Artykuł Zsynchronizowana ochrona sieci i urządzeń końcowych pochodzi z serwisu CRN.
]]>Przyczyną takiego stanu rzeczy jest głównie bardzo duży stopień skomplikowania – zarówno systemów ochronnych, którymi trzeba zarządzać (oraz zapewnić efektywną wymianę informacji między nimi), jak i samych ataków, przed którymi przedsiębiorstwo próbuje się obronić.
Jeden za wszystkich
W firmach z reguły funkcjonuje kilka lub kilkanaście rozwiązań, których zadaniem jest zapewnienie bezpieczeństwa danych i ochrona przed atakami. Systemy zabezpieczające w firmach wprowadzane są w różnych okolicznościach, głównie w reakcji na nowe rodzaje zagrożeń i – najczęściej – bez skrupulatnej weryfikacji ich zgodności z już wykorzystywanymi rozwiązaniami. Ale kwestie związane z ich techniczną konfiguracją oraz koniecznością indywidualnego zarządzania to tylko jeden z możliwych problemów. Wyzwanie stanowi również zapanowanie nad procesem aktualizowania tych rozwiązań, zarządzanie licencjami itd.
Stosowanie wielu różnych produktów ochronnych nie jest także korzystne od strony biznesowej. Dzięki współpracy z tylko jednym dostawcą klient zyskuje znacznie lepszą pozycję negocjacyjną. Ale taki model może dać również oszczędności związane z funkcjonowaniem działu IT przedsiębiorstwa, bowiem zmniejsza wydatki na szkolenie administratorów. Znacznie spada też liczba incydentów, na które muszą oni reagować, więc ich praca staje się bardziej efektywna. Korzystanie z tylko jednego, uniwersalnego produktu eliminuje potrzebę instalacji i konfiguracji wielu różnych urządzeń i oprogramowania oraz codziennej dbałości, aby bez problemu współpracowały ze sobą.
Sophos stworzył platformę wymiany informacji dotyczących bezpieczeństwa przesyłanych pomiędzy różnymi urządzeniami w sieci – Sophos Security Heartbeat. Aby powstało środowisko wykorzystujące tę metodę ochrony, na komputerach musi być uruchomione oprogramowanie Sophos Cloud Endpoint Protection Advanced lub Sophos Cloud Enduser Protection. Rolę centralnego firewalla pełni system operacyjny Sophos Firewall OS, który może funkcjonować w kilku instancjach, m.in. w urządzeniu Sophos XG Firewall, jako programowy firewall lub w wirtualnej maszynie.
Dzięki Sophos Security Heartbeat wszystkie podłączone do sieci urządzenia komunikują się i wymieniają informacje o podejrzanym zachowaniu oprogramowania lub użytkowników próbujących dostać się do firmowych zasobów przez Internet. Centralny firewall jest w stanie odciąć podejrzane urządzenie końcowe od pozostałych i wymusić podjęcie działań, dzięki którym zweryfikowany zostanie na nim poziom ochrony. Po upewnieniu się, że dane urządzenie nie stanowi już zagrożenia, blokadę się zdejmuje.
Dodatkowe informacje dotyczące Sophos Security Heartbeat zamieszczono na stronie www.sophos.com/en-us/lp/security-heartbeat.aspx. Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są: AB, Akbit i Konsorcjum FEN.
Dodatkowe informacje:
Sebastian Zamora, Channel Account Executive,
Sophos, sebastian.zamora@sophos.com
Artykuł powstał we współpracy z firmą Sophos.
Artykuł Zsynchronizowana ochrona sieci i urządzeń końcowych pochodzi z serwisu CRN.
]]>Artykuł Sandbox następnej generacji pochodzi z serwisu CRN.
]]>Zebrane pliki – w celu poznania ich zachowania i określenia rodzaju zagrożenia – są uruchamiane w bezpiecznym, izolowanym środowisku. Jeśli plik zostanie uznany za potencjalnie złośliwy, rozwiązanie Sandstorm przeprowadza dodatkową analizę, jednocześnie blokując możliwość uruchomienia danego pliku w środowisku produkcyjnym. Tworzy też rozbudowany raport, dzięki któremu administratorzy mogą przeprowadzić szczegółową analizę, np. źródeł występującego zagrożenia.
Jednym z podstawowych zadań realizowanych przez Sophos Sandstorm jest zaawansowana ochrona przed ukierunkowanymi atakami. Wykrywa w sieci nieznane złośliwe oprogramowanie wykradające dane i je blokuje. Wykorzystuje w tym celu własne rozwiązania w chmurze obliczeniowej. Dzięki temu skutecznie reaguje na ataki typu APT i zagrożenia zero-day. Wiedza o zagrożeniach i wykrytych anomaliach czerpana jest z monitoringu sieci oraz analizy zaobserwowanych incydentów w module sandbox. Na podstawie tych informacji wykonywane są odpowiednie czynności, ale także redukowane fałszywe alarmy.
Sophos Sandstorm jest w stanie blokować zagrożenia, których nie wykrywają inne rozwiązania (część ataków projektowanych jest specjalnie tak, aby omijały zabezpieczenia w urządzeniach sandbox pierwszej generacji). Zastosowanie przez Sophos emulacji pełnego systemu umożliwia szczegółowy podgląd zachowania nieznanego złośliwego oprogramowania i zapewnia wykrycie złośliwych ataków, nierozpoznawanych przez inne produkty. Sophos Sandstorm ocenia potencjalne zachowanie złośliwego kodu we wszystkich rodzajach urządzeń – w komputerach z systemami operacyjnymi Windows, Mac OS X oraz Android, serwerach fizycznych i wirtualnych, urządzeniach infrastruktury sieciowej, a także serwerach usług internetowych (web, e-mail, aplikacji).
Rozwiązanie Sophos Active Sandbox wstępnie precyzyjnie filtruje ruch, dzięki czemu tylko podejrzane pliki są przekazywane do modułu sandbox. W ich uruchamianiu występują więc minimalne opóźnienia, które mają znikomy wpływ na wydajność pracy użytkowników.
Oprogramowanie Sophos Sandstorm dostępne jest jako moduł, który w pełni integruje się z innymi, obecnymi już wcześniej w ofercie producenta rozwiązaniami ochronnymi. Zabezpieczenie przed ukierunkowanymi atakami zaczyna działać natychmiast po uaktualnieniu subskrypcji i implementacji Sandstorm.
Najważniejszym produktem zawierającym moduł Sophos Sandstorm jest urządzenie Sophos Web Appliance. Jako że 80 proc. zagrożeń pochodzi z Internetu, sprzęt ten zapewnia skuteczną, silną ochronę przed pochodzącymi z globalnej sieci zaawansowanymi atakami, zaprojektowanymi tak, aby omijały konwencjonalne rozwiązania ochronne.
Moduł Sophos Sandstorm jest oferowany zarówno nowym użytkownikom Sophos Web Appliance, jak i dotychczasowym klientom posiadającym aktywną subskrypcję (w formie uaktualnienia).
Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są: AB, Akbit i Konsorcjum FEN.
Dodatkowe informacje:
Sebastian Zamora,
Channel Account Executive, Sophos,
Artykuł powstał we współpracy z firmą Sophos.
Artykuł Sandbox następnej generacji pochodzi z serwisu CRN.
]]>Artykuł Check Point zapewnia ochronę wirtualnych środowisk pochodzi z serwisu CRN.
