W ciągu ostatniego roku doszło do wielu poważnych naruszeń bezpieczeństwa. Wpłynęły one na miliony organizacji. Skradzione zostały dziesiątki milionów nazwisk wraz z danymi osobowymi. Skutkowało to odszkodowaniami wartymi miliardy dolarów. Ale przecież inwestowaliśmy więcej czasu i pieniędzy w cyberbezpieczeństwo niż kiedykolwiek wcześniej. Co w takim razie poszło nie tak?
Większość z tych naruszeń ma jedną wspólną cechę. Zespoły IT nie stosują podstawowych zasad higieny bezpieczeństwa. Cyberprzestępcy celują w znane im luki w zabezpieczeniach, ponieważ wiedzą, iż większość organizacji nie będzie łatać ani wymieniać narażonych urządzeń.
WannaCry celowała w lukę dla której od miesięcy dostępna była łata. Petya poszła miesiąc później tym samym tropem i zaatakowała tą samą lukę. Miliony urządzeń są stale skutecznie atakowane, powinniśmy się wstydzić.
Oczywiście łatwo jest obwiniać. Istnieją jednakże powody tego, dlaczego zapomnieliśmy o wykonywaniu podstawowych czynności. A oto kilka z nich:
Sieci naprawdę się skomplikowały.
Pytanie jak wiele można dodawać nowych ekosystemów do środowiska sieciowego zanim zespół IT dojdzie do punktu krytycznego. SDN, IoT [Internet Rzeczy], prywatne chmury, multichmury, shadow IT - lista stale się wydłuża. Ilość czynności związanych z transformacją cyfrową nie pozostawia wiele czasu na usuwanie dziur i podatności.
Zmniejszyła się widoczność
Skalowalność dynamiczna to naprawdę wspaniała rzecz. Jednakże w momencie, gdy niektóre urządzenia istnieją w sieci tylko przez kilka minut, zwykła konfiguracja i koordynacja aplikacji oraz usuwanie polityk - szczególnie w przypadku wielu hipernadzorców- może zabrać mnóstwo czasu. Utrzymywanie roboczego inwentarza elementów, które wymagają "łatania" lub aktualizacji w takim środowisku może być naprawdę trudne. Dodając do tego tysiące lub miliony nowych urządzeń IoT, wyzwania związane z BYOD, środowiska oparte na multichmurach można łatwo przegapić ukryte w kącie urządzenie, które desperacko wymaga aktualizacji. Ale cyberprzestępcom wystarczy zaatakować wyłącznie jedno urządzenie, jeżeli znajduje się ono w odpowiednim miejscu.
Widoczność to nie tylko urządzenia śledzące.
Musimy wiedzieć, do których urządzeń i zasobów aplikacje mają dostęp, gdzie znajdują się dane, kto ma do nich dostęp oraz którędy przebiega przepływ pracy. Dodajmy do tego urządzenia offline, oprogramowanie oraz usługi gromadzenia danych oparte na chmurze, coraz więcej infrastruktur działających w oparciu o multichmurę, a śledzenie tego wszystkiego może stać się pracą na pełen etat. Jednakże jeżeli Twoja firma działa jak większość organizacji, to nie otrzymałeś budżetu, aby zatrudnić kolejnego inżyniera IT, który mogłyby to zrobić. A nawet jeżeli masz budżet na dodatkowy personel, osobom tym przypisane zostaną zdania polegające na ratowaniu sieci przed "przegrzaniem".
Częścią wyzwania jest to, iż wciąż staramy się na nowo odkryć Amerykę, a tak na prawdę nie od tego powinniśmy zacząć. Nasze tradycyjne podejście do bezpieczeństwa obejmowało kupowanie każdego nowego dostępnego świetnego rozwiązania bezpieczeństwa w celu zatkania "luki dnia", bez względu na to, gdzie się ona pojawiła. Oznacza to, że zaimplementowaliśmy setki narzędzi w naszej sieci, które pochodzą od różnych dostawców. Narzędzia te nie komunikują się ze sobą ani nie dzielą informacji. Zamiast tego, zespoły IT zarządzają nimi przeciętnie poprzez około czternaście różnych konsoli bezpieczeństwa, które sprawiają, iż rzeczy takie jak korelacja zagrożeń stają się prawie niemożliwe. A następnie, kiedy dodajemy nowe środowisko takie jak SDN lub chmura, rozpoczynamy wszystko od nowa i często korzystamy z usług wielu różnych producentów zabezpieczeń.
No i niby jak zespoły IT mają na tym nadążyć? Oczywiście to właśnie kochają cyberprzestępcy. W ciągu ostatnich kilku lat czas pomiędzy pojawieniem się naruszenia a wykonaniem ataku - kradzieżą informacji, szyfrowaniem danych lub innym - spadł z trzydziestu do mniej niż dziesięciu minut. Jednak czas potrzebny na wykrycie zaawansowanych zagrożeń, głownie z powodu skomplikowanej natury naszych sieci oraz braku współpracy urządzeń zabezpieczających, zwiększył się i jest mierzony w tygodniach, a nawet miesiącach. Większość z tych ataków nigdy nie zostaje wykryta. Cyberprzestępcy siedzą jak pasożyty, unikając wykrycia i wysysając życie z naszych organizacji.
