Jak dziś należy rozumieć bezpieczeństwo? Co my teraz chronimy i jak to chronimy? Co musi się wydarzyć po drodze jakiegoś działania, żeby na końcu można było je uznać za bezpieczne?

Cyberbezpieczeństwo to komplementarny byt: ludzko-technologiczno-organizacyjny. Bezpieczne to znaczy gwarantujące pewien stan ochrony przed zagrożeniami i ryzykiem. W kontekście IT chcemy mieć bezpieczną sieć, bezpieczne systemy, chcemy być odporni na coraz częstsze i bardziej wyrafinowane ataki. Natomiast w aspekcie czysto ludzkim to spokojne używanie czystego rozsądku, wspartego edukacją, tak aby podejmować adekwatne do konkretnej sytuacji działania oraz właściwie używać i stosować określone technologie.

Ale jak mamy się zabezpieczać przed atakiem, który wciąż zmienia swoją formę? Jak bardzo ten horyzont niebezpieczeństwa jest zmienny?

Zmienia się zarówno dynamika, jak i zakres ataków. Technologia ewoluuje właściwie każdego dnia na naszych oczach. Teoretycznie im bardziej mamy skomplikowane systemy, tym trudniej będzie przełamać zabezpieczenia. Z drugiej strony ta złożoność oraz dynamika nowych usług już nie tylko w centrach danych, które mamy fizycznie pod kontrolą, ale też w centrach chmurowych i rozwiązaniach hybrydowych, powoduje, że jest więcej punktów zaczepienia. Ataki socjotechniczne, takie jak: phishing, spear phishing czy walling, były, są i będą. Żyjemy na co dzień z urządzeniami mobilnymi, których jeszcze kilkanaście lat temu nie było – więc pojawiają się nowe furtki dla atakujących. Bardzo wiele osób podłącza się do sieci w przestrzeni publicznej, padając ofiarami ataku man-in-the middle. W ostatnim czasie FBI wydało zalecenie, aby unikać korzystania z bezpłatnych portów USB do ładowania dostępnych na lotniskach czy w centrach handlowych. Przestrzeń ataków gwałtownie się powiększa, zwiększa się ich różnorodność – a tym samym dynamika. Jest to więc świat bardzo zróżnicowany, a jego pełnego wymiaru nikt z nas tak naprawdę ani nie zna, ani nie jest w stanie kontrolować.

Niezależnie od tego, jaka jest technologia zabezpieczająca, nie można zapominać o niedoskonałości ludzkiej. Tu chciałbym przywołać hasło: Zero Trust. To rozwiązanie na wszystkie problemy?

Nasze spojrzenie na cybersecurity ewoluuje, a ta ewolucja wyznaczona jest przez nasze doświadczenia indywidualne, firmowe, ale również przez to, z jakimi technologiami się zetknęliśmy. Prezesi zwykle mają inne priorytety niż budżet na cybersecurity, ale do czasu, gdy wystąpi się problem. Wówczas te budżety pojawiają się w magiczny sposób. Ale Zero Trust to nie jest technologia, którą możemy sobie zainstalować, skonfigurować i powiedzieć ustami prezesa: „A teraz, drodzy państwo, używamy Zero Trusta i wszystko będzie dobrze”. To jest pewna koncepcja samej dziedziny bezpieczeństwa cyfrowego.

Podejście tradycyjne zakładało, że to, co jest wewnątrz sieci, jest bezpieczne, a to, co złe, przychodzi z zewnątrz. Zero Trust wywraca tę koncepcję: to, co złe może przyjść i z zewnątrz, i z wewnątrz.

Cloud Pak for Security zawiera moduły i podsystemy, które adresują różne obszary, a ponieważ wywodzą się z jednego produktu, potrafią się ze sobą zintegrować. Używając tego złożonego multinarzędzia, jesteśmy w stanie zadbać o bezpieczeństwo firmy w różnych obszarach.

Gdyby była to konkretna technologia, która ma konkretną cenę, to ją kupuję i stosuję. A Zero Trust wymaga zmiany rozumienia bezpieczeństwa w samej organizacji. To jest trudniejsze.

Można pójść jeszcze krok dalej. Bo zgodnie z metodologią Zero Trust ona się może okazać inna w każdej firmie. Różne systemy i ich użytkownicy mają różną charakterystykę działalności i zachowań. I nagle się okazuje, że nie ma jednego uniwersalnego przepisu. Trzeba zacząć od zmiany podejścia do bezpieczeństwa cyfrowego i założyć, że nie możemy ufać żadnemu użytkownikowi, żadnemu urządzeniu, żadnej sieci bez uprzedniego zweryfikowania tożsamości i uprawnień dostępu. Zatem idziemy w stronę zasady minimalnego uprzywilejowania, zastanawiając się, np. czy pracownik, używając komputera służbowego, może wykonywać pewne działania, np. otwierać określone strony internetowe. Trzeba też dokonać swego rodzaju audytu technologii i narzędzi, na które z jednej strony nas stać, a które z drugiej strony spełnią swoją rolę w holistycznym podejściu do bezpieczeństwa.