]]>W wielu firmach zarządzanie regułami polityki bezpieczeństwa nadal odbywa się ręcznie. Działania związane z ochroną infrastruktury zajmują zbyt wiele czasu działom IT, przez co znacząco wpływają na opóźnienia w dostarczaniu biznesowi nowych aplikacji lub usług. W związku z tym istotne staje się zautomatyzowanie procesów oraz zmniejszenie prawdopodobieństwa popełnienia poważnych błędów.
Mikrosegmentacja ułatwia zarządzanie
Przez długi czas zaawansowana ochrona wewnątrz centrum danych wiązała się z ręcznym zarządzaniem dużą liczbą sieci VLAN, utrzymaniem skomplikowanej topologii i konfiguracji sieci. Metoda ta generowała duże koszty i komplikowała procesy zarządzania firmową infrastrukturą.
We współczesnych zwirtualizowanych środowiskach, w których do zarządzania ochroną wykorzystywane jest oprogramowanie, rolę strażnika na brzegu sieci może pełnić nadal rozwiązanie bramowe, chroniące w klasyczny sposób zasoby centrum przetwarzania danych. Pojawia się problem sfery wewnętrznej i ochrony maszyn wirtualnych znajdujących się w tym samym segmencie sieci. Nie można dopuścić do sytuacji, w której działy bezpieczeństwa były powiadomione o zaatakowaniu fragmentu sieci dopiero po fakcie.
Aleksander Łapiński
Security Engineer, Check Point
Przedsiębiorstwa podczas tworzenia polityki bezpieczeństwa bardzo często skupiają się na wzmacnianiu ochrony brzegowej, kładąc mniejszy nacisk na bezpośrednie zabezpieczanie danych. To zwiększa ryzyko, że w sytuacji gdy atakujący naruszy ochronę zewnętrzną centrum przetwarzania danych będzie mógł – praktycznie bez wywoływania zbyt wielu alarmów – w miarę swobodnie poruszać się między aplikacjami lub zakłócać ich działanie.
Odpowiedzią na to wyzwanie jest mikrosegmentacja. Umożliwia zgrupowanie zasobów, do których dobierane są odpowiednie reguły polityki bezpieczeństwa. Dzięki temu ruch jest kierowany do niezależnych od hypervisora zwirtualizowanych bram, znajdujących się w tym samym segmencie sieci, które dokonują inspekcji w celu zatrzymania ataku wewnątrz chronionej infrastruktury. Zatem jeżeli maszyna wirtualna lub serwer są elementem lub źródłem ataku, mogą zostać oznaczone jako niebezpieczne, przeniesione do kwarantanny przez „strażnika” w centrum danych, co powoduje ograniczenie zasięgu ataku do jednego segmentu, bez narażania innych elementów na niebezpieczeństwo. Informacja o zdarzeniu zostanie przekazana do centralnego serwera.
Bezpieczeństwo w wirtualnym środowisku
Firmy mogą zbudować platformę ochronną bazującą na rozwiązaniach Check Point. Zapewniają one analizę ruchu (wychodzącego i przychodzącego) między maszynami wirtualnymi pod kątem występujących zagrożeń – na brzegu sieci oraz w rdzeniu centrum przetwarzania danych. Oferowane przez producenta oprogramowanie umożliwia centralne zarządzanie ochroną środowiska wirtualnego (maszyn wirtualnych i aplikacji w VMware vSphere vApps) zarówno w chmurze prywatnej, jak i publicznej.
Na szczególną uwagę zasługuje rozwiązanie Check Point vSEC. Jest to zintegrowany system oferujący ochronę ruchu wewnątrz centrum danych zarządzanego przez oprogramowanie (Software-Defined Data Center), niezależny od platformy wirtualizacyjnej. Wykorzystane w nim mechanizmy mikrosegmentacji umożliwiają dodanie do wirtualnej infrastruktury takich elementów jak firewalle, logiczne przełączniki i routery w obrębie pojedynczego segmentu sieci, zmniejszając obszar ataku do pojedynczego obiektu. Zapewniają centralne zarządzanie przez połączenie platform wirtualizacyjnych lub chmurowych w jedną, logiczną i spójną całość.
Dodatkowe informacje:
Filip Demianiuk,
Channel Manager, Check Point Software
Technologies, filipd@checkpoint.com
Artykuł powstał we współpracy z firmami Check Point Software Technologies i RRC Poland.
Artykuł Check Point zapewnia ochronę wirtualnych środowisk pochodzi z serwisu CRN.
]]>Artykuł Bezpieczeństwo IT: robi się… sprytniej pochodzi z serwisu CRN.
]]>trafiła informacja o spektakularnym ataku na ważną instytucję, ewentualnie
wyniki badań dowodzących, jak źle chronione są nasze dane. Lektura tych
wiadomości powinna skłaniać do refleksji, że rzeczywiście wokół nas dzieje się
bardzo źle. Z czasem jednak natłok informacji doprowadził do swego rodzaju
zobojętnienia. Niestety, podobne zjawisko można zaobserwować nawet wśród osób,
które nie śledzą nowinek z branży IT. Jeszcze kilka lat temu doniesienia
medialne dotyczące tego tematu były słuchane z należną im atencją
i chętnie komentowane. Dzisiaj przechodzą bez większego echa
– ignorują je wspomniani dziennikarze, jak też sami użytkownicy, których
ewentualną reakcją jest niepokojąca myśl, czy ktoś nie zrobił sobie
internetowych zakupów przy pomocy ich karty kredytowej. A tymczasem,
z czego doskonale zdają sobie sprawę specjaliści od bezpieczeństwa IT,
wirtualne kradzieże to tylko wierzchołek góry lodowej.
Wszelkiego typu przestępcy internetowi działają głównie
z terytorium krajów byłego Związku Radzieckiego i Chin. Są świetnie
wyszkoleni – nierzadko korzystają z narzędzi XXI wieku, włamując się
do systemów stworzonych jeszcze w wieku XX. Coraz częściej łączą się
w zespoły, zauważając, że zlepek różnych kompetencji może zwielokrotnić
oczekiwany przez nich efekt. Siła tego typu grup jest tak duża, że firmy muszą
być przygotowane na sytuacje trudne do przewidzenia i straty niemożliwe do
oszacowania. Z punktu widzenia integratorów natomiast to, że z roku
na rok rośnie poziom komplikacji ataków, oznacza ogromną szansę na dodatkowy
zarobek. Mogą oni nie tylko odsprzedawać różnego typu systemy ochronne (zarówno
oprogramowanie, jak też instalowany w sieci sprzęt), ale także świadczyć
usługi konsultacji technicznych i kryzysowych. Najważniejsze jest, aby przygotować
klienta na to, że ataków prawdopodobnie nie da się uniknąć. Raczej trzeba
nauczyć się minimalizować ich skutki.
Brakuje unijnej „cybertarczy”
Ciekawe wnioski można znaleźć w raporcie opublikowanym
przez BSA, w którym stowarzyszenie oceniło prawa, przepisy i regulacje
wszystkich 28 krajów Unii Europejskiej według 25 kryteriów uznanych za kluczowe
dla skutecznej ochrony przed cyberzagrożeniami. Zdaniem jego autorów
cyberochrona w Europie jest niejednolita. Większość krajów członkowskich
deklaruje, że cyberbezpieczeństwo ma dla nich priorytetowe znaczenie, ale
niekonsekwentne podejście sprawia, że cały wspólny rynek jest jak najbardziej
podatny na zagrożenia. Poziom odporności mogłaby zwiększyć dyrektywa
w sprawie bezpieczeństwa sieci i informacji, przy założeniu, że
skupiłaby się na ujednoliceniu kluczowej europejskiej infrastruktury
i wprowadziła zharmonizowane procesy raportowania oraz współdzielenia
informacji na całym rynku.
