Pełna widoczność – lepsze bezpieczeństwo

Globalne trendy redefiniujące modele pracy wymuszają zmianę polityki organizacji w zakresie zarządzania i zabezpieczania urządzeń końcowych. Tym bardziej, że wyszły już one poza sieci przedsiębiorstwa.

Rosnące zagrożenia cybernetyczne wymagają wyjątkowej czujności organizacji. Urządzenia, na których w dużej części zdalnie pracownicy realizują firmowe zadania, cały czas są potencjalną furtką wejścia do zasobów organizacji. Dlatego potrzebne są rozwiązania wprowadzające pełną kontrolę sprzętu, zdolne wykrywać potencjalne zagrożenia, anomalie, z drugiej zaś strony nie wpływające na komfort użytkowników. Dużą popularność zyskują rozwiązania End Point Management.

Trendy nowe i starsze

O pandemii napisano już chyba wszystko. Szczególnie w kontekście IT. Przyspieszona cyfryzacja organizacji i wymuszona sytuacją zmiana modelu świadczenia usług na niespotykaną wcześniej skalę, pociągnęła za sobą szereg konsekwencji i postawiła firmy przed poważnymi wyzwaniami.

Przedsiębiorstwa musiały praktycznie z dnia na dzień zacząć funkcjonować w środowiskach rozproszonych, być może nawet tracąc pełną kontrolę nad urządzeniami końcowymi swoich pracowników. Skala pracy zdalnej spowodowała wzrost wykorzystania prywatnych urządzeń i punktów dostępu do sieci. Ciągłość biznesowa musiała być utrzymana, a wyzwaniem stało się jednocześnie zachowanie pełnego bezpieczeństwa dostępu do firmowych danych, realizowanego na urządzeniach końcowych – laptopach, tabletach, telefonach komórkowych, często łączących się z organizacją przez nieautoryzowane sieci.

Należy jednak pamiętać, że pewne zjawiska rozpoczęły się jeszcze przed wiosną 2020 roku. Praca zdalna nie jest pomysłem sprzed dwóch lat, a potrzeba doświadczenia atrybutów pracy biurowej na odległość ma znacznie dłuższą historię. Covid-19 po prostu zadziałał jak katalizator szybszych, obejmujących więcej pracowników zmian.

Od pewnego czasu organizacje zmierzały w kierunku większej mobilności. To po części sposób na zwiększenie wydajności pracowników, jak też odpowiedź na ich potrzeby. Przyzwyczajenia ze świata konsumenckiego wpływają na wyrobienie nowych nawyków w pracy. Jak podaje Euromonitor, 1/5 zakupów realizowanych w sieci w 2021 roku odbywała się za pomocą urządzeń mobilnych. I to właśnie one (smartfony, ale i tablety) stają się też równoprawnymi narzędziami w pracy. Mobilni (czytaj: pracujący zdalnie lub hybrydowo) pracownicy potrzebują na smartfonie tych samych aplikacji co na firmowym laptopie i tak samo jak w świecie konsumenckim chcą płynnie przechodzić z jednego urządzenia na drugie, realizując firmowe zadania. Na pewno pomaga w tym chmura obliczeniowa jako coraz bardziej popularny model konsumpcji IT. Dodatkowo wiele organizacji wprowadziła politykę Bring Your Own Device (BYOD), pozwalając swoim pracownikom na wykorzystanie prywatnych urządzeń do celów firmowych.

Wreszcie – największe wyzwanie współczesnego cyfrowego świata: cyberbezpieczeństwo. Mnogość firmowych (lub niefirmowych) urządzeń końcowych z możliwością dostępu do ważnych zasobów organizacji, a dodatkowo w przypadku pandemii mocny czynnik psychologiczny, spowodowały znaczne zwiększenie powierzchni potencjalnych ataków hackerskich.

KOMENTARZ EKSPERTA

Stefan Stefaniak

Cyber Security Advisory Team Leader

T-Systems Polska (spółka należąca

do T-Mobile Polska)

Systemy EDR – element kompleksowej cyberochrony środowiska IT Aktualnie stacje robocze użytkowników narażone są na szereg zagrożeń takich jak: wirusy, trojany, robaki, DOS (lokalny/fork bomb), bomby logiczne, exploity, etc. Szczególnie niebezpieczne są bomby logiczne, czyli złośliwe programy, które uruchamiane są w przypadku wystąpienia warunku logicznego, np. konkretnego czasu/daty, uzyskania dostępu lub wykonania zdefiniowanej przez przestępców czynności , etc. Dodatkowo w chwili równoczesnego wystąpienia zagrożenia typu zeroday, powstaje złośliwy program, który nie jest wykrywany przez typowe narzędzia ochrony urządzeń końcowych w sieci jak: programy AV, urządzenia UTM/NGF oraz systemy typu Sandbox.

