Co znamená v bezpečnosti viditelnost? Někdy i vše

16. 10. 2018. (redaktor: František Doupal, zdroj: DCD Publishing a Cisco)
Vždy, když se setkám se zákazníkem, opakuji, že klíč pro maximálně efektivní bezpečnostní řešení spočívá v dobře promyšlené architektuře. Ta musí zajistit nejenom prevenci před útokem, ale zároveň musí být nastavena tak, aby se na ni organizace mohla spolehnout i v případě, že přece jen dojde k úspěšnému útoku.

Nelze se proto spolehnout například jenom na firewally, i když i ty hrají důležitou roli. Je to podobné, jako kdyby král ve středověku obehnal svůj hrad kvalitní silnou zdí, ale celou pevnost nechal postavit v údolí. Asi by její obranná funkce klesla na minimum. A komplexně je třeba uvažovat i o bezpečnosti. Na rozdíl od hradu nemusíte své datové centrum budovat na kopci a stavět okolo něj příkop. Dnes zajistit bezpečnost neznamená nasadit technologii, ale postavit architekturu. Proto se zaměřím na bezpečnostní architekturu jako na celek. A platí zde jedno pravidlo: vidět znamená lépe chránit. Jakou viditelnost mám na mysli?  

Viditelnost do konverzace

Zjistit, jak vypadá „normální“ chování v síti, je asi nejlepší krok, kterým začít. Znalost toho, jak se zařízení chovají a komunikují, umožňuje rychle reagovat i v případě, že dojde k detekci anomálií. Samozřejmě mám na mysli analýzu anonymizovaného provozu. Pokud má organizace takový nástroj, dostává základní informace o chodu sítě, a zároveň upozornění a návrhy na případné změny nastavení. To může organizaci velmi pomoci i při plánování sítě.

Viditelnost do souboru

Pokud se organizace stane obětí útoku, musí zajistit kontrolu souborů tak, aby si mohla být jistá, že některý z nich není zdrojem nákazy. Stažený soubor, který ještě včera byl naprosto v pořádku, se může zítra stát škůdcem… Proto by komplexní architektura měla obsahovat také řešení, které zajišťuje retrospektivní analýzu – ne pouze jednu kontrolu při prvotním vstupu souboru do sítě organizace. Takové řešení se vrací v čase a vidí, kdy, jak, kým a komu byl soubor zaslán, a podá zprávu o tom, kterých uživatelů, stanic a serverů se možná nákaza týká. Detekovaný škodlivý soubor pak musí být přemístěn do karantény, aby jej nebylo možné spustit, přičemž sofistikovaná a integrovaná řešení umožňují tyto remediační procesy provádět v automatickém režimu, což významně snižuje potřebu lidského zásahu a výrazně snižuje dobu reakce na minimum.

Viditelnost do hrozeb

V dnešním světě často otázka nestojí, zda útok přijde, ale kdy. Proto by se organizace měly zaměřit na odhalení a odstranění hrozeb v maximálně rychlém čase. Hledání hrozby se může stát nákladnou a časově náročnou záležitostí, přesto je však nutné k obnovení normálního provozu. Vědět, kde hrozba začala, znát její rozsah, dokázat ji odstranit a zajistit, aby v budoucnu nepronikla do sítě znovu, může být výzvou. Proto musí bezpečnostní architektura obsahovat řešení, které se na tento typ úkonů specializuje. Efektivní řešení nabízí IT administrátorům přehled o tom, jak incident probíhal, a to včetně IP a URL adres, hašovacích hodnot případných škodlivých souborů či informací DNS záznamů. Takový přístup vzájemně automatizovaných korelací výrazně snižuje čas na hledání hrozeb a samozřejmě i čas na jejich vyřešení.

