ZAPRASZAMY NA WEBINARIUM SPIRENT –
CYBERBEZPIECZEŃSTWO – CZYLI JAK PODEJŚĆ PRAKTYCZNIE DO OCHRONY SIECI?
OBEJRZYJ TUTAJ (w j. angielskim)

PONIŻEJ ZACHĘCAMY DO PRZECZYTANIA STRESZCZENIA TEMATU

Cyberbezpieczeństwo –
jak podejść praktycznie do ochrony sieci?

W ostatnich latach widoczne jest nasilenie coraz bardziej wyrafinowanych cyberataków. Dodatkowo czas pandemii sprawił, że firmy musiały postawić na telepracę i udostępnić swoim pracownikom zdalny dostęp do zasobów, które niestety charakteryzują się różnym stopniem zabezpieczenia. To sprawiło, że w wielu przypadkach, dla cyberprzestępców zostały otwarte nowe furtki do wyłudzeń i pozyskiwania danych poufnych. Pojawiła się także możliwości przejęcia zdalnej kontroli nad zasobami.

Utrzymanie dostępności, gotowości działania i zapewnienie odpowiedniej wydajności systemów IT oraz ochrona przed atakami hakerów w coraz większym stopniu przekłada się na sukces w biznesie.

Obecnie jest to tym bardziej ważne, że do przeprowadzenia ataku na firmową sieć nie trzeba być superinformatykiem piszącym wirusy komputerowe. Malware (złośliwe oprogramowanie) lub ransomware (oprogramowanie do wymuszania okupów) można po prostu kupić w Internecie.

Do destabilizacji lub wykluczenia działania aplikacji, usług lub całych systemów informatycznych coraz częściej wykorzystuje się ataki typu DDoS (ang. Distributed Denial of Service — rozproszona odmowa dostępu). Ich celem jest spowodowanie niedostępności serwera, usługi lub infrastruktury. Atak polega na wysłaniu do serwera bardzo wielu zapytań z wielu miejsc w Internecie jednocześnie (często z przejętych przez hakerów tzw. komputerów zombie). Rezultatem takiego „krzyżowego ognia” jest niestabilność lub całkowita niedostępność usługi. Są one często ukierunkowane na serwisy firmowe i obliczone na osiągnięcie konkretnych rezultatów. Skuteczny atak DDoS potrafi zachwiać ciągłością działania firmy, powodując wysycenie łącza lub zasobów urządzeń sieciowych. W rezultacie takiego działania usługi sieciowe stają się niedostępne.

Orange Polska w raporcie dotyczącym cyberbezpieczeństwa za 2019 r. podaje, że średnia wielkość szczytowego natężenia ataku DDoS zaobserwowana w sieci Orange Polska sięgnęła poziom 4,3 Gbit/s, co stanowi ponad dwukrotny wzrost w porównaniu z rokiem 2018. Operator zwraca uwagę, że na wzrost siły ataków mają wpływ nie tylko szybsze łącza internetowe, ale też przystępna cena ataków DDoS na czarnym rynku. Ponadto przyczynia się do tego w dużym stopniu wykorzystywanie technik wzmocnionego odbicia oraz botnetów bazujących na urządzeniach internetu rzeczy (ang. IoT – Internet of Things). Orange podaje, że w Polsce w 2019 r. największa liczba alertów dotyczących ataków DDoS przypadła w udziale podmiotom z sektora dostawców treści, usług IT oraz firmom z sektora energetycznego i logistyki.

Innym bardzo niebezpiecznym trendem są ataki typu APT (ang. Advanced Persistent Threats), które mogą pozostawać niewykryte przez wiele miesięcy. W tym wypadku celem cyberprzestępców jest znalezienie jak największej ilość luk i kradzież danych. Według danych FireEye z 2018 roku średni czas ataku typu APT, w którym haker (lub grupa hakerów) pozostawał w firmowej sieci niewykryty to w Ameryce Płn. i Płd. 71 dni, w regionie Europy, Bliskiego Wschodu i Afryki 177 dni, a w regionie Azji i Pacyfiku 204 dni. Daje to atakującym spory margines czasowy i komfort na osiągnięcie zakładanych celów.

