Są dwa rodzaje organizacji: jedne, do których już ktoś się włamał, oraz drugie, które jeszcze o tym nie wiedzą. Przyczyny problemu leżą w dużej mierze w tym, że tradycyjne podejście do bezpieczeństwa sieciowego, zakładające ochronę brzegu sieci, nie chroni przed współczesnymi atakami. Zgodnie z raportem 2014 Cyberthreat Defense Report, w ostatnim roku ponad 60% coraz raz padło ofiarą cyberataków. Jeszcze dobitnej nieskuteczność strategii ochrony brzegu sieci pokazuje fakt, że między 66% a 90% kradzieży danych jest identyfikowanych nie przez dotkniętą nią organizację, lecz zewnętrzne organizacje.

Poważnym kandydatem, choć jednym z kilku, do poprawy sytuacji w zakresie bezpieczeństwa jest model zero zaufania (ZTM). To agresywne podejście do bezpieczeństwa sieci zakłada monitorowanie każdej, najmniejszej nawet porcji danych, ponieważ każdy plik jest potencjalnym zagrożeniem. Realizacja wymaga jednak możliwości bezpiecznego dostępu do wszystkich zasobów, wdrożenia mechanizmów kontroli dostępu, sprawdzania całości ruchu sieciowego, rejestrowania zdarzeń i ich analizowania.

Zobacz również:

• IDC CIO Summit – potencjał drzemiący w algorytmach
• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom

W ten sposób pojęcie bezpieczeństwa informacji znacznie się upraszcza. Zakłada się bowiem, że nie ma bezpiecznych, zaufanych interfejsów, aplikacji, komunikacji, sieci czy użytkowników. Jest to odejście od starego modelu, który można opisać krótko: ufaj, ale sprawdzaj. Taka zmiana jest potrzebna, ponieważ ostatnie ataki dowiodły, że model zaufania się nie sprawdza. Nowy model został pierwotnie opracowany przez Johna Kindervaga z Forrester Research i spopularyzowany jako niezbędny etap w ewolucji tradycyjnych modeli bezpieczeństwa.

W modelu ZTM organizacje i urzędy powinny także analizować dostęp pracowników do zasobów oraz wewnętrzny ruch sieciowy, a także stosować politykę przydzielania minimalnych praw dostępu. W ZTM ważna jest również analiza logów i zwiększone wykorzystanie narzędzi, które analizują zawartość pakietów sieciowych.

Zgodnie z badaniami przeprowadzonymi przez Forrester Research na zlecenie IBM, wiele firm wdraża już założenia koncepcji ZTM, a niektóre już wdrożyły kluczowe elementy ZTM, choć często odbywa się to bez świadomości istnienia samej koncepcji. To budujące, ponieważ sugeruje, że pełna implementacja ZTM może być po prostu rozszerzeniem już podejmowanych działań. W zależności od aktywności (np. rejestrowanie i kontrola całego ruchu w sieci), między 58% a 83% respondentów wspomnianego badania już postępuje w ten zgodny z ZTM sposób.

ZTM potrzebuje Big Data

Korzystanie z ZTM generuje ogromne ilości danych w czasie rzeczywistym, których analiza wymagałaby od menedżerów IT przekopywania się przez pliki dzienników, raporty dotyczące luk, alerty i wiele innych. Wprowadzenie Big Data daje menedżerom IT pełny obraz stanu bezpieczeństwa, pokazując, co jest zagrożone, jak poważne są zagrożenia i jak usunąć luki w zabezpieczeniach. Jednak połączenie ZTM i Big Data przynosi jeszcze więcej korzyści. Obiecującą wizją jest wdrożenie analityki behawioralnej do sprawdzania ruchu sieciowego, co mogłoby zapobiec wielu podejrzanym działaniom w sieci.

Według ekspertów z Gartnera, analityka Big Data odegra kluczową rolę w wykrywaniu cyberataków. W 2016 r. więcej niż jedna czwarta globalnych organizacji będzie już korzystała z takich mechanizmów. Wpłynie również na działanie niemal wszystkich typów zabezpieczeń sieciowych, włączając w to monitoring, uwierzytelnianie, zarządzanie tożsamością czy wykrywanie oszustw. Big data zmieni także naturę wielu typowych systemów bezpieczeństwa, jak zapory sieciowe, antywirusy czy systemy zapobiegające utracie danych. W najbliższych latach narzędzia analityczne będą się dalej rozwijać i zostaną wyposażone, m.in. w szereg zaawansowanych funkcji predykcyjnych i zautomatyzowanych zabezpieczeń reagujących w czasie rzeczywistym. Stosowanie Big Data w obszarze bezpieczeństwa sieci wymaga sprawnego zbierania danych i analizy obejmującej szerokie spektrum infrastruktury i danych historycznych, czasami nawet z kilku ostatnich kilka miesięcy. To umożliwi określenie, jak i kiedy doszło do włamania oraz jakie były tego skutki.

Większy skorzysta bardziej

Im większa organizacja, tym większa przydatność technologii Big Data w zabezpieczeniach. Ta zależność wynika z tego, że w dużych instytucjach zróżnicowanie infrastruktury IT jest największe i powstaje konieczność zapewnienia łączności pomiędzy różnymi sieciami. Jedynym sposobem, aby uzyskać obraz całości tego, co dzieje się w sieci, jest analiza bardzo dużej ilości danych.

Ilość przechowywanych danych – głównie rejestrów (logów) z firewalli i innych urządzeń sieciowych – może być rzeczywiście bardzo duża. Jest to konieczność, ponieważ wykrycie niektórych typów anomalii wymaga analizy danych z wielu tygodni. Są nawet typy danych, które warto trzymać 6 miesięcy, zanim będzie można je skasować. Tak naprawdę decyzja o czasie przechowywania danych zależy przede wszystkim od tego, jaką przestrzenią dyskową dysponuje użytkownik. Eksperci zalecają, żeby dane trzymać najdłużej, jak się da.

Gdy anomalia zostanie wykryta, następnym krokiem jest ustalenie, czy alert został faktycznie spowodowany przez podejrzane zdarzenie czy jest jedynie przypadkowym odstępstwem. Zawsze może się bowiem zdarzyć, że użytkownik wykona jakąś dziwną operację. Do odpowiedzi na to pytanie służą już inne mechanizmy niż Big Data. Stosuje się narzędzia używane w informatyce śledczej, aby namierzyć ślady, które mógł pozostawić ewentualny intruz. Umożliwiają one ustalenie, jaką drogą intruz przedostał się do firmowej sieci, do których zasobów uzyskał dostęp i czy wykradł jakieś dane.