Bezpieczeństwo adaptacyjne - dlaczego go potrzebujemy

Niemal każda organizacja znajduje się dziś w stanie ciągłego, możliwego zagrożenia - dlatego musi mieć strategię bezpieczeństwa przewidującą szybkie wdrożenie i dopasowanie działań zabezpieczających i naprawczych, gdy dojdzie do incydentu. Pomaga w tym system bezpieczeństwa adaptacyjnego, który umożliwia wczesne wykrywanie zagrożeń i automatyczne, samodzielne reagowanie w razie wystąpienia takiego zdarzenia.

Architektura bezpieczeństwa adaptacyjnego nie ogranicza organizacji do jednego systemu czy procesu biznesowego. To wielopoziomowy i całodobowy system monitorowania, który powinien zostać zaprojektowany w taki sposób, by ewoluował w miarę jak cyberzagrożenia i ataki stają się coraz bardziej złożone i wyrafinowane.

Takie podejście, oprócz wczesnego wykrywania incydentów i reagowania na nie, pozwala zapobiegać kradzieży danych i sabotażowi, zmniejszyć czas oczekiwania związany z analizą zagrożenia, by zdecydować czy faktycznie jest to zagrożenie czy fałszywy alarm, rozpoznawać naruszenia bezpieczeństwa, które mają miejsce w czasie rzeczywistym i często wynikają z działań personelu oraz są nieumyślne, wreszcie - nie dopuścić do rozprzestrzenienia się zagrożenia w firmowej sieci.

Według analityków Gartnera bezpieczeństwo to kolejna odnoga technologicznej infrastruktury, która musi się w najbliższym czasie udoskonalić, a także przeniknąć głębiej w struktury firm, stając się integralną częścią wielu działów. Zadania związane z bezpieczeństwem powinny być realizowane już na etapie tworzenia i projektowania aplikacji czy usług, aby wzmocnić stosunkowo słabe pod kątem zabezpieczeń sieci i środowiska programistyczne.

David Cearley, wiceprezes Gartnera, tłumaczy, że bezpieczeństwo w wielu firmach zaczyna się od kontroli sieci i dostępu, zarządzania lukami w zabezpieczeniach, ochrony punktów końcowych i podstawowego monitorowania. „Ale przedsiębiorstwa muszą zaakceptować, że taka kontrola jest obecnie niewystarczająca” — mówi.

Dziś hakerzy kierują swoje ataki bezpośrednio w aplikacje i źródła treści, jak np. pojedyncze usługi celowo udostępniane przez firmy, które chcą otwierać się na świat zewnętrzny, by promować rozwój poszczególnych ekosystemów biznesowych. Hakerzy często starają się tworzyć bliźniaczo podobne systemy, którymi zastępują te oryginalne. Następnie mogą monitorować i kontrolować dane rozwiązanie, przejmując w ten sposób fizyczne zasoby danej organizacji.

„Ataki na serwisy webowe należały do czterech najpopularniejszych w 2017 roku i trzech najpopularniejszych w roku 2016” — zauważa Maciej Wróbel, senior DevOps expert w ING Tech Poland. I przestrzega, aby firmy decydowały się na udostępnianie swoich usług tylko wtedy, gdy faktycznie ma to dla nich korzyść biznesową.

„Weźmy za przykład ataki DoS. Są coraz popularniejsze, tańsze do przeprowadzenia i wykorzystujące coraz większe pasma. Zabezpieczenie serwisów przed nimi jest trudne i kosztowne. Jeżeli więc decydujemy się na wystawienie serwisu, by mogli z niego korzystać nasi klienci, to musimy zadać sobie pytanie, czy będziemy mogli zapewnić jego odporność na ataki. Jeśli nie, to czy nasi klienci, integrujący się z naszym serwisem nie poniosą z tego powodu strat? Czy nasz wizerunek nie ucierpi, gdy okaże się że na naszych serwisach (choćby pomocniczych) nie można polegać?” — podpowiada.

