Rozwiązania chmurowe zapewniają często większe bezpieczeństwo niż technologie on-premises

Z Januszem Małgorzaciakiem, odpowiedzialnym za rozwiązania Security w Microsoft Polska, rozmawiamy o rodzajach zagrożeń, z jakimi muszą radzić sobie obecnie organizacje; niezbędnych zmianach w podejściu do bezpieczeństwa; o tym, czy zabezpieczenia oparte na chmurze mogą być bardziej efektywne od ich odpowiedników w środowiskach on-premises, a także o bezpieczeństwie platformy Microsoft Azure oraz o tym, w jaki sposób jej mechanizmy pomagają podnieść poziom bezpieczeństwa w organizacji.

Z jakiego rodzaju zagrożeniami w kontekście cyberbezpieczeństwa muszą dziś radzić sobie organizacje biznesowe?

Obecnie mamy do czynienia z wieloma typami zagrożeń, a wzrost ilości cyberataków odczuwany jest przez wszystkich użytkowników, nie tylko w organizacjach biznesowych. Najpowszechniejszym typem ataku wykorzystywanym przez cyberprzestępców jest phishing, w którym atakujący starają się wykorzystać naszą nieświadomość, a czasami naiwność.

Musimy być też gotowi na zagrożenia związane z próbami przejęcia tożsamości, co zresztą może być również następstwem samego phishingu oraz próbami przedostania się do środowiska IT organizacji. Odbywa się to w podobny sposób – cyberprzestępcy przesyłają wiadomości wyglądające jak wysłane z rodzimej organizacji, albo podszywające się pod jedną z firm współpracujących. Jak wskazuje opublikowany niedawno Microsoft Digital Defense Raport, istnieje ponad 25 różnych złośliwych technik phishingowych dotyczących wiadomości e-mail, a tylko w ciągu trzech miesięcy zneutralizowano ponad 15 tys. stron phisingowych. Dane te najlepiej pokazują skalę tego rodzaju ataków.

Co różni charakter powszechnych dziś zagrożeń od tych znanych z przeszłości?

To, co się zmieniło, to fakt, że osoby czy organizacje, które stoją za takimi cyberatakami, mają zupełnie inny cel. Dziś najczęściej cyberprzestępcom nie zależy na wyłudzeniu pieniędzy za odszyfrowanie zablokowanych danych tylko na brutalnym i nieodwracalnym zniszczeniu danych.

Jakie podejście do bezpieczeństwa staje się więc niezbędne w związku z takimi zagrożeniami?

Wyróżniłbym co najmniej dwa aspekty. Po pierwsze, kluczowego znaczenia dla ochrony tożsamości nabiera wieloskładnikowe uwierzytelnianie (MFA) użytkowników. Dobrze, jeśli mechanizmy MFA są dodatkowo wsparte zasadami dostępu warunkowego działającymi na bazie sztucznej inteligencji i uczenia maszynowego. Tego typu rozwiązania poddają analizie wiele czynników dotyczących sposobu logowania użytkownika, takich jak na przykład te związanym z czasem, miejscem czy platformą. Analiza tych czynników pozwala na wykrywanie sytuacji niebezpiecznych wraz z włączeniem mechanizmów blokowania. Mechanizmy takie dostępne są dzięki modelowi publicznej chmury obliczeniowej.

Nie można natomiast zapominać o aspekcie czysto ludzkim, a więc o ciągłym edukowaniu użytkowników i budowaniu ich świadomości w zakresie istniejących cyberzagrożeń, potencjalnego przebiegu cyberataków oraz ich skutków. Dostępny jest dziś szereg mechanizmów, dzięki którym na potrzeby akcji uświadamiającej można wewnątrz organizacji przeprowadzić na przykład symulowany atak phishingowy. W sposób kontrolowany rozsyłamy pracownikom wiadomość z linkiem lub załącznikiem, aby sprawdzić, kto zaraportuje otrzymanie takiej podejrzanej wiadomości, a kto w ten link kliknie. Użytkowników z ostatniej grupy zapraszamy na dodatkowe szkolenie. W ten – i podobne sposoby – nie tylko weryfikujemy na bieżąco wiedzę pracowników na temat występujących zagrożeń, ale budujemy także wspomnianą już świadomość na temat cyberataków.

Jak zmienia się obecnie rola działów bezpieczeństwa w firmach?