Tymczasem analitycy Check Point Software Technologies
przewidują, że w bieżącym roku wzrośnie prawdopodobieństwo ataków
hakerskich na administrację rządową oraz przedsiębiorstwa z sektora
finansowego, energetycznego oraz ochrony zdrowia. Wyliczyli, że budżet średniej
wielkości firmy na zabezpieczenia IT w Polsce wyniesie w roku
bieżącym 1,5 mln zł. To i tak niewiele, gdy weźmie się pod uwagę
szacunki, z których wynika, że przeciętna wysokość straty wskutek
pojedynczego ataku sięga znacznie powyżej 0,5 mln zł.
Straty rosną
Według badań przeprowadzonych przez organizację Center for
Strategic and International Studies rocznie na cyberprzestępczości gospodarka
światowa traci 375–575 mld dol., co stanowi wzrost
o ok. 34 proc. rocznie. Z kolei według danych IDC światowy
rynek zabezpieczeń sieciowych rośnie od pięciu lat tylko o 10 proc.
rocznie.
Krzysztof Meller
CEO, Akbit
Już wkrótce bardzo dużym
wyzwaniem będzie odpowiednie zabezpieczenie środowisk IT, w których
przetwarzane są dane medyczne. Dziś praktycznie wszystkie tego typu informacje
wytwarzane są już w postaci cyfrowej, a polskie i europejskie
regulacje prawne umożliwiają przesyłanie ich w tej postaci pomiędzy
różnymi instytucjami. Gdy przechowywane dane lub ich transmisja nie będą
zabezpieczone w odpowiedni sposób, informacje te będą stanowiły bardzo
łakomy kąsek dla cyberprzestępców.
Przynieś sprzęt, wynieś dane…
Obecnie do najbardziej
niebezpiecznych zalicza się trend BYOD. Nie jest on już tylko ciekawostką, ale
faktem, z którym musi zmierzyć się większość administratorów IT. Tymczasem
wciąż bardzo mało firm opracowało właściwą politykę postępowania w tym
zakresie. Wiele z nich nie wdrożyło systemów ułatwiających zarządzanie
informacjami przechowywanymi na prywatnych urządzeniach pracowników. Według
danych RSA cyberprzestępcy mogą już korzystać z około 2 mln aplikacji
służących do ataków na urządzenia mobilne. Każdego miesiąca przybywa
ok. 170 tys. nowych aplikacji tego typu!
We wdrażaniu polityki BYOD oczywiście mogą być pomocni
integratorzy. Na rynku dostępnych jest kilka zaawansowanych narzędzi, które
ułatwiają zarządzanie środowiskiem urządzeń mobilnych i zabezpieczanie go
w taki sposób, aby możliwe było np. zdalne zablokowanie laptopa, telefonu
czy tabletu, gdy ulegnie on kradzieży. Wdrożenie tego typu systemów nie jest
zbyt skomplikowane, a przy odpowiednim zaangażowaniu można też wspomóc
klienta w analizie jego aktualnej sytuacji i przeciwdziałaniu ryzyku.
Tym bardziej że wdrożenie chociażby podstaw polityki BYOD
w firmie jest konieczne. Pracownicy, nawet jeśli się im tego zabroni,
i tak znajdą sposób na uzyskanie dostępu ze swoich prywatnych urządzeń do
firmowych danych. Jeżeli administrator nie będzie sprawował nad tym
jakiejkolwiek kontroli, wylądują one na Dropboksie, Gmailu czy w innych
usługach. Takich, w przypadku których nigdy nie ma gwarancji poufności.
Czarną owcą wśród mobilnych systemów operacyjnych jest
Android. Z badania „Cyberzagrożenia finansowe w 2014 r.”,
przeprowadzonego przez Kaspersky Lab wynika, że liczba ataków finansowych na
użytkowników Androida rośnie w tempie kilkuset procent rocznie.
Równocześnie aż 48 proc. odnotowanych ataków wykorzystywało szkodliwe
oprogramowanie „polujące” na dane finansowe (trojany SMS i bankowe).
Podpuścić… własnego pracownika
To już truizm, że najważniejszym zasobem w firmach, ale
też ściągającym na nie największe ryzyko, są ludzie. Przez ostatnich kilka
dekad przedsiębiorstwa wydały krocie na prowadzenie szkoleń dotyczących różnego
typu ryzyka oraz sposobów przeciwdziałania zagrożeniom. Niestety, z dość
mizernym skutkiem, do czego zresztą przyczyniło się rosnące wyrafinowanie
ataków prowadzonych przez cyberprzestępców.
Dziś „kampanie” phishingowe wymagają od odbiorców maili
wyjątkowego wyczucia i bystrości. W przeciwnym razie nie zdadzą sobie
oni sprawy, że padli ofiarą ataku. Przestępcy zorientowali się już, że taka
korespondencja musi wyglądać jak najbardziej wiarygodnie, być napisana
poprawnym językiem, którym posługuje się odbiorca maila, i wykorzystywać
elementy graficzne właściwe „nadawcy” maila. Na spadek o wartości milionów
dolarów dziś raczej nikt się już nie nabierze. Na niezapłacony rachunek
w firmie, z którą nie mamy podpisanej umowy, zapewne też nie. Ale gdy
dostajemy mailem informację, że listonosz nie mógł dostarczyć przesyłki
i wystarczy kliknąć link lub otworzyć załącznik, żeby zobaczyć jej
nadawcę, to już… brzmi kusząco. Tym bardziej że dziś nawet tak konserwatywna
organizacja jak Poczta Polska zaczyna korzystać z korespondencji mailowej
i SMS-owej.
Eksperci od spraw bezpieczeństwa zgodnie twierdzą, że
człowiek na zawsze pozostanie najsłabszym ogniwem w tym zakresie. Gdy
zdobędzie więcej wiedzy, przestępcom po prostu będzie trudniej odnieść sukces,
ale nadal będzie to możliwe. Już dziś widać powolną zmianę trendu
w postaci ataków APT – zamiast obejmować atakiem miliony osób,
wystarczy precyzyjnie wybrać „wartościową” ofiarę, poświęcić trochę czasu na
jej rozpracowanie i precyzyjnie uderzyć. Sukces jest niemal gwarantowany.
Mariusz Rzepka
dyrektor na Polskę, Białoruś i Ukrainę, Fortinet
Przedsiębiorstwa muszą mierzyć się z coraz bardziej
wyrafinowanymi atakami, co skłania je do inwestowania w nowe systemy
ochrony cyfrowych zasobów. Cyberprzestępcy nieustannie doskonalą swoje techniki
i tworzą coraz bardziej skomplikowany złośliwy kod. Mamy do czynienia
z socjotechniką, kradzieżą tożsamości, skomplikowanymi
i wielowektorowymi atakami APT czy powodziami DDoS. Przy tak szerokiej
skali zagrożeń szansę na ochronę strategicznych danych i zminimalizowanie
ryzyka ataku zapewniają jedynie profesjonalne rozwiązania z zakresu
bezpieczeństwa IT, tzw. security appliances, na które bardzo szybko rośnie popyt.
