Do bezpieczeństwa IT należy podejść kompleksowo

Z Andrzejem Gontarzem, menedżerem Działu IT w Hicron, rozmawiamy o bezpieczeństwie użytkowników i ich stacji roboczych; konieczności centralizacji systemów bezpieczeństwa i wykorzystania dwustopniowego uwierzytelniania; zabezpieczaniu urządzeń mobilnych w związku z wejściem w życie ROOD oraz sposobach odpowiedzi na ataki typu zero-day.

Co jest dziś najważniejsze – z punktu widzenia Państwa klientów – jeśli chodzi o bezpieczeństwo IT?

Trudno jest wymienić wyłącznie jeden aspekt. Należy chronić zarówno użytkowników, jak i serwery, urządzenia sieciowe oraz aplikacje. Do tego dochodzi – tak ważne w kontekście wejścia w życie Rozporządzenia o Ochronie Danych Osobowych – bezpieczeństwo danych. Klienci zwracają jednak uwagę nie tylko na własną politykę cyberbezpieczeństwa, lecz także na poziom bezpieczeństwa nas – firmy Hicron, ich partnera. Czasami otrzymujemy ogromną listę dokumentów, które musimy wypełnić. Klienci pytają np. o to, czy mamy narzędzia do monitoringu; kontroli dostępu; blokowania i wykrywania ataków; zapewnienia kontroli przetwarzania danych pod kątem RODO; jak również szyfrowania dysków… Szczególną uwagę zwracają na ochronę stacji roboczych. Dlatego też od dawna stosujemy politykę związaną z szyfrowaniem dysków twardych. Żaden notebook nie może opuścić siedziby naszej firmy, jeśli zapisane w jego pamięci dane nie są zaszyfrowane. Być może utrudnia to ich odzyskanie – np. w przypadku fizycznej awarii dysku – ale zabezpieczają nas przed tym narzędzia do backupu. Natomiast my dużą wagę przykładamy do aktywnego wykrywania i blokowania ataków.

Klienci zwracają też uwagę na bezpieczeństwo funkcjonowania naszej infrastruktury, z której korzystają. Dotyczy to takich aspektów, jak multiplikacja źródeł zasilania i łączy telekomunikacyjnych. Jeśli nie moglibyśmy mieć zdalnego dostępu do systemów IT klienta, to – zgodnie z podpisywanymi umowami SLA – płacilibyśmy wysokie kary. W związku z tym zabezpieczamy i zwielokrotniamy strategiczną infrastrukturę IT. Dodatkowym zabezpieczeniem jest to, że mamy również własną adresację IP, niezależną od dostawcy łączy internetowych, gdyż w tradycyjnym modelu operatorzy przydzielają swoje adresy. Dzięki temu możemy „rozgłaszać” własne adresy IP niezależnie od tego, z usług jakiego operatora obecnie korzystamy. Możemy też wybierać ścieżki dostępu do infrastruktury klienta, którą się opiekujemy. Zapewnia nam to połączenie szybsze i lepszej jakości. Stajemy się operatorem dla samego siebie.

Aby jeszcze podnieść bezpieczeństwo naszej infrastruktury, bardzo mało usług wystawiamy „na zewnątrz”. Z klientami komunikujemy się zaś za pomocą VPN Site-to-Site. Być może jest to bardziej uciążliwe, ale też dużo bezpieczniejsze. Mamy również własną serwerownię, za pomocą której klientom udostępniamy usługi Software-as-a-Service…

Wymieniając największe zagrożenia, zaczął Pan od konieczności zapewnienia bezpieczeństwa użytkownikom…

Obecnie najczęściej bowiem na ataki narażeni są użytkownicy i ich stacja robocza. Z tego względu zalecamy centralizację zarządzania stacjami roboczymi, np. za pomocą Active Directory. Doradzamy także przygotowanie odpowiednich profili dla każdej grupy pracowników. Konieczne jest również stosowanie nie tylko systemów antywirusowych i antyspyware, lecz także narzędzi usprawniających centralne zarządzanie szyfrowaniem dysków stacji roboczych i notebooków w firmie. Dzięki nim można np. centralnie opracować klucz szyfrujący i w ten sam sposób go odzyskać, gdyby został zagubiony.

Czy centralizacja systemów bezpieczeństwa stała się dziś koniecznością?

Nowym, obserwowanym przez nas trendem jest właśnie unifikacja dostępu do wszystkich usług potrzebnych pracownikom. Równolegle wprowadzane jest dwupoziomowe uwierzytelnianie, np. – poza loginem i hasłem – także dodatkowo jednorazowym kodem SMS wysyłanym na telefon pracownika. Aby zabezpieczyć się przed atakami cyberprzestępców, nie wystarczają już bowiem login i hasło. Te same dane mogą być użyte przez pracownika w innych, publicznie dostępnych serwisach. Te zaś mogą zostać skompromitowane. Dzięki temu haker może uzyskać dostęp do większej liczby systemów, z których korzysta dana osoba. Jako drugi poziom uwierzytelnienia – poza hasłami SMS – mogą zostać wykorzystane token czy certyfikaty zapisane na kartach kryptograficznych.

