Blog eksperta

Wdrażanie ram bezpieczeństwa cybernetycznego opartego na architekturze Zero Trust

Zapobieganie zagrożeniom w nowoczesnym świecie jako kierownik ds. bezpieczeństwa informacji

We współczesnym świecie, w którym w coraz większym stopniu zanika pojęcie granicy sieci, a dane są przechowywane na nośnikach trwałych lub przesyłane – zarówno w centrach danych, jak i na urządzeniach mobilnych użytkowników – zabezpieczenie najważniejszych zasobów przedsiębiorstw staje się coraz większym wyzwaniem.

Także cyberataki stają się coraz bardziej wyrafinowane, trudniejsze do wykrycia i zwalczania, a co gorsza nie stanowią już pojedynczych przypadków, bowiem przestępcy stali się dużo dokładniejsi i lepiej zorganizowani.

Znajdujemy się obecnie w sytuacji, w której atak może zostać wykupiony jako usługa, a przestępcy zapewniają zarówno wsparcie posprzedażowe, a także gwarancję skuteczności lub zwrot pieniędzy. Wszystko to sprawia, że organizacje i przedsiębiorstwa starające się ochronić przed ich skutkami stają przed naprawdę trudnym zadaniem i ogromnym wyzwaniem,

a życie kierownika ds. bezpieczeństwa informacji jeszcze nigdy nie było tak trudne jak dziś.

Czy wdrożenie najlepszego w swojej klasie rozwiązania następnej generacji w zakresie bezpieczeństwa stanowi odpowiedź na to wyzwanie?

Badania przeprowadzone przez spółkę Gartner wskazują, że w 2020 roku 99% przypadków naruszenia zapór ogniowych będzie wynikało z prostych błędów w konfiguracji, nie z wad oprogramowania.

W związku z tym coraz lepiej widoczna jest nadrzędna potrzeba opracowania ram pozwalających na wdrożenie najlepszych w swojej klasie rozwiązań w zakresie bezpieczeństwa w celu szybszego wykrywania i zwalczania ataków oraz naruszeń bezpieczeństwa, a także zdobycia doświadczenia pozwalającego na projektowanie, wdrażanie, testowanie i okresowe ocenianie skuteczności takich rozwiązań.

Która opcja jest lepsza? Podejmowanie środków zaradczych w celu poradzenia sobie ze skutkami naruszenia bezpieczeństwa czy ciągła kontrola, aby mieć pewność co do systemów ochraniających bezpieczeństwo cybernetyczne przedsiębiorstwa?

Przyjrzyjmy się bliżej tej kwestii, aby ułatwić osobom zainteresowanym podjęcie właściwej decyzji i znalezienie odpowiedzi na te pytania.

Wdrażanie ram opartych na architekturze Zero Digital Trust

Zasada Zero Digital Trust, czyli braku zaufania cyfrowego, stanowi fundament najskuteczniejszych ram bezpieczeństwa opracowanych w ostatnich latach. Najważniejszym elementem tej zasady jest jej prostota – domyślne odrzucanie wszystkich przepływów danych oraz leżąca u jej podstaw koncepcja minimalnego dostępu.

W artykule przedstawiamy sposób na efektywne wdrożenie zasady Zero Digital Trust w ekosystemie każdego przedsiębiorstwa oraz pokazujemy, co to oznacza w praktyce.

Pełna widoczność – GRANICY, SIECI, URZĄDZEŃ KOŃCOWYCH, CENTRUM DANYCH, w CHMURZE oraz w środowiskach SAAS

Ponad 60% ruchu sieciowego w przedsiębiorstwach to ruch szyfrowany związany z Internetem. Ten sam ruch stanowi nośnik różnego rodzaju negatywnych zjawisk i zagrożeń – złośliwego oprogramowania, oprogramowania typu ransomware, koni trojańskich, oprogramowania szpiegowskiego i wielu innych.

Wdrożenie kontroli SSL dla wychodzącego ruchu internetowego (w kierunku z przedsiębiorstwa do Internetu) oraz ruchu przychodzącego w przypadku serwerów, na których znajdują się najważniejsze aplikacje i usługi stanowi klucz do uzyskania pełnej kontroli nad przepływami danych związanych z aplikacjami. Jest to możliwe dzięki bezpośredniemu podglądowi ruchu aplikacji odbywającego się pod zaszyfrowaną warstwą.

