W walce z cyberzagrożeniami coraz większego znaczenia będzie nabierać wykorzystanie sztucznej inteligencji oraz automatyzacja działań związanych z cyberochroną. Nie oznacza to jednak zmniejszenia roli człowieka. Wręcz przeciwnie, skala wyzwań i zadań stojących przed menedżerami bezpieczeństwa w firmach może wzrosnąć w związku z potrzebą zapanowania nad coraz bardziej złożonym środowiskiem cyfrowym. Przyszłość cyberbezpieczeństwa będzie polegała na coraz większej synergii działań maszyn i ludzi. Już dzisiaj do funkcjonowania w takiej rzeczywistości trzeba się skutecznie przygotować – zwracali uwagę uczestnicy „Advanced Threat Summit 2018”.

Automatyzacja potrzebna jest m.in. z powodu coraz szybszego działania programów atakujących. Do ochrony przed nimi stare narzędzia mogą okazać się już nieskuteczne. Nowych rozwiązań trzeba też szukać w związku z coraz większą ilością przetwarzanych w organizacjach danych oraz wykorzystywanych do tego celu aplikacji.

Lepsza widoczność

Jednym ze stosowanych w firmach sposobów zapewnienia bezpieczeństwa sieciowych zasobów jest wprowadzenie reguł uniemożliwiających wybranym aplikacjom komunikowanie się z określonymi hostami, lub też zabraniających komunikowania się z jakimkolwiek hostem. Żeby ten mechanizm sprawnie działał, trzeba stworzyć model listingowy, czyli wskazać odpowiednie aplikacje i hosty. Jak to jednak zrobić w sytuacji, gdy firmowe data center już działa? Nie można go zamknąć i zacząć wszystkiego od nowa.

Mateusz Pastewski, Cyber Security Specialist, Cisco Systems Polska

„Wyjściem z sytuacji jest zapewnienie widoczności działających komponentów. Wówczas będzie następowała automatyczna segmentacja dozwolonych relacji pod kątem bezpieczeństwa” – tłumaczył podczas sesji „Technologie, narzędzia i użytkownicy” Mateusz Pastewski, Cyber Security Specialist w Cisco Systems Polska. Automatyzacja sprawdzi się również dlatego, że aplikacje ciągle się zmieniają. To oznacza, że trzeba wciąż aktualizować politykę dostępu, tworzyć od nowa reguły segmentacji.

Na tradycyjnie prowadzonych listach jest bardzo dużo wpisów. Człowiekowi trudno nad nimi zapanować. Często nawet nie wiadomo, które są jeszcze aktualne, a które już nie. Wykorzystanie narzędzi analitycznych pozwala na ominięcie tych utrudnień i zapanowanie nad całością polityki dostępności poszczególnych elementów firmowego środowiska informatycznego. „Platforma analityczna pozwala zrozumieć, jak działają aplikacje i na jakie zagrożenia są narażone. Uzyskana wiedza daje szansę stworzenia lepszej polityki bezpieczeństwa” – przekonywał Mateusz Pastewski.

Aplikacje są różne i działają w różnych środowiskach. Ważne, aby wiedzieć, które mogą komunikować się z jakimi komputerami. Na bazie tych informacji można budować skuteczną politykę segmentacyjną. System sam tworzy mapę zależności aplikacji i w sposób automatyczny zarządza ich komunikacją z poszczególnymi hostami. Dzięki temu możliwa jest orkiestracja całego systemu.

Najważniejsze dane

Piotr Kałuża, Presales Engineer, Flowmon Networks

Analityka przyda się też przy zasilaniu systemów SIEM (Security Information and Event Management) danymi. Zazwyczaj odbywa się to w czasie rzeczywistym. Dane pochodzą z wielu różnych źródeł (firewall, UTM, urządzenia końcowe, antywirusy, logi systemowe, systemy zarządzania incydentami, zarządzanie dostępem, monitoring sieci etc.). „Rośnie baza danych w systemie SIEM. W wyniku tego spada wydajność jego działania, ale jednocześnie rosną koszty funkcjonowania. Czy więc rzeczywiście wszystkie dane trzeba wprowadzać do systemu SIEM?” – pytał Piotr Kałuża, Presales Engineer z firmy Flowmon Networks.

Rozwiązaniem może być przetwarzanie metadanych zamiast danych. Chodzi o to, aby stworzyć mechanizmy automatycznego zasilania systemu SIEM tylko informacjami kluczowymi, optymalnymi z perspektywy bezpieczeństwa danego procesu. Czy zawsze bowiem trzeba zapisywać, że wszystkie komputery aktualizują w danej chwili oprogramowanie? „Ważne jest, aby były wykrywane anomalie, nie tylko statystyczne, ale też jakościowe, np. w sytuacji, gdy mamy do czynienia z małą liczbą danych, ale wysyłanych systematycznie. To bowiem też może świadczyć o przygotowywaniu ataku” – mówił Piotr Kałuża.

