Embed Size (px)
Citation preview
Přeh led dodava te lů ř ešen í i n f o rmačn í bezpečnos t i
P Ř Í L O H A I T S Y S T E M S
IT SECURITY Únor 201949 Kč
P Ř Í L OOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOOO HHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA IIIIIIII T S Y S T E M S
Únor 201949 Kč
Firmy investujído technologií,
které pak nedokážousprávně využít
říká Tomáš Strýček, ředitel společnosti AEC
Ochrana firemních sítíje multifunkční disciplína
Návrat ransomwaru na výsluníPřijde letos velký comeback ransomwaru?
Stavíme firewallové řešeníod architektury po implementaci
titul_priloha_security.ai 18.02.2019 15:31:20
SecurityIT
www.SystemOnLine.cz
20 IT Security 2019
Podniková bezpečnost stojí odnepaměti na
čtyřech základních kamenech spočívajících
v legislativních, organizačních a technických
opatřeních, které doplňuje zcela zásadní ob-
last, na kterou je potřeba se soustředit, a tou
je lidský faktor. Z mnoha studií a bezpeč-
nostních auditů totiž dlouhodobě vyplývá,
že právě lidský faktor je nejslabším článkem
jakékoli strategie firemní kybernetické bez-
pečnosti. Dle reportu „The Human Factor in
IT Security...“ společnosti Kaspersky Lab vy-
plynulo, že více než polovina firem se obává
právě narušení bezpečnosti přicházející ze-
vnitř. Dle reportu stáli zaměstnanci v uplynu-
lém roce u 46 % všech incidentů kybernetické
bezpečnosti, kterým byly firmy nuceny čelit.
Proto se bez detailního přehledu o tom, co
se děje uvnitř perimetru do budoucna prak-
ticky neobejdeme.
V rámci legislativních opatření je pro
vybrané firmy situace poměrně čitelná.
Zákon o kybernetické bezpečnosti jasně
udává, jaké zákonné požadavky musím jako
firma spadající do některé z vyjmenovaných
kategorií přijmout (§3, 181/2014 Sb.), i jaké
odpovídající kroky budu muset řešit, abych
zabránil bezpečnostním rizikům (viz vyhláška
č. 82/2018 Sb.).
„Pokud chceme v jakékoli organizaci
implementovat kybernetickou bezpečnost,
musíme si nejprve ujasnit, co chceme chránit
a proč to chceme chránit. Až poté následují
kroky ke snížení rizik přijetím adekvátních
opatření,“ upřesňuje Jiří Sedláček, CEO v Ne-
twork Security Monitoring Clusteru.
Pro firmy pracující s informacemi, jako
je například státní správa, IT služby, softwa-
rové firmy nebo telekomunikační operátoři
je vhodné, aby přesně definovaly rozsah
a hranice systému managementu bezpečnosti
informací a aplikovaly standard ISO 27001,
který je zaměřen na řízení bezpečnosti důvěry
informací pro zaměstnance, procesy, IT sys-
témy, ale dotýká se i firemní strategie. Firmy
v rámci legislativních opatření nejčastěji
chybují v obyčejném nakládání s citlivými
informacemi. Typickým příkladem jsou na-
příklad dokumenty citlivé povahy ponechané
na stole a v dosahu všech, co jdou okolo,
případně dokumenty zapomenuté jinde, tře-
ba na vyměnitelných médiích typu USB flash
apod. S příchodem GDPR se mezi nejčastější
prohřešky dostalo také nedostatečné zabez-
pečení a nakládání s informacemi a osobními
údaji v kybernetickém prostoru.
Víte, kdo zodpovídá za kybernetickou bezpečnost?Pokud chceme čelit novým bezpečnostním vý-
zvám, je potřeba se zbavit nejčastějšího pro-
hřešku z pohledu organizačních opatření – na
otázku, kdo ve firmě odpovídá za bezpečnost
IT, se od vedení často dozvíme, že přece IT
oddělení. Je chybou, že se to implicitně před-
pokládá, bez toho, aby to bylo explicitně ře-
čené. Pokud to má být IT oddělení, je potřeba
aby se tam bezpečnosti IT věnoval někdo na
plný úvazek a s dostatečnými pravomocemi.
Stejně tak se často podceňuje význam
dalších organizačních opatření v podobě
firemních směrnic, postupů nebo metodik.
Je dobré zmínit také potřebu analýzy rizik,
krizových scénářů nebo pravidelného testo-
vání zálohy apod. Vyhláška 82/2018 sb. dává
jasnou představu, jaká organizační opatření
by měla firma přijmout.
„Mnoho organizací zálohuje data, ale už
ne operační systémy. O testu obnovy nemlu-
vě. Když pak nastane krizový okamžik, není
na co (neexistuje záloha OS) aplikovat zálohu
a dochází ke zdržení a narušení kontinuity
byznysu,“ doplnil Jiří Sedláček.
Bude stále důležitější vědět, co se děje v sítiVelké množství prostředků na bezpečnost je
stále věnováno technickému zabezpečení pro-
ti útokům zvenčí, přičemž se často opomíjí
hrozby přicházející zevnitř organizace. „Firmy
investují 90 % svého rozpočtu na bezpečnost
do ochrany perimetru, ačkoli tam směřuje
pouze 25 % útoků,“ potvrzuje Gary Newe, di-
rector of systems engineering ve společnosti
F5 Networks.
Je proto velmi důležité vědět, co se děje
uvnitř v sítě. K tomu dnes nejlépe poslouží
analýza datových toků tzv. flow dat. Tato
technologie pro moderní monitoring síťového
Nové výzvy pro zajištění podnikové bezpečnosti Artur Kane
Nové trendy, se kterými se setkáváme na poli podnikového IT mají své kladné, ale i stinné stránky. Vždy záleží na úhlu pohledu. Jiný názor bude mít finanční oddělení, které si například migrací IT infrastruktury do cloudu může optimalizovat finanční náklady, opačný zase oddělení zodpovědné za bezpečnost IT. Nové výzvy totiž představují také nové bezpečnostní hrozby, které je potřeba pokrýt a eliminovat.
Security IT
www.SystemOnLine.cz
IT Security 2019 21
provozu poskytuje detailní statistiku o síťové
komunikaci, tedy o tom, kdo komunikuje
s kým, kdy, jak dlouho a často, kolik dat bylo
přeneseno, na jakých portech komunikace
probíhá, jaké protokoly využívá a další infor-
mace TCP/IP komunikace z vrstev L3 – L4.
Pomocí analýzy síťové komunikace získá-
me kompletní viditelnost do monitorované IT
infrastruktury, takže dokážeme automaticky
identifikovat infikované stanice, nežádoucí
síťový provoz nebo aktivity uživatelů, útoky
a obecně anomálie provozu datové sítě. Tato
behaviorální analýza sítě je schopna, na rozdíl
od systémů založených na signaturách jako
jsou systémy IDS/IPS, odhalit i nové nebo do-
sud neznámé hrozby a útoky, což s nástupem
cloudu, šifrované komunikace a napojení prů-
myslových systémů na tradiční IT je a bude
stále více aktuálnější.
Pozor na hrozby využívající šifrovanou komunikacíRostoucí objem šifrované komunikace dnes
představuje pro podnikovou bezpečnost para-
doxně další bezpečnostní výzvu. Šifrování totiž
vytvořilo šedou zónu s neomezeným prostorem
pro útočníky. Nebezpečný malware zde může
úspěšně skrývat své aktivity. Ať už v rámci počá-
teční fáze, kdy potřebuje stáhnout další škodlivý
kód nebo při následné komunikaci s řídícím
serverem. Společnost Gartner předpovídá, že
polovina malwarových útoků v roce 2019 bude
zneužívat právě krytí v šifrované komunikaci
a zároveň dodává, že 60 % firem tento malware
nedokáže odhalit. Poroste proto význam nástro-
jů, které dokáží analyzovat šifrovanou komuni-
kaci. Vhodné jsou zejména ty, které situaci řeší
neinvazivním a z pohledu sítě pasivním způ-
sobem. Analýzou metadat z vrstev L2, L3 a L4,
a pomocí sond dokáží vytáhnout další potřebné
informace k SSL/TLS provozu z aplikační vrstvy
L7. Pomohou tak například i se správou certifi-
kátů, upozorní na bezpečnostní rizika spojená
s krátkým šifrovacím klíčem a další. Oproti star-
šímu přístupům s SSL/TLS proxy, které každou
komunikaci musí dešifrovat, analyzovat a opět
zašifrovat, je tento přístup méně nákladný,
nezasahuje do soukromí a umožňuje real-time
monitoring.
Cloud je největší výzvou budoucnostíPočet společností, kteří se rozhodují přejít se
svou firemní infrastrukturou do cloudu kaž-
doročně stoupá. Cloudové prostředí zpravidla
přináší firmám optimalizaci nákladů, větší flexi-
bilitu, škálovatelnost a také nové možnosti pří-
stupu. Pravdou však je, že migrace do cloudu
s sebou přináší i zcela nové výzvy na monito-
rování a diagnostiku sítě a aplikací, protože
stávající nástroje, na které jsme byli zvyklí, toho
jednoduše nejsou schopny zajistit. Je proto
potřeba zvážit nový přístup i metody, které nám
i v hybridním cloudovém prostředí pomůžou
navrátit ztracenou jistotu a viditelnost.
Důvodem, proč selhávají tradiční přístupy
k monitoringu jsou zřejmé. Hlavním problé-
mem je chybějící přístup k informacím ze
síťové vrstvy L2 v prostředí public cloudu.
