CyberbezpieczeństwoCIOPolecane tematy
CXO HUB CyberSec Chapter: fala konwergencji w CyberSec
Z czego wynika obecna konwergencja rozwiązań cyberbezpieczeństwa, jak przebiega i jakie niesie to konsekwencje dla firm? W jaki sposób kształtuje podejście do cyberbezpieczeństwa podmiotów, sektorów i całej gospodarki?
Spektrum czynników dokonującej się zmiany CyberSec jest szerokie. Najważniejsze stanowią dzisiaj regulacje i sytuacja pandemiczna. To one odpowiadają za obecny wzrost zainteresowania i aktywności firm w obszarze CyberSec. Projektujący cyberbezpieczeństwo powinni w pierwszej kolejności odnosić się do tych punktów. W ich wyniku właśnie przemiany doświadczył na przykład dotychczas nieco teoretyczny nurt ZeroTrust, obecny przecież od kilku lat w sferze dyskusji, ale i rozwiązań. Dopiero uwarunkowania narzucone przez pandemię COVID-19 przyniosły przyspieszenie, nadanie mu bardzo praktycznego charakteru, wymiernej wartości, co przełożyło się na konkretne decyzje budżetowe uzasadnione biznesowo.
Wybory nowego CyberSec
Pierwsza fala zakupowa wywołana pandemią, jak wynika z globalnych obserwacji Cisco, dotyczyła jednak przeskalowania dostępu zdalnego przez VPN. Niemal natychmiast nastąpiło także przeskalowanie firewalli, na które trafiał wzmożony ruch z VPN. O tych szybko i powszechnie podjętych krokach nastąpiło wyhamowanie.
W drugiej fali zakupowej pojawił się trend związany z uwierzytelnieniem wieloskładnikowym. Dostęp zdalnych użytkowników musi być lepiej kontrolowany. W szczególności dotyczy to użytkowników korzystających z zasobów w chmurze. To zrozumiałe, bo do najpopularniejszych ataków należały ataki na usługi pocztowe w chmurze, wydobycie danych uwierzytelniających, które służyły następnie do uzyskania dalszych możliwości penetracyjnych w ekosystemie organizacji. Ten trend zakupowy utrzymuje się do dziś.
Równolegle, w drugiej fali zakupowej wywołanej pandemią, pojawiła się kwestia punktów końcowych. Wiele firm wykorzystywało do ich zabezpieczenia różne systemy, głównie antywirusy. Wraz ze wzrostem skali przetwarzania zdalnego swoje zainteresowanie skierowały jednak na automatyzujące i zbierające wiele działań systemy EDR (Endpoint detecion and response). W dalszej perspektywie należy spodziewać się fali zainteresowania i zakupów rozwiązaniami XDR (Extended Detection and response), które skalują możliwości jakie zapewniają systemy EDR.
Badanie „Future of remote workforce” Cisco z 2021 roku sygnalizuje, że nadchodzącym trendem będzie natomiast zabezpieczenie rozwiązań budowanych w chmurze. Ale także skorelowania tego zabezpieczenia z istniejącymi rozwiązaniami, aby uzyskać synergiczny system cyberbezpieczeństwa – adekwatny do hybrydowej rzeczywistości współczesnych firm.
Wektory zmiany – wektory konwergencji
Spośród uwarunkowań regulacyjnych i standaryzacyjnych, wymienić można kilka „wektorów” zmiany. Są to w naszych warunkach przede wszystkim Narodowe Standardy Cyberbezpieczeństwa – zbiór rekomendacji zawartych w Strategii Cyberbezpieczeństwa RP 2019-2024, funkcjonujące już Rozporządzenie o Ochronie Danych Osobowej (RODO), adaptowany już Krajowy System Cyberbezpieczeństwa (KSC). Ale także szersze i bardziej jeszcze uniwersalne – dyrektywa Network and Information Security Directive (NIS), standardy National Institute of Science and Technology (NIST) czy framework MITRE ATT@CK (Adversarial Tactics, Techniques, and Common Knowledge). W sposób pośredni modelują one strategie firm i instytucji, prowadząc do określonych wyborów w obszarze technologii, rozwiązań oraz schematów organizacyjnych.
