Robert Ślaski, Chief Network Consultant w firmie Atende, w trakcie konferencji Semafor 2017 mówił, że dla wielu organizacji firewall obrazuje ideę magicznego urządzenia, które kupuje się, by automatycznie stać się bezpiecznym. Tymczasem często nie jest on w stanie zabezpieczyć organizacji przed wszystkimi potencjalnymi zagrożeniami. Wystarczy przytoczyć dwa hipotetyczne przykłady ataku na instytucje państwowe, by to sobie uzmysłowić:

• Instytut Badań Nad

W instytucie, na styku z internetem, działa wiekowy firewall. Nikt od lat w zasadzie się nim nie zajmuje. Zabezpiecza on serwery internetowe instytutu, w tym pocztowe. Pewnego dnia nieznani sprawcy włamują się do rządowej agencji komitetu narodowych funduszy, gdzie do rzadko odwiedzanej strony wstrzyknięto złośliwy kod. Akurat tę stronę odwiedzają pracownicy instytutu, a jeden z nich nieumyślnie doprowadza do wstrzyknięcia kodu. Ten przejmuje kontrolę nad stroną internetową i profilem społecznościowym instytutu. Tematem nagłaśniają media, a pracownicy instytutu w panice ruszają na ratunek stronie i profilowi. W międzyczasie zostają wykradzione ich dane.

• Wydział Zamiejscowy Placówki

Na konferencji poświęconej bezpieczeństwu, pracownicy Instytutu Badań Nad wymieniają się doświadczeniami z Wydziałem Zamiejscowym Placówki. Pod wpływem rozmów, wydział zamiejscowy wzmacnia swoje zabezpieczenia. Pewnego piątku, w ostatniej godzinie pracy, do sekretariatu Wydziału wpływa mail z Ministerstwa Kontroli. Kwestionuje on transakcje kartą kredytową jednego z dyrektorów Wydziału. W mailu znajduje się załącznik z listą kwestionowanych transakcji – to załącznik z kodem Java Script szyfrującym dane. Kod jest zmutowany, więc nie wykryły go antywirusy. Tymczasem nadgorliwy dyrektor doprowadza do zainstalowania ransomware’u, a jednocześnie roznosi go na 150 stacji znajdujących się w jednej sieci. Powoduje to wielodniowy paraliż Wydziału.

Co poszło źle? Jak twierdzi Ślaski, w przedstawionych przypadkach mamy do czynienia z wieloma detalami, które umożliwiły przeprowadzenie skutecznego ataku. Najważniejsze jego zdaniem jest jednak to, że ataki zazwyczaj omijają to, co sprzedają producenci. Mogą oni dostarczyć produkty i technologie, ale nie samo bezpieczeństwo. O nie trzeba zadbać w bardziej złożony sposób. W firmie powinna być osoba, której zadaniem jest robienie cyklicznych audytów i testów penetracyjnych oraz analiza wszystkich dróg ataku oraz każdego wdrożenia pod kątem bezpieczeństwa. Ta sama osoba powinna również zbudować dedykowany zespół bezpieczeństwa. Firewall to w końcu nie wszystko. Potrzebna jest zapewnienie bezpieczeństwa kompleksowego.

Zobacz również:

• Niebotyczne ceny eksploitów zero-day