Odpowiedzią na opisane powyżej cyberzagrożenia są systemy typu EDR, które w sposób ciągły monitorują zachowanie oraz cechy uruchamianych aplikacji i skryptów na urządzeniach końcowych czy serwerach. Dysponują również funkcjonalnością poszerzonej detekcji, wspartej często sztuczną inteligencją i posiadają predefiniowane bazowe mechanizmy reakcji na wykryte złośliwe oprogramowanie, dzięki czemu zapewniają wysoki poziom ochrony. Systemy EDR również strukturyzują i kategoryzują wszystkie zebrane informacje tworząc w ten sposób obraz reputacji danej aplikacji oraz oznaczają ją jako bezpieczną lub nie, uwspólniając tę informację w ramach całego środowiska użytkownika.

Systemy EDR działają również prewencyjnie. Blokują wcześniej skategoryzowane procesy, kasują je lub przesuwają do kwarantanny oraz nadają sygnatury wykrytego zagrożenia i natychmiast dystrybuują te informacje na pozostałe stacje końcowe użytkownika, z odpowiednim znacznikiem zagrożenia (tzw. reputacja pliku). Te możliwości aktywnego przeciwdziałania negatywnym skutkom uruchomienia nawet zaawansowanego zeroday’a mogą zostać jeszcze zwiększone dzięki integracji systemów EDR z programami AV oraz urządzeniami UTM czy rozwiązaniami SIEM. W ten sposób EDR wpisują się w holistyczny model ochrony środowiska IT.

Bezpośredni wróg firmowy

„Cyberrekiny wyczuły krew w wodzie”. Zmasowane ataki, celowane ataki – wiele organizacji na własnej skórze mogło odczuć znane wcześniej z teorii i artykułów niebezpieczeństwa.

Ransomware to obecnie zagrożenie numer jeden dla dużych i średnich firm. Śródroczny raport o cyberzagrożeniach (2022), przeprowadzony przez Centra Operacyjne Ochrony Cybernetycznej Acronis informuje, że prawie połowa wszystkich zgłoszonych naruszeń w pierwszej połowie 2022 roku dotyczyła skradzionych danych uwierzytelniających, które umożliwiają kampanie phishingowe i ataki ransomware. Te ostatnie do 2023 roku mogą spowodować szkody przekraczające globalnie 30 miliardów dolarów. Brytyjski producent oprogramowania zabezpieczającego Sophos podaje, że średni koszt ataku ransomware w 2020 r. to blisko 1,5 miliona dolarów dla będących ofiarami organizacji, które zapłaciły okup i około 732 000 dolarów dla tych, które go nie zapłaciły.

Choć hakerzy specjalizujący się w atakach typu ransomware koncentrują się głównie na regionach z dużym zagęszczeniem międzynarodowych koncernów, m.in. na Stanach Zjednoczonych, w których ma dziś miejsce 1/3 wszystkich incydentów w skali globalnej, ich liczba rośnie lawinowo również w Polsce. Według badania opracowanego na zlecenie Iron Mountain aż 77% polskich firm odnotowało w 2021 r. atak typu ransomware. Rok do roku ich odsetek wzrósł blisko pięciokrotnie. Obawia się go aż 91% organizacji. Rosnąca skala ataków w Polsce skłania biznes do refleksji i głębszego sięgnięcia do kieszeni. Z raportu wynika, że 57% organizacji w planach na 2023 r. zakłada zwiększenie inwestycji w obszarze IT, a zaledwie 3% będzie je ograniczać.

Oczywiście zapobiegać można na wielu płaszczyznach, wyznaczając pozycje obronne, od sieci, urządzeń, aż po poziom krzemu.

Skutecznym wydaje się szukanie możliwości ochrony firmowych zasobów tam, gdzie ten łańcuch bezpieczeństwa jest zawsze najsłabszy. Odpowiedź nie zaskoczy – to pracownicy.

Bez zaufania

Według raportu 1H 2022 FortiGuard Labs Threat Landscape cyberprzestępcy eksperymentują z nowymi metodami ataków oraz zwiększają ich częstotliwość. W pierwszej połowie 2022 r. liczba zidentyfikowanych przez Fortinet nowych wariantów oprogramowania ransomware wzrosła o prawie 100% w porównaniu z drugą połową 2021 roku.

