Niewielkie firmy nie mogą sobie pozwolić na utworzenie z marszu działu bezpieczeństwa. Od czego powinny zacząć?

Każda organizacja, która zamierza zbudować swoje środowisko w sposób bezpieczny, powinna zacząć od spraw podstawowych. Po pierwsze należy zadbać o kopię bezpieczeństwa. Organizacja powinna wdrożyć politykę wykonywania backupów, zadbać, by była niezawodna. Skuteczność backupu należy sprawdzić w praktyce, upewniając się, że najważniejsze informacje można z tej kopii odtworzyć, gdy będzie taka potrzeba. Proces odtwarzania musi się udać nawet w przypadku pożaru, który zniszczył firmowe biuro. To oznacza wykonywanie kopii bezpieczeństwa do zdalnej lokalizacji. W ten czy inny sposób – kopia musi być wykonywana, by można było z niej skorzystać. To są podstawy, dzięki którym firma będzie mogła ciągle działać.

Jaki jest następny krok?

Drugim etapem jest proces aktualizacji oprogramowania. Firma musi być pewna, że działa proces aktualizacji systemów i aplikacji, a poprawki są wprowadzane. Proces musi obejmować nie tylko stacje robocze i systemy klienckie w biurze. Musi on dotyczyć również smartfonów, tabletów, serwerów czy routerów. Należy się upewnić, że działają tam najnowsze wersje systemów operacyjnych i aplikacji, ze wszystkimi dostępnymi poprawkami bezpieczeństwa na każdym urządzeniu. Dopiero, gdy firma rozwiąże oba podstawowe problemy, może myśleć o bezpieczeństwie technicznym, takim jak ochrona antywirusowa, zapory sieciowe oraz systemy detekcji intruzów i prewencji sieciowej. To nie jest najważniejsze – istotne są podstawy, takie jak kopie bezpieczeństwa i aktualizacja.

To są podstawy, ale małe firmy często po prostu nie wiedzą, jak się za to zabrać.

Do wszystkiego niezbędne są założenia polityki, np. wykonywania backupów. Muszą być zapisane, sprawdzone i przestrzegane. Dotyczy to wszystkich aspektów bezpieczeństwa w organizacji. Założenia polityki bezpieczeństwa muszą obejmować wszystkich.

Jaki będzie następny krok? W jaki sposób organizacja, która już wdrożyła podstawy, ma sobie poradzić z zagrożeniami?

Firma musi monitorować swoją sieć, zarówno ruch, jak i dołączone urządzenia, i wykrywać wszelkie zmiany. Firma chce wykryć odstępstwo od normy, a zatem musi znać stan określany jako normalny. Monitoring powinien wskazać, że normalnego dnia, o danej godzinie będziemy mieli ten rodzaj ruchu w sieci, taką ilość danych przechodzących do i z danych miejsc w sieci. Gdy firma ma wzorzec normalnego ruchu, może wykrywać anomalie, odchylenia od wzorca. Na podstawie tych odchyleń można wnioskować o ewentualnych zdarzeniach. Wtedy będzie można się zastanawiać, dlaczego ten laptop wysyła informację do Chin o godz. 2. w nocy – a to nie jest normalne. Wykrycie podobnych anomalii jest niemożliwe do czasu posiadania przez firmę wzorca normalnej aktywności sieciowej.

W jaki sposób można wtedy wykrywać złośliwe oprogramowanie, które jest dziś prawdziwą plagą?

To znany problem. Złośliwe oprogramowanie analizujemy już ponad 25 lat i wiemy, jak to robić.

Czy to jest takie proste?

W teorii to prosty problem, ale w praktyce wykrywanie jest trudne, gdyż napastnicy mają dostęp do wszystkich broni, z których możemy skorzystać. Gdy dziś ktoś przygotowuje złośliwe oprogramowanie, najpierw pobiera wszystkie dostępne programy antywirusowe. Po napisaniu złośliwego oprogramowania napastnicy sprawdzają je przed wdrożeniem, upewniając się, że nie zostanie wykryte. Jeśli antywirusy wykrywają wirusa, programiści zaczynają zmieniać kod w taki sposób, by nie był wykrywany. Napastnicy mają niemal nieograniczony czas na szukanie i omijanie zabezpieczeń stosowanych w firmach. Tymczasem my, którzy dbamy o bezpieczeństwo firm, nie mamy nieograniczonego czasu na wykrycie i zablokowanie zagrożenia złośliwym oprogramowaniem. To starcie między twórcami wirusów i obrońcami nie jest fair, gdyż napastnicy mają dostęp do narzędzi stosowanych przy obronie.

Co w takim przypadku można polecić firmom skazanym na nierówną walkę?

Przede wszystkim trzeba działać. Specjalista bezpieczeństwa jest jak sprzątaczka – jego działań nie widać, dopóki jest. Można się zastanawiać, po co tyle pieniędzy idzie na sprzątanie, skoro wszędzie jest czysto. Gdy zmniejszymy budżet, okazuje się, że tu i ówdzie zaczyna być brudno. To samo dotyczy bezpieczeństwa. Mówi się: hej, my nie mamy problemów z wirusami, to po co nam antywirus? Jeśli go nie ma, to problemy ze złośliwym oprogramowaniem się pojawią.

Jak rozwiązać problemy z budżetem?

Budżetowanie nie jest łatwe. Nie można mówić o zdrowym rozsądku przy ochronie informacji za pomocą firewalla za 1 mln USD, jeśli sama informacja jest warta 0,5 mln. Cały proces zaczyna się od oceny wartości posiadanych zasobów oraz oceny zagrożeń. Należy określić, przed kim firma musi się bronić i jak dana organizacja wyróżnia się od innych. Kto jest wrogiem? Z jakim ryzykiem mamy do czynienia? Kto będzie napastnikiem? Te pytania musi sobie zadać każdy, zanim zacznie rozważać strategię obrony. W pierwszej kolejności trzeba ocenić ryzyko.