Bezpieczeństwo adaptacyjne. Firmy w stanie reaktywnym

Głównym założeniem podejścia adaptive security jest umiejętność dostosowywania się i reagowania na złożone i stale zmieniające się zagrożenia tak szybko, jak to możliwe. Większość firm działa jednak metodą „reagowania” – prace zabezpieczające są wdrażane dopiero wtedy, gdy dojdzie do incydentu. „Obecnie firmy funkcjonują w taki sposób, że reagują na incydenty, a same zagrożenia postrzegają jako zdarzenia jednorazowe, które mają miejsce dość rzadko” — tłumaczy Cearley, dodając, że dziś należy zmienić to podejście. „Trzeba być w ciągłej gotowości, ponieważ ataki hakerów są nieustanne i nieustępliwe. Firmy powinny monitorować swoje systemy w sposób stały, nieprzerwany”.

Stosowanie podejścia adaptive security wymusza na organizacji generowanie i przetwarzanie dużej ilości danych. Z tego powodu zaawansowane analizy Big Data stanowią podstawę rozwiązań bezpieczeństwa opartych na strategii adaptive security.

Gartner przewiduje, że do 2020 r. już 40 proc. organizacji na całym świecie będzie dysponowało działającymi hurtowniami danych, które będą związane z bezpieczeństwem, przechowując w nich dane z prac monitorujących, które będą też wspierać analizy retrospektywne.

Eksperci ds. bezpieczeństwa przekonują, że firmy mają już świadomość zagrożeń i tego, że świat cyberbezpieczeństwa zmienia się bardzo szybko, ale brakuje specjalistów i rynkowego doświadczenia. Z tego powodu większość firm nadal korzysta ze starszych systemów i działa w modelu reaktywnym.

Tom Chan, dyrektor zarządzający w PCCW Limited, firmie telekomunikacyjnej z siedzibą główną w Hong Kongu, uważa że do wdrożenia strategii adaptive security potrzebne są nowe umiejętności i wiedza. „To nowe podejście wykorzystuje m.in. analizy współpracujące ze sztuczną inteligencją, aby w porę wykrywać wszelkie podejrzane działania i umieć na nie zareagować” — mówi.

„Na rynku brakuje odpowiednich specjalistów, którzy potrafią nie tylko analizować dane w kontekście security, ale też mają wiedzę i doświadczenie z zakresu pracy ze sztuczną inteligencją”. Gdzie zdobywać umiejętności i nowe kwalifikacje? Jedną z polecanych i relatywnie tanich metod jest korzystanie z kursów online, oferowanych przez międzynarodowe serwisy e-learningowe, takie jak lynda.com, udemy.com lub coursera.org.

Bezpieczeństwo adaptacyjne. Uczenie maszynowe do pomocy

Jeśli zdecydujemy się na wdrożenie architektury adaptive security i zmianę strategii, u podstaw powinno zawsze leżeć założenie, że „zawsze coś może pójść nie tak”, jeśli chodzi o bezpieczeństwo w firmie. Główne priorytety to zatem ciągłe monitorowanie i doskonalenie architektury. Sprowadza się to do tego, że nie czekamy na zdarzenie, ale wręcz go oczekujemy, jesteśmy w stanie je zidentyfikować i odpowiedzieć, zanim zdąży wyrządzić szkody w naszym systemie.

Firmy, które decydują się na adaptive security, wykazują się podejściem proaktywnym. Z tego powodu kluczowe komponenty to rozwiązania do analiz bezpieczeństwa i systemy bazujące na algorytmach uczenia maszynowego. Oprócz tego analizy opisowe wykrywają zdarzenia anomalne, a analizy diagnostyczne pomagają wyjaśnić dlaczego dane zdarzenie niepożądane miało miejsce. Ponadto dochodzą analizy predykcyjne, która mają pomóc w identyfikowaniu podejrzanych zachowań, opierając się na danych historycznych i powtarzających się aktywnościach (wzorcach).