Zmniejszenie liczby możliwych wektorów ataku – najszerszy zakres oraz największa dyscyplina bezpieczeństwa

Kolejnym krokiem jest zmniejszenie liczby możliwych wektorów ataku poprzez wdrożenie modelu bezpieczeństwa opartego na zasadzie „Kto potrzebuje dostępu, do jakiego zasobu, w jaki sposób i przy użyciu jakich narzędzi?” W tym celu należy blokować wszelkie działania uznawane jako złośliwe – zwiększanie wydajności zapory sieciowej przez wyłączanie sygnatur systemu zapobiegania włamaniom może na dłuższą metę okazać się bardzo kosztowne. Należy także zadbać o to, by wszystkie hosty w strefie TRUST lub DMZ nie traktowały się nawzajem jako zaufane,

ponieważ sam fakt nazwania danej strefy logicznej słowem TRUST nie oznacza, że wszystkie znajdujące się w niej maszyny są faktycznie godne zaufania.

W rzeczywistości pojedyncza maszyna w sieci zarażona złośliwym oprogramowaniem może w bardzo krótkim czasie doprowadzić do prawdziwej epidemii w całej sieci.

Kolejnym ważnym krokiem jest segmentacja wewnętrzna – bez segmentacji sieci wszelkie zagrożenia mogą rozpowszechniać się bez żadnych przeszkód i bez wykrycia. Dotyczy to nie tylko włamywaczy, którym uda się uzyskać zdalny dostęp do maszyny wewnątrz sieci, lecz także w pełni zautomatyzowanych ataków, takich jak na przykład NotPetya czy BadRabbit.

W celu ochrony przed takimi zagrożeniami warto wdrożyć egzekwowanie zasad zapory sieciowej oraz zasady oparte na tożsamości, uwierzytelnianie wieloskładnikowe, blokowanie plików oraz kategoryzację adresów URL przy pomocy silnika opartego na chmurze, wszystkie te czynniki przyczyniają się bowiem do zmniejszenia liczby dostępnych wektorów ataku. Automatyzacja jest jedynym sposobem pozwalającym na dotrzymanie kroku przestępcom oraz poradzenie sobie zarówno ze stale rosnącą liczbą coraz bardziej złożonych ataków w świecie, jak i z problemem braku ekspertów zajmujących się tym zagadnieniem.

Obszerne logi i dzienniki zdarzeń powinny uzupełniać politykę blokowania. W tym celu należy zapisywać i przechowywać wszystkie możliwe logi. Gromadzenie logów jest kluczowe z punktu widzenia reagowania na zdarzenia, wyszukiwania zagrożeń oraz zdobywania informacji na ich temat, uczenia maszynowego oraz szeregu innych działań.

Podejmując wszelkie działania należy pamiętać, że dane są powszechnie uważane za najbardziej wartościowe zasoby, a duże ilości danych są niezbędne do opracowania modeli uczenia maszynowego oraz wspomagających sztuczną inteligencję w wykrywaniu niepożądanych działań. Gromadzenie i analiza danych po stronie przedsiębiorstwa to za mało, bo tylko dzięki dużym ilościom danych wysokiej jakości oraz wykorzystania uczenia maszynowego w celu przeprowadzenia analizy behawioralnej możemy dotrzymać kroku przestępcom.

Zapobieganie znanym atakom

Niemal wszyscy dostawcy zabezpieczeń następnej generacji współpracują ze sobą, gromadząc ogromną wspólną pulę informacji na temat znanych zagrożeń, obejmującą skróty oraz próbki z wykrytych ataków oraz zdarzeń zgłaszanych przez klientów. Tego rodzaju bazy pozwalają dostawcom rozwiązań w zakresie bezpieczeństwa na konsolidację obrony oraz błyskawiczne opracowywanie sygnatur pozwalających na wykrywanie i blokowanie zagrożeń już po chwili od wykrycia pierwszego nosiciela infekcji.

Czynnikiem, który umożliwia wykrywanie oraz reagowanie na znane zagrożenia jest całkowita integracja wszystkich czujników znajdujących się w ekosystemie przedsiębiorstwa – na poziomie zapory sieciowej, ochrony urządzeń końcowych, usług SaaS oraz bezpieczeństwa chmury – z punktami dystrybucji sygnatur.

