Ochrona stacji roboczych

Nową gałęzią zabezpieczeń jest segment Endpoint Detection and Response (EDR). Tego rodzaju produkty powstały, aby zapewnić stałą ochronę urządzeń końcowych (komputerów stacjonarnych, serwerów, tabletów i laptopów) przed zaawansowanymi zagrożeniami. Przede wszystkim znacznie poprawiają one monitorowanie, wykrywanie zagrożeń i mechanizmy reagowania w przypadku wykrycia zagrożenia.

Te narzędzia rejestrują szereg zdarzeń zachodzących w sieci i urządzeniach końcowych. Zebrane informacje przechowują w centralnej bazie danych. Natomiast narzędzia analityczne są wykorzystywane do ciągłego przeszukiwania tej bazy danych, aby określić środki, które mogą poprawić bezpieczeństwo. W ten sposób można zapobiec typowym atakom oraz szybko wykryć trwające włamania (również te pochodzące z wewnątrz organizacji), a także błyskawicznie na nie zareagować. Takie narzędzia mogą również pomóc w szybkim ustaleniu szczegółów ataku i podjęciu działań zaradczych.

Zobacz również:

• IDC CIO Summit – potencjał drzemiący w algorytmach
• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Menedżer haseł - na które rozwiązanie warto postawić w 2024 roku

Megaanaliza

Wybiegając w przyszłość, jeśli platformy zabezpieczeń mają działać efektywnie, będą musiały korzystać z narzędzi analitycznych jako jednej z podstawowych funkcjonalności. Stały monitoring zasobów informatycznych będzie bowiem generował ogromne ilości danych (Big Data), znacznie większe, niż tradycyjne systemy SIEM (Security Information and Event Management) są w stanie efektywnie analizować. Według Gartnera w 2020 r. aż 40 % przedsiębiorstw będzie korzystało z hurtowni danych zbierających dane na potrzeby systemów bezpieczeństwa. Przechowując i analizując te dane, a także wykorzystując dodatkowe mechanizmy wykrywania zagrożeń, będą tworzyły wzorce tego, co jest “normalne”. Takie wzorce będą następnie służyły do wykrywania anomalii wskazujących na włamania.

Nieznane=niezaufane

Zabezpieczenia wykorzystujące sygnatury do wykrywania zagrożeń stają się coraz mniej efektywne. Alternatywną strategią jest traktowanie wszystkiego, co nieznane jako niezaufanego. Takie obiekty są izolowane, aby nie stanowiły zagrożenia dla systemów, w których działają i nie stały się wektorem do eskalacji ataku na kolejne systemy. Wirtualizacja, izolacja, abstrakcja oraz techniki zdalnej prezentacji będą wykorzystywane do tworzenia specjalnych kontenerów, wiernie odwzorowujących rzeczywisty system. Takie kontenery będą służyły do testowania niezaufanego kodu czy treści. Wirtualizacja i tworzenie kontenerów to strategie, które staną się typowym elementem zabezpieczeń. Według prognoz w 2016 r. będą używane przez 20 % przedsiębiorstw porównując z poziomem zerowym w 2014 r.

Rządowe szpiegowanie

Gdy światło dzienne wyszły doniesienia na temat szpiegowania przez agencje rządowe i stosowania backdoorów (nie tylko przez rządy, ale również komercyjne organizacje), stało się jasne, że zabezpieczenia infrastruktury są łamane na szeroką skalę. Skutkiem jest konieczność ustalenia nowej skali zaufania do technologii i organizacji. Można się jedynie domyślać, że jest to czubek góry lodowej i stale będą wychodzić na jaw kolejne przypadki. Większość przedsiębiorstw nie posiada zasobów ani umiejętności do samodzielnego wykrywania tylnych drzwi. Dlatego warto śledzić działania ekspertów od bezpieczeństwa oraz media, szczególnie branżowe pod kątem informacji o nowych rewelacjach.