Dzięki temu udaje się osiągnąć większą automatyzację monitoringu sieci. W efekcie pojawią się też realne korzyści w postaci: mniejszej ilości danych potrzebnych do przetwarzania w systemie; przetwarzane dane będą lepszej jakości; zwiększy się wydajność systemu i poprawią się uzyskiwane wyniki; nastąpi lepsze wykorzystanie posiadanych danych.

Rozwiązaniem może być przetwarzanie metadanych zamiast danych. Chodzi o to, aby stworzyć mechanizmy automatycznego zasilania systemu SIEM tylko informacjami kluczowymi z perspektywy bezpieczeństwa danego procesu.

Kultura bezpieczeństwa

Jacek Wesołowski, Information Security Officer, Objectivity

Nawet najbardziej zaawansowane technologie i w najwyższym stopniu zautomatyzowane narzędzia nie zwolnią użytkowników systemów informatycznych od myślenia i stałego przestrzegania zasad bezpieczeństwa. „Ważne, by systematycznie budować świadomość bezpieczeństwa w firmie” – podkreślał Jacek Wesołowski, Information Security Officer w Objectivity. Jego zdaniem główne grzechy popełniane przez ludzi odpowiedzialnych za firmowe szkolenia z zakresu cyberbezpieczeństwa to: program minimum, formalizm, niedopasowanie do odbiorcy i sztampowość szkoleń.

Menedżer bezpieczeństwa nie może być oddzielony od reszty pracowników. Nie da się zapewnić odpowiedniego poziomu bezpieczeństwa, jeśli nie będzie się z ludźmi. Trzeba wejść między ludzi i przybliżać im problematykę zagrożeń oraz środków ochrony przed nimi. Księgowej, kadrowej, handlowca nie interesuje bezpieczeństwo. Oni mają swoje zadania do zrealizowania. Rolą CSO jest uwrażliwienie ich na tę problematykę.

Nie sposób zaangażować wszystkich. Należy więc jak najaktywniej pozyskiwać tych, którzy wykazują choć odrobinę zainteresowania. „Trzeba pozyskiwać jak najwięcej ludzi jako ambasadorów bezpieczeństwa. To daje dużą skuteczność wprowadzenia zagadnień cyberbezpieczeństwa do organizacji, większą niejednokrotnie niż kursy i szkolenia” – zwracał uwagę Jacek Wesołowski.

Warto wykorzystać naturalne zainteresowanie widoczne nawet u pojedynczych osób i dostarczyć im materiały wspierające w przekazywaniu innym wiedzy i standardów bezpiecznego zachowania. Trzeba także tych ludzi doceniać. Jeśli jednak mają być nagrody, to poważne, np. dobre wieczne pióro, a nie firmowy kubek, który i tak każdy przecież może dostać. Może też pomyśleć o programie wewnętrznych certyfikacji, ludzie doceniają taki rodzaj wyróżnienia.

Dobrą metodą na zaangażowanie pracowników w tematykę bezpieczeństwa jest posłużenie się grywalizacją. Można tutaj wykorzystać rozwiązania z zakresu rozszerzonej rzeczywistości czy wirtualnej rzeczywistości. Poprzez zabawę udaje się skutecznie zachęcać do zapoznania się z tematyką bezpieczeństwa. Ludzie lubią współzawodnictwo, rywalizację. Przy okazji mogą wdrażać się w tematykę cyberbezpieczeństwa.

Zdaniem Jacka Wesołowskiego nie ma jednak sensu mówić bezpośrednio o konkretnych technologiach. Co prawda ich wpływ na biznes rośnie, ale jednocześnie stają się one coraz bardziej skomplikowane. Zwykły użytkownik nie zauważy już dzisiaj sam obecności szkodliwego oprogramowania. Lepiej więc zwracać mu uwagę na zachowania przy korzystaniu z komputera i systemów informatycznych niż na konkretnie stosowane rozwiązania techniczne.

Holistyczne podejście

Ireneusz Tarnowski, główny ekspert bezpieczeństwa ds. analizy zagrożeń, Santander Bank Polska

Właściwie ukształtowana i obecna na co dzień w organizacji kultura bezpieczeństwa pozwoli m.in. na skuteczne wykorzystanie wiedzy o pojawiających się zagrożeniach. „Ataki ciągle się zdarzają, wciąż mamy do czynienia z nowymi, udanymi włamaniami i incydentami. Co robimy źle?” – pytał podczas sesji „Perspektywy zagrożeń” Ireneusz Tarnowski, główny ekspert bezpieczeństwa ds. analizy zagrożeń w Santander Bank Polska. Jego zdaniem zapominamy o sztuce wojennej, zapominamy o antycypacji wydarzeń. Działamy reaktywnie, a należy działać uprzedzająco. Trzeba cały czas rozpoznawać przeciwnika, dowiadywać się, jak działa, czego używa, na co możemy być z jego strony narażeni. Po to powstał Cyber Threat Intelligence – jako skuteczna analiza potencjalnych zagrożeń.

Sama wiedza o zagrożeniach nie wystarczy, nawet najpełniejsza i najbardziej wiarygodna. Na nic się nie zda, jeśli nie będzie włączona w proces zarządzania zagrożeniami. „Potrzebne jest podejście holistyczne. Threat Intelligence jest tylko elementem całego systemu bezpieczeństwa, nośnikiem informacji o zagrożeniach” – podkreślał Ireneusz Tarnowski.

Threat Intelligence umożliwia analizę ryzyka, ocenę tego, co może nas spotkać. Potem jednak wyniki tej analizy muszą być umiejętnie wykorzystane w całym łańcuchu zarządzania bezpieczeństwem organizacji. Dobrze przeprowadzony Threat Intelligence i umiejętnie wykorzystane jego wyniki pozwolą niejednokrotnie uniknąć ataków.

Menedżer bezpieczeństwa nie może być oddzielony od reszty pracowników. Nie da się zapewnić odpowiedniego poziomu bezpieczeństwa, jeśli nie będzie się z ludźmi. Trzeba wejść między ludzi i przybliżać im problematykę zagrożeń oraz środków ochrony przed nimi.

Wspólna odpowiedzialność

Robert Żelazo, Regional Director, Palo Alto Networks

Szczególną uwagę należy zwrócić na zarządzanie bezpieczeństwem w przypadku korzystania z rozwiązań chmurowych. Mamy tutaj bowiem do czynienia ze wspólną odpowiedzialnością zarówno dostawcy usług chmurowych, jak i ich użytkownika. „To klient odpowiada za to, co przetwarza w chmurze. W jego gestii jest więc zabezpieczenie danych przekazywanych na serwer w chmurze” – zwracał uwagę Robert Żelazo, Regional Director w Palo Alto Networks. Chodzi m.in. o dopilnowanie, aby do przetwarzania nie zostały wysłane niewłaściwe informacje czy dokumenty, np. umieszczone przez pomyłkę dane osobowe. Zadaniem klienta jest też zapewnienie ochrony wykorzystywanym do przetwarzania danych aplikacjom.

„Odpowiedzialność za dostęp do aplikacji i za jakość danych jest po stronie klienta” – podkreślał Robert Żelazo. Bezpieczeństwo to jeden z najważniejszych aspektów korzystania z rozwiązań typu cloud computing. Dane są wszędzie, nie tylko w serwerowni usługodawcy, nie tylko na chmurowym dysku. Kopie plików są też na komputerach pracowników firmy korzystającej z usług w chmurze. Dane wędrują między różnymi systemami, użytkownikami, lokalizacjami. Dlatego też o bezpieczeństwo przetwarzanych zasobów trzeba zadbać wszędzie, nie tylko na serwerze w chmurze, ale też w każdym miejscu organizacji. Dostawca chmury nie zdejmie z klienta odpowiedzialności za korzystanie z aplikacji i danych.

W parze z prywatnością

Monika Adamczyk, główny specjalista, Urząd Ochrony Danych Osobowych

Bezpieczeństwo zasobów i systemów organizacji powinno iść też zawsze w parze z ochroną prywatności osób, których dane są przetwarzane – uczulała Monika Adamczyk, główny specjalista w Urzędzie Ochrony Danych Osobowych. Ważne, aby chronione z mocy prawa dane osobowe nie wyciekły na zewnątrz, aby zapewniony był do nich dostęp tylko przez uprawnionych użytkowników. Projektując system bezpieczeństwa, warto też więc od razu projektować reguły ochrony prywatności. To zapewnia firmie działanie zgodne z prawem. Daje też użytkownikom poczucie, że system jest bezpieczny, bo go chroni.

Sama wiedza o zagrożeniach nie wystarczy, nawet najpełniejsza i najbardziej wiarygodna. Na nic się nie zda, jeśli nie będzie włączona w proces zarządzania zagrożeniami. Potrzebne jest podejście holistyczne.