Obraz3

Triada CIA w cyberbezpieczeństwie

Poufność, integralność i dostępność to trzy elementy, przez których pryzmat należy patrzeć na bezpieczeństwo IT. Jest to tzw. triada CIA (ang. Confidentiality, Integrity and Availability), czyli trzy filary, na których należy opierać budowane modele cyberbezpieczeństwa.

Zgodnie z zapisami normy ISO 27001:2013, bezpieczeństwo informacji to zachowanie poufności, integralności i dostępności informacji, przy czym przyjmuje się, że:

– poufność – to właściwość polegająca na tym, że informacja nie jest udostępniana lub wyjawiana nieupoważnionym osobom, podmiotom lub procesom,

– integralność – to właściwość polegająca na zapewnieniu dokładności i kompletności aktywów,

– dostępność – to właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu”.

Wynika stąd, że należy zapewnić wymienione cechy gromadzonym i przetwarzanym aktywom informacyjnym, aby uzyskać odpowiedni poziom bezpieczeństwa informacji.

Poufność to sprawa oczywista dla każdej firmy i instytucji — bez zapewniania ochrony przed wyciekiem danych poufnych (może nimi być zainteresowana np. konkurencja) trudno myśleć o powodzeniu na konkurencyjnym rynku. Aby zrealizować ten cel, budując system bezpieczeństwa IT, należy zdefiniować określone poziomy dostępu do informacji i potem to egzekwować.

Integralność ma na celu ochronę danych przed usunięciem ich lub modyfikacją przez jakąkolwiek nieupoważnioną osobę. Natomiast dostępność odnosi się do faktycznego dostępu do danych — mechanizmy uwierzytelniania, kanały dostępu i systemy IT muszą skutecznie chronić dane, ale i zapewniać ich dostępność zawsze, gdy jest to potrzebne.

Częścią właściwie zaprojektowanego systemu IT jest zarządzanie podatnościami, czyli identyfikowanie luk i słabych punktów w zabezpieczeniach środowisk sieciowych (w tym urządzeń, mechanizmów komunikacyjnych i aplikacji) oraz ich eliminacja lub minimalizacja. Kluczowe w tym procesie jest posiadanie odpowiednich narzędzi do przeprowadzenia analizy ryzyka.

I trzeba tu podkreślić, że stworzenie realnego środowiska testowego jest warunkiem niezbędnym, aby właściwie przetestować pod kątem podatności urządzenia i aplikacje. Gwarantuje też ono uzyskanie miarodajnych wyników testów.

Obraz4

Niebiescy kontra czerwoni

Jak to się robi? Jednym ze sposobów jest np. przeprowadzenie testów, w których naprzeciw siebie stają drużyny czerwona i niebieska (tzw. testy Red Team vs Blue Team). Pomysł wywodzi się z wojska, gdzie w ten sposób sprawdzano skuteczność taktyk, strategii i systemów walki wykorzystywanych do obrony. Idea jest prosta – drużyna specjalistów IT, oznaczona jako „czerwona”, atakuje infrastrukturę sieciową wraz z oferowanymi w niej usługami, podczas gdy zadaniem drugiej drużyny, nazwanej niebieską, jest jej skuteczna obrona. „Niebiescy” to zespół specjalistów, odpowiedzialnych za implementację i realizację polityki bezpieczeństwa w danej firmie.