Paweł Jurek
wicedyrektor, Dagma
Mimo że na sprzedaży oprogramowania antywirusowego nadal
można zarabiać dobre pieniądze, to konsekwentnie zachęcamy resellerów do
skupienia się na bardziej zaawansowanych rozwiązaniach: firewallach
sprzętowych, UTM-ach, systemach filtrowania stron, ochronie antyspamowej czy
backupie. Partnerzy, który są w stanie całościowo obsługiwać klienta
w zakresie jego potrzeb związanych z bezpieczeństwem IT, będą
zyskiwali znaczącą przewagę konkurencyjną. Tym bardziej że sprzedaż
podstawowych rozwiązań ochronnych przenosi się coraz bardziej do Internetu,
a tam szanse na duży zarobek są znacznie mniejsze.
Dlatego wraz z budzeniem świadomości i krzewieniem
wiedzy wśród pracowników konieczne jest wdrażanie odpowiednich narzędzi do
zarządzania systemami ochronnymi w przedsiębiorstwie. Eksperci rekomendują
także równoległe prowadzenie przez dział IT symulowanych ataków na pracowników.
Przykładowo przez wysłanie maila z podejrzanego adresu z informacją
o podwyżce, rzekomo podpisaną przez dyrektora, i linkiem do
szczegółów. Ci, którzy klikną ten link, automatycznie stają się kandydatami do
szkolenia z zakresu bezpieczeństwa, które oczywiście może przeprowadzić
zaprzyjaźniony integrator.
Spam – nowe wyzwania
Jeszcze
dwa lata temu walka ze spamem wydawała się wygrana. Liczba niechcianych
wiadomości zauważalnie spadła, co znalazło odzwierciedlenie także
w opracowywanych przez firmy statystykach. Niestety, tylko na chwilę.
Cyberprzestępcy nauczyli się „omijać” systemy antyspamowe, bazujące głównie na
ocenie reputacji nadawcy (adresu IP, domeny, z której wysyłane są maile
itd.). Stworzone przez nich automaty do wysyłania spamu są w stanie
zarejestrować nową domenę, uruchomić na niej serwer pocztowy i wysyłać
spam przez krótki czas (parę godzin), zanim nazwa tej domeny pojawi się
w jakichkolwiek rankingach reputacyjnych. Później zaprzestaje się korzystania
z niej, zakładana jest kolejna domena i proceder jest kontynuowany.
Zjawisko zostało szczegółowo opisane w opublikowanym
przez Cisco dorocznym raporcie bezpieczeństwa. Jego autorzy wskazują też, że
cyberprzestępcy wykorzystują do wysyłania spamu wykradzione konta e-mail, które
mają dobrą reputację. Sama treść wysyłanych maili jest często modyfikowana
w taki sposób, aby ominąć mechanizmy bazujące na porównywaniu treści
(niektóre z zarejestrowanych tego typu wiadomości miały nawet 95 różnych
wersji).
Vassil Barsakov
dyrektor sprzedaży na region Europy Centralnej i Wschodniej,
RSA, Dział Zabezpieczeń EMC
Wkrótce duży problem zaczną stanowić ataki na urządzenia w
ramach Internetu rzeczy. W związku z tym uwierzytelnianie, zarządzanie
tożsamością oraz tym, „kto”, a w warunkach Internetu rzeczy również „co” ma
dostęp do naszych sieci i danych, będzie coraz ważniejszym elementem strategii
bezpieczeństwa. Uzyskanie zdalnego, cyfrowego dostępu do czyjejś lodówki czy
telewizora nie niesie może bezpośredniego ryzyka, ale uzyskanie dostępu do
układu sterowania samochodu – to już brzmi niebezpiecznie. Musimy się
przygotować na nowe zjawisko „Botnetu Rzeczy”, w ramach którego do prowadzenia
ataków DDoS mogą być wykorzystywane dziesiątki tysięcy domowych centrów
rozrywki, a nie tylko zwykłe komputery.
Według ekspertów
z Kaspersky Lab na szczycie listy szkodliwych aplikacji dystrybuowanych za
pośrednictwem poczty elektronicznej znajdują się od kilku lat programy do
kradzieży loginów, haseł oraz innych poufnych informacji. Ich zdaniem odsetek
wiadomości kwalifikowanych jako spam wyniósł 66,8 proc., co stanowi spadek
o 2,8 punktu procentowego wobec poprzedniego roku. Wspomniane zjawisko
jest tłumaczone tym, że wiele reklam legalnych towarów i usług, ocenianych
wcześniej jako spam, dystrybuowanych jest obecnie innymi kanałami niż poczta
elektroniczna. W gronie organizacji, których marki były najczęściej
wykorzystywane w atakach phishingowych, znalazły się: Yahoo
(23,3 proc. ataków), Facebook (10 proc.) oraz Google
(8,7 proc.).
Coraz
większą popularnością wśród cyberprzestępców cieszą się wysyłki spamowe
podszywające się pod e-maile wysyłane z urządzeń mobilnych. Wiadomości te
pojawiły się w kilku językach, a ich celem byli m.in. użytkownicy
iPadów, iPhone’ów i smartfonów Samsunga. Mają jedną cechę wspólną: bardzo
krótką treść (lub jej brak) oraz podpis w stylu „Wysłano z mojego
iPhone’a”. Zwykle zawierają również odsyłacze do szkodliwych załączników, co
jest niebezpieczne dla użytkowników, ale – znowu – stanowi szansę na
zarobek dla integratorów.
Bartosz Prauzner-Bechcicki
dyrektor ds. sprzedaży, Kaspersky Lab
Cyberprzestępcy są coraz bardziej pewni siebie – o ile
wcześniej atakowali użytkowników serwisów bankowych, upatrując w nich słabe
ogniwo w łańcuchu bezpieczeństwa, o tyle dziś spodziewamy się ataków na same
banki, instytucje finansowe, a nawet bankomaty. Cały czas kontynuowany jest też
trend cyberszpiegostwa i kradzieży wszelkich informacji z zainfekowanych sieci
korporacyjnych. Spodziewamy się także pewnego rozdrobnienia wśród grup
stojących za atakami APT, a więc – wraz z rosnącą liczbą mniejszych aktorów na
scenie cyberzagrożeń – większej liczby ofiar ataków pochodzących z różnych
źródeł. Widzimy też nowy trend polegający na atakowaniu pracowników wysokiego
szczebla podłączających swoje służbowe urządzenia do Internetu w hotelowych
sieciach.
Arkadiusz Stanoszek
właściciel, CORE (autoryzowany dystrybutor AVG w Polsce)
Wciąż olbrzymie grono użytkowników tabletów i smartfonów nie
zdaje sobie sprawy z tego, że pobierane z pozoru pożyteczne, ale często
szkodliwe aplikacje mogą być równie niebezpieczne jak ataki na desktopy. Na
urządzeniach mobilnych z reguły przechowywane są poufne dane firmowe, jak
również numery kart kredytowych, a bardzo często ich użytkownicy rezygnują z
instalacji choćby podstawowej ochrony antywirusowej. Warto o tym pamiętać, tym
bardziej że uchodzące do tej pory za bezpieczne urządzenia firmy Apple również
stają się celem ataków.
