CyberbezpieczeństwoAnalitykaArtykuł z magazynu ITwizExecutive ViewPointPolecane tematy
Udostępniamy rozwiązania dostępne dotąd jedynie amerykańskim instytucjom rządowym i organizacjom bezpieczeństwa
EVP
Executive ViewPoint
O zmianie charakteru zagrożeń, z jakimi muszą mierzyć się dziś organizacje biznesowe, potrzebie innowacyjnego podejścia do ochrony, wdrażania procesów, procedur i nowoczesnych technologii, a także zmianach wizerunkowych i wprowadzeniu do oferty nowych produktów po zmianie nazwy z Raytheon|Websense mówi Carl Leonard, Principal Security Analyst w Forcepoint.
Szczególnie ryzykowne są dziś ataki ransomware. Okazuje się jednak, że stosowane przez przestępców algorytmy szyfrowania nie są wolne od błędów. Powoduje to, że nawet po zapłaceniu okupu dane nie zawsze udaje się w pełni odzyskać. W zespole Forcepoint realizujemy projekty inżynierii wstecznej, które mają na celu wykrycie błędów w algorytmach ransomware i odzyskanie informacji. Nie są to jednak projekty łatwe, co tylko dowodzi, jak duże znaczenie ma poziom przygotowania organizacji do obrony przed takimi zagrożeniami.
W jaki sposób, na przestrzeni ostatnich lat zmienił się charakter zagrożeń związanych z bezpieczeństwem IT?
Dekadę temu w przeważającej większości mieliśmy do czynienia z relatywnie prostymi atakami. Zagrożeniom tym nie było łatwo przeciwdziałać. Było to jednak znacznie łatwiejsze niż obecnie. Mieliśmy do czynienia z atakami masowej skali, jednak wykorzystane do tego celu złośliwe oprogramowanie rzadko ulegało zmianom. Dawało to możliwość skutecznego wykorzystania technologii bezpieczeństwa opartych na sygnaturach.
Dziś z kolei pojawiają się precyzyjnie kierowane ataki wymierzone w konkretnych użytkowników. Są prowadzone przy użyciu unikalnego oprogramowania malware, zastosowanego na potrzeby pojedynczego ataku i dostarczonego do organizacji tylko raz. Oznacza to, że okazji do skutecznego wykrycia takiego ataku i efektywnej obrony jest dużo mniej niż w przeszłości. Same ataki są też dużo bardziej złożone. Opierają się na wielu wektorach ataku jednocześnie – wykorzystują elementy komunikacji za pośrednictwem poczty elektronicznej, aplikacji internetowych, czy plików, które są w stanie komunikować się z wnętrza organizacji na zewnątrz, aby wysyłać przechwycone informacje lub pobierać dodatkowe instrukcje. Profesjonalizacja działań cyberprzestępców postępuje.
Przykłady precyzyjnie ukierunkowanych ataków dużej skali – w wyniku których zostały skradzione wrażliwe dane – można mnożyć. W skali świata przynajmniej raz w tygodniu mamy do czynienia z poważnym i skutecznym atakiem, mającym na celu kradzież danych, wymierzonym w dużą organizację biznesową. Dobra wiadomość jest jednak taka, że charakter dzisiejszych ataków otwiera wiele możliwości ich zablokowania lub ograniczenia skutków. Mamy możliwość śledzenia poszczególnych etapów ataków i podejmowania działań odpowiednich dla każdego z nich.
Jak, w obliczu nowych typów ataków, zmieniają się dostępne na rynku bezpieczeństwa?
W miarę, jak zmienia się charakter ataków, zmienia się też wachlarz dostępnych technik obrony. Następuje upowszechnienie funkcji ochrony w czasie rzeczywistym, wzrost skali wykorzystania funkcji analitycznych czy uczenia maszynowego. Są to bardzo cenne funkcje, ponieważ w ostatnich latach istotnie zmieniły się nasze środowiska pracy i charakter wykorzystania technologii. Nastąpiło upowszechnienie technologii mobilnych oraz szybkiego dostępu do internetu, pojawiły się media społecznościowe, a także zmiany związane z chmurą obliczeniową, czy wykorzystaniem prywatnych urządzeń w celach firmowych. Wszystko to wymaga nowego podejścia do bezpieczeństwa IT.