Viditelnost do internetu

Uživatelé neustále slyší, že nemají klikat na podezřelé weby. Jenže stačí chvilka nepozornosti, nebo jen máte „tlusté prsty“ a můžete se dostat do míst, odkud není návratu. Dostat se na škodlivý obsah lze i přes legitimní webové stránky. Ale jak tomu zabránit? Měli by zaměstnanci klikat na linky, které jsou pouze dvě hodiny staré? Jaká pravidla si mají pamatovat, pokud se připojují mimo firemní síť? Na podobné otázky se dnes ptá nejeden IT specialista. Nejefektivnější řešení v současnosti představuje kategorie produktů Secure Internet Gateway, což je řešení poskytované v cloudu. Taková cloudová brána dokáže prozkoumat DNS záznam, IP adresu i URL adresu, a získá o nich kompletní přehled. Dokáže tak zabránit až 90 % hrozeb, aniž by se vůbec dostaly do blízkosti koncového bodu.

Viditelnost nade vše

Útočníkům stačí proniknout jednou, naproti tomu obránci musí být vždy úspěšní. Firewally, ochrana koncových zařízení, řešení pro detekci průniku a další nástroje mohou odrazit 99 % hrozeb. Nicméně jenom ve společnosti Cisco denně blokujeme ve světě 20 miliard hrozeb. A v tom množství už to zbylé 1 % tvoří skutečně velké číslo. Proto je nutné zajistit maximální viditelnost a vybudovat obranu i proti tomuto 1 %. A pokud máme rozpoznat co nejvíce hrozeb, musíme o nich zjistit maximum. V tom hraje globální threat intelligence v cloudu nezastupitelnou roli. Nový útok se může rozšířit během několika málo hodin po celém světě a právě řešení využívající znalosti o aktuálních hrozbách na globální úrovni má mnohem větší šanci zabránit rozšíření infekce.

Autor: Milan Habrcetl, bezpečnostní expert společnosti Cisco

Štítky: 
Téma měsíce, Bezpečnost, Cisco systems

Podobné články

Ťažká úloha: Ušetriť terabajty zálohovaných dát a zároveň ochrániť pred ransomwarem

31. 5. 2019. (redaktor: František Doupal, zdroj: Synology)
Dá sa to vôbec? Dnes máte vo vašej firme (malej, strednej či veľkej) dáta určite aspoň na dvoch miestach – na počítačoch a v cloude, napr. G Suite či Office 365. Zálohujete? Super! A ako? Pravdepodobne máte hardvér a k tomu zálohovací softvér. A predpokladáme, že súbory na G Suite (vrátane kalendárov či e-mailov) alebo Office 365 nezálohujete vôbec, všakže? A čo v prípade, že sa objaví hrozba ransomware a niektorý z počítačov vašich kolegov zostane zašifrovaný? Čtěte více

Big SafeBox Data a QNAP nabízejí zálohovací řešení ve shodě s GDPR

22. 5. 2019. (redaktor: František Doupal, zdroj: DCD Publishing a QNAP)
Společnost Big SafeBox Data zavedla ve Španělsku datové centrum QNAP NAS, aby mohla nabízet zálohovací řešení pro kanál QNAP ve shodě s nařízením GDPR. Čtěte více

Železnice Slovenské republiky udržují svá data v pohybu s mimořádnou dostupností díky technologiím Veeam

15. 5. 2019. (redaktor: František Doupal, zdroj: DCD Publishing a Veeam)
Železnice Slovenské republiky (ŽSR), které mají v sousedním státě na starosti správu a provoz klíčové dopravní, telekomunikační a rádiové infrastruktury, využívají řešení společnosti Veeam Software k zajištění permanentní dostupnosti na národních a regionálních tratích v délce téměř 3 600 kilometrů. Čtěte více

Jak zákazníky zaujmout komplexním zálohovacím řešením

13. 5. 2019. (redaktor: František Doupal, zdroj: DCD Publishing a Acronis)
Zákazníci jsou v současné době stále náročnější a jako prodejce řešení IT bezpečnosti musíte zaujmout řešeními a službami, které se odlišují od běžné konkurence. Například v oblasti zálohování dnes již nezískáte pozornost jen prostým zálohováním a obnovou, musíte ukázat něco navíc. Zákazníky můžete ohromit například přidanou ochranou proti ransomwaru, bezpečným úložištěm a schopností obnovy v řádu minut. Čtěte více