Coraz więcej rozwiązań z zakresu cyberbezpieczeństwa jest oznaczanych jako NG (Next Generation). Czy w tej sytuacji można już zacząć mówić o cyberbezpieczeństwie nowej generacji? Czy rozwiązania klasyczne są w dzisiejszych czasach niewystarczające? I co w ogóle oznacza NG? Przeczytaj felieton Jerzego Trzepli, dyrektora Działu Produktów Bezpieczeństwa w Exclusive Networks, przygotowany z okazji rozpoczęcia Europejskiego Miesiąca Cyberbezpieczeństwa.
Przede wszystkim ważne, abyśmy zaczęli myśleć o cyberbezpieczeństwie w ujęciu całościowym, a nie wycinkowym. Żebyśmy zaczęli traktować kwestie bezpieczeństwa IT jako proces biznesowy, gwarantujący bezpieczeństwo i ciągłość działania organizacji, a nie kolejną fanaberię IT. Bez planu strategicznego i myślenia o cyberbezpieczeństwie jako fragmencie strategii przedsiębiorstwa okaże się, że zabezpieczyliśmy drzwi wejściowe, a złodziej wszedł przez okno i niezauważony wyniósł to, co najcenniejsze.
Konsekwentnie, od wielu lat najpowszechniejszym zagrożeniem jest ransomware. Mimo że od czasu WannyCry – ataku, który był pierwszym na skalę globalną i takim, który zwrócił uwagę nie tylko specjalistów, ale również mediów, upłynęło już ponad 5 lat, a my wciąż nie mamy gotowej odpowiedzi, adekwatnej do skali zagrożenia. Tymczasem niebezpieczeństwa pod kątem skali, powszechności i łatwości przeprowadzenia ataku, stale rosną. Zwiększa się również poziom wyrafinowania technicznego oraz organizacyjnego atakujących.
„Ciemna strona” niebywale się skomercjalizowała i zorganizowała. Atak ransomware nie wymaga już zdolności technicznych. Można zakupić go w modelu Ransomware-as-a-service – wystarczy tylko zapłacić, a zleceniobiorcy załatwią „czarną robotę”. Co więcej, niektóre serwisy ogłaszają konkursy typu bug-hunt, oferując w zamian sowite nagrody. Oczywiście, można mieć wątpliwość czy cyberprzestępcy warto zaufać i czy nagroda będzie faktycznie wypłacona, jednak takie zjawisko istnieje.
W tym roku nasiliło się zjawisko tzw. wiperów, czyli szkodliwego oprogramowania, udającego atak ransomware i czasem żądającego okupu, a faktycznie nieodwracalnie niszczącego dane w zaatakowanym systemie. Trudno oczywiście przypuszczać, że powodem takiego ataku jest chęć zysku, stoją za tym bardziej wyrafinowane cele.
Drugim permanentnie występującym problemem jest korzystanie z systemów niezabezpieczonych, posiadających dobrze znane i udokumentowane podatności. Sytuacji nie poprawia fakt, że stosowne łatki i poprawki zostały przez producentów już dawno udostępnione. A jednak wciąż nie są powszechnie stosowane. Dlaczego tak się dzieje? Trudno znaleźć jednoznaczną odpowiedź. Może to kwestia braku świadomości administratorów, obawa przed instalowaniem nieprzetestowanych poprawek, może brak właściwych procedur? Faktem jest, że stare, dobre podatności wciąż pozwalają hackerom na przeprowadzanie skutecznych ataków.
Kolejna sprawa to ochrona cyfrowej tożsamości użytkowników systemów. Dobre praktyki pod tym względem są znane i opisane, firmy wdrożyły mechanizmy ochrony poświadczeń, a mimo to użytkownicy wciąż powielają błędy. Ciemna strona nie śpi i umie to wykorzystać. Co więcej, również ich oferta podlega profesjonalizacji. Można choćby, i to za całkiem niewielką cenę, kupić w Dark Necie poświadczenia użytkowników. Można nawet określić firmy, marki czy domeny, które nas interesują i dostać pakiet poświadczeń dla konkretnego podmiotu czy obszaru geograficznego.
Powyższe rozważania dotyczą wyłącznie dobrze znanych „klasycznych” obszarów, a jednak bez podejścia typu next generation nie poradzimy sobie z tym dobrze. W sumie to ciekawi mnie, czy jesteśmy w stanie podać wzór na bezpieczeństwo organizacji, stosującej klasyczne podejście?
Do tego rzeczywistość przynosi nam coraz nowsze wymagania i oczekiwania, które nasilają występowanie starych zagrożeń i wnoszą dodatkowe, dotąd nieznane ryzyka. Przykładowo uruchamianie nowych usług i systemów w chmurze obliczeniowej (szczególnie publicznej) wymaga jeszcze skuteczniejszej ochrony tożsamości cyfrowej oraz poświadczeń użytkowników, skoro systemy są publicznie dostępne z całego świata.
Organizacje dążą do doskonałości operacyjnej, usprawniania procesów i skracania czasów reakcji na zmianę. I bardzo dobrze, przecież systemy komputerowe i sieciowe są do tego stworzone. Jednak łączenie istniejących sieci i systemów sterowania (OT) i komputerowych sieci IT naraża je na dodatkowe zagrożenia i tworzy po stronie cyberbezpieczeństwa nowe wyzwania, których świadomość dopiero się buduje.
Jaką zatem definicję cyberbezpieczeństwa nowej generacji należy stworzyć, jakie atrybuty, zarówno technologiczne, jak i organizacyjne powinny takie systemy posiadać? Jako pasjonat cyberbezpieczeństwa i od lat niepraktykujący inżynier postawię tezę, że kluczowa jest elastyczność i zdolność do szybkiej adaptacji, w zależności od zmieniającego się otoczenia, metod ataków, nowych podatności (tych w końcu nigdy nie będziemy mogli wyeliminować) oraz technologii. Żeby system był w stanie odpowiedzieć na te wyzwania nie może być zamkniętym hermetycznie środowiskiem. System musi być otwarty, a wszystkie jego komponenty muszą ze sobą „rozmawiać”. Zamiast zdefiniowanej struktury hierarchicznej z powolnymi regułami i politykami, systemy bezpieczeństwa muszą zapewniać wysoką wrażliwość na zdarzenia, szybką, zautomatyzowaną i skuteczną reakcję oraz efektywne informowanie o stwierdzonych incydentach, a także podjętych akcjach.
Zatem, aby można było mówić o cyberbezpieczeństwie nowej generacji, komponenty muszą zapewniać: skuteczną wymianę informacji w ramach systemu, otwartość na zewnętrzne źródła informacji o zagrożeniach, adaptacyjną reakcję opartą na sztucznej inteligencji i uczeniu maszynowym. Tylko w takim wypadku system będzie w stanie skutecznie reagować zarówno w zderzeniu ze starymi i nowymi, znanymi i nieznanymi atakami, chroniąc najważniejsze zasoby firmy.
Pełna wersja felietonu została również opublikowana w portalu CRN: