
Na czym to dokładnie polega?

Paweł
Rybczyk Bardzo ważną funkcjonalnością PAM jest wspomniane nagrywanie
sesji. Nie jest ono tym, co robi firewall, który może jedynie „odnotować” fakt
zainicjowania połączenia i jego zakończenia (np. przez jednego
z zewnętrznych kontraktorów IT). PAM dostarczy pełne nagranie sesji
– informacje, co działo się na docelowym serwerze, routerze, sterowniku
itp. – między zalogowaniem a wylogowaniem. Również to, co zostało
wpisane z klawiatury, jakie procesy zostały uruchomione itp.
W efekcie powstaje zapis wszystkiego, co zrobił konkretny człowiek, ktory
dysponuje uprzywilejowanym dostępem do infrastruktury firmowej.

 

CRN Czy
łatwo jest przekonać klienta do zakupu PAM?

Paweł
Rybczyk Choć w przypadku rozwiązań ochronnych czasem nie jest prosto
przedstawić ROI, czyli zwrot z inwestycji, to z PAM sprawa może być znacznie
prostsza. W rozmowach z klientami wciąż napotykam na potrzebę kontrolowania
wynajętych firm outsourcingowych, co do których nie ma pewności, że uczciwie
wykonują i wyceniają swoją pracę. PAM pokaże dokładnie, co, kiedy i jak
zrobili, a to będzie miało swoje przełożenie na wystawiane przez zewnętrzne
firmy faktury i potencjalne, bardzo wymierne oszczędności. Niektórzy klienci
mówią mi wprost, że w ten sposób zakup rozwiązania PAM zwróci się u nich bardzo
szybko.

– Nagrywanie sesji jest dużo
łatwiejsze i możliwe do zastosowania od razu, bez potrzeby dodatkowej
edukacji firm zewnętrznych czy użytkowników lokalnych – uważa
przedstawiciel Wallixa.

Gdy przyjrzeć się bliżej ofercie PAM, widać znaczne różnice
w tym, co oferują poszczególne produkty. Z jednej strony można
znaleźć kompleksowe rozwiązania zapewniające wiele funkcji zarządzania
uprzywilejowanym dostępem, z drugiej – rozwiązania punktowe, których
zadaniem jest wypełnienie konkretnej luki w firmowym systemie
zabezpieczeń. Duża jest także rozpiętość cenowa produktów różnych dostawców.
Opisując branżę Privileged Access Management, Gartner zestawia kilkadziesiąt
firm z większymi i mniejszymi udziałami w światowym rynku.
W Polsce działa obecnie kilku producentów PAM: Balabit, CyberArk, Dell
Software, Imperva, ObserveIT, Wallix i Wheel Systems.

Kto potrzebuje ochrony PAM?

Zdaniem Gábora Marosvári,
product marketing managera w firmie Balabit, rozwiązania do zarządzania
uprzywilejowanym dostępem, a w szczególności do monitorowania
uprzywilejowanej aktywności użytkowników, w pierwszym rzędzie są
wykorzystywane przez duże przedsiębiorstwa, zobowiązane przepisami prawa do
przestrzegania restrykcyjnych regulacji i wymogów polityki bezpieczeństwa
IT oraz zasad compliance (np. PCI DSS, ISO 27?001 czy lokalnych rozporządzeń prawnych). Poza tym
zainteresować się nimi muszą te firmy i instytucje, które korzystają
z zewnętrznych dostawców usług IT, w tym usług w chmurze.
A także te utrzymujące skomplikowaną sieć IT, do której dostęp ma kilku
różnych administratorów. I wreszcie organizacje, które mogą być celem
zaawansowanych cyberataków ze względu na charakter swojej działalności.

Z kolei, gdy przyjrzeć się poszczególnym branżom, to widać,
że takich, które teoretycznie powinny być zainteresowane zakupem PAM-u, jest
coraz więcej. Oczywiście przoduje sektor finansowy, bo wydana przez KNF dla
banków Rekomendacja D mówi wprost, że „obowiązujące w banku zasady
zarządzania uprawnieniami powinny w szczególności uwzględniać zagrożenia
związane z nieprawidłowym wykorzystaniem uprawnień użytkowników uprzywilejowanych”.
PAM staje się niezbędny także dla firm z tak strategicznych sektorów jak
produkcja i dostawy energii czy gazu. Do grona potencjalnych klientów
należą operatorzy telekomunikacyjni, dostawcy usług IT w chmurze,
instytucje rządowe oraz zarządzający obiektami użyteczności publicznej. Ze
względu na ochronę danych osobowych zarządzaniem dostępem uprzywilejowanym
interesuje się branża medyczna. Systemy PAM są poza tym coraz bardziej
potrzebne przedsiębiorstwom, które wykorzystują outsourcing i chcą chronić
się przed wrogimi działaniami konkurencji. Przede wszystkim chodzi o duże
firmy, ale także mniejsze, choć w wypadku tych drugich barierą może być
cena. Niektóre z nich ratują się w ten sposób, że nagrywają sesje
przy użyciu darmowej aplikacji Team Viewer.