Artykuł Bezpieczeństwo IT: robi się… sprytniej pochodzi z serwisu CRN.
]]>Artykuł Dlaczego kontrola aplikacji to za mało? pochodzi z serwisu CRN.
]]>Tak właśnie wygląda zasada działania niektórych systemów Next Generation Firewall w ich domyślnej konfiguracji, nazywanych też firewallami aplikacyjnymi (nie mylić z rozwiązaniami typu Web Application Firewall, które z założenia stosowane są do ochrony aplikacji). Urządzenie takie koreluje określone parametry sesji z konkretną aplikacją i na tej podstawie zapamiętuje sesję jako bezpieczną bądź nie. Każde kolejne połączenie pasujące do wzorca zostaje zaklasyfikowane zgodnie z zapisaną wcześniej informacją dotyczącą bezpieczeństwa, bez przeprowadzania ponownej analizy pakietów. Mechanizm ten, choć szybki, stanowi poważną lukę w zabezpieczeniach. Wiedzą o tym grupy cyberprzestępców, którzy dokonują zorganizowanych ataków celowanych.
Ochrona każdego połączenia
Rozwiązania wykorzystujące metodę stateful inspection analizują komunikację w odniesieniu do każdego realizowanego właśnie połączenia. Sprawdzają, czy jest ono poprawne, monitorując jego stan oraz gromadząc informacje o nim w tablicy stanu sesji. Weryfikowane są nie tylko informacje z nagłówka pakietu, ale również jego zawartość (do warstwy aplikacyjnej włącznie) w celu zdefiniowania kontekstu dla połączenia. Stanowi on następnie podstawę analizy całej komunikacji w ramach sesji.
Załóżmy, że przez urządzenie realizowana jest sesja, w ramach której zestawiane są różne kanały komunikacyjne. System analizuje nawiązywane połączenie, weryfikuje negocjowane parametry oraz automatycznie otwiera wymagane porty dla komunikacji w jednym i drugim kierunku. Nie jest wymagane definiowanie reguł przepuszczania pakietów w obu kierunkach.
Wyniki analizy stosowanych obecnie technik zabezpieczeń wykazują, że metoda stateful inspection nadal stanowi podstawę rozwiązań wielofunkcyjnych, w których jako główny element wykorzystywany jest moduł firewall. Na wstępie dokonywana jest analiza stanu sesji oraz rozpoznanie wszystkich nowych połączeń. Dopiero po takiej analizie system bada, co jest przedmiotem komunikacji sieciowej. Przykładowo, rozpoznaje aplikacje sieciowe, sprawdza, czy w realizowanej komunikacji jest obecny złośliwy kod, i przeprowadza inne analizy.
Interfejs to nie wszystko
Analizując ofertę systemów zabezpieczeń, warto sprawdzić, jakie mechanizmy leżą u podstawy ich działania. Czy potrafią rozpoznawać wszystkie nowe połączenia i za każdym razem przeprowadzać ich niezależną weryfikację? Jeżeli analiza stateful inspection nie jest domyślnym trybem pracy urządzenia, warto się dowiedzieć, jak jej włączenie wpływa na wydajność systemu. Ta informacja jest często pomijana w marketingowych opracowaniach dostawców rozwiązań.
Dodatkowe informacje:
Agnieszka Szarek,
CHANNEL MANAGER, FORTINET,
Artykuł powstał we współpracy z firmami Fortinet i Veracomp.
Artykuł Dlaczego kontrola aplikacji to za mało? pochodzi z serwisu CRN.
]]>Artykuł Bezpieczeństwo – w pogoni za stanem idealnym pochodzi z serwisu CRN.
]]>istniejących dziś możliwościach ochrony systemów IT oraz współpracy
producentów, dystrybutorów i resellerów z polskimi klientami
w tym zakresie rozmawiali uczestnicy Okrągłego Stołu CRN Polska: Dariusz
Wichniewicz, dyrektor
Działu Rozwoju Usług Telekomunikacyjnych ATMAN, ATM, Marcin
Żebrowski, kierownik
projektów, Audytel, Mariusz
Stawowski, dyrektor
Działu Usług Profesjonalnych, Clico, Michał
Ostrowski, dyrektor
sprzedaży w Europie Wschodniej, FireEye, Bartosz
Prauzner-Bechcicki, dyrektor
ds. sprzedaży, Kaspersky Lab.
Akceptować czy
panikować?
CRN Patrząc na statystyki przywoływane przez firmy
oferujące rozwiązania ochronne, można dojść do wniosku, że jeżeli chodzi o bezpieczeństwo systemów IT,
sytuacja jest tragiczna. Niemniej jednak, mimo paru głośnych incydentów, życie toczy się dalej,
banki wciąż zapewniają dostęp do rachunków przez Internet,
a firmy nie wyobrażają sobie funkcjonowania bez baz danych zawierających
często wrażliwe informacje. A może rzeczywiście jest tak źle, my zaś żyjemy w iluzorycznie bezpiecznym świecie?
Michał
Ostrowski, FireEye Główny problem wynika z faktu, że nie wiemy,
czego nie wiemy. Do świadomości opinii publicznej przez lata przedostawały się
informacje o spektakularnych atakach hakerskich, bo ich zleceniodawcy lub
wykonawcy się nie kryli, a często wręcz się nimi chwalili. Dzisiaj takie
ataki są dokonywane po cichu. Niedawno opublikowaliśmy raport z 1265
audytów bezpieczeństwa przeprowadzonych u naszych klientów, które
wykazały, że aż 97 proc. firm miało infekcje komputerów skutkujące
przynajmniej jednym aktywnym połączeniem z zewnętrznym hakerskim serwerem
Command & Control zarządzającym siecią botnetów. W ten sposób ich
firmowe komputery najczęściej były połączone z Chinami lub Rosją.
Oczywiście, nie oznacza to od razu sprowadzenia zagrożenia bezpośrednio na dane
przedsiębiorstwo, jednak skala zjawiska i brak świadomości jego istnienia
mówią same za siebie.
Marcin
Żebrowski, Audytel Świadomość
zagrożeń związanych z bezpieczeństwem informacji oczywiście wzrasta, ale
nadal powoli. Z moich obserwacji wynika, że jeśli już jakieś systemy
ochronne są wdrażane, to dość chaotycznie, najczęściej w reakcji na
problem, np. atak DDoS. Tymczasem wszystkie normy związane
z zabezpieczeniem informacji, szczególnie ISO 27?001, mówią
o tym, że sposób ochrony danych powinien wynikać z rozległej analizy
ryzyka. Dopiero na tej podstawie należy pomyśleć o podatnościach
i obszarach, w których trzeba zminimalizować ryzyko przez
implementację odpowiednich zabezpieczeń.
Mariusz Stawowski, Clico Trudno w globalnej skali
oceniać poziom zabezpieczenia firm, bo zależy on od standardów i kultury
bezpieczeństwa informacji przyjętych w poszczególnych branżach. Natomiast
niestety widzimy, że przedsiębiorstwa bardzo mocno inwestują
w zabezpieczenia techniczne, ale nie są to działania przemyślane. Kupowane
są często zabezpieczenia, które nie odpowiadają aktualnym zagrożeniom. Wciąż
jest też za mało zaangażowania w działania edukacyjne dla użytkowników,
wzmacniające ich wiedzę o zagrożeniach dotyczących korzystania z systemów
teleinformatycznych. Brakuje także właściwego motywowania pracowników ze strony
kadry zarządzającej do bardziej roztropnego działania. A bez odpowiedniej
świadomości użytkowników nie da się zapewnić bezpieczeństwa, nawet jeżeli
zainwestuje się w najdroższe i najbardziej zaawansowane systemy
ochronne.
