– Niestety, to pracownicy najczęściej są „wykonawcami” woli cyberprzestępców. Klikają w linki prowadzące do złośliwego kodu, otwierają dołączone do e-maili pliki, odwiedzają podejrzane strony internetowe lub (często w dobrej wierze) dzielą się informacjami, które powinni zachować wyłącznie dla siebie. Co prawda w urzędach publicznych nie jest stosowany model BYOD, ale próby korzystania z prywatnego sprzętu i podłączania go do sieci z pewnością mają miejsce – mówi Maciej Kotowicz, Channel Account Executive Poland w Sophosie.

Dużym problemem – i to w skali globalnej – jest brak międzynarodowej współpracy producentów, której celem byłaby związana z bezpieczeństwem standaryzacja sposobu komunikacji organizacji publicznych w różnych krajach. Do skutecznego przeciwdziałania atakom jest wręcz niezbędna. Cyberprzestępcy rzadko działają z terytorium kraju, którego infrastrukturę zaatakowali, więc szybka wymiana informacji dotyczących charakterystyki ich operacji jest konieczna. Tymczasem obecnie sprowadza się do wyrazów niezadowolenia wypowiadanych z dużym opóźnieniem głównie w ramach kontaktów dyplomatycznych. Nad utworzeniem ram dyskusji i wymiany informacji dotyczących cyfrowych zagrożeń pracują międzynarodowe organizacje, ale z pewnością zajmie to jeszcze kilka lat.

Rządowa strategia cyberbezpieczeństwa

W 2017 r. polski rząd przyjął uchwałę „Krajowe Ramy Polityki Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2017–2022” (KRPC). Ministerstwo Cyfryzacji zaś opracowało plan wprowadzania tej polityki w życie. Zawiera on wytyczne dla dziesięciu ministrów oraz dyrektora Rządowego Centrum Bezpieczeństwa w zakresie opracowania oraz wdrożenia standardów i dobrych praktyk bezpieczeństwa sieci jak też systemów IT w obszarach, za które odpowiadają określone jednostki administracji rządowej. Autorzy dokumentu podkreślają, że realizacja planu działań będzie finansowana zarówno z budżetu państwa, jak i ze środków pomocowych Unii Europejskiej.

Ważnym dla integratorów zapisem dokumentu KRPC jest deklaracja rządu, że będzie budował system partnerstwa publiczno-prywatnego (we współpracy ze światem nauki oraz z przedsiębiorstwami komercyjnymi), opartego na zaufaniu i wspólnej odpowiedzialności za bezpieczeństwo w cyberprzestrzeni. Jednocześnie administracja publiczna ma doskonalić swój potencjał w zakresie doradzania sektorom rynkowym w dziedzinie bezpieczeństwa teleinformatycznego. Finalnie obiecano stworzenie wytycznych, na które integratorzy będą mogli się powoływać podczas negocjacji z klientami. Rząd obiecuje również zaangażowanie się w istniejące i powstające formy europejskiej współpracy publiczno-prywatnej i tym samym promowanie polskiego biznesu na arenie międzynarodowej.

W KRPC wymieniono zagadnienia znajdujące się w obszarze zainteresowań rządu, m.in.: Internet rzeczy, inteligentne miasta, Przemysł 4.0, trwająca już od kilkunastu lat zamiana protokołu IPv4 na IPv6, a także szeroko pojęta chmura obliczeniowa oraz przetwarzanie zgodnie z koncepcją Big Data (nazwane w dokumencie „megadane”).

Co nam zagraża?

Instytucje publiczne muszą być przygotowane do stawienia czoła stale nowym zagrożeniom: botnetom, atakom DDoS, złośliwemu oprogramowaniu, aplikacjom szyfrującym (ransomware), phishingowi, programom szpiegującym, przechwytywaniu sesji i zaawansowanym atakom ukierunkowanym (APT) prowadzonym z wykorzystaniem technik manipulacyjnych. Integralną częścią polityki bezpieczeństwa w tych placówkach powinny być nie tylko wirtualne kwestie związane z IT, ale też fizyczne. W obiektach, w których obowiązują restrykcyjne procedury, powinny być kontrolowane wnoszone i wynoszone laptopy, dyski, smartfony lub tablety, a niemal wszędzie należałoby stosować szyfrowanie oraz uniemożliwiać korzystanie z pendrive’ów. Jednocześnie wszelkie dane powinny być archiwizowane, aby nie zostały utracone w wyniku kradzieży lub zniszczenia sprzętu.