Atakujący bardzo często decydują się na wykorzystanie znanych podatności wykrytych na urządzeniach końcowych. Z tego powodu stosowne zabezpieczenie maszyn użytkowników jest jednym z najważniejszych elementów zapewnienia bezpieczeństwa przedsiębiorstwa, a jedną z najważniejszych zasad w tym zakresie jest przyznawanie dostępu do najważniejszych zasobów użytkownikom, których urządzenia są zgodne z wytycznymi dotyczącymi bezpieczeństwa w organizacji.

Oczywiście w tym celu wymagane jest wdrożenie ścisłych ram bezpieczeństwa IT oraz zadbanie o świadomość bezpieczeństwa cybernetycznego wśród pracowników – to jest najważniejsze!

Zapobieganie nieznanym zagrożeniom

Wykrywanie nowych zagrożeń, ograniczanie ich skutków oraz wdrażanie zabezpieczeń przeciwko nowym atakom typu Zero Day, a także nowym wariantom złośliwego oprogramowania oraz innym zagrożeniom stanowią podstawy zapobiegania nieznanym dotąd zagrożeniom.

Rozwiązanie tego problemu stanowią piaskownice w różnych formach – na serwerach lokalnych, oparte na chmurze, a także hostowane jako usługa SaaS, które pozwalają na zapobieganie atakom typu Zero Day.

Zaawansowane i stałe zagrożenia wymuszają wdrożenie wykrywania na podstawie analizy zachowania. Tego rodzaju wykrywanie pozwala na identyfikowanie złośliwego oprogramowania w oparciu o jego zachowanie, nie zaś o jego sygnatury. Piaskownice pozwalają na uruchamianie takich programów w bezpiecznym środowisku, obserwację ich zachowań oraz automatyczną analizę.

Piaskownice i modele oparte na uczeniu maszynowym

W przypadku takiego rozwiązania piaskownica blokuje złośliwe próbki na podstawie zachowania zanim oprogramowanie zostanie uruchomione na urządzeniach końcowych. Współczesne piaskownice w większości posiadają już wirtualne środowisko uruchomieniowe pozwalające na dogłębną kontrolę uruchamianych próbek oprogramowania przy pomocy wielu metod i sposobów wykrywania, między innymi analizy behawioralnej, introspekcji oprogramowania w pamięci oraz modeli ekstrapolacji opartych na uczeniu maszynowym.

Podejście takie charakteryzuje się dużo większą skutecznością niż samo porównywanie sygnatur plików. Dzięki piaskownicy możliwe jest dokładne sprawdzenie tego, co robi dany plik i jak się zachowuje, co stanowi dużo lepszy sposób na zweryfikowanie, czy dany plik jest złośliwy niż porównywanie sygnatur. Niestety, coraz częściej twórcy złośliwego oprogramowania są świadomi istnienia takich rozwiązań i blokują możliwość uruchomienia niszczycielskich funkcji gdy program jest uruchamiany w piaskownicy.

Z tego powodu należy zastosować rozwiązanie, które korzysta z dynamicznej analizy behawioralnej, a także dynamicznego rozpakowywania pozwalającego na uruchomienie podejrzanych plików w zróżnicowanych środowiskach wirtualnych oraz bezpośrednio na urządzeniach.

Po wykryciu złośliwego oprogramowania tworzona jest jego sygnatura, która trafia następnie do wszystkich zarejestrowanych punktów w ekosystemie klienta – zapór sieciowych oraz urządzeń końcowych.

Wybór środków ochrony cyberbezpieczeństwa następnej generacji

Wbrew oczekiwaniom, zakup dostępnych na rynku najlepszych w swojej klasie rozwiązań może przynieść więcej problemów niż korzyści.

W związku z tym należy skupić się przede wszystkim na podejściu opartym na rozwiązaniach, w ramach którego czujniki zapewniające bezpieczeństwo sieci, urządzeń końcowych, chmury oraz środowisk SaaS zostaną połączone z rozwiązaniami typu SIEM oraz technologią uczenia maszynowego w celu zapewnienia bezpieczeństwa cybernetycznego przedsiębiorstwa.

Kunal Biswas - 5 kwietnia 2019

Udostępnij tę stronę: