CISO bez budżetu? To się może udać…

Coraz więcej firm tworzy w swoich strukturach stanowisko CISO (Chief Information Security Officer – szef działu bezpieczeństwa informacji), często jednak w pierwszej fazie działalności okazuje się, że taki specjalista nie ma właściwie do dyspozycji żadnych funduszy. To komplikuje działanie, ale nie znaczy, że CISO ma związane ręce.

Pewien CISO, który niedawno rozpoczął pracę w jednej z dziesięciu największych firm telekomunikacyjnych w Stanach Zjednoczonych, narzekał, że w przeciwieństwie do swoich kolegów po fachu nie ma do dyspozycji budżetu na zakup nowoczesnych technologii bezpieczeństwa. Jednocześnie zaznaczył, że nawet z bardzo ograniczonymi zasobami wciąż jest w stanie rozwiązywać problemy związane z cyberbezpieczeństwem oraz redukować występujące zagrożenia. W tym celu konieczny jest „powrót do źródeł” w podejściu do zarządzania bezpieczeństwem posiadanego środowiska IT, a także dostosowanie jego architektury do własnej organizacji.

Pieniądze to nie wszystko

Częstą reakcją na takie głosy ze strony specjalistów ds. bezpieczeństwa jest tłumaczenie, że przecież w świecie darmowych rozwiązań open source znajdziemy mnóstwo aplikacji i produktów, które można z powodzeniem wykorzystać do zbudowania skutecznie działającego systemu cyberbezpieczeństwa. W omawianym przypadku nowo przyjęty do firmy CISO nie planował jednak wykorzystania narzędzi open source, lecz zastosowanie wielowarstwowego, kompleksowego systemu zabezpieczeń w całej organizacji. I to bez specjalnego budżetu na bezpieczeństwo IT.

Przez lata pracy w branży IT nauczyłem się czegoś ważnego o bezpieczeństwie informatycznym – większość problemów z tej kategorii można rozwiązań poprzez zmianę architektury. Wbrew pozorom nie jest to takie proste. Mając do czynienia z „płaską” architekturą sieciową i wieloma aplikacjami funkcjonującymi na bazie „antycznych” reguł firewalli trudno liczyć, że CIO po prostu wysłucha argumentów CISO i przearanżuje całą sieć firmy bez słowa krytyki i narzekania.

Miałem okazję pracować z wieloma firmami z listy Fortune 500, w których eksperymentowałem z najróżniejszymi koncepcjami dotyczącymi tego, jak „sprzedać” szefom IT pomysł przearanżowania systemu IT i wytłumaczyć wynikające z tego korzyści dla biznesu. Dzięki temu wypracowałem zbiór zasad dotyczących modyfikowania architektury systemów bezpieczeństwa, którymi chętnie się dzielę. Oto podstawy stworzonej przeze mnie metody Bell Security Enterprise Architecture:

1. Przestań skupiać się na walce ze złośliwym oprogramowaniem. Naucz się funkcjonować w zainfekowanym środowisku, działając w modelu „zero zaufania” – czas zacząć traktować wewnętrzne sieci tak jak internet.

2. Przestań skupiać się na najnowszych i najlepszych rozwiązaniach popularnych dostawców. Coraz większa liczba narzędzi nie zatrzymuje ataków, ale co najwyżej je spowalnia.

3. Skup uwagę na systemach krytycznych z punktu widzenia ochrony danych (takich jak: dane osobowe, informacje nt. płatności, poufne dokumenty itd.). Staraj się chronić również inne zasoby, ale nie kładź ich na szali swojej kariery w imię kwestii, które nie są kluczowe.

4. Korzystaj z wirtualizacji, by nałożyć pożądaną architekturę bezpieczeństwa IT na istniejące w organizacji rozwiązania, nie modyfikując zarazem starszych systemów – pozostaw je nietknięte. Stwórz wokół istniejących serwerów z poufnymi danymi „bezpieczne strefy”, dzięki którym będą izolowane od innych systemów. Zrób tak ze wszystkimi serwerami zawierającymi cenne dane.