Statystycznie największym zagrożeniem jest ransomware. Atak WannaCry w 2017 r. był możliwy dzięki istniejącej od 15 lat luce w systemie operacyjnym Windows XP. Mimo że poprawki zabezpieczeń tego systemu nie były publikowane od 2014 r., dwa lata temu wciąż cieszył się dużą popularnością (a w wielu placówkach nadal jest używany). Microsoft zresztą podjął wówczas wyjątkową decyzję i opublikował stosowną poprawkę dla Windows XP, ale niewielu użytkowników ją zainstalowało (o czym w dalszej części artykułu).

Wymiana systemów operacyjnych na szeroką skalę z reguły wiąże się z koniecznością wymiany sprzętu. Ze względu na szczupłe budżety placówek publicznych zakup komputerów często jest odwlekany. Resellerzy i integratorzy muszą więc operować odpowiednimi argumentami, które przekonają zarząd placówki, że nie podejmując stosownych działań, wystawia swoją reputację na duże ryzyko.

Czasami jednak istnieją obiektywne argumenty. Powołują się na nie placówki medyczne, podając przykłady specjalistycznego sprzętu diagnostycznego, którego oprogramowanie nie wymaga aktualizacji ani rozbudowy (a działa tylko ze starszymi wersjami systemów operacyjnych). W takich sytuacjach warto namówić klienta na szczegółowy audyt bezpieczeństwa i zablokować dostęp tego typu systemów do internetu (natomiast dostęp do lokalnej sieci prawdopodobnie trzeba będzie zachować ze względu na konieczność archiwizacji badań).

Zabezpieczenie placówek edukacyjnych jest oczywiście łatwiejsze, chociaż i w nich konieczne jest podjęcie specjalnych działań. Przede wszystkim na komputerach, z których korzystają uczniowie (albo na sieciowych urządzeniach dostępowych do internetu), powinna być zainstalowana ochrona rodzicielska. Warto zablokować dostęp do popularnych serwisów społecznościowych, takich jak Facebook i YouTube. Ponieważ czasami po działaniach uczniów na lekcjach informatyki system operacyjny nadaje się tylko do przeinstalowania, niektórzy nauczyciele korzystają także z oprogramowania do szybkiego przywracania obrazu dysku z kopii backupowej, aby komputer był sprawny na kolejną lekcję. Natomiast demonstrację niebezpiecznych działań na komputerze (kasowania plików systemowych, klikania w podejrzane linki itp.) warto prowadzić na wirtualnych maszynach, uruchomionych np. na serwerze NAS.

Jak się zabezpieczyć?

W placówkach publicznych infrastruktura IT jest podobna do istniejącej w przedsiębiorstwach komercyjnych. Dobór narzędzi ochronnych zależy od skali działalności, wiedzy pracowników i doświadczenia administratorów. W jednostkach publicznych bardzo zróżnicowany jest poziom korzystania z usług w chmurze publicznej. Większość administratorów jest wstrzemięźliwa, chociaż ten sposób przetwarzania i przechowywania danych jest dopuszczony przez prawo (można korzystać z usług podmiotów znajdujących się w Europejskim Obszarze Gospodarczym, ale zalecane jest podpisywanie umów z polskimi usługodawcami).

Jednym z największych wyzwań jest aktualizowanie oprogramowania. Niestety, wciąż brakuje ogólnopolskich wytycznych w tym zakresie, więc poszczególne instytucje działają po swojemu. Muszą korzystać z opracowanych centralnie narzędzi tylko w przypadku ujednoliconych w skali kraju procedur, np. wydawania dowodów osobistych, meldowania obywateli, rejestracji działalności gospodarczej, obsługi podatkowej w urzędach skarbowych itp. Poza tym ogólnie wiadomo, że kupione przez instytucje publiczne licencje wykorzystywane są czasem przez kilkanaście lat, że stosuje się wiele aplikacji stworzonych z potrzeby chwili przez lokalnych programistów. Część programów wymaga konkretnej wersji systemu operacyjnego (np. wspomnianego Windows XP), nie współpracuje z nowymi wersjami Javy. Tymczasem korzystanie z nieaktualizowanych aplikacji powoduje, że cyberprzestępcy mają nie tyle ułatwione zadanie, co po prostu otwarte na oścież drzwi.

– Nie ułatwia sytuacji także fakt, że na stanowiskach informatyków w placówkach publicznych, szczególnie tych „w terenie”, często zatrudnione są osoby, których wiedza o bezpieczeństwie nie należy do szerokich – twierdzi Bogdan Lontkowski, dyrektor regionalny Ivanti na Polskę, Czechy, Słowację i kraje bałtyckie. – W przeciwnym przypadku łatwo znaleźliby pracę w sektorze prywatnym, za znacznie większe pieniądze. Chociaż trzeba przyznać, że sytuacja się poprawia. Ponieważ zespoły IT są często zbyt małe, a informatycy przepracowani, warto proponować klientom z sektora publicznego narzędzia, które automatyzują proces aktualizacji aplikacji, by wyeliminować jedno z największych zagrożeń atakami.

Naturalnie w każdej placówce, której sieć podłączona jest do internetu, należy stosować narzędzia do ochrony brzegowej (UTM-y, firewalle nowej generacji) oraz antywirusy. Ale nie obejdzie się bez zdobywania profesjonalnej i aktualizowanej wraz z pojawianiem się nowych zagrożeń wiedzy. Dlatego integratorzy powinni naciskać, aby podpisywane z nimi umowy w zakresie utrzymania systemów dotyczyły także współpracy w opracowywaniu polityki bezpieczeństwa, której nieodłącznym elementem jest ocena ryzyka i zdefiniowane sposoby przeciwdziałania atakom. Dzięki temu łatwiej też podejmować decyzje dotyczące tego, czy aplikacje i przetwarzane przez nie informacje mogą być przeniesione do chmury publicznej, czy powinny zostać w serwerowni danej placówki.

RODO obowiązuje wszędzie

Rozporządzenie o ochronie danych osobowych, które w ubiegłym roku spędzało sen z oczu wielu administratorom IT, obowiązuje także w placówkach sektora publicznego. Wiele z nich dysponuje danymi szczególnie wrażliwymi, których ujawnienie może mieć przykre dla obywateli skutki, np. groźby szantażu czy kradzież tożsamości. Z drugiej strony instytucja, z której wyciekły dane, może nie tylko być pozwana do sądu, ale jej zarządcy mogą także ucierpieć „politycznie”.

Placówki publiczne, tak jak przedsiębiorstwa, zobowiązane są przez RODO do stworzenia polityki bezpieczeństwa i oceny ryzyka wycieku informacji oraz przeciwdziałania mu. Powinny więc zdefiniować procedury postępowania oraz wdrożyć je za pomocą odpowiednich narzędzi IT. Oczywiście, w obu przypadkach ułatwią im to integratorzy. Szczególną uwagę należy zwrócić na kwestie utylizacji sprzętu. Wielokrotnie ujawniano przypadki, gdy wycofany z użytku sprzęt trafiał na śmietnik, zabierali go do domu pracownicy lub pojawiał się… na portalach aukcyjnych (najsłynniejszy przykład to 12 dysków z poufnymi danymi z Ministerstwa Spraw Zagranicznych, które w 2004 r. trafiły do redakcji tygodnika „Nie”).

Podczas tworzenia procedur zarządzania danymi w instytucjach publicznych należy jednak pamiętać o kilku wyjątkach. Przede wszystkim nie obowiązuje ich prawo do bycia zapomnianym. Wszyscy obywatele mają natomiast prawo wglądu w przetwarzane przez placówkę dane i korekty, jeżeli zauważą błędy. Instytucje publiczne, podobnie jak podmioty komercyjne, są zobowiązane także do minimalizowania ilości posiadanych danych. Mogą przetwarzać tylko te, które są niezbędne do prowadzenia ustawowej działalności.
Z RODO związana jest również kwestia backupu gromadzonych przez instytucję publiczną informacji. W sytuacji, gdy dane są poprawiane w bazie produkcyjnej lub usuwane z niej, pozostają niezmienione w wykonanej wcześniej kopii. W przypadku wystąpienia problemu z bazą i konieczności jej odtworzenia z kopii backupowej usunięte lub zmodyfikowane dane wrócą i znów będą przetwarzane – wbrew prawu i woli właściciela. Twórcy rozporządzenia o ochronie danych osobowych uznali, że problem rozwiążą procedury organizacyjne, zgodnie z którymi w momencie wykonania backupu  rozpoczyna się proces tworzenia listy wprowadzanych zmian. Gdy wystąpi konieczność odtworzenia danych z kopii, należy zgodnie ze wspomnianymi procedurami nanieść zanotowane zmiany. Dopiero po tej operacji można dopuścić bazę z danymi osobowymi do ponownego użytku produkcyjnego.

Artykuł Urzędy, szkoły, szpitale: dużo polityki, mało bezpieczeństwa pochodzi z serwisu CRN.

Artykuł Kto stał za WannaCry? pochodzi z serwisu CRN.

W walce z cyberzagrożeniami wciąż problem stanowi zbyt późne identyfikowanie ataków. W szybkim wykrywaniu incydentów i reagowaniu na nie pomóc mają rozwiązania w rodzaju SIEM (Security Information and Event Management), zapewniające szeroki wgląd w system IT oraz funkcje monitorowania i analizy zdarzeń w czasie rzeczywistym. Problem w tym, że często wgląd ten bywa zbyt szeroki, dostarczana jest masa danych i trudno wyłowić te, które mają jakieś znaczenie. Dlatego z jednej strony rośnie rola zewnętrznych usług, a z drugiej automatyzacji – usprawniającej wykrywanie zagrożeń i bazującej na algorytmach maszynowych.

DOBRY FIREWALL TO WCIĄŻ PODSTAWA

Gdy zaobserwowano jak duże szkody wyrządził ransomware WannaCry zmieniło się podejście do bezpieczeństwa sieci. Gdy coraz częściej mają miejsce ataki dnia zerowego, w których wykorzystywane są nieujawnione wcześniej luki w zabezpieczeniach systemów i aplikacji, UTM oparty na zabezpieczeniach sygnaturowych przestaje wystarczać.

– Tradycyjne narzędzia nie zapobiegną już atakowi, w wyniku którego dojdzie do zaszyfrowania dysków lub innych szkód – tłumaczy Mariusz Bajgrowicz, Security Product Manager w Ingram Micro.

Podstawą aktywnej ochrony sieci pozostaje zatem UTM, ale już nie tylko z typowymi licencjami obejmującymi: antywirus, antyspam, IDS/IPS i podstawowy filtr sieciowy. Nowe platformy zapewniają detekcję i zapobieganie zaawansowanym atakom, a także działania naprawcze. W tym celu mogą wykorzystywać heurystykę i analizę zachowań, sandboxing, sieci reputacyjne, zarządzanie informacją o zagrożeniach (Threat Intelligence) i inne mechanizmy.

Rosnącą popularnością cieszy się zwłaszcza sandboxing, który jest realizowany w chmurze albo lokalnie, w ramach platformy sprzętowej. Są klienci, którzy wybierają sandboxing jako uzupełnienie posiadanych rozwiązań UTM. W ostatnich latach nastąpił znaczny spadek cen sprzętu, po części spowodowany agresywną polityką producentów, którzy chcą w ten sposób zwiększać swoje udziały rynkowe. Firmy używające kilkuletnich urządzeń często decydują się zatem na ich wymianę na zupełnie nowe, oferujące więcej funkcji, w tym właśnie „piaskownicę”.