– Gdy ktoś się
łączy za pomocą tego oprogramowania, uruchamia funkcję „nagraj”, a czasem na
żywo śledzi na monitorze połączenie i w razie zagrożenia rozłącza sesję. Nie
jest to jednak w żadnym razie optymalne i bezpieczne podejście – mówi Paweł Rybczyk.

Lepszym sposobem na
obejście bariery cenowej może być „PAM as a Service”. Przedstawiciel
Wallixa daje przykład prowadzonego obecnie projektu, który ma działać
w modelu usługowym – kilku partnerów chce oferować rozwiązanie tej
marki klientom dysponującym tylko dwoma, trzema serwerami, przekierowując ruch
do swoich zasobów i nagrywając u siebie sesje. W tym modelu PAM
jest sprzedawany głównie w w centrach danych – oprócz hostingu klient
otrzymuje dodatkową usługę, dzięki której na specjalnym panelu może uzyskać
dostęp do kompleksowej informacji na temat każdej sesji zdalnej.

Nowość szansą dla partnerów

Gábor Marosvári
z Balabitu wymienia korzyści, jakich mogą spodziewać się partnerzy
sprzedający rozwiązania PAM. Po pierwsze mają oni okazję wdrażać nową
technologię oferowaną przez zaledwie kilka firm na rynku. A rynek ten ma
duży potencjał, generując roczny wzrost przychodów szacowany przez analityków
na ponad 30 proc. W tej sytuacji mogą oni liczyć na rozsądną marżę na
sprzedaży oprogramowania, a dodatkowy przychód da im implementacja usług,
które obejmują także serwisowanie. Powinni też pamiętać, że pracę
nad projektami ułatwi im możliwość skorzystania z bezpośredniego
technicznego i sprzedażowego wsparcia od dostawcy.

Rozwiązania PAM to nowy
typ produktu w obszarze security, więc dla integratorów wciąż świeży temat
do rozmów z klientami, zarówno obecnymi, jak i nowymi. Handlowiec
może dość łatwo przedstawić potencjalnemu użytkownikowi (w tym osobom
mniej technicznym) zasadę jego działania i korzyści z zastosowania.
Pomocą w sprzedaży będą na pewno pojawiające się kolejne przepisy, które
wymuszają lub rekomendują zarządzanie dostępem użytkownika uprzywilejowanego.
Mowa np. o certyfikatach ISO/COBIL, audytach wewnętrznych (sektor
publiczny) lub zbliżającym się wejściu w życie unijnej dyrektywy General
Data Protection Regulation (GDPR).

Artykuł PAM, czyli przywileje pod specjalnym nadzorem pochodzi z serwisu CRN.

Rolf
van Gent Airbus Defence and Space, jako jeden z podmiotów
należących do Airbus Group, dokonał dwóch przejęć w obszarze
bezpieczeństwa IT: dwa lata temu kupił firmę Netasq, a rok temu producenta
oprogramowania ochronnego – firmę Arkoon Network Security. Stormshield to
nazwa najnowszej linii urządzeń i równocześnie nowa marka urządzeń
firewall/UTM firmy Netasq. Na razie nazwa Stormshield widnieje na produktach,
które bazują na dotychczasowych doświadczeniach obu przejętych firm
– nasze urządzenia są obecnie przedstawiane jako Netasq Stormshield.
Natomiast w przyszłości marki Netasq i Arkoon będą stopniowo
wycofywane na rzecz Stormshielda i potrwa to zapewne kilkanaście miesięcy.

