Bezpieczeństwo z automatu

Automatyzacja mechanizmów obrony przed zagrożeniami to obecnie najskuteczniejsza metoda zapewnienia bezpieczeństwa firmowych danych i aplikacji.

Prawdopodobnie twoja firma dysponuje licznymi narzędziami pomagającymi zapobiegać włamaniom, kontrolować dostęp do sieci, zabezpieczać urządzenia końcowe i zarządzać sprzętem mobilnym; z pewnością wiele z nich wyposażonych jest w automatyczne funkcje zaprojektowane w taki sposób, aby szybko wykrywać ataki i je powstrzymywać.

Jednak z wielu różnych – i jak najbardziej zrozumiałych – powodów przedsiębiorstwa niechętnie decydują się na ich wykorzystanie. Być może przyczyną jest obawa, że przez pomyłkę dojdzie do blokady realizacji zatwierdzonych transakcji handlowych, przeniesienia do kwarantanny urządzeń pracowników i przerw w pracy albo nawet awantur ze strony pracowników, z których smartfonów zostaną wykasowane prywatne dane.

Zobacz również:

Pracownikom działów IT w natłoku pracy może też brakować czasu na konfigurację opcji automatycznych. – Pełne wykorzystanie wszystkich możliwości, jakie stwarza automatyzacja funkcji, jest procesem czasochłonnym i wymaga określonych umiejętności, gdyż wiąże się z koniecznością odpowiedniego zaprogramowania tych produktów – mówi Jon Oltsik, starszy analityk w Enterprise Strategy Group. – Co więcej, automatyzacja wymaga zazwyczaj zintegrowania szeregu technologii bezpieczeństwa, a to również może nastręczać pewnych trudności – dodaje.

Choć wolimy nie mówić o tym głośno, nasz strach przed automatyzacją ma jeszcze jedną przyczynę: zdaniem Oltsika nadal pokutuje przeświadczenie, że decyzje dotyczące bezpieczeństwa powinien podejmować człowiek.

Podobnie jak w przypadku samochodów bez kierowcy i innych technologii, które niejako spychają nas na siedzenie dla pasażera, zdanie się w kwestiach tak istotnych jak bezpieczeństwo na bezduszne narzędzia budzi w nas naturalny opór.

Jednocześnie rosnąca liczba incydentów związanych z naruszeniem bezpieczeństwa danych i trudności ze znalezieniem doświadczonego personelu sprawiają, że specjaliści są dziś przeciążeni pracą.

Nadeszła pora, aby poszukać pomocy, gdzie tylko się da.

Stopniowy zwrot ku automatyzacji

– Automatyzacja funkcji znajduje coraz liczniejszą rzeszę zwolenników. Ma to związek z liczbą powiadomień i informacji o zagrożeniach, którymi na co dzień bombardowani są specjaliści ds. bezpieczeństwa – tłumaczy Oltsik. – Dzięki przekazaniu podstawowych czynności komputerom zespoły ds. bezpieczeństwa informacji nie muszą już tracić czasu na wykonywanie powtarzalnych zadań.

Zdaniem Oltsika największą korzyścią płynącą z automatyzacji jest zwiększenie wydajności operacyjnej. – Bezpieczeństwo sieci to nie tyle zagadnienie techniczne, co operacyjne – przekonuje. – Brakuje wykwalifikowanych specjalistów bezpieczeństwa sieci, a ci, których zatrudniamy, czują się przytłoczeni liczbą zadań manualnych. Automatyzacja procesów bezpieczeństwa usprawnia i ułatwia ich pracę.

Firmy, które wprowadziły automatyzację zabezpieczeń, widzą już pierwsze rezultaty.

Sitecore, dostawca usług z zakresu zarządzania doświadczeniem klienta, we wszystkich swoich oddziałach stosuje zapory sieciowe Palo Alto Networks; każda z nich zaopatrzona jest w oferowaną w chmurze usługę WildFire zapewniającą ochronę przed złośliwym oprogramowaniem. Rozwiązanie to umożliwia zaawansowane wykrywanie i eliminację zagrożeń w całej sieci i automatycznie udostępnia szereg zabezpieczeń wszystkim abonentom na świecie w ciągu około 15 minut.

Sitecore korzysta z usługi WildFire, aby wykrywać i powstrzymywać próby włamania do sieci – mówi Dylan Lloyd, dyrektor globalny ds. informatyki w Sitecore. Firma testuje również oferowane przez Palo Alto Networks rozwiązanie Traps i system zarządzania bezpieczeństwem urządzeń mobilnych, aby – jak dodaje Lloyd – zwiększyć poziom bezpieczeństwa i zapobiec wzrostowi liczby podobnych ataków na sprzęt mobilny i urządzenia końcowe.

Lloyd przyznaje, że decyzja Sitecore podyktowana była wieloma czynnikami. – Jednym z powodów, dla których zdecydowaliśmy się na automatyzację, były ograniczenia kadrowe. Chcieliśmy mieć pewność, że maksymalnie wykorzystujemy nasze zasoby – mówi.

Automatyzacja nie tylko odciąża personel, ale również, jak wyjaśnia dyrektor, zwiększa poczucie bezpieczeństwa w firmie.

Wzrost zainteresowania automatyzacją zabezpieczeń wynika również z rosnącej liczby zagrożeń, z którymi stykają się przedsiębiorstwa, także te mniejsze. – Rośnie liczba coraz bardziej wyrafinowanych ataków, co sprawia, że coraz trudniej jest nam trzymać rękę na pulsie. Firmy, którym zależy na rozwoju i usprawnieniu działalności zmuszone są wprowadzić automatyzację – tłumaczy Lloyd.

Bez automatycznych systemów większość czasu upływałaby nam na śledzeniu zagrożeń, a produktywność firmy spadłaby do zera – mówi Lloyd. Dyrektor zauważa również, że Sitecore zdecydowało się na zakup rozwiązań oferowanych przez Palo Alto Networks, ponieważ firma ta nieustannie udoskonala systemy wykrywania zagrożeń.

Bezpieczeństwo urządzeń końcowych

Jak dotąd największą korzyścią płynącą z automatyzacji jest zwiększenie bezpieczeństwa urządzeń końcowych. Sitecore zanotowało „olbrzymi spadek” zagrożeń ze strony złośliwego oprogramowania; zapory sieciowe i usługa WildFire udaremniają ataki, zanim szkodliwe aplikacje zdążą zainfekować sprzęt.

Dzięki temu przypadki zarażenia złośliwym oprogramowaniem spadły niemal do zera – mówi Lloyd. – W ostatnich trzech latach mieliśmy z nimi do czynienia około 10 razy, co przy ponad tysiącu urządzeń końcowych w firmie oznacza, że ataki dotknęły zaledwie 1% sprzętu. Pracuję w sektorze IT od 15 lat i nigdy dotąd nie spotkałem się z tak skutecznym rozwiązaniem, a przecież jeszcze nie wdrożyliśmy systemu Traps.

Automatyzacja zabezpieczeń niesie ze sobą także pewne wyzwania. – Owszem, wprowadzenie nowych rozwiązań nieuchronnie prowadzi do zablokowania niektórych wcześniej zatwierdzonych operacji i transakcji; my także musieliśmy się zmierzyć z tym problemem – mówi Lloyd. – Zdarza się, na przykład, że funkcje bezpieczeństwa automatycznie ograniczają funkcjonalność nowych narzędzi SaaS wprowadzanych przez któryś z naszych działów. W takim przypadku przybywamy z odsieczą.

Pomimo tych wyzwań ani zarząd ani użytkownicy końcowi nie byli przeciwni zmianom. Dyrektor Lloyd dodaje – Pracujemy w firmie zajmującej się technologią; większość z nas rozumie, że bez tych narzędzi nie moglibyśmy w pełni chronić naszych interesów.

Z kolei Exostar, firma oferująca rozwiązania online przedsiębiorstwom z branży lotniczej, obronnej i nauk o życiu, wykorzystuje automatyczne funkcje wbudowane w narzędzia takie jak na przykład SecurityCenter firmy Tenable, aby wspomagać swój własny system wykrywania włamań, zarządzania podatnością na zagrożenia itp.

– Ataki stają się coraz liczniejsze i coraz bardziej wyrafinowane. Nadążanie za nimi wymaga znacznych nakładów pracy i czasu – mówi Rob Sherwood, dyrektor ds. bezpieczeństwa w Exostar. – Dzięki automatyzacji jesteśmy zawsze o krok do przodu i możemy przeznaczać nasze zasoby na opracowywanie i dostarczanie rozwiązań dla rosnącej rzeszy klientów.