Dobrze mieć narzędzie, które w zunifikowany sposób potrafi zebrać logi z różnych naszych urządzeń. Takim rozwiązaniem może być Cloud Pak for Security firmy IBM, który pomaga zintegrować istniejące serwisy ds. bezpieczeństwa, ale również pozbierać w całość i zorganizować te narzędzia, żeby mieć głębszy wgląd w zagrożenia, zorganizować działania i automatyzować reakcje na określone incydenty. Mówię teraz o tym, co dzieje się wewnątrz naszego cyfrowego zamku, ale nie chcemy oczywiście też tracić z oczu tego, co dzieje się na zewnątrz.

Ale nawet jeśli wdrożymy zasadę ograniczonego zaufania, to nie oznacza, że ślady zdarzeń cyfrowych, które do nas docierają, nagle się skończyły. One są, tylko trzeba je teraz inaczej analizować. Skupmy się więc na aspekcie narzędzi automatyzujących. Jak to działa w praktyce?

Spójrzmy na naszą infrastrukturę: serwery i przełączniki, macierze, UTM-y, WAF-y… procesy CI/CD, mikrousługi… Postawiłbym taką tezę, że niezmiernie istotny jest kontekst: czy z tego miejsca możesz się zalogować? Czy z tego miejsca możesz wykonać daną akcję? To pierwszy kontekst. A druga rzecz: same ataki. Zwykle taki atak jest przygotowywany tygodniami, jeśli nie miesiącami. Znajdujemy lukę, przez którą wnikamy do sieci i rozpoczynamy rekonesans. Jeśli mamy narzędzie od firmy IBM, które pozwala nam z różnych źródeł danych zbierać na bieżąco logi i je analizować, to próba zalogowania się z sieci, w jakiej nie powinno cię być, wzbudzi zainteresowanie działu bezpieczeństwa. Jeżeli mamy wdrożony i skonfigurowany SIEM, to takie zachowanie użytkownika albo jakiegoś procesu powinniśmy szybko wyłapać i zweryfikować. To korelowanie działań w celu nadawania tym wyłapanym incydentom właściwych priorytetów, behawioralna analiza użytkowników, automatyzacja w analizie i normalizacji logów są absolutnymi must-have w dzisiejszych systemach. Z drugiej strony, czy „bezpiecznik” nadąży za wszystkimi incydentami w sytuacji, gdy mamy dużą infrastrukturę? Raczej nie. Po to mamy te systemy, żeby przynajmniej w pewnym zakresie były w stanie uczyć się naszej infrastruktury, żebyśmy my mogli zająć się tym, co naprawdę istotne. Zmierzam do tego, że system powinien pomóc nam przesunąć środek ciężkości pracy specjalistów w obszary, które są najbardziej wartościowe z punktu widzenia organizacji.

A co z kontrolą i analizą środowiska rozproszonego?

Oprócz pracy zdalnej sytuację komplikuje jeszcze jeden trend: Bring Your Own Device. Z punktu widzenia działu bezpieczeństwa to komplikacja, a gdy dołożymy do tego MDM, czyli zarządzanie urządzeniami mobilnymi, to komplikacje tylko rosną. Czego możemy oczekiwać od takich produktów jak Cloud Pak for Security? Najprostsza odpowiedź brzmiałaby: ogarnięcia tego wszystkiego. Cloud Pak for Security ma moduły i podsystemy, które adresują różne obszary, a że wywodzą się z jednego produktu, potrafią się ze sobą zintegrować. Używając tego złożonego multinarzędzia, możemy zadbać o nasze bezpieczeństwo w różnych obszarach.

To podsumujmy. Mamy nową rzeczywistość, front ataków jest rozległy, musimy zmienić swoje podejście dotyczące elementu ludzkiego, mamy narzędzie służące do analizy zagrożeń wewnątrz organizacji. I co dalej? Czy posiadając takie rozwiązania jak Cloud Pak for Security, organizacja może spać spokojnie?

Nigdy nie będziemy mogli spać spokojnie, zawsze będzie ktoś, kto poświęcając nieustannie swój czas, wiedzę, kompetencje, będzie próbował tworzone przez nas systemy bezpieczeństwa złamać. My też musimy nieustannie testować swoje własne systemy w poszukiwaniu tego, co może zostać wykorzystane jako źródło potencjalnego ataku. Cloud Pak for Security, tak jak każde inne oprogramowanie, ma wydawane poprawki, za pomocą których można coś ulepszyć, zaprząc nowe mechanizmy, włączając rozwiązania oparte na uczeniu maszynowym, jakie potrafią być bardzo efektywne również w tej przestrzeni – po każdej ze stron. Wdrażając nowe zabezpieczenia, jesteśmy skazani na ten niekończący się wyścig z tymi, którzy chcą je złamać.