Podstawową rolą zespołów security jest oczywiście zapewnienie bezpieczeństwa organizacji i jej środowiska w wymiarze IT. Prawdą jest jednak, że rola takich zespołów ewoluuje. Obecnie widać coraz większe oczekiwanie tzw. biznesu, aby działy bezpieczeństwa umożliwiały wdrażanie nowych innowacyjnych rozwiązań. Użytkownicy oczekują bowiem sprawnej adopcji wykorzystania nowych narzędzi w procesach biznesowych. Dzięki chmurze bardzo łatwo jest wdrażać nowe rozwiązania niemalże w ciągu jednej nocy i to z dowolnego miejsca czy urządzenia. Ważne jednak, aby robić to w sposób przemyślany. Zespoły ds. bezpieczeństwa nie powinny jednak hamować takich oczekiwań, wręcz przeciwnie – mogą realnie pomóc w rozwoju organizacji, dając możliwość korzystania z najnowszych narzędzi w sposób bezpieczny oraz chroniąc to, co jest najcenniejsze dla firmy, czyli informacje.

Korzystanie z wszelkich nowych rozwiązań – zwłaszcza tych dostępnych w modelu publicznej chmury obliczeniowej – oznacza jednocześnie ucieczkę przed tzw. długiem technologicznym. Jeśli natomiast organizacja zamknie swoje rozwiązania we własnym środowisku zabezpieczeń działających w modelu on-premises, ten dług będzie rosnąć. Konsekwencją takiego zachowania może być też zjawisko określane mianem „Shadow IT”, czyli sytuacji, w której pracownicy będą wdrażać nowe aplikacje na własną rękę, bez wiedzy i zgody zespołów bezpieczeństwa, a nierzadko także przełożonych.

Co sprawia, że zabezpieczenia oparte na chmurze mogą być bardziej efektywne od ich odpowiedników działających w środowiskach on-premises? Czy w ogóle można mówić tu o odpowiednikach oraz ich równorzędności?

Zdecydowanie uważam, że nie trzeba na siłę zmieniać rozwiązań dobrze działających do tej pory. Czy rozwiązania chmurowe są lepsze? Myślę, że już jesteśmy świadkami tego, że stają się one łatwiejsze w implementacji, zarządzaniu i w konsekwencji przekładają się na lepszą wydajność przy zachowaniu lepszej ekonomiki kosztowej.

W związku z tym, trzeba umieć w należyty sposób zabezpieczyć swoje środowisko i otworzyć je na potencjał modelu publicznej chmury obliczeniowej, aby dać użytkownikom szansę na wykorzystanie narzędzi, które w danej sytuacji będą najlepsze. Duża część takich rozwiązań, przykładowo, wyspecjalizowanych pod kątem określonej branży, jest dziś oferowana wyłącznie w chmurze. Nie można więc ograniczać się wyłącznie do technologii on-premises, bo wprost przekłada się to na ograniczenie potencjału rozwoju biznesu. Poza tym, korzystamy z rozwiązań chmurowych, bo są po prostu tańsze w zakupie i wdrożeniu. Niejednokrotne zapewniają też wyższy poziom bezpieczeństwa. Trudno jednak jest jednoznacznie porównać, które z rozwiązań – chmurowe czy on-premises – są lepsze. Wszystko zależy bowiem od sposobu wdrożenia, a także od tego, z jakich rozwiązań i gdzie się korzysta.

Co, w kontekście bezpieczeństwa, wyróżnia platformę chmurową Microsoft Azure?

Myślę, że są to zaszyte w naszym środowisku funkcje wspierające poprawę bezpieczeństwa całego środowiska funkcjonującego w chmurze, jak również w modelu on-premises. W takim hybrydowym modelu musimy skoncentrować się na zabezpieczeniu tożsamości i ochronie przed wyciekiem danych. W przypadku środowiska Azure za tego typu mechanizmami stoi usługa Microsoft Intelligent Security Graph, która każdego dnia przetwarza miliardy sygnałów związanych z uwierzytelnianiem użytkowników. Algorytmy analizują zdarzenia i budują wzorce ataków, a następnie automatycznie przekazują je na potrzeby ochrony wszystkich użytkowników na całym świecie. Nie trzeba więc, jak w przypadku rozwiązań antywirusowych, czekać na kolejne aktualizacje, które ukazują się raz na jakiś czas.

Drugi ważny obszar to ochrona informacji. W obliczu powszechnych dziś zagrożeń potrzebna stała się zmiana dotychczasowych paradygmatów i odejście od ochrony informacji w określonej lokalizacji na rzecz zabezpieczenia istoty danych, niezależnie od tego, gdzie są gromadzone i przetwarzane. W efekcie potrzebne są mechanizmy kontroli dostępu oparte nie tylko na tożsamości, ale także na wielu innych zmiennych, w tym informacji na temat urządzenia, z którego ktoś chce się do naszych danych dostać. Platforma Microsoft Azure nie tylko zapewnia mechanizmy umożliwiające taką kontrolę, ale dokłada także procedury zabezpieczające i weryfikujące aplikacje.

Trzecim obszarem są narzędzia zabezpieczające urządzenia końcowe umożliwiające definiowanie polityk ochrony informacji w podziale na informacje firmowe i prywatne. W tym obszarze wspieramy również model używania własnych urządzeń (BYOD – Bring Your Own Device) zapewniając bezpieczny dostęp do zasobów firmowych pod warunkiem odpowiedniego stanu aktualizacji.