Wszystko to sprawia, że firma, przynajmniej od strony bezpieczeństwa, staje się firmą Big Data. Ze względu na ogromną ilość danych zamkniętych w hurtowniach w chmurze, a także fakt, że złośliwe działania są często ukryte pod legalnymi poleceniami, podejrzane zapytania do serwerów stają się prawie niemożliwe do wykrycia. To sprawia, że potrzebne jest wdrożenie rozwiązań wykorzystujących machine learning. Mogą one wspomagać zespół ds. bezpieczeństwa, automatyzując wiele procesów, oferując np. rozpoznawanie wzorców, co jest niezbędne w analizach.

Badacze z MIT w jednostce Computer Science and Artificial Intelligence Lab (CSAIL) pracują już nad platformą AI2, która ma być wykorzystywana do tworzenia systemów adaptivce security. Wykorzystuje ona machine learning do codziennego oceniania danych z dziesiątek milionów logów serwerowych.

Jak twierdzą jej autorzy, znacznie zmniejsza liczbę zdarzeń, jakie musi analizować zespół ds. bezpieczeństwa, a dodatkowo samodzielnie uczy się – na podstawie wcześniejszych sukcesów i porażek – jak skutecznie przewidywać kolejne cyber ataki. Obecnie skuteczność poprawnego diagnozowania zagrożeń przez AI2 wynosi aż 85 proc. i rośnie.

Bezpieczeństwo adaptacyjne. Wszystkie punkty pod kontrolą

Bezpieczeństwo adaptacyjne to jednak nie tylko uczenie maszynowe i sztuczna inteligencja. System tego rodzaju powinien zapewniać wgląd w dane i ostrzegać o zagrożeniach w czasie rzeczywistym, wyświetlając odpowiednie informacje na pulpitach nawigacyjnych (dashboardy), a także oferować wsparcie techniczne ekspertów 24 godz. na dobę. Specjaliści sugerują też, że dostawcy takich rozwiązań powinni być w stanie wdrażać systemy adaptive security w ciągu 90 dni (działająca pierwsza wersja, którą można dopracowywać).

Tom Chan przekonuje , że każda firma powinna się jeszcze zatroszczyć o odpowiednie zabezpieczenia sieci. Chodzi tutaj o zapewnienie kompleksowej widoczności z urządzeń końcowych, takich jak smartfony, tablety, laptopy i komputery stacjonarne – wszystko po to, aby w firmie nie powstawały luki, przez które wyniki analiz i monitorowania mogłyby być błędne. „Potrzebna jest widoczność end-to-end” — mówi Chan, podkreślając, że bezpieczeństwo powinno obejmować wszystkie urządzenia i usługi w firmie, a nie tylko wybrane.

Na koniec pozostaje znalezienie argumentów dla zarządu, aby uzasadnić – z biznesowego punktu widzenia – inwestycję w stworzenie i wdrożenie systemu adaptive security. Tu warto przeanalizować modele kosztów, znajdując takiego dostawcę lub dostawców, którzy wykażą się elastycznością. W przypadku rozwiązań z zakresu bezpieczeństwa adaptacyjnego pod uwagę bierzemy wdrożenia całkowicie zlecane na zewnątrz, ale też realizowane na miejscu, czy też częściowo przez nasz zespół IT. Kluczowa będzie jednak specyfika biznesu.

„Wdrożenie adaptacyjnego bezpieczeństwa może być potrzebne tam, gdzie statyczne, planowane mechanizmy obrony są zbyt wolne, by zabezpieczyć przed atakami lub gdy biznes rozwija się tak dynamicznie, że tradycyjne mechanizmy obrony go zbytnio hamują” — mówi Maciej Wróbel z ING Tech Poland. I dodaje:

Należy przy tym zawsze rozważyć czy koszt wdrożenia jest adekwatny do korzyści z jego wdrożenia, czy ryzyko wdrożenia faktycznie zmniejsza poziom ryzyka firmy, czy system będzie posiadał dane niezbędne do jego dostrajania i wreszcie - czy jego wdrożenie, zamiast wspierać rozwój, nie stanie się jego hamulcem.