Suma wszystkich strachów

Firmy muszą nauczyć się działać w stanie ciągłego zagrożenia atakiem z cyberprzestrzeni. Stan ten nie oznacza ciągłych strat. Trzeba jednak przemyśleć własną strategię bezpieczeństwa.

Ataki internetowe na firmy mogą prowadzić kryminaliści, w tym grupy zorganizowanych przestępców internetowych, albo pospolici złodzieje działający w cyberprzestrzeni, instytucje rządowe, m.in. wywiad wojskowy i cywilny, internetowi terroryści atakujący dla celów politycznych i sieciowi desperaci, nazywani haktywistami. Każda grupa działa inaczej, ma inne cele, ale firma musi chronić się przed wszystkimi. To nowy rodzaj zagrożenia: jeszcze kilka lat temu firmy mogły obawiać się pospolitych wirusów, które służyły do roznoszenia spamu.

W ciągu ostatnich lat zmienił się także sposób prowadzenia biznesu. Pojawili się wysoce mobilni pracownicy, którzy jednak cały czas korzystają z firmowych aplikacji. Ciągła łączność oraz mnogość urządzeń i sposobów dostępu do firmowej infrastruktury sprawiają, że obrona przed atakami jest trudna, co jednoznacznie udowadnia raport dotyczący naruszeń bezpieczeństwa w ubiegłym roku, sporządzony przez firmę Verizon.

Stary model bezpieczeństwa nie działa

Ponieważ zmieniło się zagrożenie, należy zmodyfikować obronę przed nim. Niewiele firm jest gotowych na taką zmianę. Dziś kluczowa staje się prędkość wykrywania zagrożeń. Według Verizon 2012 Data Breach Investigation Report niemal wszystkie (99%) przypadki naruszeń bezpieczeństwa zdarzyły się w czasie liczonym maksymalnie w dniach, przy czym aż 85% wiązało się z utratą danych w tym samym czasie. Tyle samo zdarzeń wykryto dopiero po tygodniu lub później.

Jeszcze gorzej wygląda obrona przed zaawansowanymi atakami, na które firmy nie są przygotowane, atak jest wykrywany zbyt późno, a odpowiedź jest chaotyczna i nie są podejmowane skoordynowane działania naprawcze.

Głównych przyczyn porażki starego modelu należy szukać w tym, że nadal korzysta on z sygnatur, jest nakierowany na punkt styku sieci, a głównym motorem do wdrożenia zabezpieczeń są przepisy prawne. Nowoczesny model jest inny: elastyczny, kontekstowy, czyli działający na podstawie różnych kryteriów jednocześnie, a motorem wdrożenia powinna być analiza ryzyka. Model ten świetnie pasuje do instytucji finansowych, ale daje się zastosować w każdej firmie.

Zabezpieczenia od nowa

Skrócić czas napastnika

Gdyby przedstawić przebieg ataku, mógłby on wyglądać tak: najpierw napastnik rozpoznaje cel i dokonuje pierwszych prób. Dostarczają mu one pierwszych informacji, które analizuje i na ich podstawie przygotowuje scenariusz ataku. Dopiero teraz zaczyna przełamywanie zabezpieczeń, zazwyczaj zakończone sukcesem. Od tej chwili liczy się czas działania napastnika w systemie, przy czym często dokonuje on ataku na kolejne systemy firmy. Atak kończy się, gdy zostanie wykryty i zidentyfikowany. Zadaniem nowoczesnych systemów ochrony jest maksymalne skrócenie czasu akcji napastnika w sieci firmowej.

Organizacja do wprowadzenia sprawnego modelu zarządzania bezpieczeństwem teleinformatycznym potrzebuje: wiedzy na temat zdarzeń; dobrych narzędzi rozpoznania zagrożeń; elastycznej analityki; mechanizmu zarządzania incydentami.

Metoda zakłada widoczność wszystkich zdarzeń, wykrywanie celu, określanie wpływu zdarzenia na biznes, a następnie przygotowanie odpowiedzi na zagrożenie. Kluczowym zagadnieniem jest ustalenie priorytetów na podstawie wpływu incydentów na procesy biznesowe. Narzędziem, które usprawni ten proces, jest wymiana informacji na temat ataków między różnymi podmiotami. Ośrodkiem, który może pomóc, jest branżowy CERT, czyli grupa specjalistów zajmująca się odpowiedzią na zagrożenia komputerowe, działająca dla danej branży.

Cztery ważne kroki

Aby przejść z modelu taktycznego, zakładającego ochronę ad hoc każdego punktu z osobna, do modelu strategicznego, gdzie bezpieczeństwem zarządza się w połączeniu z obsługą procesów biznesowych, należy przejść cztery kroki, które stopniowo zmienią firmę w kierunku dobrze zorganizowanej i przystosowanej do zagrożeń firmy.

Pierwszym krokiem jest prosta ochrona. Zakłada korzystanie z produktów przeznaczonych do ochrony przed typowymi zagrożeniami, takimi jak antywirus, szyfrowanie dysków czy IPS. Na tym etapie jest większość firm w Polsce.

Drugim krokiem jest podejście audytowe. Informacje są zbierane głównie dla celów audytu zgodności z regulacjami prawnymi, a działania przygotowawcze można określić jako "odhaczanie" zgodnych punktów i naprawa ewentualnych niezgodności z przyjętym szablonem. Na tym etapie znajduje się wiele przedsiębiorstw z branży finansowej i ochrony zdrowia w Polsce.

Trzecim krokiem jest ochrona z zarządzaniem ryzykiem. Model zakłada działania proaktywne z oceną ryzyka, dane zbierane są dla analiz związanych z badaniem poziomu ryzyka i zarządzaniem nim, a narzędzia bezpieczeństwa są już zintegrowane ze wspólną platformą analizy danych dla tych celów. Na tym etapie znajdują się niektórzy dostawcy usług i bardziej zaawansowane przedsiębiorstwa z branży finansowej oraz zdrowotnej.

Czwartym krokiem jest połączenie zarządzania ryzykiem z orientacją na usługi biznesowe. W tym modelu bezpieczeństwo informacji w organizacji jest integralną częścią obsługi procesów biznesowych. Informacje na potrzeby zarządzania bezpieczeństwem i narzędzia bezpieczeństwa są zintegrowane, a decyzje podejmowane zależnie od kontekstu zdarzenia. Na tym etapie znajduje się bardzo niewiele firm, przeważnie są to specjalizowani i certyfikowani dostawcy usług IT dla specjalnych odbiorców.


TOP 200