Jakiego rodzaju zagrożenia należy mieć na uwadze i w jaki sposób minimalizować związane z nimi ryzyka biznesowe?
Szczególnie ryzykowne, bo wprost przekładające się na straty finansowe, są ataki ransomware. Trzeba pamiętać o tym, że jeśli firma posiada i przestrzega odpowiednich procedur związanych z tworzeniem kopii zapasowych oraz dysponuje obejmującymi pracowników procesami skutecznego informowania o wszystkich nieprawidłowościach związanych z dostępem do danych, możliwe staje się łatwe uniknięcie konieczności zapłacenia okupu. Firmy, które takich rozwiązań nie mają są często zmuszone do zapłacenia okupu. Okazuje się jednak, że stosowane przez przestępców algorytmy szyfrowania nie są wolne od błędów. Powoduje to, że nawet po zapłaceniu okupu dane nie zawsze udaje się w pełni odzyskać. W zespole Forcepoint realizujemy projekty inżynierii wstecznej, które mają na celu wykrycie błędów w algorytmach ransomware i odzyskanie informacji. Nie są to jednak projekty łatwe, co tylko dowodzi, jak duże znaczenie ma poziom przygotowania organizacji do obrony przed takimi zagrożeniami.
Wśród najbardziej niebezpiecznych zagrożeń wskazałbym też na precyzyjnie kierowane ataki prowadzone przy użyciu poczty elektronicznej. Z naszych analiz wynika, że aż 99% przychodzących, niechcianych wiadomości e-mail zawiera odnośnik do strony internetowej. Ich przechwycenie może wyeliminować gros ataków, a także ułatwić pozyskanie wiedzy na temat nowych wektorów ataku. Duże ryzyko niosą też działania przestępców mające na celu zidentyfikowanie wykorzystywanego na poziomie infrastruktury sprzętu, tak aby w kolejnym kroku wykorzystać znane podatności sprzętowe i za ich pośrednictwem włamać się do infrastruktury. Kolejny obszar to analiza plików oraz zapewnienie wiedzy na temat ich lokalizacji oraz sposobu przetwarzania. Warta bliższego przyjrzenia się jest kwestia bezpieczeństwa danych przechowywanych w modelu chmurowym. W wielu przypadkach firmy nie mają żadnego sposobu na kontrolowanie, gdzie ich dane faktycznie się znajdują ani czy przypadkiem nie zostały przechwycone. Tymczasem taka wiedza – w skali całego środowiska IT – jest niezbędna, aby podejmować efektywne działania zaradcze.
Ogółem, do kwestii bezpieczeństwa należy podchodzić w sposób równie innowacyjny, co atakujący. Należy podejmować przemyślane działania i wdrażać odpowiednie technologie oraz wewnętrzne procedury. Istotne staje się dziś uzupełnianie istniejących luk w środowiskach bezpieczeństwa i wykorzystanie rozwiązań, które będą w stanie efektywnie odpowiadać na dynamiczne, unikalne zagrożenia.
Czy w obliczu nowych zagrożeń inwestycje w bezpieczeństwo IT są w firmach traktowane priorytetowo?
Kwestia bezpieczeństwa IT jest dziś postrzegana jako drugi lub trzeci priorytet w kontekście inwestycji w IT. Przemawia za tym zarówno troska o bezpieczeństwo danych, jak i chęć utrzymania najwyższej produktywności oraz zapewnienia zgodności z regulacjami. Uwarunkowania prawne są też postrzegane jako pewnego rodzaju wytyczne pozwalające na zapewnienie bezpieczeństwa organizacji. Jednocześnie, inwestycje w obszarze bezpieczeństwa skupione są dziś wokół ochrony danych. Rozsądne wydaje się podejście zakładające minimalizowanie strat oraz ochrony najcenniejszych zasobów. Przybywa też organizacji procesowo przygotowanych na zaistnienie zdarzeń naruszenia bezpieczeństwa danych.
