Pewien CISO, który niedawno rozpoczął pracę w jednej z dziesięciu największych firm telekomunikacyjnych w Stanach Zjednoczonych, narzekał, że w przeciwieństwie do swoich kolegów po fachu nie ma do dyspozycji budżetu na zakup nowoczesnych technologii bezpieczeństwa. Jednocześnie zaznaczył, że nawet z bardzo ograniczonymi zasobami wciąż jest w stanie rozwiązywać problemy związane z cyberbezpieczeństwem oraz redukować występujące zagrożenia. W tym celu konieczny jest „powrót do źródeł” w podejściu do zarządzania bezpieczeństwem posiadanego środowiska IT, a także dostosowanie jego architektury do własnej organizacji.

Pieniądze to nie wszystko

Częstą reakcją na takie głosy ze strony specjalistów ds. bezpieczeństwa jest tłumaczenie, że przecież w świecie darmowych rozwiązań open source znajdziemy mnóstwo aplikacji i produktów, które można z powodzeniem wykorzystać do zbudowania skutecznie działającego systemu cyberbezpieczeństwa. W omawianym przypadku nowo przyjęty do firmy CISO nie planował jednak wykorzystania narzędzi open source, lecz zastosowanie wielowarstwowego, kompleksowego systemu zabezpieczeń w całej organizacji. I to bez specjalnego budżetu na bezpieczeństwo IT.

Zobacz również:

• Generatywna sztuczna inteligencja przeraża CISO. Mimo to jej wdrażanie nie zwalnia tempa

Przez lata pracy w branży IT nauczyłem się czegoś ważnego o bezpieczeństwie informatycznym – większość problemów z tej kategorii można rozwiązań poprzez zmianę architektury. Wbrew pozorom nie jest to takie proste. Mając do czynienia z „płaską” architekturą sieciową i wieloma aplikacjami funkcjonującymi na bazie „antycznych” reguł firewalli trudno liczyć, że CIO po prostu wysłucha argumentów CISO i przearanżuje całą sieć firmy bez słowa krytyki i narzekania.

Miałem okazję pracować z wieloma firmami z listy Fortune 500, w których eksperymentowałem z najróżniejszymi koncepcjami dotyczącymi tego, jak „sprzedać” szefom IT pomysł przearanżowania systemu IT i wytłumaczyć wynikające z tego korzyści dla biznesu. Dzięki temu wypracowałem zbiór zasad dotyczących modyfikowania architektury systemów bezpieczeństwa, którymi chętnie się dzielę. Oto podstawy stworzonej przeze mnie metody Bell Security Enterprise Architecture:

1. Przestań skupiać się na walce ze złośliwym oprogramowaniem. Naucz się funkcjonować w zainfekowanym środowisku, działając w modelu „zero zaufania” – czas zacząć traktować wewnętrzne sieci tak jak internet.

2. Przestań skupiać się na najnowszych i najlepszych rozwiązaniach popularnych dostawców. Coraz większa liczba narzędzi nie zatrzymuje ataków, ale co najwyżej je spowalnia.

3. Skup uwagę na systemach krytycznych z punktu widzenia ochrony danych (takich jak: dane osobowe, informacje nt. płatności, poufne dokumenty itd.). Staraj się chronić również inne zasoby, ale nie kładź ich na szali swojej kariery w imię kwestii, które nie są kluczowe.

4. Korzystaj z wirtualizacji, by nałożyć pożądaną architekturę bezpieczeństwa IT na istniejące w organizacji rozwiązania, nie modyfikując zarazem starszych systemów – pozostaw je nietknięte. Stwórz wokół istniejących serwerów z poufnymi danymi „bezpieczne strefy”, dzięki którym będą izolowane od innych systemów. Zrób tak ze wszystkimi serwerami zawierającymi cenne dane.

5. Strefa bezpieczeństwa powinna składać się z taniego firewalla, postawionego przed serwerem z zestawem niewielu zasad bezpieczeństwa/ACL. Poszczególne strefy powinny komunikować się ze sobą wyłącznie bezpośrednimi, szyfrowanymi kanałami. Nieszyfrowana komunikacja może służyć np. do przekazywania informacji o statusie serwera.

6. Częścią tej metody jest również tworzenie wirtualnej „nakładki na sieć” z wykorzystaniem stref bezpieczeństwa do zarządzania poufnymi danymi na istniejących serwerach zamiast migrowania tych danych do tradycyjnych „bezpiecznych enklaw”. Dzięki temu unikamy zakłócania pracy firmy, migrowanie aplikacji mogłoby bowiem powodować problemy z funkcjonowaniem systemów (z powodu zakłócania ustalonych reguł firewalli). Bezpieczne strefy komunikują się przez zaszyfrowane połączenia – VPN lub TLS. W ten sposób nie musimy tak bardzo martwić się tym, co dzieje się w sieci poza bezpiecznymi strefami.

7. Wykorzystanie serwera „jump-box” przed każdym serwerem z poufnymi danymi pozwoli na skuteczne śledzenie całego adresowanego do niego ruchu. Rekomendowanym rozwiązaniem jest również skonfigurowanie dwustopniowego uwierzytelniania. Jump-box będzie monitorował i zapisywał wszelkie próby dostępu do danych.

8. Zabezpiecz przechowywane w firmie poufne dane za pomocą szyfrowania/tokenizacji. Jako rozwiązanie minimum rekomenduj szyfrowanie na poziomie aplikacji, a nie bazy danych – dzięki temu administrator bazy nie będzie miał dostępu do danych sensytywnych.

9. Przestań przechowywać klucze szyfrujące na serwerach, które są odpowiedzialne za szyfrowanie –trzymaj je rozdzielone na innych serwerach z odpowiednimi uprawnieniami dostępu do plików.

10. Rozważ również, jeżeli to możliwe, rozdzielenie danych – tak aby ich wykorzystanie wymagało wcześniejszego połączenia źródeł. Miej na uwadze wydajność całego systemu i możliwe opóźnienia.

11. Używaj asymetrycznego routingu sieciowego. Rozdziel ruch sieciowy i ogranicz zagrożenie ze strony ataków typu packet sniffing (osoba przeprowadzająca taki atak w razie powodzenia będzie mogła uzyskać dostęp tylko do 50% pakietów).

12. Z uwagi na zagrożenia ze strony aplikacji typu RAM memory scrappers zacznij korzystać z szyfrowania pamięci. Używanie kluczy szyfrujących i deszyfrujących oraz tymczasowe przechowywanie poufnych danych w pamięci RAM nie jest bezpieczne, ponieważ są aplikacje, które potrafią przechwytywać jej zawartość. Poszukaj informacji na temat narzędzi „TRESOR Linux kernel patch” lub CryptProtectMemory.

Podstawowe korzyści wynikające w wdrożenia powyższych zasad to:

1. Ograniczenie liczby konfliktów z CIO i personelem odpowiedzialnym za operacje biznesowe.

2. Będziesz mógł prezentować się jako bardziej elastyczny i skłonny do współpracy CISO.

3. Niskie koszty; wymienione metody opierają się na wykorzystaniu technologii, które już są obecne w organizacji.

4. Skuteczniejsza ochrona przed cyberzagrożeniami oraz redukcja czynników ryzyka.

5. Zachowanie istniejącej architektury informatycznej, a co za tym idzie, brak konieczności reorganizacji u oraz zatrudniania zewnętrznych architektów IT.