Zagrożenia IT ulegają ciągłym zmianom, co wymaga od firm dynamicznego reagowania na nowe metody i kierunki ataków. Co więcej, od kilku lat widać, że atakujący działają z coraz większą finezją i dotychczas stosowane zabezpieczenia stały się mało skuteczne.

Prewencyjne i reakcyjne zabezpieczenia – jak antywirusy czy skanery sieci – które przedsiębiorstwa stosują od lat, przestały być wystarczająco efektywne, aby zabezpieczyć firmowe środowisko IT przed współczesnymi, celowymi atakami. Cały świat słyszał o włamaniach do największych korporacji, choćby o najbardziej spektakularnym przypadku Sony w 2014 r. Te zdarzenia potwierdzają, że nie można ignorować zmieniającego się krajobrazu zagrożeń. Zamiast reagować na mające miejsce incydenty, należy wdrażać narzędzia aktywnie wykrywające zagrożenia i unieszkodliwiające je zanim wymkną się spod kontroli.

Ochrona brzegu sieci już nie wystarczy

Impulsy do wprowadzania zmian pochodzą zarówno z działu IT, jak i z zewnątrz. Infrastruktura IT jest w coraz większym stopniu zwirtualizowana i zmierza w kierunku przetwarzania w chmurze. W korporacyjnych środowiskach IT pojawiły się tablety i smartfony.

Przez dwie dekady podstawowym założeniem cyberbezpieczeństwa była ochrona brzegu sieci: zapory sieciowe, systemy IDS/IPS, podwójna autoryzacja, itp. Wciąż są to kluczowe komponenty systemu obrony. Jednakże dzisiaj konieczne jest podejście, które może popchnąć naprzód rozwój zabezpieczeń. Nie można też ograniczać się do ochrony komputerów używanych w biurze, ponieważ dzisiejsze środowisko IT w firmach często rozciąga się na kilka sieci, w których pojawia się wiele urządzeń mobilnych. Co więcej, użytkownicy powszechnie korzystają z aplikacji działających w chmurach publicznych.

Nowe modele IT budowane na chmurze, mobilności i nowoczesnych centrach danych wymagają świeżej taktyki bezpieczeństwa. Osoby zajmujące się zabezpieczeniami muszą stawić czoła coraz bardziej rozproszonym aplikacjom i flocie urządzeń mobilnych, a jednocześnie odpierać ataki, w których próbuje się wykorzystać nowe luki w bezpieczeństwie. Dlatego tradycyjna infrastruktura zabezpieczeń opierających się na założeniu ochrony brzegu sieci przestała się sprawdzać. Tak, jak biznes zaczął wychodzić poza granice firmowego środowiska IT, to samo stało się z zagrożeniami i cyberatakami.

Jak więc firmy powinny zabrać się do opracowania nowej strategii bezpieczeństwa? Warto przeanalizować najgłośniejsze ataki z ostatnich dwóch lat, aby dostrzec najsłabsze ogniwa, które wymagają wzmocnienia.

Zautomatyzowanie reagowania na incydenty

Wiele systemów reagowania na naruszenia bezpieczeństwa wciąż jest budowanych na bazie manualnych procesów. Efektem tego jest opóźnienie pomiędzy wykryciem włamania, a reakcją na nie. Dlatego logicznym rozwiązaniem jest zautomatyzowanie podejmowania przeciwdziałań. To zmniejsza presję na administratorów. Dobrym przykładem jest automatyczne izolowanie maszyn wirtualnych, które zostały zaatakowane, i uruchamianie nowych w celu zapewnienia ciągłości pracy aplikacji produkcyjnych. Co więcej, automatyzacja procesów bezpieczeństwa może zniwelować skutki niedoboru pracowników czy innych zasobów IT.

Rozwiązania anty-APT

Natura zaawansowanych zagrożeń sprawia, że są trudne do wykrycia i usunięcia. APT (Advanced Persistent Threat) są projektowane tak, aby w ukryciu działać przez dłuższy czas, nasłuchując i przechwytując ważne dane. Ponadto mogą wykorzystywać wiele płaszczyzn ataku. Włamanie do dużej firmy oznacza milionowe straty, warto więc podjąć wysiłek ochrony przed APT. Są do tego potrzebne przede wszystkim analityczne narzędzia klasy Security Analytics, za pomocą których można zbierać i przetwarzać dane z różnych systemów, aby wykrywać objawy typowe dla tych zagrożeń

Działania wywiadowcze

Włamywacze muszą wykonać określone czynności, aby włamać się do sieci i wykraść dane. Muszą użyć szkodliwego kodu, aby zdobyć przyczółek, a następnie przez dłuższy czas utrzymać się w zaatakowanych komputerach, co wiąże się z koniecznością utworzenia połączenia na zewnątrz. Często także atakujący wykonują różne ruchy w sieci.

Większość tradycyjnych zabezpieczeń nie daje możliwości śledzenia tego typu aktywności z dokładnością umożliwiającą identyfikację zagrożenia. W wielu firmach nawet nie podejmuje się prób aktywnego szukania włamywaczy. A przecież wiedząc, jakie są objawy wrogiej działalności i aktywnie walcząc z nią, można szybko wykryć włamanie i podjąć stosowne przeciwdziałania. Natomiast jeśli pozwoli się włamywaczom grasować miesiącami po firmowej sieci, prawie zawsze skończy się to poważnymi stratami dla takiej firmy.

Fundamenty bezpieczeństwa chmury

Bezpieczeństwo jest jedną z głównych przeszkód we wdrażaniu rozwiązań cloud computing. Firmy często wyrażają obawy o bezpieczeństwo danych przechowywanych w nieswojej infrastrukturze, podczas gdy dostawcy chmury nie zawsze w pełni przejrzysty sposób informują o zakresie odpowiedzialności za bezpieczeństwo i priorytetach w tym obszarze.

Obie strony mają jeszcze wiele do zrobienia, aby osiągnąć możliwie najlepsze rezultaty z projektów cloud computing. Przedsiębiorstwa mogą korzystać z chmurowych narzędzi bezpieczeństwa (jak np. usługa DDoS Protection oferowana przez nas), które razem z platformami analitycznymi posłużą do śledzenia tego, co dzieje się z zasobami w chmurze.

Z kolei operatorzy chmurowi powinni oferować bardziej przejrzyste umowy SLA. Ostatecznym rezultatem powinien być lepszy wgląd w wykorzystanie chmury i możliwość śledzenia potencjalnych zagrożeń. Osoby odpowiedzialne za bezpieczeństwo będą też miały większe szanse na podejmowanie aktywnych działań w celu zwalczania zagrożeń.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn