Co znamená v bezpečnosti viditelnost? Někdy i vše

Nelze se proto spolehnout například jenom na firewally, i když i ty hrají důležitou roli. Je to podobné, jako kdyby král ve středověku obehnal svůj hrad kvalitní silnou zdí, ale celou pevnost nechal postavit v údolí. Asi by její obranná funkce klesla na minimum. A komplexně je třeba uvažovat i o bezpečnosti. Na rozdíl od hradu nemusíte své datové centrum budovat na kopci a stavět okolo něj příkop. Dnes zajistit bezpečnost neznamená nasadit technologii, ale postavit architekturu. Proto se zaměřím na bezpečnostní architekturu jako na celek. A platí zde jedno pravidlo: vidět znamená lépe chránit. Jakou viditelnost mám na mysli?  

Viditelnost do konverzace

Zjistit, jak vypadá „normální“ chování v síti, je asi nejlepší krok, kterým začít. Znalost toho, jak se zařízení chovají a komunikují, umožňuje rychle reagovat i v případě, že dojde k detekci anomálií. Samozřejmě mám na mysli analýzu anonymizovaného provozu. Pokud má organizace takový nástroj, dostává základní informace o chodu sítě, a zároveň upozornění a návrhy na případné změny nastavení. To může organizaci velmi pomoci i při plánování sítě.

Viditelnost do souboru

Pokud se organizace stane obětí útoku, musí zajistit kontrolu souborů tak, aby si mohla být jistá, že některý z nich není zdrojem nákazy. Stažený soubor, který ještě včera byl naprosto v pořádku, se může zítra stát škůdcem… Proto by komplexní architektura měla obsahovat také řešení, které zajišťuje retrospektivní analýzu – ne pouze jednu kontrolu při prvotním vstupu souboru do sítě organizace. Takové řešení se vrací v čase a vidí, kdy, jak, kým a komu byl soubor zaslán, a podá zprávu o tom, kterých uživatelů, stanic a serverů se možná nákaza týká. Detekovaný škodlivý soubor pak musí být přemístěn do karantény, aby jej nebylo možné spustit, přičemž sofistikovaná a integrovaná řešení umožňují tyto remediační procesy provádět v automatickém režimu, což významně snižuje potřebu lidského zásahu a výrazně snižuje dobu reakce na minimum.

Viditelnost do hrozeb

V dnešním světě často otázka nestojí, zda útok přijde, ale kdy. Proto by se organizace měly zaměřit na odhalení a odstranění hrozeb v maximálně rychlém čase. Hledání hrozby se může stát nákladnou a časově náročnou záležitostí, přesto je však nutné k obnovení normálního provozu. Vědět, kde hrozba začala, znát její rozsah, dokázat ji odstranit a zajistit, aby v budoucnu nepronikla do sítě znovu, může být výzvou. Proto musí bezpečnostní architektura obsahovat řešení, které se na tento typ úkonů specializuje. Efektivní řešení nabízí IT administrátorům přehled o tom, jak incident probíhal, a to včetně IP a URL adres, hašovacích hodnot případných škodlivých souborů či informací DNS záznamů. Takový přístup vzájemně automatizovaných korelací výrazně snižuje čas na hledání hrozeb a samozřejmě i čas na jejich vyřešení.

Viditelnost do internetu

Uživatelé neustále slyší, že nemají klikat na podezřelé weby. Jenže stačí chvilka nepozornosti, nebo jen máte „tlusté prsty“ a můžete se dostat do míst, odkud není návratu. Dostat se na škodlivý obsah lze i přes legitimní webové stránky. Ale jak tomu zabránit? Měli by zaměstnanci klikat na linky, které jsou pouze dvě hodiny staré? Jaká pravidla si mají pamatovat, pokud se připojují mimo firemní síť? Na podobné otázky se dnes ptá nejeden IT specialista. Nejefektivnější řešení v současnosti představuje kategorie produktů Secure Internet Gateway, což je řešení poskytované v cloudu. Taková cloudová brána dokáže prozkoumat DNS záznam, IP adresu i URL adresu, a získá o nich kompletní přehled. Dokáže tak zabránit až 90 % hrozeb, aniž by se vůbec dostaly do blízkosti koncového bodu.

Viditelnost nade vše

Útočníkům stačí proniknout jednou, naproti tomu obránci musí být vždy úspěšní. Firewally, ochrana koncových zařízení, řešení pro detekci průniku a další nástroje mohou odrazit 99 % hrozeb. Nicméně jenom ve společnosti Cisco denně blokujeme ve světě 20 miliard hrozeb. A v tom množství už to zbylé 1 % tvoří skutečně velké číslo. Proto je nutné zajistit maximální viditelnost a vybudovat obranu i proti tomuto 1 %. A pokud máme rozpoznat co nejvíce hrozeb, musíme o nich zjistit maximum. V tom hraje globální threat intelligence v cloudu nezastupitelnou roli. Nový útok se může rozšířit během několika málo hodin po celém světě a právě řešení využívající znalosti o aktuálních hrozbách na globální úrovni má mnohem větší šanci zabránit rozšíření infekce.

Autor: Milan Habrcetl, bezpečnostní expert společnosti Cisco