5. Strefa bezpieczeństwa powinna składać się z taniego firewalla, postawionego przed serwerem z zestawem niewielu zasad bezpieczeństwa/ACL. Poszczególne strefy powinny komunikować się ze sobą wyłącznie bezpośrednimi, szyfrowanymi kanałami. Nieszyfrowana komunikacja może służyć np. do przekazywania informacji o statusie serwera.

6. Częścią tej metody jest również tworzenie wirtualnej „nakładki na sieć” z wykorzystaniem stref bezpieczeństwa do zarządzania poufnymi danymi na istniejących serwerach zamiast migrowania tych danych do tradycyjnych „bezpiecznych enklaw”. Dzięki temu unikamy zakłócania pracy firmy, migrowanie aplikacji mogłoby bowiem powodować problemy z funkcjonowaniem systemów (z powodu zakłócania ustalonych reguł firewalli). Bezpieczne strefy komunikują się przez zaszyfrowane połączenia – VPN lub TLS. W ten sposób nie musimy tak bardzo martwić się tym, co dzieje się w sieci poza bezpiecznymi strefami.

7. Wykorzystanie serwera „jump-box” przed każdym serwerem z poufnymi danymi pozwoli na skuteczne śledzenie całego adresowanego do niego ruchu. Rekomendowanym rozwiązaniem jest również skonfigurowanie dwustopniowego uwierzytelniania. Jump-box będzie monitorował i zapisywał wszelkie próby dostępu do danych.

8. Zabezpiecz przechowywane w firmie poufne dane za pomocą szyfrowania/tokenizacji. Jako rozwiązanie minimum rekomenduj szyfrowanie na poziomie aplikacji, a nie bazy danych – dzięki temu administrator bazy nie będzie miał dostępu do danych sensytywnych.

9. Przestań przechowywać klucze szyfrujące na serwerach, które są odpowiedzialne za szyfrowanie –trzymaj je rozdzielone na innych serwerach z odpowiednimi uprawnieniami dostępu do plików.

10. Rozważ również, jeżeli to możliwe, rozdzielenie danych – tak aby ich wykorzystanie wymagało wcześniejszego połączenia źródeł. Miej na uwadze wydajność całego systemu i możliwe opóźnienia.

11. Używaj asymetrycznego routingu sieciowego. Rozdziel ruch sieciowy i ogranicz zagrożenie ze strony ataków typu packet sniffing (osoba przeprowadzająca taki atak w razie powodzenia będzie mogła uzyskać dostęp tylko do 50% pakietów).

12. Z uwagi na zagrożenia ze strony aplikacji typu RAM memory scrappers zacznij korzystać z szyfrowania pamięci. Używanie kluczy szyfrujących i deszyfrujących oraz tymczasowe przechowywanie poufnych danych w pamięci RAM nie jest bezpieczne, ponieważ są aplikacje, które potrafią przechwytywać jej zawartość. Poszukaj informacji na temat narzędzi „TRESOR Linux kernel patch” lub CryptProtectMemory.

Podstawowe korzyści wynikające w wdrożenia powyższych zasad to:

1. Ograniczenie liczby konfliktów z CIO i personelem odpowiedzialnym za operacje biznesowe.

2. Będziesz mógł prezentować się jako bardziej elastyczny i skłonny do współpracy CISO.

3. Niskie koszty; wymienione metody opierają się na wykorzystaniu technologii, które już są obecne w organizacji.

4. Skuteczniejsza ochrona przed cyberzagrożeniami oraz redukcja czynników ryzyka.

5. Zachowanie istniejącej architektury informatycznej, a co za tym idzie, brak konieczności reorganizacji u oraz zatrudniania zewnętrznych architektów IT.


TOP 200