Dwupoziomowe uwierzytelnianie, z jednej strony, znacząco zwiększa bezpieczeństwo IT. Z drugiej jednak – utrudnia użytkownikom życie. Dlatego trzeba szukać złotego środka. Można np. zastosować integrację sposobów logowania – Single sign-on – na poziomie całej firmy. To sprawia, że pracownicy będą tylko raz logować się do firmowej sieci, a w jej obrębie będą mieć dostęp do wszystkich, potrzebnych systemów i aplikacji. Naszym zdaniem, nie należy stosować różnych loginów i haseł w zależności od typu zasobu, z którego pracownik chce skorzystać. Trzeba dokonać integracji dostępu do nich. Służyć temu może – oczywiście przy zachowaniu odpowiednio wysokiego poziomu bezpieczeństwa – właśnie dwupoziomowe uwierzytelnianie na stacji roboczej. Z jej poziomu użytkownik ma wówczas dostęp do wszystkich zasobów, do których przyznano mu prawo.

Na jakie jeszcze kwestie, związane z bezpieczeństwem IT, powinny zwrócić uwagę firmy?

Dużym zagrożeniem może być niefrasobliwość, z jaką do wydruków podchodzą ich pracownicy. Często zapominają o dokumentach, które „puścili” na drukarkę. Dzieje się tak nawet, jeśli zawierają one wrażliwe dane. Wiele z nich nigdy nie jest z drukarki odbieranych. Dostęp do nich mają więc wszyscy, którzy akurat przebywają w danym biurze, nawet osoby postronne. Dlatego zachęcamy klientów do wdrożenia rozwiązań, które dają możliwość wydruku dopiero po przyłożeniu karty elektronicznej identyfikującej konkretnego pracownika.

Wspomniane RODO zwraca uwagę także na zabezpieczanie urządzeń mobilnych, na których często przechowywane są dane osobowe…

Ochrona smartfonów i tabletów stanowi dziś bardzo poważne wyzwanie. Tylko w roku 2017 liczba zagrożeń związanych z urządzeniami mobilnymi wzrosła aż 6-krotnie! Dlatego w ich przypadku powinniśmy wymuszać zachowanie chociaż minimum zasad bezpieczeństwa. Gdy np. pracownik korzysta na urządzeniu mobilnym z poczty elektronicznej, to musimy stosować automatyczną jego blokadę po dłuższym czasie niekorzystania z niego. Ważna jest również odpowiednia długość hasła, które odblokowuje smartfon lub tablet. Warto też zaszyfrować zapisane na nim dane. Centralne zarządzanie flotą urządzeń mobilnych znacząco ułatwiają systemy typu Mobile Device Management. Często pytają o nie klienci. Chcą także wiedzieć, jak my zabezpieczamy dane na firmowych urządzeniach mobilnych.

Czy jednym z poważniejszych zagrożeń są dziś także ataki zero-day?

Zdecydowanie tak. Są to bowiem zagrożenia, których systemy bezpieczeństwa jeszcze nie zdążyły się nauczyć. Większość systemów bezpieczeństwa blokuje bowiem wyłącznie znane fragmenty złośliwego kodu. Warto też pamiętać, że technikę ataku zero-day wykorzystuje np. ransomware. Obserwujemy zaś jak bardzo zmienił się świat bezpieczeństwa IT w maju 2017 roku, kiedy objawił się wirus WannaCry. Wcześniej nie było tak wielu ataków i na tak dużą skalę.

W przypadku ataków zero-day należy wykorzystać głęboką analizę kodu pod kątem ewentualnych zagrożeń. Jeśli router lub firewall „ma wątpliwości” co do zawartości załącznika, przekazuje go do tzw. sandboxa. W tak odseparowanym środowisku analizowane są dopiero podejrzane pliki. Już na brzegu sieci wychwytywane są więc potencjalne zagrożenia. Sandbox analizuje np. czy uruchomiony kod nie próbuje nawiązać kontaktu z siecią botnet lub też w przesyłanych plikach nie ma innego typu złośliwego kodu. Ponieważ odbywa się to w wydzielonym środowisku, zarówno użytkownicy, jak i sieć klientów są zabezpieczone przed ewentualnymi, negatywnymi skutkami.

Dużym problemem dla osób związanych z bezpieczeństwem IT jest również analiza zaszyfrowanego ruchu sieciowego. Jednak urządzenia wyposażone w funkcje typu DPI-SSL (Deep Packet Inspection of SSL Encrypted Traffic) pozwalają przeanalizować nawet tego typu transmisje i zablokować

Artykuł ukazał się na łamach Magazynu ITwiz nr. 4-5/2018. Szczegóły dotyczące wydania wraz z formularzem dla osób zainteresowanych zakupem wydania dostępne są na stronie: https://itwiz.pl/kiosk