Automatyzacja zabezpieczeń usprawnia wykrywanie zagrożeń w firmie: –- Dostrzegamy obszary potencjalnego ryzyka i odpowiednio wcześnie reagujemy – mówi Sherwood i dodaje – Nie mam wątpliwości, że automatyzacja pozwala zapobiegać atakom na służbowe urządzenia pracowników. Co ważniejsze, zdołaliśmy wyjść poza własne wirtualne cztery ściany: powstrzymujemy również ataki na aplikacje, z których na co dzień korzystają nasi klienci.

Jednocześnie firma próbuje znaleźć równowagę między automatyzacją a czynnikiem ludzkim. Sherwood mówi: – W miarę jak rośnie nasza wiara w skuteczność tych narzędzi, wykonujemy kolejny krok w kierunku automatyzacji. Ponieważ naszymi klientami są przedsiębiorstwa ze ściśle regulowanych branż, takich jak lotnictwo, obronność, nauki o życiu i służba zdrowia, w których wysoki poziom bezpieczeństwa ma kluczowe znaczenie, niezwykle rygorystycznie podchodzimy do kwestii bezpieczeństwa i konfiguracji funkcji automatycznych.

Jeśli nie chcemy, aby automatyzacja obniżyła naszą wydajność i stała się przyczyną niezadowolenia klientów, konieczne jest uzyskanie wsparcia dla podstawowego stanu zabezpieczeń na szczeblu kierowniczym. Jednocześnie ważne jest, aby zachować elastyczność, która w razie konieczności pozwoli na stosowanie nielicznych, kontrolowanych i tymczasowych wyjątków, nie stwarzając dodatkowego ryzyka – mówi Sherwood.

Z automatycznych zabezpieczeń korzysta również Queens College Uniwersytetu Miejskiego w Nowym Jorku. Uczelnia wdrożyła system zapobiegania włamaniom CounterACT firmy Forescout, który wykrywa zagrożenia sieciowe i natychmiast blokuje podejrzanych użytkowników na podstawie analizy wskaźników behawioralnych.

– Za pośrednictwem portalu autoryzacji CounterACT wysyłamy do użytkownika powiadomienie o wystąpieniu błędu i kontaktujemy się z obsługą techniczną – wyjaśnia Morris Altman, dyrektor ds. usług sieciowych odpowiedzialny za bezpieczeństwo sieci. – Z rozwiązania bardzo często korzystaliśmy w przeszłości, gdy po sieci krążyły samopropagujące się robaki.

Zarażeniu uległy wówczas setki komputerów w całej szkole, tak że trzeba było je odłączać od sieci, blokować porty i identyfikować źródła zagrożenia przeglądając logi zapory sieciowej – opowiada Altman.

Obecnie szkoła potrafi czynnie zapobiegać atakom tego rodzaju, dzięki czemu awaryjne blokowanie wszystkich komputerów przestało być koniecznością. – CounterACT to dla nas olbrzymia oszczędność czasu i pracy – przyznaje Altman. – Zagrożenia tego typu nadal występują, ale udaje się nam zapobiegać ich rozprzestrzenianiu.

Altman przyznaje, że dodatkowym zagrożeniem są komputery studentów korzystających z uczelnianej sieci bezprzewodowej. – Takie zagrożenia staramy się zdusić w zarodku, wówczas użytkownik może rozwiązać dany problem na własną rękę lub zwrócić się o pomoc do personelu obsługi technicznej. Ponieważ od jakiegoś czasu wirusy atakują także smartfony, aktywne przeciwdziałanie zagrożeniom sieciowym ma kluczowe znaczenie.

Polityka bezpieczeństwa Queens College bywa ponad miarę restrykcyjna. Altman przyznaje na przykład, że w przeszłości blokowano użytkowników, którzy nie zaktualizowali systemu Windows.

– Obecnie studenci są zawczasu informowani o konieczności aktualizacji, a na ekranie sieciowym wyświetlane są odpowiednie wskazówki i numery obsługi technicznej – mówi Altman. – Użytkownicy mają około tygodnia na zaktualizowanie systemu. Studentom, którzy ociągają się z instalacją, blokujemy dostęp do sieci. Dzięki temu nie tylko uczymy ich, jak postępować, ale także dbamy o ich bezpieczeństwo. Szukamy równowagi między ryzykiem a produktywnością. Chociaż ostatnią rzeczą, której byśmy chcieli, jest przeszkadzanie innym w pracy, czasami zagrożenie jest tak poważne, że nie mamy innego wyjścia.