Zaletą tej metody w porównaniu do tradycyjnych testów penetracyjnych, jest m.in. to, że w ten sposób można sprawdzić funkcjonowania całego systemu ochrony — nie tylko podatności sprzętu czy aplikacji, ale również wzięcie pod lupę działań specjalistów IT, sprawdzenie ich czujności i umiejętności zażegnania kryzysu. Do tego typu testów często można zaangażować hakerów zwanych „białymi” lub inaczej „etycznymi”. Są to osoby bez złych intencji, wyspecjalizowane w odkrywaniu słabych punktów w sieciach firm i instytucji. Ich przeciwieństwem są tzw. czarni hakerzy. Można jeszcze wyróżnić „szarych hakerów”, tj. osoby, które starają się złamać zabezpieczania sieci, bez wiedzy zarządzających, jednak bez złych zamiarów, przykładowo w celu sprawdzenia swoich umiejętności. W opisanej „grze” coraz częściej wykorzystuje się „cybernetyczne poligony” (ang. cyber range), czyli wirtualne platformy szkoleniowo-ćwiczeniowe automatyzujące i maksymalnie obiektywizujące całe przedsięwzięcie.

Przeprowadzanie audytu bezpieczeństwa systemu IT może uświadomić zarządowi firmy, jak może skończyć się niedoinwestowanie obszaru bezpieczeństwa IT lub brak odpowiednich specjalistów.

Zalety segmentacji

Jednym z podstawowych sposobów zabezpieczenia firmowych zasobów IT przed nieautoryzowanym dostępem z zewnątrz, jest fizyczna i logiczna segmentacja firmowej sieci. W tym celu jest ona podzielona na segmenty, w których ruch jest odseparowany i możliwy jedynie wewnątrz określonego obszaru. Dobrze jest, gdy ze względów bezpieczeństwa niektóre stacje robocze przynależne do określonych działów (np. departamentu finansowego czy księgowości), są odseparowane od pozostałej części sieci komputerowej. Wiadomo także, że wydzielenie Wi-Fi „dla gości” jest już obowiązującą praktyką. Dokonując segmentacji, trzeba jednak pamiętać o aspektach biznesowych. Można np. przyjąć, że w firmowej sieci nie ma możliwości korzystania z serwisów społecznościowych, takich jak Facebook czy Twitter, choć dla pracowników marketingu może to być utrudnieniem w wykonywaniu zadań.

Jednym z najtrudniejszych dylematów przy projektowaniu systemu zabezpieczeń IT bywa rozstrzygnięcie kwestii, jak zagwarantować, by właściwa osoba miała dostęp do potrzebnych je zasobów, a równocześnie przedsięwzięte środki bezpieczeństwa nie utrudniały jej pracy. Chodzi bowiem o to, by wprowadzone zasady i wykorzystywane w tym celu narzędzia nie wpływały na zmniejszenie produktywności użytkownika systemu.

Jednym z rozwiązań może być tzw. silne uwierzytelnianie zastępujące hasła statyczne. Mowa tu o uwierzytelnianiu wieloskładnikowym MFA (ang. Multi-Factor Authentication) lub dwuskładnikowym (2FA). Praktyka pokazuje bowiem, że systemy bezpieczeństwa oparte tylko o nazwę użytkownika i hasło nie są trudne do złamania. Dlatego wprowadza się takie dodatkowe elementy jak np. uwierzytelnianie biometryczne, czyli weryfikację tożsamości użytkownika za pomocą cech biologicznych (np. odciski palców czy rozpoznawanie twarzy) albo dodatkowe urządzenia weryfikujące np. tokeny. Dziś coraz bardziej popularne są systemy obejmujące dwa z tych składników (np. hasło i odcisk palca).

Projektując system bezpieczeństwa IT, zawsze trzeba przeanalizować, gdzie w firmie są najbardziej wrażliwe dane i kto ma do nich dostęp. I tę właśnie grupę otoczyć najmocniejszymi środkami bezpieczeństwa.

Źródło: Systemics-PAB na podstawie materiałów własnych oraz webinarium „Spirent Cyber Security Concepts”