Nawet, gdy firma już dysponuje tak wyrafinowanymi mechanizmami, jak sandboxing, administrator nie może zapominać o podstawowych regułach zapewnienia bezpieczeństwa. Dlatego bardzo ważną funkcją platformy ochronnej jest wymuszanie instalowania aktualizacji systemowych na urządzeniach końcowych, jak tylko się pojawią. Warto zwracać zatem uwagę klientów na fakt, że pozostawienie niezałatanej luki jest jak otwarcie drzwi do systemu informatycznego z zaproszeniem do ataku. Można przy tym demonstrować, jak proces dostarczania łatek jest realizowany przez poszczególnych producentów platform bezpieczeństwa sieciowego.

Istotnym elementem UTM powinna być także ochrona sieci bezprzewodowych. O ile LAN bywa dobrze zabezpieczony, o tyle o firmy zwykle zapominają o WiFi. Punkty dostępowe, przez które łączy się wiele osób, są bardzo często pozbawione ochrony realizowanej przez UTM, a zatem rozwiązanie, które integruje bezpieczeństwo obu rodzajów sieci, bardzo się przydaje.

SZYFROWANIE TO BROŃ OBOSIECZNA

Wzrost ilości przesyłanych zaszyfrowanych danych, które w październiku ubiegłego roku stanowiły aż połowę globalnego transferu (generowanego zarówno przez zwykłych użytkowników, jak i cyberprzestępców), postawił przed specjalistami ds. cyberbezpieczeństwa nowe wyzwania związane z monitorowaniem zagrożeń. Z jednej strony stosowane obecnie na dużą skalę szyfrowanie połączeń i danych w spoczynku wyraźnie zwiększa poziom ich bezpieczeństwa, z drugiej także cyberprzestępcy wykorzystują ruch szyfrowany, np. w celu ukrycia zapytań wysyłanych do serwerów Command and Control. W ciągu ostatniego roku eksperci Cisco zaobserwowali trzykrotny wzrost częstości wykorzystywania szyfrowanej komunikacji sieciowej w sprawdzanym ruchu związanym z plikami malware. Konieczne staje się więc użycie właściwych mechanizmów ochrony.

W efekcie niezbędnym elementem zabezpieczenia firmowych sieci są wszelkiego rodzaju bramy VPN. Rozwiązania przeciwdziałające atakom, bazujące na ruchu zaszyfrowanym, wchodzące w skład nowoczesnych platform UTM/NGFW lub oferowane jako oddzielne produkty, przeprowadzają analizę źródeł komunikacji i certyfikatów bezpieczeństwa oraz wykorzystują proxy SSL. Ten ostatni mechanizm zapobiega nawiązaniu bezpośredniej komunikacji z urządzeniem końcowym i – działając zgodnie ze schematem legalnego „man in the middle” – rozdziela jedno połączenie na dwa: ze źródłem ruchu i z chronionym użytkownikiem.

Czasy, gdy na zakup NGFW mogli sobie pozwolić tylko najwięksi i najbogatsi klienci, to już przeszłość. Producenci coraz częściej oferują rozwiązania, które mogą chronić zarówno małe firmy, jak i korporacje. Zapewniają, jeśli nie taki sam, to bardzo zbliżony poziom zabezpieczeń. Ceny można zatem dostosować do finansowych możliwości klienta.

– Inna jest tylko wielkość „pudełka”, skalowalność i wydajność rozwiązania. Natomiast wykorzystywane są te same silniki antywirusowe, tak samo działa obsługa SSL i sandboxing – wyjaśnia Mariusz Bajgrowicz.

KONTROLA DOSTĘPU, ZWŁASZCZA UPRZYWILEJOWANEGO

Kontrola dostępu do sieci to jeden z najistotniejszych aspektów bezpieczeństwa sieciowego. Decyduje o tym, kto ma dostęp, do jakiego zasobu i przy użyciu jakiego urządzenia. Może zapobiec łączeniu się z siecią z nieautoryzowanych urządzeń, ograniczyć dostęp do określonych plików i zasobów sieciowych, określić jakie uprawnienia powinny być przydzielone poszczególnym osobom w firmie. Uwzględnione w procesie projektowania sieci mechanizmy kontroli dostępu ułatwiają wprowadzanie zawartej w przepisach RODO zasady Privacy by Design i zapobiegają kradzieży informacji.