Czy warto jeszcze chronić pojedyncze aplikacje, czy raczej zabezpieczenia powinny podążać za użytkownikami, niezależnie od miejsca czy urządzenia za pośrednictwem, którego pracują?

Aplikacje działające wyłącznie w środowisku on-premises należy oczywiście dalej chronić. Cel ten można dziś jednak realizować na różne sposoby, np. dołączając do istniejących dodatkowe warstwy zabezpieczeń, które mogą czerpać z możliwości środowisk chmurowych, jak na przykład rozwiązania do weryfikacji dostępu czy analizy nietypowych zachowań użytkowników.

Jednocześnie dziś tylko w nielicznych firmach środowiska IT funkcjonują wyłącznie w modelu on-premises. Kolejne organizacje stopniowo decydują się na wykorzystanie zasobów dostępnych na bazie infrastruktury zewnętrznych dostawców, jak ma to miejsce choćby w przypadku nowych, utrzymywanych w chmurze i sprzedawanych na zasadzie subskrypcji aplikacji biznesowych. W naturalny sposób firmy przechodzą więc do modelu hybrydowego. Zapewnienie bezpieczeństwa w takich środowiskach wymaga zaś skupienia na ochronie wszystkich tych rozwiązań, z których użytkownicy korzystają lub mogą korzystać. Należy wiec mieć baczenie na wspomniane zjawisko Shadow IT. Niezbędne staje się tu zatem podejście, w którym z jednej strony zabezpieczamy organizację przed wyciekiem danych, a z drugiej – kontrolujemy samego użytkownika, aby nie stał się dla atakujących „furtką” do organizacji. Koncentrujemy się zatem  głównie na danych, a nie na miejscu, które chcemy chronić.

W jaki sposób mechanizmy chmury Azure pomagają podnieść bezpieczeństwo?

Po pierwsze, razem ze środowiskiem Windows dostarczany jest skuteczny system antywirusowy. Uzupełnieniem powinno być rozwiązanie klasy EDR, które w behawiorystyczny sposób chroni nasz komputer, analizuje występujące na nim zdarzenia i każde niestandardowe zachowanie – złośliwe oprogramowanie czy aktywności, na które nie ma szczepionki w postaci aktualizacji do antywirusa zainstalowanego na komputerze. Obszar EDR ma również swoje wsparcie w przypadku takich platform jak Android, iOs, macOS czy nawet Linux.

Po drugie, idąc poziom wyżej, mamy rozwiązanie typu SIEM. Jest to system umożliwiający zbieranie i analizę sygnałów, a następnie generujący informację o tym, jakie obszary naszego środowiska są potencjalnie zagrożone oraz jakie działania w danym momencie należy podjąć. Sygnały te dotyczą m.in. pakietu Office 365, np. na etapie logowania, docierania do poszczególnych zasobów czy wykorzystywania dostępu do poszczególnych dokumentów. Rozwiązaniem klasy SIEM w środowisku Microsoft jest usługa znana jako Microsoft Sentinel, która znakomicie sprawdza się również dla lokalnych zasobów serwerowych.

Z kolei w samym środowisku Office 365 funkcjonuje szereg narzędzi bezpieczeństwa skupionych pod nazwą Microsoft Defender For Office 365. Zapewniają one, przykładowo, funkcjonalność „detonacji” załączników. Polega ona na tym, że jeszcze zanim wiadomość email zostanie odczytana przez użytkownika, jest w sposób automatyczny sprawdzana wraz z załącznikami w wydzielonym, bezpiecznym środowisku. Jeśli podczas takiej operacji wykryte zostanie złośliwe zachowanie, załącznik zostanie oznaczony jako niebezpieczny. Bardzo ważne jest, że tę, tak bardzo przydatną warstwę zabezpieczenia, można włączyć również dla rozwiązań on-premises – przykładowo dla serwisu poczty elektronicznej.

Warto wspomnieć także o mechanizmach Microsoft Information Protection, a więc narzędziach pozwalających klasyfikować informacje na dwa sposoby. Pierwszy z nich jest ręczny – użytkownik sam nadaje etykietę informacji ważnej czy tajnej, która następnie jest zabezpieczona i chroniona. Na drugim poziomie mamy natomiast szereg mechanizmów klasyfikacji automatycznej, pozwalających poprzez analizę treści takich dokumentów (np. wynajdowanie danych osobowych albo numeru karty kredytowej) zwiększyć poziom zabezpieczenia dokumentu. Taka klasyfikacja jest bardzo istotna choćby z punktu widzenia ochrony danych osobowych.

To tylko kilka przykładów mechanizmów podnoszących poziom bezpieczeństwa dostępnych w postaci usług w chmurze, zabezpieczających rozwiązania dostępne zarówno w chmurze jak i te używane on-premises.