Spośród nowych rozwiązań organizacyjnych, niektóre wymagają współodpowiedzialności np. sektorowej, ale też budują wspólną przestrzeń bezpieczeństwa. To także cecha nowego podejścia do CyberSec. W tym kontekście wymienić należy centra wymiany i analizy informacji (ISAC – Information Sharing and Analysis Center), instytucję zespołów reagowania na incydenty bezpieczeństwa komputerowego (CSIRT – computer security incident response team), centra monitorowania i reagowania na incydenty bezpieczeństwa w organizacjach (SOC – security operations center).
Z kolei spośród technologii i rozwiązań w kontekst nowych wyzwań wpisują się w szczególności nowej generacji systemy Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR), Security Orchestration Automation and Response (SOAR), User and Entity Behavior Analytics (UEBA), Governance, Risk and Compliance (GRC) – a także platformy, integrujące owe rozwiązania i pozwalające na całościowe, ekosystemowe podejście.
Wyzwania CyberSec nie są obce producentom i dostawcom. W wyniku tego mamy do czynienia z żywiołowym rozwojem oferty cyberbezpieczeństwa. Ma on dobrą, ale i złą stronę. Zdecydowanie przybywa narzędzi cyberbezpieczeństwa – to zapewnia innowacyjność, konkurencyjność, możliwość wyboru. Wiąże się z tym jednak także problem obsługi nowych narzędzi i rozwiązań. O ile w miarę płynnie można rozwinąć kompetencje od obsługi rozwiązań antywirusowych do EDR, to pojawiają się też całkiem nowe klasy narzędzi. Jeszcze kilka lat temu nikt nie mówił o CASB (Cloud Security Acccess Broker) czy zabezpieczaniu kontenerów. Dziś są dostępne, natomiast niedostępni są specjaliści, którzy mogliby wykorzystać ich potencjał. Obsłużyć, skalibrować, skorelować, zinterpretować i dostarczyć organizacji obraz niebezpieczeństwa kompromitacji.
Dyskusja o potrzebnej zmianie
Obok dwóch wychodzących na czoło czynników konwergencji i standaryzacji CyberSec, cały czas ma miejsce organiczne dojrzewanie firm do adaptacji nowego podejścia. Ważnym elementem takiej stabilnej edukacji i ewolucji jest oparcie na zaufanym partnerze bezpieczeństwa. W tych relacjach łatwiej o komunikację – a szczególnie dobrym wehikułem dla zagadnienia cyberbezpieczeństwa jest perspektywa finansowej straty. Można ją w wiarygodny sposób prognozować, modelować. W niektórych sytuacjach, największym motorem zmiany pozostają tradycyjnie informacje o wielkich włamaniach i katastrofach biznesowych wywołanych np. przez ataki ransowmare. W obu wypadkach otwiera to rozmowę o narzędziach służących zmianie. W dojrzałych relacjach będzie to rozmowa o zmianie, która nie ma charakteru punktowego, tylko ekosystemowy, gdzie wsparcie integratora jest wartością.
Ekosystemowy kierunek zmiany odpowiada wymaganiom nowego CyberSec. Dobrze wdrożone rozwiązania aktywnego bezpieczeństwa są bardzo ważne także w kontekście kompetencji. Mamy do czynienia z deficytem na rynku osób monitorujących infrastrukturę IT. W projektach budowy całościowych systemów ważną role odgrywają więc narzędzia do automatyzowania priorytetyzacji informacji, reakcji, rozbudowywania wiedzy – wzmacniania odporności organizacji.
Ewolucja efektywności rozwiązań CyberSec
Wyzwania CyberSec nie są obce producentom i dostawcom. W wyniku tego mamy do czynienia z żywiołowym rozwojem oferty cyberbezpieczeństwa. Ma on dobrą, ale i złą stronę. Zdecydowanie przybywa narzędzi cyberbezpieczeństwa – to zapewnia innowacyjność, konkurencyjność, możliwość wyboru. Wiąże się z tym jednak także problem obsługi nowych narzędzi i rozwiązań. O ile w miarę płynnie można rozwinąć kompetencje od obsługi rozwiązań antywirusowych do EDR, to pojawiają się też całkiem nowe klasy narzędzi. Jeszcze kilka lat temu nikt nie mówił o CASB (Cloud Security Acccess Broker) czy zabezpieczaniu kontenerów. Dziś są dostępne, natomiast niedostępni są specjaliści, którzy mogliby wykorzystać ich potencjał. Obsłużyć, skalibrować, skorelować, zinterpretować i dostarczyć organizacji obraz niebezpieczeństwa kompromitacji.
Jedynym wyjściem, jeśli chcemy efektywnego wykorzystania nowych narzędzi jest automatyzacja. Wspomniana już była także jako wymóg w kontekście ekosystemowego, całościowego charakteru nowego CyberSec. Stąd w szczególności istotne jest pojawienie się nowej grupy produktów – platform klasy XDR, które pozwalają na korelację danych i informacji z różnych źródeł, zarówno po stronie organizacji jak i środowiska chmurowego. Dzięki nim małe zespoły dostaną czas na właściwą interpretację zjawisk a przede wszystkim informację o nich. Taka konsolidacja ma właśnie miejsce na rynku. Najłatwiej jest konstruować takie platformy dostawcom, którzy posiadają w portfelu całe spektrum tych narzędzi. Otwarta natomiast po stronie firm jest kwestia jakości wykorzystywanych źródeł informacji, co jest obszarem do wspólnej pracy z integratorem wdrażającym rozwiązania.
Na polskim rynku mamy już przypadki, kiedy organizacje są na gotowe na nową generację rozwiązań XDR i posiadają odpowiedni potencjał do ich przyjęcie. Ale niekiedy brakuje „przestrzeni” do jej przyswojenia. Technologia jest i potrafi dać odpowiedź na dzisiejsze wyzwania, ale niekoniecznie jest przestrzeń do jej adaptacji. Tymczasem to propozycja również odzyskania owej przestrzeni, nawet w wymiarze czasowym.
Konsolidacja dzięki świadomości (i przy jej braku)
Pod hasłem poprawy efektywności dokonuje się obecnie selekcja, konsolidacja rozwiązań bezpieczeństwa. Na przestrzeni zaledwie kilku lat widzimy znacząca poprawę efektywności. Według MTrends publikowanego przez Medianet, w 2011 r. od momentu przejęcia kontroli – skompromitowania organizacji – do wykrycia tego przez inżyniera czy analityka upływało średnio kilkaset dni (416). W 2020 r. było to już średnio 24 dni. Zmiana się dokonała – procesy, świadomość dorównały kroku rozwojowi narzędzi – ich ewolucja z kolei promuje najlepsze.
Chęć optymalizacji efektywności jest uwarunkowana świadomością. Często w branżach zaawansowanych pod względem bezpieczeństwa, dojrzały, nowoczesny integrator wspiera projekty i problemy wysokiego poziomu – automatyzacji, optymalizacji, przyspieszenia procesów. Natomiast w branżach niestymulowanych regulacjami ani potrzebą biznesową, alternatywą dla szybkiego uzyskania wysokiego poziomu CyberSec jest większe zaangażowanie partnera zewnętrznego. Działy bezpieczeństwa są tam zwykle niedofinansowane, borykają się z brakami kadrowymi i kompetencyjnymi. Wówczas często pojawia się zagadnienie wykorzystania modelu usługowego w CyberSec, na przykład zewnętrznego operatora SOC.
Przede wszystkim, nowe podejście do cyberbezpieczeństwa zakłada całościowe spojrzenie. Czy to w wymiarze funkcjonalności rozwiązań, czy strategii i ich realizacji. Tymczasem wyzwaniem pozostaje punktowe podejście, które ogranicza skuteczność. Dobrą praktyką powinno być także przyłożenie staranności do jakości wdrożenia systemów bezpieczeństwa we współpracy z inżynierami partnera. Dobra selekcja partnerów pozwala realizować wdrożenia w oparciu o wiedzę, umiejętności jej przekazania oraz doświadczenie. Trzecią wreszcie dobrą praktyką czasów konwergencji i konsolidacji rozwiązań CyberSec, jest budowanie wewnętrznych kompetencji. Niezależnie od zdolności do adaptacji kompetencji zewnętrznych – własne kompetencje będą potrzebne do elastycznego funkcjonowania w warunkach zmiennego, nowego cyberbezpieczeństwa.
Łukasz Nawrocki, inżynier bezpieczeństwa, Trecom
Artur Czerwiński, CTO Cisco Poland
Dobry tekst. Stylistycznie i merytorycznie odbiega od dzisiejszych standardów “netowych publikacji” – w dobrym tego słowa znaczeniu.
Małe znalezisko, jest – Risk Management and Compliance (GRC), a powinno być Governance, Risk and Compliance (GRC).