Bartosz
Prauzner-Bechcicki, Kaspersky Lab Potwierdzam,
że niestety to człowiek jest najsłabszym ogniwem. Można zabezpieczyć komputer
lub urządzenie mobilne przed atakiem, stworzyć odpowiednie algorytmy czy
politykę bezpieczeństwa. Jeśli jednak chodzi o użytkowników, czasami
jedynym rozwiązaniem jest zastosowanie strategii „deny by default”, czyli
całkowitego zakazu różnego typu działań i późniejsze otwieranie dostępu do
poszczególnych zasobów tylko w przypadku uzasadnionego żądania.
Dariusz Wichniewicz, ATM W przypadku operatora centrum danych ważne jest także fizyczne
bezpieczeństwo – zarówno ochrona przed ingerencją z zewnątrz, jak też
przed przerwami w pracy. Na szczęście nie odnotowaliśmy dotychczas prób
fizycznego włamania do naszego centrum danych, ale obserwujemy rosnącą liczbę
ataków typu DDoS na nasze zasoby. Świadomość użytkowników biznesowych rośnie
w wyniku różnych zdarzeń ostatnich lat – zablokowania rządowych
serwerów na skutek awantury o ACTA, a także wpadek kilku banków i
popularnego serwisu aukcyjnego. To były wydarzenia, których nie dało się
zamieść pod dywan, więc dowiedzieli się o nich praktycznie wszyscy. Dzięki
temu zaczęli się zastanawiać nad skutkami takiego ataku na nich.
Gdzie postawić
granice?
CRN Czy
przy tak dużej różnorodności zagrożeń można stwierdzić, że dana firma jest
zabezpieczona w akceptowalnym stopniu? Wszyscy wiemy, że nie ma mowy o stuprocentowym
bezpieczeństwie, ale jakiś punkt odniesienia trzeba przecież przyjąć…
Marcin Żebrowski, Audytel Jednym
z najważniejszych aspektów, który zawsze należy sprawdzić, jest obecność
w firmie wyznaczonej osoby odpowiedzialnej za sprawy związane
z bezpieczeństwem danych. Niestety, najczęściej nie ma kogoś takiego,
a odpowiedzialność zostaje rozmyta na administratorów sieci, serwerów lub
dział finansowy. Czasami taką funkcję pełni sam szef przedsiębiorstwa.
Natomiast zgodnie z najlepszymi praktykami w dużej firmie powinna być
osoba pełniąca rolę CSO, czyli Chief Security Officer, która jest niezależna
zarówno od dyrektora departamentu informatyki, jak i od innych decydentów
w firmie, a raporty składa bezpośrednio zarządowi.
Mariusz Stawowski, Clico Dzisiaj na podstawie
audytu dość łatwo można ocenić, czy przedsiębiorstwo ma zewnętrzne luki
w zabezpieczeniach, ale trudno stwierdzić, czy jest naprawdę dobrze
zabezpieczone, bo zakres takiego audytu musiałby być bardzo szeroki.
Najczęściej w Polsce i na świecie wykonuje się zewnętrzne testy
penetracyjne, ale dla całościowej oceny bezpieczeństwa konieczny jest audyt
o znacznie większym zakresie, którego koszt przekracza 100 tys. zł
dla średniej wielkości firmy. Sprawdza on m.in., czy w przedsiębiorstwie
jest komuś przypisany zakres odpowiedzialności za bezpieczeństwo, czy system
zabezpieczeń jest powiązany z działalnością biznesową firmy
i odpowiada aktualnym zagrożeniom, czy zachowanie i postawy
pracowników pokazują ich dbałość o bezpieczeństwo, a także czy
została dokonana właściwa klasyfikacja
zasobów IT i czy w planowaniu polityki bezpieczeństwa ich ważność
jest brana pod uwagę.
Marcin
Żebrowski, Audytel Ważne jest też sprawdzenie, czy firma ma
sformalizowany program zarządzania bezpieczeństwem informacji, oparty chociażby
na normie ISO 27?001. Może on zawierać elementy wymienione w załączniku
A do tej normy, w szczególności politykę bezpieczeństwa, deklarację
stosowania zabezpieczeń, kwestie związane z ochroną danych osobowych,
jeśli to dotyczy danego przedsiębiorstwa itd. Natomiast na użytkowników nie ma
lepszego sposobu niż budowanie ich świadomości i wrażliwości na kwestie
bezpieczeństwa, np. przez regularne szkolenia. Inaczej szybko doświadczymy ich
kreatywności, np. w sytuacji zablokowania dostępu do stron internetowych
skorzystają z połączenia komórkowego przez swój telefon czy tablet albo
za pomocą takiego urządzenia stworzą lokalną, małą sieć bezprzewodową
i podłączą się do niej z firmowego laptopa. Niby tylko na swoje
potrzeby, jednak zrobią w ten sposób potężną lukę w całej
infrastrukturze bezpieczeństwa, z której mogą skorzystać niepowołane
osoby.
Bartosz Prauzner-Bechcicki, Kaspersky Lab Dlatego
w obronie przed tą kreatywnością umożliwiamy stworzenie polityki „deny by
default”, ale łączymy ją z tworzeniem białej listy. Za pomocą „zaszytej”
w oprogramowaniu naszej wiedzy eksperckiej wyręczamy użytkownika
i pomagamy w podejmowaniu decyzji. Taka polityka może być istotna
w wielu środowiskach, np. w elektrowniach, gdzie nie ma dostępu do
Internetu, ale może nastąpić atak z wewnątrz. Tak się stało w przypadku
wirusa Stuxnet, który dostał się do zamkniętej infrastruktury od wewnątrz
i modyfikował ustawienia zaatakowanych urządzeń.
Michał
Ostrowski, FireEye Białe listy mogą sprawdzić się w ochronie
infrastruktury krytycznej, ale nie znam zwykłej firmy, która zastosowałaby ten
model ochrony na dużą skalę na swoich stacjach roboczych, bo jest to po prostu
bardzo trudne, ze względu na różne wyjątki. A nawet jeśli to zrobimy, nie
zablokujemy poczty elektronicznej, a dzisiaj można wykonać atak
z poziomu Gmaila na dowolną stację i mieć 90 proc. pewności, że
będzie skuteczny.
Czy wciąż jest
sens inwestowania w antywirusy?
CRN Często słychać głosy ekspertów, że klasyczne
antywirusy są coraz mniej skuteczne i konieczne jest stosowanie bardziej
zaawansowanych rozwiązań. Tymczasem użytkownicy chyba przestają rozumieć, jaka
jest między tymi produktami różnica…
Mariusz Stawowski, Clico Faktycznie, obecnie standardowy antywirus, aktualizujący swoje bazy
sygnatur, to już nie wszystko. Taki program musi umieć wykrywać zagrożenia
dopiero co powstałe – złośliwy kod, który dziś każdy może stworzyć
powszechnie dostępnymi narzędziami, wykorzystywany do precyzyjnego atakowania
konkretnych przedsiębiorstw. Ale problem dotyczy nie tylko antywirusów. Wiele
firm nadal działa bardzo konserwatywnie i kupuje tradycyjne
zabezpieczenia, które są nieskuteczne w przypadku współczesnych zagrożeń.
Nie inwestują w takie rozwiązania, jak web application firewall, wierząc,
że ich portale webowe wciąż mogą być chronione klasycznym IPS-em. Nie kupują
zabezpieczeń baz danych, zakładając, że oprogramowanie to obroni się samo.
Tymczasem – mogę to powiedzieć z doświadczenia audytora – bazy
danych nawet renomowanych producentów są pierwszym i najłatwiejszym celem,
jeśli chodzi o prosty dostęp do wrażliwych danych biznesowych firmy.
Michał
Ostrowski, FireEye Antywirusy wciąż są potrzebne, bo chronią przed
zagrożeniami sygnaturowymi i wolumenowo odsiewają dużą część z nich
oraz zwiększają poczucie bezpieczeństwa. Ale tak naprawdę największe zagrożenie
są wolumenowo małe i niewiele o nich słychać. A tradycyjne
rozwiązania ich nie wychwytują.
Bartosz Prauzner-Bechcicki, Kaspersky Lab To dość trudny temat i rzeczywiście
przekonanie użytkowników nie jest już taką prostą sprawą. Firmy tworzące
oprogramowanie antywirusowenie tylko wykorzystują w nim klasyczne bazy
sygnatur, ale dołączają wiele innych mechanizmów, z których najważniejsza
jest analiza zachowania potencjalnie niebezpiecznego oprogramowania
i unieszkodliwienie go. Tu jednak pojawia się kolejny problem, bo
użytkownicy nie lubią, gdy nagle wyskakuje komunikat programu antywirusowego
i każe im podejmować decyzję. Dlatego wciąż ważne jest budzenie
świadomości wykonywanych działań.
CRN Wynika z tego, że coraz więcej użytkowników
musi polegać na swojej intuicji, bo wiedzy eksperckiej nie mają, a gdy
antywirus prosi ich o podjęcie decyzji, coś muszą odpowiedzieć. A czy
intuicja może być właściwym narzędziem do podejmowania takich decyzji?
Marcin
Żebrowski, Audytel Intuicja to doświadczenie przeniesione do
podświadomości. Im więcej tego doświadczenia i wiedzy użytkowników, tym
lepsze decyzje.
Michał
Ostrowski, FireEye Z intuicji i zdrowego rozsądku należy korzystać
zawsze, nie tylko w kwestiach związanych z IT. Ale czy to nas przed
czymś ochroni? Głównie przed głupimi błędami lub nierozważnym zachowaniem. Przy
niektórych atakach intuicja nam nie pomoże, bo jeżeli wchodzimy na odwiedzaną
codziennie stronę, a jej zawartość aktywna została nagle podmieniona na
szkodliwą, to intuicja nas zawiedzie.
Bartosz
Prauzner-Bechcicki, Kaspersky Lab Podobnie jest z różnicą między
klasycznym phishingiem, w przypadku którego w linki w e-mailach klika
tylko kilka procent odbiorców, a spear phishingiem, przygotowanym
w ramach precyzyjnie skrojonej kampanii APT. W drugim przypadku
komunikacja jest tak przygotowana, że atakujący ma niemal 100 proc.
gwarancji przyciągnięcia uwagi atakowanego i wykonania przez niego
niebezpiecznych działań.
Dariusz Wichniewicz, ATM Internet utrudnia
identyfikację atakującego, co zwiększa częstotliwość występowania masowych
ataków. Ale pytaniem, które najczęściej zadają sobie atakujący, nie jest: „czy
można się gdzieś włamać?”, lecz: „czy warto się gdzieś włamać, a jeśli się
uda, to jakie korzyści można w ten sposób osiągnąć?”.
Chmura
– szansa czy zagrożenie?
CRN Chmura publiczna od samego początku kojarzona
jest z bezpieczeństwem. Paradoksalnie – na to zagadnienie wskazują
zarówno jej zwolennicy, jak też
przeciwnicy…
Mariusz
Stawowski, Clico Na bezpieczeństwo chmury trzeba patrzeć, skupiając
uwagę na trzech aspektach – zgodności z prawem, zaufania do dostawcy
usług i zabezpieczenia infrastruktury, z której świadczone są usługi.
W odniesieniu do trzeciego obszaru warto zauważyć, że chmura jest zwykłym
systemem teleinformatycznym i to, jak jest chroniona, zależy od jego właściciela,
czyli usługodawcy. Teoretycznie można ją odpowiednio zabezpieczyć, ale klientom
i resellerom trudno jest zweryfikować poziom tej ochrony. Dlatego pojawia
się kwestia zaufania do dostawcy oraz umowy, w której bierze on
odpowiedzialność za bezpieczeństwo danych.
Dariusz Wichniewicz, ATM Gdy w przedsiębiorstwie jest wdrażany projekt IT, często informatycy
słyszą od zarządu pytanie, czy zrobili wszystko, aby firmowe dane były
bezpieczne. Jeżeli zdecydowano o przechowywaniu dużej ilości ważnych dla
biznesu danych w chmurze publicznej, to odpowiedź na takie pytanie powinna
brzmieć „nie”. Chmura jest modelem łatwiejszym, bardziej atrakcyjnym,
ekonomicznie prostszym do wdrożenia, ale np. nie oferuje możliwości łatwego
samodzielnego wykonania backupu przechowywanych tam danych,
a odpowiedzialność za ten proces przenosi na usługodawcę.
CRN Faktem jest jednak,
że dane trzymane na serwerach pod biurkiem prezesa są mniej bezpieczne…
Dariusz Wichniewicz, ATM Oczywiście, ale może się też zdarzyć, że firma operatora chmury zniknie
w przyszłym tygodniu – zbankrutuje lub wstrzyma działalność, bo jej
komputery zostaną zagarnięte przez wymiar sprawiedliwości, żeby przez trzy
miesiące sprawdzać, co na nich było. Tego typu wydarzenia miały miejsce. Trzeba
jednak zdawać sobie sprawę, że usługi w chmurze publicznej będą dość
szeroko obecne na rynku – klienci postrzegają je jako bardzo atrakcyjny
produkt, którego funkcje można od razu zaprezentować na żywo, bez dodatkowych
prezentacji, a do tego model rozliczania jest preferowany przez dyrektorów
finansowych.
CRN Do
chmury powoli trafiają także antywirusy…
Bartosz Prauzner-Bechcicki, Kaspersky Lab Jeśli mówimy o antywirusie, który działa
wyłącznie w chmurze, a użytkownik musi mieć stałe połączenie
z Internetem, to nie wydaje mi się, żeby było to idealne rozwiązanie,
chociażby ze względu na problem zabezpieczenia infrastruktury niepodłączonej do
Internetu. Natomiast z pewnością większość dostawców będzie wkrótce
oferowała rozwiązania hybrydowe. Już teraz sygnatury, a także np. informacje
o reputacji stron WWW, są pobierane z Internetu, a do chmury
automatycznie będą trafiały też fragmenty podejrzanego kodu w celu
przeprowadzenia dodatkowej weryfikacji, czy nie jest to np. atak dnia zerowego.
Marcin Żebrowski, Audytel Początkowo do chmury trafiały głównie niszowe systemy, ale dziś także
największe firmy na rynku zauważyły zalety tego modelu. Natomiast wciąż
rozwiązania instalowane bezpośrednio u użytkowników mają większą
funkcjonalność niż dostępne z chmury. Jednak z pewnością nastąpią tu
zmiany ze względu na tempo rozwoju rynku i naciski na dyrektorów IT ze
strony zarządów, by nie prowadzili pojedynczych inwestycji, lecz kupowali jak
najwięcej rozwiązań rozliczanych w modelu abonamentowym. Już wkrótce
dojdziemy do takiego punktu, że rozwiązania dostępne w chmurze
funkcjonalnie najpierw zrównają się z instalowanymi w firmach,
a następnie je jakościowo przewyższą, co – biorąc pod uwagę także
korzystniejszy model rozliczania – spowoduje dość dużą rewolucję.
Bartosz Prauzner-Bechcicki, Kaspersky Lab Warto też pamiętać, że zaoferowanie większości
usług z chmury nie oznacza całkowitego uwolnienia się od sprzętu
i aplikacji. Każdy użytkownik musi mieć bowiem urządzenie pełniące funkcję
klienta. Trzeba więc je będzie również zabezpieczać, aby zrealizować założenia
polityki bezpieczeństwa danego przedsiębiorstwa, np. blokować możliwość
nagrywania niektórych danych w pamięci USB.
Dlaczego sprzedaż
systemów ochronnych jest taka trudna?
CRN Nabycie
wiedzy eksperckiej dotyczącej rozwiązań ochronnych stanowi obecnie nie lada
wyzwanie i wymaga wielu lat doświadczenia. Dlatego resellerzy często
rezygnują z możliwości sprzedaży zaawansowanych systemów bezpieczeństwa.
Co z tym fantem zrobić?
Michał Ostrowski, FireEye Jako
producent mogę powiedzieć, że zależy nam, aby w kanale dystrybucyjnym byli
ludzie doświadczeni, z wiedzą ekspercką. Dlatego przystąpienie do naszego
programu partnerskiego wymaga zaawansowanych szkoleń. W przypadku
mniejszych resellerów nie chodzi tylko o brak umiejętności, ale przede
wszystkim o brak zasobów kadrowych, przez co nie mogą się wszystkim zająć.
Takie firmy mają natomiast jedną podstawową zaletę – znają dobrze
infrastrukturę i każdy fragment sieci niektórych swoich klientów, bo
współpracują z nimi od kilkunastu lat. To jest nie do przecenienia. Takim
firmom producent powinien zapewnić zdobycie dodatkowej wiedzy bądź współpracy
z innymi, bardziej zaawansowanymi partnerami, z gwarancją podziału
zysku.
Mariusz Stawowski, Clico Niestety, rozwiązania ochronne stają się coraz bardziej skomplikowane
i – choć producenci starają się jak najbardziej uprościć interfejs
konfiguracyjny – nie można ich wdrażać bez odpowiednich kompetencji. Główna
rola w zakresie wsparcia spada tutaj na dystrybutora, który odpowiada za rozwiązania
danego producenta i zatrudnia inżynierów świadczących usługi pomocy
technicznej, szkoli ich i przygotowuje szkolenia dla partnerów. Gdy pojawi
się pierwszy projekt, realizowany jest zwykle wspólnie z danym
integratorem. Byłoby też dobrze, aby dystrybutor posiadał równocześnie
autoryzowane centrum edukacyjne i mógł przeszkolić zarówno klienta
końcowego, jak i inżynierów integratora, biorących udział
w projekcie.
Marcin Żebrowski, Audytel Niestety, dla polskich klientów zdecydowanie za wysokie są też stawki za
usługi profesjonalne i dlatego w naszym kraju, w przeciwieństwie do USA
czy Europy Zachodniej, nie ma jeszcze kultury ich nabywania. Często spotykam
się z takim podejściem: firma wydaje 10 mln zł na bardzo
zaawansowany system zabezpieczający, ale rezygnuje z wydatku rzędu 100
tys. zł na profesjonalną usługę związaną z konfiguracją tego systemu
lub testami penetracyjnymi, choć wiedzę ekspercką w tym zakresie ma na
wyciągnięcie ręki.
CRN Resellerzy
często też skarżą się na problemy z wyborem firmy, która stałaby się ich
strategicznym dostawcą w zakresie produktów bezpieczeństwa lub dostarczyła
rozwiązania potrzebne do realizacji konkretnego projektu. Antywirusy czy
firewalle mają podobne funkcje i czasem trudno znaleźć ich wyróżniki…
Mariusz Stawowski, Clico Także tutaj bardzo ważną
rolę odgrywa dystrybutor – jako ośrodek kompetencyjny świadczący usługi
doradcze w zakresie doboru rozwiązań. Mamy w ofercie produkty dwóch
lub więcej dostawców, które mogą rozwiązać dany problem klienta. Zawsze najpierw
prosimy o wykonanie projektu na podstawie analizy zagrożeń i ryzyka
oraz określenie, jakie funkcje musi spełniać system bezpieczeństwa. Taki
projekt może wykonać klient, integrator lub my. Następnie sprawdzamy, które
z dostępnych rozwiązań spełnia podane w nim wymagania. Jeżeli
w grze nadal pozostają rozwiązania kilku dostawców, to sprawdzamy pozycję
i udziały rynkowe danej firmy – jeśli dostawca sprzedał niewiele
rozwiązań, to są one słabiej przetestowane przez klientów, a więc rośnie
ryzyko pewnych niedociągnięć. Wśród pozostałych kryteriów wyboru znajdują się
też oczywiście: cena zakupu i wdrożenia, dostępność pomocy technicznej
i szkoleń producenta w Polsce, których koszt będzie akceptowalny dla
polskich klientów.
Dariusz Wichniewicz, ATM Zawsze staramy się pokazać,
czym się na rynku wyróżniamy. Metodą, która najlepiej się sprawdza, jest
„przyjdź i dotknij”. Na klienta zawsze działa wycieczka po centrum danych,
gdy może zobaczyć, w ilu miejscach stoją ochroniarze i w jaki
sposób są przeprowadzane kontrole. Papier czy PowerPoint jest cierpliwy
i przyjmie wszystkie argumenty, natomiast największe wrażenie pozostawia
możliwość zobaczenia pół hektara akumulatorów i wielkich generatorów
prądu, szeregu butli z gazem gaszącym lub całego dachu usianego potężnymi
wentylatorami od klimatyzacji.
Michał Ostrowski, FireEye Proof of concept to
najbardziej popularny model sprzedaży w naszym przypadku i zawsze do
niego zachęcamy resellerów i integratorów. Raport o zagrożeniach,
o którym wspomniałem na początku, został przygotowany właśnie dzięki tej
metodzie. W ten sposób uzyskujemy twarde dane, z którymi trudno
dyskutować, a jednocześnie jest to świetne narzędzie sprzedażowe.
Bartosz Prauzner-Bechcicki, Kaspersky Lab Warto też
podkreślić, że reseller nie powinien obawiać się rozmowy z producentem czy
dystrybutorem. Nie jest kompromitacją to, że czegoś nie wie. Ten rynek idzie
tak szybko do przodu, że nie ma szans, by wiedzieć wszystko, po prostu trzeba
pytać.
Artykuł Bezpieczeństwo – w pogoni za stanem idealnym pochodzi z serwisu CRN.
]]>