Ale wcale nie musi tak być. Oto sześć rzeczy, które każda organizacja musi wziąć pod uwagę przy rozważaniu kwestii bezpieczeństwa, szczególnie w obliczu chaosu i presji czasu sieci przechodzącej transformację cyfrową.
1. Należy założyć, iż zagrożenie jest faktem.
Naprawdę. Stałe zadawanie sobie pytania "więc co stanie się, kiedy nasza sieć zostanie naruszona?" może radykalnie zmienić podejście do środowiska zabezpieczeń. Powinno się to zacząć od wyeliminowania jak największej części ryzyka związanego z naszą siecią, jeszcze przed zastosowaniem pierwszego urządzenia bezpieczeństwa.
2. Złożoność wymaga prostoty.
Nie popełnij błędu polegającego na próbie zabezpieczania coraz bardziej skomplikowanego środowiska sieciowego skomplikowanymi rozwiązaniami bezpieczeństwa. Oprzyj swoje standardy na ofercie kilku producentów, szczególnie tych, którzy - w stopniu w jakim jest to możliwe - pozwolą ci zarządzać różnymi urządzeniami w pojedyńczym, wspólnym inferfejsie. Dla elementów, które tego wymagają szukaj poza tym otwartych standardów i API, które pozwolą im wykorzystać istniejące narzędzia zarządzania.
3. Wdrażaj kontrolę wyposażenia i IoC.
Zdobądź narzędzie, które może śledzić wszystkie twoje urządzenia gdziekolwiek się znajdują - nawet te, które działają tylko przez kilka minut. Narzędzie to nie tylko musi znać każde urządzenia w twojej sieci, ale także musi być także w stanie identyfikować i oceniać wskaźniki zagrożenia, aby upewnić się, iż urządzenia są łatane, aktualizowane oraz wymieniane.
4. Integracja jest kluczowa.
Zaawansowane zagrożenia często wymagają dużej ilości danych, aby je wykryto, począwszy od czujników po Sandboxy. Jeżeli urządzenie wykryje nowy atak lub naruszenie, musi powiadomić o tym inne urządzenia, a nie tylko inne zapory sieciowe od tego samego producenta. Wszystkie systemy muszą zostać powiadomione - firewalle aplikacyjne, urządzenia IPS, bramki poczty e- mail i bramki bezpieczeństwa sieci, punkty dostępu bezprzewodowego oraz stacje robocze. Trzeba natychmiast się uzbroić.
5. Korelacja ochrania sieci.
Nie wystarczy jedynie udostępnić informacji o zagrożeniach, twoja sieć musi także coś z tym zrobić. Po znalezieniu zdarzenia związanego z bezpieczeństwem sieć musi reagować w sposób całościowy i skoordynowany. Narażone urządzenia wymagają izolacji od sieci. Wszystkie urządzenia zabezpieczające muszą szukać tego samego. Segmentacja sieci wymaga skanowania w poszukiwaniu bocznego ruchu złośliwego oprogramowania. Twoje zabezpieczenia muszą działać jak pojedyńczy, zintegrowany system.
6. Zautomatyzuj swoją odpowiedź
W miarę możliwości sieć powinna być w stanie odpowiedzieć na atak lub lukę w zabezpieczeniach bez interwencji człowieka. Należy stosować łaty. Niełatane lub narażone systemy powinny zostać poddane kwarantannie, należy aktualizować zasady bezpieczeństwa, a systemy trzeba wzmacniać bez polegania na ludziach. Takie funkcje jak samodzielne uczenie się urządzeń i sztuczna inteligencja pozwalają sieci podejmować autonomiczne decyzje tak blisko punktu kompromisu, jak jest to możliwe. Cel stanowi redukcja luki pomiędzy wykryciem a jak najszybszą odpowiedzią, oznacza to podejmowanie decyzji w prędkości cyfrowej.
Z całą pewnością łatwiej jest to powiedzieć niż zrobić. Ale można tego dokonać, w rzeczy samej coraz więcej organizacji jest w stanie to zrobić. Rozpoczynają one ten proces od intensywnego planowania. Najlepsze miejsce rozpoczęcia stanowi zaprojektowanie i wdrożenie struktury bezpieczeństwa, która dynamicznie obejmuje całą rozproszoną sieć, nawet w multichmurze. Takie podejście pozwala na integrację, korelację oraz automatyzację nawet w najbardziej rozproszonych i złożonych środowiskach.
Niniejsza wzmianka pojawiła się pierwotnie w SecurityWeek.
Źródło: https://blog.fortinet.com/2017/11/15/stopping-threats- starts-with- getting-back- to-the-basics