Z drugiej strony, ciągle zaskakuje mnie liczba dużych, znanych organizacji, które dopiero teraz zaczynają budować odpowiednie procedury i rozwiązania bezpieczeństwa. W wielu firmach brakuje też motywacji do wprowadzenia niezbędnych zmian i technologii, choć zrozumienie dla skali zagrożeń istnieje. W skali świata najbardziej dojrzałe podejście reprezentuje sektor finansowy. Instytucje finansowe nie tylko dysponują rozbudowanymi rozwiązaniami i procedurami bezpieczeństwa. Posiadają też najlepsze zrozumienie dla ich znaczenia biznesowego. Przykładem jest tu coraz powszechniejsza wymiana informacji na temat obserwowanych zagrożeń pomiędzy konkurentami z branży bankowej. Jest to sposób na wzajemne wzmocnienie bezpieczeństwa, który skutkuje m.in. większym zaufaniem klientów do tego sektora. Konkuruje się ofertą, a nie wiedzą na temat zagrożeń.
Mija rok, odkąd marka Forcepoint zastąpiła nazwę Raytheon|Websense. Skąd taka zmiana?
Wprowadzenie marki Forcepoint oddaje zmianę podejścia do kwestii bezpieczeństwa. Stawiamy na działanie innowacyjne, podparte wieloletnimi doświadczeniami i wiedzą na temat ochrony najbardziej newralgicznych celów na świecie oraz nowoczesną analityką. Nasza oferta do niedawna kojarzona była głównie z rozwiązaniami bezpieczeństwa webowego oraz ochrony środowisk e-mail. Oferujemy jednak wiele dodatkowych, nowoczesnych rozwiązań. Jednym z nich jest zapora firewall nowej generacji. To produkt oparty na rozwiązaniach przejętej przez nas w styczniu 2016 roku firmy Stonesoft.
Nasza oferta czerpie też z technologii spółki dominującej – Raytheon. Produkty tej firmy były dotąd sprzedawane przede wszystkim amerykańskim instytucjom rządowym i organizacjom bezpieczeństwa. Dziś na tych samych technologiach bazuje m.in. nasze oprogramowanie SureView Insider Threat. Za sprawą funkcji analizy behawioralnej ułatwia ono zabezpieczenie organizacji przed celowymi lub przypadkowymi działaniami pracowników. Przykładowo, jeżeli jeden z użytkowników zaczyna gromadzić duże ilości określonych plików na własnym komputerze, wgrywa pliki do dysku internetowego, choć dotąd tego nie robił – bądź próbuje ominąć wdrożone zabezpieczenia lub procedury bezpieczeństwa – nasz system to wykryje i poinformuje o potencjalnie najbardziej ryzykowanych działaniach tego typu w skali całej organizacji, zapewniając możliwość podjęcia szybkiej reakcji. Takie podejście jest wyjątkowe także za sprawą wzajemnej integracji naszych produktów. Rozwiązanie SureView jest oferowane w Europie zaledwie od kilku miesięcy.
Co ważne, informacje na temat zagrożeń wykrywanych za pośrednictwem naszych rozwiązań są globalnie integrowane i stale analizowane w naszych laboratoriach. Typowe zagrożenia oraz ataki w toku monitorujemy obecnie pod kątem firm z ok. 200 różnych branż. Oferowane przez nas rozwiązania analityczne, systemy bezpieczeństwa sieci i poczty elektronicznej, a także platforma DLP i firewall są wzajemnie zintegrowane i mogą łatwo wymieniać informacje na temat wykrywanych nieprawidłowości lub zagrożeń. Przykładowo, nasze rozwiązanie DLP staje się dużo bardziej skuteczne dzięki zrozumieniu nie tylko tego, jakie dane opuszczają organizację, ale też tego, gdzie zmierzają. Bazę danych związanych z bezpieczeństwem witryn internetowych wykorzystuje też nasz firewall. Tego rodzaju efektów synergii będzie widać w naszej ofercie więcej.
Wokół jakich potrzeb w obszarze bezpieczeństwa IT koncentruje się strategia Forcepoint?
Skupia się wokół ochrony na poziomie danych. Jesteśmy w stanie spojrzeć na to, w jaki sposób użytkownicy korzystają z danych i w jaki sposób udostępniają je w sieci. Wiemy, czy są to dane poufne, kto ma do nich dostęp, czy mogą opuszczać organizację, być przechowywane w chmurze publicznej albo czy powinny być zaszyfrowane lub przesyłane zaszyfrowanymi kanałami. Monitorujemy przepływy danych w organizacji i jej otoczeniu. Dotyczy to także danych w spoczynku. Nasze technologie nie służą jednak wyłącznie do analizy. Pozwalają wymusić działania zgodne z określonymi politykami.