Obecnie stosowanie całościowych rozwiązań typu Network Access Control w przedsiębiorstwach jest utrudnione. Kontrolą dostępu muszą być bowiem objęte nie tylko zestandaryzowane korporacyjne komputery PC, ale i mnóstwo rozmaitego sprzętu mobilnego (często będącego własnością użytkowników). Do tego dochodzą urządzenia tworzące Internet rzeczy, zwirtualizowane serwery itp. W dodatku do sieci podłączają się nie są tylko pracownicy firmy, ale także usługodawcy, serwisanci, partnerzy, dostawcy lub goście. Dlatego producenci zaczęli się skupiać na określonych rodzajach dostępu, tworząc prostsze w użyciu, a dzięki temu skuteczniejsze narzędzia ochronne.

Ze względu na nowe przepisy o ochronie danych osobowych dostawcy zwracają uwagę klientów na to, jak ważne staje się zarządzanie dostępem uprzywilejowanym. Rośnie potrzeba stosowania rozwiązań Privileged Access Management, zwłaszcza wykorzystania ich podstawowych funkcji, czyli nagrywania sesji i zarządzania hasłami. Wynika to przede wszystkim z coraz powszechniejszego wykorzystania w firmach outsourcingu, który sprawia, że użytkownikom spoza firmy przydziela się dostęp do najważniejszych jej zasobów (w tym wrażliwych danych), często właśnie na poziomie uprzywilejowanym, a przy tym bardzo słabo kontrolowanym. Standardowa funkcja PAM, czyli nagrywanie sesji, po pierwsze zapewnia bezpieczeństwo (zniechęcając zarejestrowanego użytkownika do nadużyć i prowadząc dokumentację wszelkich działań potrzebną do audytu i ewentualnych dochodzeń śledczych), po drugie – umożliwia dokładne rozliczanie z wykonanej pracy.

Jednak rozwiązania PAM to dużo więcej niż nagrywanie sesji. Dzięki nim można ułatwić klientom ochronę zasobów i przestrzeganie regulacji prawnych bądź branżowych przez zabezpieczanie, zarządzanie oraz monitorowanie uprzywilejowanych kont i uzyskiwanego za ich pomocą dostępu. Taka ochrona obejmuje różne elementy systemowe i infrastrukturalne – od systemów operacyjnych, baz danych i aplikacji po urządzenia sieciowe, wirtualizatory i chmurowe aplikacje SaaS.

ZA DUŻO ALERTóW, ZA MAŁO SPECJALISTóW

Rozwiązania typu UTM/NGFW to bardzo pożyteczne, wręcz niezbędne narzędzia do ochrony sieci – pokazują, co się dzieje w systemie. Informacje są zapisywane w logach, które następnie gromadzi rozwiązanie SIEM. Ma to pomóc w szybkim wykrywaniu incydentów i reagowaniu na nie, zapewniając szczegółowy wgląd w system IT oraz funkcje monitorowania i analizy zdarzeń w czasie rzeczywistym. To kolejny element, na którym powinno bazować zabezpieczanie sieci w każdym przedsiębiorstwie, tym bardziej że platformy SIEM „trafiły pod strzechy”.

– Jeszcze kilka lat temu tego typu rozwiązania, oferowane przez zaledwie kilku dostawców, były drogie i przeznaczone wyłącznie dla bardzo dużych firm. Nawet średnie przedsiębiorstwa nie brały pod uwagę zakupu tego produktu – zauważa Krzysztof Hałgas, dyrektor Bakotechu.

Obecnie w sprzedaży znajduje się ogromna liczba narzędzi zapewniających agregowanie i korelowanie logów systemowych. A SIEM stał się podstawowym elementem ochrony sieci, szczególnie że jako rozwiązanie gromadzące informacje o tym, to co się w niej zdarzyło, zyskuje na znaczeniu w kontekście RODO.

Administratorzy muszą się obecnie mierzyć z wielką masą informacji generowanych przez platformy UTM/NGFW/IDS/IPS, agregowanych i korelowanych przez rozwiązania typu SIEM. Problemem jest jednak trudna do prześledzenia liczba ujawnianych zdarzeń, z których zdecydowana większość jest odchyleniem od normy, ale w rzeczywistości nie ma związku z żadnym atakiem. Przykładowo, skanowanie portów serwera może być wstępem do ataku, ale najczęściej nie jest.
 

– Jeśli administratorzy mają pod opieką środowisko złożone z wielu setek czy tysięcy urządzeń, z których SIEM agreguje logi i wysyła alerty o każdym podejrzanym zdarzeniu, w krótkim czasie przestają w ogóle reagować na te ostrzeżenia – twierdzi Paweł Rybczyk, Business Developer CEE&Russia w firmie Wallix.

W dodatku na rynku brakuje specjalistów ds. bezpieczeństwa, którzy mogliby logi sprawdzać i interpretować. To szansa dla integratorów, którzy w charakterze dostawców zewnętrznych usług zarządzanych mogą rozbudować ofertę dla klientów o Security Operations Center as a Service. Oczywiście musi być to usługa z prawdziwego zdarzenia, bo oferowanie klientowi sprawdzania logów raz na tydzień mija się z celem.

AUTOMATYZACJA, A NAWET SZTUCZNA INTELIGENCJA

Równolegle do rozwoju usług zewnętrznych będzie rosło znaczenie rozwiązań, które – wykorzystując sztuczną inteligencję oraz uczenie maszynowe – mogą automatycznie analizować ruch sieciowy. Mechanizm ich działania polega na uczeniu się wzorców w działającej sieci i na tej podstawie identyfikowaniu odchyleń od normy. Obserwujemy obecnie pierwsze zastosowania sztucznej inteligencji w zakresie bezpieczeństwa sieciowego.

– Celem jest użycie algorytmów zamiast sygnatur w analizie ruchu sieciowego po to, by liczba alertów zmniejszyła się z tysięcy do kilku tygodniowo, za to rzeczywiście istotnych dla bezpieczeństwa – wyjaśnia Paweł Rybczyk.

Według autorów raportu Cisco 2018 Annual Cybersecurity Report wdrażanie rozwiązań z zakresu uczenia maszynowego zwiększy bezpieczeństwo sieci, ponieważ w dalszej perspektywie mogą one „nauczyć się” wykrywać wzorce w szyfrowanych połączeniach, chmurze oraz środowisku Internetu rzeczy. Część z 3,6 tys. profesjonalistów, którzy wzięli udział w ankiecie Cisco, przyznaje, że chętnie uzupełniłoby portfolio posiadanych narzędzi o rozwiązania z zakresu uczenia maszynowego oraz sztucznej inteligencji, ale zniechęca ich duża liczba błędnych alertów (false positives) generowanych przez te systemy. Dalszy rozwój wspomnianych, wciąż nowatorskich, technik zapewne znacząco zwiększy liczbę prawidłowych wskazań w monitorowanym środowisku sieciowym.

Artykuł Bezpieczeństwo sieci: od podstaw do sztucznej inteligencji pochodzi z serwisu CRN.

Niestety, zmienił się również sposób rozpowszechniania się infekcji. Początkowo cyberprzestępcy przesyłali złośliwe oprogramowanie w załącznikach korespondencji e-mail czy zamieszczali malware na stronach WWW. Obecnie programy szyfrujące coraz częściej przybierają postać robaka internetowego mającego na celu samoistne kopiowanie się w sieci dzięki wykorzystaniu słabych punktów w systemach operacyjnych Windows.

Rodzimy biznes raczej zdaje sobie sprawę z nowych zagrożeń, jednakże w dalszym ciągu podstawą zabezpieczeń w polskich firmach są techniki stosowane od dziesięcioleci – zapory ogniowe poprzedniej generacji oraz oprogramowanie antywirusowe. Rozwiązania te nie zabezpieczają przed pełnym spektrum możliwych ataków, a brak integracji między nimi sprawia, że zarządzanie całością ochronny nie jest skalowalne.

Architektura Cisco Ransomware Defense

Z uwagi na wyzwania, jakie twórcy aplikacji szantażujących stawiają przed użytkownikami Internetu, specjaliści Cisco stworzyli architekturę Cisco Ransomware Defense.W ten sposób przyspieszyli proces wykrywania infekcji i kompleksową ocenę ich wpływu na sieć klienta. Ponadto zastosowane mechanizmy integracji zapewniają automatyzację procesów zarządzania infrastrukturą, co stanowi znakomitą alternatywę dla rozwiązań punktowych.

W skład nowej architektury CRD wchodzi szereg rozwiązań i funkcji. Spośród nich należy wymienić Cisco Advanced Malware Protection (AMP) for Endpoints. W przeciwieństwie do systemów antywirusowych, Cisco AMP umożliwia ocenę stanu całej sieci IT, gdyż wskazuje administratorowi, które stacje końcowe są zainfekowane złośliwym oprogramowaniem i w jaki sposób rozpowszechniło się ono w sieci (pokazuje mapę tego ruchu). Ponadto Cisco AMP zapewnia retrospektywną analizę oprogramowania. Oznacza to, że plik jest analizowany nie tylko, gdy wchodzi do sieci użytkownika – system bowiem nieustannie analizuje stan stacji i potrafi wychwycić zachowania typowe dla złośliwego oprogramowania (Indicator of Compromise, IOC). Administrator może otrzymać informację zwrotną z chmury Cisco o zmianie dyspozycji pliku nawet po jego wejściu do sieci lokalnej.

Prawie każde oprogramowanie szyfrujące korzysta z DNS, dlatego tak istotne jest monitorowanie tych zapytań wraz z blokowaniem dostępu do źródeł zagrożenia. Stąd duże znaczenie Cisco Umbrella, które nie wymaga instalacji dodatkowego sprzętu, a proces uruchomienia „parasola” zajmuje jedynie kilkanaście minut. Podobnie jak Cisco AMP, chroni użytkownika końcowego niezależnie od tego, czy jest podłączony do sieci firmowej, czy korzysta z sieci niezaufanej. Umożliwia monitorowanie ruchu internetowego oraz dostarcza szczegółowe analizy i statystyki dotyczące zagrożeń.

Kolejna istotna kwestia dotyczy poczty elektronicznej, która wciąż stanowi najczęściej wykorzystywaną przez hakerów „furtkę”. Zastosowanie skutecznych mechanizmów antyphishingowych czy analizy hiperłączy w e-mailach – jak Cisco Email Security z Advanced Malware Protection (AMP) – pozwala wydatnie ograniczyć ilość szkodliwej poczty przychodzącej do skrzynek odbiorczych pracowników firmy. Ponadto wykorzystanie Cisco AMP w bramkach e-mailowych umożliwia gruntowną analizę każdego przychodzącego załącznika.

Wspomniany przykład ataków WannaCry i Petya nie tylko po raz kolejny pokazał, jak ważne dla bezpieczeństwa jest aktualizowanie oprogramowania, ale również jak duża liczba użytkowników zapomina bądź nie ma możliwości zainstalowania krytycznych poprawek do programów. Z tego względu konieczne jest zastosowanie rozwiązań Next-Generation IPS (Intrusion Prevention System), które wykrywają i blokują znane ataki na podstawie odkrytych słabych punktów w firmowej sieci. Do takich należy Cisco Firepower Next-Generation Firewall z Next-Generation IPS (NGIPS) oraz Advanced Malware Protection (AMP).

Natomiast Cisco Identity Services Engines (ISE) to element przydatny do realizacji jednej z najlepszych praktyk budowania bezpiecznych sieci komputerowych, jaką jest mikrosegmentacja oraz zadbanie o kontrolę dostępu użytkowników końcowych do odpowiednich zasobów. Dzięki temu, nawet jeżeli dojdzie do ewentualnej infekcji sieci oprogramowaniem szyfrującym, zakres ataku zostanie skutecznie ograniczony, a administratorzy będą mieli łatwiejsze zadanie podczas przywracania zainfekowanych stacji do działania.

Trendy pokazują, że ataki typu ransomware, które sieją tak wiele spustoszenia na całym świecie, będą dalej ewoluowały. W sporej mierze od resellerów i integratorów zależy, jak klienci zabezpieczą swoje firmy przed tym zagrożeniem.

Artykuł Ochrona przed ransomware’em dla każdego pochodzi z serwisu CRN.