Coraz więcej organizacji decyduje się na wprowadzanie strategii Zero Trust. Według tej filozofii bezpieczeństwa wszystkie osoby próbujące połączyć się z firmową siecią stanowią potencjalne zagrożenie. Każdy użytkownik musi zostać zweryfikowany przed otrzymaniem dostępu do krytycznych zasobów przedsiębiorstwa – niezależnie od tego, czy będzie następował on zdalnie, czy też w obrębie sieci lokalnej. Zero Trust wymusza na pracownikach choćby uwierzytelnienie dwuskładnikowe. Ci zaś, jeśli tylko mogą, będą unikać dodatkowych zabezpieczeń, które są traktowane jako rzecz utrudniająca sprawną pracę i szybki dostęp do zasobów. Wiosną 2022 Cisco przeprowadziło badanie w polskich firmach umożliwiających swoim pracownikom pracę zdalną, pytając o doświadczenia użytkowników. Wyniki wskazały, że nie lubią oni czasochłonnych procedur i skomplikowanych systemów, a gdy rozwiązania z zakresu cyberbezpieczeństwa będą zbyt złożone, są traktowane jako przeszkoda. Ponadto tylko połowa badanych zna i korzysta z VPN (48%) i uwierzytelniania wieloskładnikowego (50%).

Jedna platforma, by widzieć wszystko

Zero Trust nie jest narzędziem, a raczej sposobem/metodą/podejściem do kwestii bezpieczeństwa danych w organizacji. Jest skuteczną metodą, o ile znajdzie wsparcie w technologii. Rozbudowane organizacje, zatrudniające setki czy tysiące pracowników, ale też mniejsze, muszą mieć w „zasięgu wzroku” wszystkie urządzenia końcowe, łączące się z firmowymi zasobami. Nieautoryzowane wejście na firmową aplikację z niezabezpieczonego smartfona może być prostą receptą na wyważenie furtki w firmowych zabezpieczeniach. Dlatego tak ważne jest uzyskanie pełnego obrazu urządzeń, co więcej – pełnej kontroli dostępu i możliwości zdalnego zarządzania. Co ważne – wszystkie te elementy powinny być realizowane z jednego miejsca.

Taką możliwość daje End Point Management. Według definicji portalu Research and Markets to podejście do bezpieczeństwa, pozwalające firmom zarządzać, kontrolować i zabezpieczać urządzenia podłączone do Internetu z jednej konsoli lub interfejsu. To też połączenie zarządzania urządzeniami mobilnymi (MDM), zarządzania mobilnością przedsiębiorstwa (EMM) oraz możliwości tradycyjnych narzędzi do zarządzania klientami.

Ujednolicona platforma, dająca pełny wgląd w każde urządzenie końcowe, zarządzająca firmowymi aplikacjami, przewidująca i analizująca zachowanie urządzeń (de facto pracowników) w firmowej sieci, wydaje się być skutecznym rozwiązaniem dla wyzwań bezpieczeństwa i problemów z administrowaniem ogromnej liczby urządzeń, które powinny być widoczne dla administratorów w czasie bliskim rzeczywistego. Centralne nadzorowanie, monitorowanie i przyznawanie dostępu do firmowych zasobów, według określonych polityk, jest w stanie zminimalizować ryzyko potencjalnych naruszeń bezpieczeństwa. Jednocześnie zunifikowany sposób zarządzania punktami „end point” działa niejako w tle, umożliwiając użytkownikowi realizację zadań firmowych na wielu urządzeniach, za pośrednictwem sieci trzecich.

Śledzić i reagować

Jak podaje Grand View Research w swoim badaniu Unified Endpoint Management Market Size, globalny rynek zunifikowanego zarządzania punktami końcowymi został wyceniony na 2,75 miliarda USD w 2019 roku. Wg predykcji ekspertów będzie on rósł ze złożoną roczną stopą wzrostu (CAGR) w wysokości 32,2% od 2020 do 2027 roku.

Podstawowym zadaniem platformy do zunifikowanego zarządzania urządzeniami końcowymi jest zapewnienie dostępu do firmowej sieci tylko dla autoryzowanych użytkowników i urządzeń. Oprogramowanie daje szerokie możliwości definiowania użytkowników czy samych urządzeń. Dostęp do zasobów może być definiowany dowolnie, dla grup użytkowników (nie każdy dział potrzebuje tych samych uprawnień dostępowych), w zależności od funkcji w organizacji.

Oprogramowanie wykorzystane do zarządzania urządzeniami końcowymi stale monitoruje „końcówki”, sprawdza niepokojące zmiany i podejrzany ruch w sieci, skanuje i analizuje pod kątem ewentualnych podatności.

Dzięki stałemu monitoringowi i predykcji systemowej firmy łatwiej będą mogły zareagować na potencjalne zagrożenia. Co ciekawe, End Point Managenent, dzięki stale rozbudowującej się technologii, można stosować również do zarządzania i monitoringu sensorów IoT czy sterowników przemysłowych, co jeszcze bardziej czyni daną organizację odporniejszą na potencjalne ataki.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]eygsgroup.com