Wszechobecna cyberprzestępczość
Bezpieczeństwo w sieci to temat coraz częściej poruszany w przestrzeni publicznej. Banki ostrzegają swoich klientów przez phishingiem, w wyniku którego ci mogą stracić pieniądze z kont. Pracodawcy uczą pracowników jak zachować bezpieczeństwo danych i powtarzają, że największe zagrożenie dla firmowych zasobów pojawia się wówczas, gdy pracownik korzysta ze służbowego sprzętu do celów prywatnych i np. na firmowym laptopie otwiera załączniki z prywatnej poczty, czy surfuje po social mediach, nieświadomie infekując komputer.
W tym otoczeniu firmy coraz lepiej radzą sobie z zagrożeniem, stosując szereg strategii i wykorzystując nowoczesne technologie.
Zarządzanie tożsamościami
W ślad za nowymi zabezpieczeniami wprowadzanymi w przedsiębiorstwach świat przestępczy nie ustaje w rozwijaniu sposobów ich obchodzenia. Dlatego informatycy wciąż poszukują nowych sposobów zabezpieczania danych, a firmy nieustannie je wdrażają. To powoduje, że stosowanych jest dziś wiele strategii utrzymania bezpieczeństwa w sieci. Pierwsza z nich polega na właściwym zarządzaniu tożsamościami.
Polityka Zero Trust
Polityka zero trust (zero zaufania) to sposób podejścia do bezpieczeństwa w organizacji, polegający na udzielaniu najmniejszego z możliwych dostępów, jakich pracownicy mogą potrzebować do wykonania swoich obowiązków.
Każda firma może mieć nieco inny sposób rozdzielania zakresów obowiązków. Może on bazować na działach, zespołach, czy pojedynczych stanowiskach. Według Łukasza Kuflewskiego, projektanta i dewelopera rozwiązań dostępu w Cloudware Polska, sposobem wartym uwagi jest bazowanie na strategii RBAC tj. Role-based Access Control. Polega ona na tym, że uprawienia są przydzielane na podstawie ról, jakie pracownik w danym momencie pełni w organizacji.
Dzięki temu każdy może mieć przypisane tylko te dostępy, które wynikają z przekrojowych potrzeb stanowiska, działu, zespołów projektowych, czy poziomów zarządzania.
Nazwa „polityka zero trust" może wywoływać wrażenie, że pracodawca nie ufa swoim pracownikom. To jednak błędna interpretacja, a podejście ograniczonego dostępu ma na celu jedynie zabezpieczyć zasoby firmy przed – także nieświadomym czy nieumyślnym – incydentem naruszającym bezpieczeństwo.
Cykliczna weryfikacja dostępów i dostępy czasowe
Stosowane w firmach systemy zarządzania tożsamością obejmują również audyty czy kampanie recertyfikacyjne.
Według eksperta Cloudware Polska, zwykle wraz z rozwojem funkcji pracownika w organizacji, przybywa mu uprawnień. Zgłaszanie potrzeby dodania nowych, gdy zmieniają się zadania, jest powszechne i naturalne. Mało kto jednak pamięta, aby jednocześnie zgłaszać administratorom fakt, że inne przestają być wymagane.
Pomocne w zarządzaniu uprawnieniami i tożsamościami w firmie są takie podejścia, które pozwalają na jedynie czasowe przydzielanie uprawnień. Ma to zastosowanie do zadań, które w określonym czasie będą zakończone i dostępy staną się nieprzydatne. Na drodze do realizacji tego typu podejścia stoją jednak często same systemy zarządzania, które nie mają koniecznych funkcjonalności odpowiedzialnych za odbieranie uprawnień.
I tu z pomocą przychodzą istniejące w firmach procesy audytowe obejmujące przegląd uprawnień pracowników i systematyczne wyłączenie tych zbędnych.
Potwierdzanie tożsamości
Najczęstsze możliwości dostępu do zasobów firmowych wiążą się z korzystaniem z sieci wewnętrznej lub VPN.
W przypadku pracowników zdalnych korzystających z dostępów zewnętrznych coraz powszechniej wykorzystywane jest uwiarygadnianie dwuskładnikowe lub wieloskładnikowe. Polega na kilkakrotnym potwierdzeniu tożsamości często z wykorzystaniem różnych urządzeń np. komputera i telefonu. Taki sposób potwierdzania tożsamości zwany jest też dwuetapową lub wieloetapową weryfikacją i jako klienci znamy ją wszyscy z systemów bankowych.