Paweł
Jurek Korzystanie przez pewien okres przejściowy z połączonego
logotypu Netasq Stormshield ma ułatwić klientom odnalezienie znanych im produktów
pod nową nazwą. Sama firma Airbus Defence and Space oraz wchodzący w jej
skład bardzo silny dział Cybersecurity są w Polsce mało znane, bo cały
koncern kojarzy się głównie z lotnictwem. Dla nas plany Airbusa, aby
zbudować pozycję europejskiego lidera w dziedzinie bezpieczeństwa IT,
bazując na firmie Netasq, to dobra wiadomość.

CRN Jakie konkretnie korzyści
Airbus, jako właściciel Netasq i Arkoon,
zapewnia obu tym firmom?

Rolf
van Gent Klienci na całym świecie zauważają, że mamy za sobą bardzo
duży i poważny koncern. To daje poczucie stabilności i wpływa na
pozytywne postrzeganie. Poza tym Airbus dużo inwestuje w połączone firmy.
Właśnie jesteśmy w trakcie rekrutacji nowych osób do działów
R&D. Dzięki nim chcemy nasze produkty wyposażyć w dodatkowe funkcje,
zwiększyć poziom bezpieczeństwa itd. Cała ta sytuacja pozytywnie wpłynęła na
wyniki sprzedaży za ostatnie miesiące. Co ciekawe, efekt synergii spowodował
też, że w 2014 r. zdobyliśmy wielu klientów, którzy już wcześniej
byli klientami Airbusa. Natomiast operacyjnie nadal pozostajemy samodzielnym
podmiotem.

CRN Czy po tych
przejęciach nastąpiły jakieś zmiany w strategii produktowej?

Rolf
van Gent Arkoon wniósł do portfolio wiele innowacyjnych technologii,
na bazie których powstało m.in. rozwiązanie Stormshield Endpoint Solution.
Wcześniej Netasq był znany głównie z UTM-ów i firewalli. Dzięki
połączeniu firm mamy teraz trzy linie produktowe z rozwiązaniami, które
umożliwiają ochronę sieci, danych i urządzeń końcowych.

CRN A czy zmieniło się
cokolwiek w strategii sprzedażowej, przede wszystkim dotyczącej współpracy
z kanałem partnerskim?

Rolf van Gent Dla
klientów i partnerów z Polski nic się nie zmienia. Dagma pozostaje
naszym jedynym dystrybutorem i będzie nadal odpowiadać za realizację
programu partnerskiego. Natomiast wprowadziliśmy pewne zmiany w procesach
handlowych we Francji, ponieważ Arkoon częściowo prowadził tam sprzedaż
bezpośrednią, a my – jako nowa firma – docieramy do klientów
wyłącznie poprzez kanał dystrybucyjny, tak jak dotychczas robił to Netasq.

CRN Czy dla partnerów
i klientów ewentualną przeszkodą może być francuskie pochodzenie obu firm?
W dziedzinie bezpieczeństwa prym wiodą raczej podmioty amerykańskie,
izraelskie, niemieckie czy rosyjskie…

Rolf
van Gent Netasq i Arkoon były francuskimi firmami, ale już
Airbus przedstawia się jako podmiot europejski, z działami R&D
i fabrykami w Wielkiej Brytanii, Francji i Niemczech. I tak
samo chcemy budować pozycję marki Stormshield. Jest to bardzo ważne dla naszych
klientów, bo po wielu wydarzeniach ostatnich lat zdecydowanie bardziej
preferują oni firmy rdzennie europejskie, a nie z USA czy Izraela.

Paweł Jurek Potwierdzam,
polscy klienci uważnie obserwują zmiany na scenie politycznej, jak też ważne
wydarzenia społeczne i również przez ich pryzmat podejmują decyzje
zakupowe. Takie wydarzenia jak sprawa Edwarda Snowdena czy rosyjska agresja na
Ukrainie mogą mieć wpływ na to, że klienci częściej wybierać będą rozwiązania
europejskie. Podobny proces zauważamy też na pokrewnych rynkach, np.
oprogramowania antywirusowego.

CRN Czy europejskie
pochodzenie może wam dawać przewagę, np. w przetargach publicznych?

Rolf
van Gent Częściowo daje, chociaż chciałbym, aby wpływ europejskich
korzeni był znacznie większy. Tak jest np. w USA, gdzie zdecydowanie
bardziej preferowane są amerykańskie rozwiązania. Nie mam pojęcia, czemu
w Europie tak nie jest, bo w kontekście bezpieczeństwa ma to ogromne
znaczenie. W końcu chronimy nasze własne dane.

CRN Resellerzy,
szczególnie ci mniej doświadczeni, często wskazują na problemy z wybraniem
właściwego dostawcy zaawansowanych rozwiązań. Ogólnodostępne materiały
marketingowe są podobne, bo zawierają opisy takich samych funkcji, co utrudnia
efektywne porównanie oferty różnych marek. Na jakie obszary wasi partnerzy
powinni zwracać uwagę i czym rozwiązania Stormshield różnią się od innych?

Rolf
van Gent Oczywiście konieczna jest przynajmniej szczątkowa znajomość
aspektów technicznych związanych z danym produktem, aby możliwe było
zaprezentowanie klientowi płynących z niego korzyści i późniejsze
wdrożenie określonego rozwiązania. Znający je reseller może wówczas porównać
nie tylko ulotkę, ale również skupić się na mechanizmach działania
poszczególnych funkcji. Jednocześnie bardzo istotne jest poważne traktowanie
przez producenta zarówno partnerów, jak i klientów. Rozumiem przez to także
pełne zaangażowanie dystrybutora w kreowanie lokalnego rynku oraz
dostosowanie produktów do sprzedaży.

Paweł
Jurek Ulotki są faktycznie do siebie coraz bardziej podobne, dlatego
zachęcamy, aby oprócz samego produktu reseller brał również pod uwagę wsparcie
sprzedaży zapewniane przez dystrybutora. Żaden inny producent UTM-ów nie
wykazał się tak dużym zaangażowaniem w polski rynek jak Netasq wspierany
przez Dagmę. Dzięki temu mamy zlokalizowany interfejs użytkownika oraz
zapewnione eksperckie wsparcie przed- i posprzedażowe. Zapewniamy też
skuteczną ochronę projektów i marży partnera. Prowadzimy szkolenia, które
dostarczają wiedzę potrzebną na każdym etapie procesu sprzedaży
i wdrożenia. Dla marki Stormshield mamy autoryzowane centrum treningowe
Netasq w Katowicach, ale organizujemy też szkolenia w Gdańsku,
Poznaniu i Warszawie. Inżynierowie, oprócz tego, że prowadzą szkolenia,
świadczą także zaawansowane usługi wsparcia. Dlatego nie odsyłamy do Netasq
pytań, które wysyłają do nas partnerzy i klienci, ale sami staramy się
rozwiązać jak najwięcej problemów.

CRN Na jakie wyzwania
w obszarze bezpieczeństwa resellerzy i klienci powinni przygotować
się w 2015 roku?

Rolf van Gent Niestety, cały czas mamy do
czynienia z coraz szybszym wzrostem liczby rodzajów zagrożeń. Rośnie także
liczba fizycznych i wirtualnych obiektów, które mogą zostać zaatakowane,
oraz poziom skomplikowania ataków, a one same stają się coraz bardziej
„inteligentne”. Dlatego coraz większym wyzwaniem jest skuteczna ochrona
własności intelektualnej przez firmy. W dostępnych na rynku systemach
zabezpieczających zaimplementowanych zostało już wiele ciekawych technologii,
które mogą pomóc nam także w przyszłości, jednak skorzystanie z nich
wymaga dużych umiejętności i wyobraźni.

Paweł Jurek Same ataki coraz częściej są
ukierunkowane, więc nie ma sensu bazowanie na predefiniowanych sposobach
działania przeciwko konkretnym zagrożeniom, bo te za każdym razem są inne.
Jeżeli firma nie ma zaawansowanej ochrony IPS, coraz trudniej będzie jej się
obronić.

CRN A czy rozkład sił
w wojnie przeciwko przestępcom jest wyrównany czy też któraś z grup
wygrywa?

Rolf van
Gent Nie sądzę, żebyśmy mieli do
czynienia z wyrównaną walką. Dane, dzięki którym firmy są w stanie
zaspokajać potrzeby swoich klientów, są ciągle zagrożone. Niestety, „ciemna
strona mocy” dziś wygrywa, zyskując przy tym ogromne pieniądze. Dodatkowo ilość
wartościowych danych rośnie w związku z takimi trendami jak Big Data.
Poza tym na świecie wciąż występują problemy z zatrudnieniem ekspertów ds.
bezpieczeństwa. Analitycy szacują, że mogą one potrwać nawet przez kolejnych
10–20 lat…

Artykuł Airbus ląduje na rynku IT pochodzi z serwisu CRN.