Nefungují zde tradiční neinvazivní přístupy vy-
užívající SPAN port a chybí i statistiky z aktiv-
ních síťových prvků. Mohlo by se proto zdát, že
tato slepá místa v cloudu znemožňují analýzu
kritických dat, které řeší bezpečnostní hrozby
a problémy s výkonem. Ve světě je zatím jen
málo společností, které se dokáží s tímto ome-
zením poprat a nabídnout centrální pohled na
všechna data o síťovém provozu konsolidovaná
napříč infrastrukturou. Využívají k tomu hlavně
flexibilní síťové sondy, které umožňují různé
způsoby nasazení napříč prostředími typu
on-premise, private cloud nebo public cloud,
a zároveň poskytují identická data z těchto
rozdílných prostředí. Bez ohledu na různý typ
enkapsulace (tunelování) dokáží změřit sku-
tečně přenášená data.
Aktuálně se využívají tyto způsoby, jak za-
jistit viditelnost v public cloudu. Jedním z nich
je agentní řešení instalované na monitorované
servery – tzv. Virtual taping. Zachytává komu-
nikaci mezi virtuálními stroji a doručuje pakety
monitorovacím nástrojům třetích stran. Dalším
z nich je zrcadlení portu na úrovni L3 a doru-
čení kopie síťového provozu monitorovacím
nástrojům prostřednictvím tzv. GRE tunelu. Ně-
která řešení dokáží zároveň zakončit ERSPAN/
GRE tunel a nepotřebují tak žádnou mezivrst-
vu. Dalším přístupem je schopnost platforem
přímo dodat potřebná data z prostředí public
cloudu do monitorovacích nástrojů.
Nejpokročilejším způsobem, jak zajistit vidi-
telnost v public cloudu jsou nativní prostředky
přístupu k síťovému provozu poskytované přímo
danou platformou. Nejdále je v této oblasti nyní
Microsoft Azure s technologií označovanou jako
vTAP. Umožňuje předat kopii datového provozu
mezi virtuálními stroji včetně komunikace uvnitř
VM (tzv. east-west traffic) do vybraných moni-
torovacích nástrojů. Virtuální TAP odstraňuje
slepá místa ve virtuální síti a umožňuje analyzo-
vat důležitá data vztahující se k bezpečnostním
a výkonnostním problémům.
Internet věcía SCADA/ICSBez analýzy datových toků se do budoucna
neobejdou ani operátoři průmyslových sítí
a systémů SCADA/ICS a vůbec svět okolo
internetu věcí třeba v rámci Průmyslu 4.0.
Přechod na tradiční síťovou komunikaci dříve
striktně oddělených systémů a jejich propojo-
vání s komerčním IT vystavuje toto prostředí
velkému bezpečnostnímu riziku a otevírá
nové příležitosti pro útočníky. Následky
kybernetického útoku na SCADA systémy
přitom mohou často být pro společnost zdrcu-
jící, což například ukázal malware Industroyer
v roce 2016 při útoku na energetickou síť
Ukrajiny. SCADA/ICS systémy mají výhodu
ve víceméně stabilních datových tocích. Díky
tomu je možné pomocí vhodné monitorovací
technologie pracující s datovými toky daty
rychle odhalit a reagovat na vzniklé anomálie.
Právě zvýšené nároky na bezpečnost jsou dů-
vodem, proč se o toto prostředí zajímají také
významní výrobci monitorovacích nástrojů.
Například jeden z nejznámějších nabízí ve své
poslední verzi svého řešení nativní viditelnost
do prostředí IoT a průmyslových systémů, re-
prezentovaných protokolem CoAP a IEC 104.
Zaměstnanci budou cílem útočníků i nadáleLidský faktor byl, je a vždy bude zásadní slabi-
nou bezpečnosti firemního IT. Zejména v pří-
padě cílených útoků představuje asi nejslabší
místo v celkovém kybernetickém zabezpečení
firem. Útočníci s oblibou využívají metody
phishingu a sociálního inženýrství, což se ani
v následujících letech nezmění. Nebezpečí
selhání lidského faktoru je nejvyšší zejména
u menších firem, kterým chybí odborník na
kybernetickou bezpečnost. Většinou to přímo
souvisí s nedostatečnou informovaností a pro-
školením zaměstnanců. V úvodu zmíněná
studie společnosti Kaspersky Lab poukázala
na to, že jen 12 % zaměstnanců zná pravidla
pro kybernetickou bezpečnost firmy. Nové
trendy v podobě BYOD a firemních note-
booků tuto slabinu jen dále prohlubují. Bez
zodpovědných proškolených zaměstnanců
a bez detailní viditelnosti ve vlastní hybridní
IT infrastruktuře nebude do budoucna možné
čelit novým kybernetickým hrozbám.
Artur KaneAutor článku je Technology Evangelist ve Flowmon Networks.