Śledzenie korzystania z dostępu do danych
Obserwowanie, w jaki sposób użytkownicy korzystają z powierzonych im dostępów to jeden ze sposobów dbania o zasoby firmy. Śledzenie takie jest możliwe w czasie rzeczywistym. Administratorzy mogą monitorować wykorzystanie infrastruktury, zbierać i analizować informacje o jej użyciu.
W ten sposób można wykryć, że ktoś próbuje dostać się do sieci z adresów IP, które nigdy wcześniej nie były wykorzystywane. Mogą one pochodzić nawet z odległych rejonów świata. Taka informacja zawsze powinna być zauważona i stać się powodem dalszych badań. Administrator, obserwując kolejne czynności wykonywane przez sprawcę takiego zdarzenia, jest w stanie odtworzyć jego drogę w sieci, stwierdzić czy jest zagrożeniem dla infrastruktury, a nawet czy jest zainteresowany kradzieżą danych, czy zainfekowaniem sieci.
Łukasz Kuflewski projektant i deweloper rozwiązań dostępu w Cloudware Polska uważa, że ataki dokonywane przez cyberprzestępców nigdy nie są niezauważone.
- Ktoś, atakując i tak musi się połączyć — wyjaśnia ekspert w rozmowie z Karoliną Wasilewską z TOK FM. - Zawsze gdzieś jakiś ślad musi zostać. Nawet jak on będzie nieczytelny.
Po wykryciu takiego incydentu dostępy od razu powinny zostać zablokowane.
Wykrywanie incydentów w sieci — automatyzacja czy element ludzki
Czy dbając o bezpieczeństwo zasobów firmy lepiej zdać się na ludzi, czy całkowicie zautomatyzować systemy? Ekspert jest zdania, że najlepiej użyć obu metod jednocześnie i zautomatyzować te elementy, które nie budzą żadnych wątpliwości, a te, które wymagają analizy i decyzji człowieka, powierzyć zespołowi pracowników czy outsoursować do jednostek typu SOC (Security Operation Center). To zespoły, które mając wgląd do wszystkich zdarzeń, są w stanie odpowiednio zareagować. Z pomocą przychodzą tutaj rozwiązania od IBM takie jak IBM Security QRadar, IBM Security Guardium czy IBM Security Verify, których wykorzystanie umożliwia implementację podejścia Zero Trust. Dodatkowo wykorzystanie rozwiązania IBM Security Randori pozwala na ciągłą weryfikację stopnia narażenia na zagrożenia z sieci, co wprowadza do zarządzania bezpieczeństwem sieci element proaktywności.
Zobacz, jak monitorować bezpieczeństwo i być o krok przed zagrożeniem z zewnątrz. Randori IBM - przeczytaj lub pobierz materiały
Monitorowanie bezpieczeństwa infrastruktury – kogo na to stać?
Tematem utrzymania bezpieczeństwa w sieci i zarządzania tożsamościami powinny interesować się nie tylko wielkie korporacje i ogromne przedsiębiorstwa posiadające rozbudowaną infrastrukturę. Zdaniem eksperta Cloudware Polska paradoksalnie to właśnie te niewielkie firmy mogą coraz częściej stawać się obiektem ataków cyberprzestępców. Powodem może być to, że niełatwo im przeznaczyć środki na zabezpieczenia, a metody, których używają do ochrony, nie są tak zaawansowane i trudne do obejścia, jak te stosowane w większych organizacjach.
Aby zabezpieczyć swoją infrastrukturę informatyczną, bazy danych i systemy mogą jednak sięgać po coraz bardziej popularne rozwiązania, oferowane w modelu subskrypcyjnym. Można je zintegrować z własną siecią i mieć zapewnione bezpieczeństwo. Korzyść jest taka, że nie trzeba inwestować w duże i kosztowne systemy, a następnie płacić za ich utrzymanie. Zamiast tego można wykupić abonament i w ten sposób korzystać z zabezpieczeń. Warto również zaznaczyć, że rozwiązania od IBM dostępne są zarówno w modelu on-premise, jak i cloud.
Cloudware - materiały partnera Cloudware - materiały partnera
