Vzestup cloudu, proměna prostředí počítačových sítí a rozmazání přesné hranice firemní sítě, nárůst počtu zařízení připojených k internetu a mobilních zařízení, nástup internetu věcí (IoT). To jsou jen některé z aspektů, které výrazně ovlivňují proměnu prostředí a nároky, ježé jsou kladeny na zabezpečení firemních sítí, systémů a dat.

Na druhé straně je patrná profesionalizace útoků a kybernetických zločinců, dochází ke stále sofistikovanějším, ekonomicky motivovaným útokům připravovaným "na míru", zaměřeným na konkrétní cíl. Škody způsobené kybernetickými útoky dosáhly například podle studie společnosti Grant Thornton za loňský rok celosvětově výše 315 miliard dolarů (jen v EU to bylo 62 miliard). Zisky z kyberzločinu podle některých zdrojů mnohonásobně převyšují celosvětové investice do rozvoje bezpečnostních technologií.

 

Základní stavební kameny bezpečnosti

Jisté je, že oblasti bezpečnosti budou firmy muset věnovat stále větší pozornost. Jaké prvky tvoří základní obrannou linii každé společnosti? Prakticky žádná společnost se již neobejde bez základních stavebních kamenů, jako jsou firewally, systémy IDS/IPS, antivirus či antimalware, antispam, ochrana webové a e-mailové komunikace a další. Rostoucí pozornost je však v poslední době věnována také oblasti analýzy bezpečnostních dat a SIEM (Security Information and Events Management, správa bezpečnostních informací a událostí).

"V důsledku setření hranic sítí, kam se připojuje celá řada pevných i mobilních zařízení, je prakticky nereálné zabránit průniku škodlivého kódu do sítě a ke zdrojům v ní," říká Ivo Němeček, Regional Sales Manager společnosti Cisco. Výzkumy této společnosti dokonce ukazují, že v podstatě neexistuje firma, v jejíž síti by nějaký škodlivý kód nebyl. "Funkční bezpečnostní řešení musí tedy nejenom chránit před útokem, ale také co nejrychleji odhalit napadení, omezit jeho rozsah a napravit případné škody, které způsobí," dodává Němeček.

Kyberneteický útok, hacker, ilustraceJedním z klíčových pilířů funkčního bezpečnostního řešení je tak podle něj dostatečný přehled o dění v síti, o připojených zařízeních a schopnost skutečně porozumět událostem. "Kybernetickou bezpečnost je nutné chápat v souvislostech. Ideální tedy je, je-li ochrana vícevrstvá a jednotlivé technologie jsou vzájemně provázané. Spoléhat na jednu izolovanou technologii, ať už je to firewall, nebo antivirus, dnes nestačí," zdůrazňuje.

Skutečnost, že bezpečnost IT a prevence v současnosti zahrnuje značné množství kategorií, podtrhuje i Patrick Müller, Channel Account Executive Czech Republic & Slovakia ve společnosti Sophos: "Zákazníci požadují plnou kontrolu nad aplikacemi, kontrolu přístupu zaměstnanců na web, bezpečnou a snadno spravovatelnou komunikaci mezi pobočkami. Objevují se nástroje pro odhalení botnetů, a obrovský boom zažívají reportovací a analytické systémy. Antivirus pro PC je samozřejmostí, ale firmy začínají řešit také bezpečnost smartphonů."

Petr Šnajdr, Pre-Sales Engineer společnosti Eset, k tomu uvádí: "Antimalwarové programy dnes obsahují technologie schopné blokovat zapojení do botnetů a pokusy o zneužití bezpečnostních děr v některých hojně využívaných softwarových produktech a aplikacích, jako jsou operační systémy, internetové prohlížeče, PDF čtečky, Java a Flash. Je také dobré si uvědomit, že sofistikované hrozby disponují technologiemi pro řízení množství odesílaných dat, aby se vyhnuly detekci na internetových branách. Na problematiku bezpečnosti je přitom vždy potřeba se dívat jako na komplex nezbytných opatření a technologií."

Výhodné je, pokud jsou zmíněné prostředky ochrany IT prostoru organizace co nejvíce integrované, poznamenává David Kulhan, zástupce ředitele Odboru kybernetické bezpečnosti společnosti Komix. "Samozřejmostí by měla být integrace na SIEM systémy, BI nadstavba a možnost jednoduché, rychlé a účinné reakce na bezpečnostní incidenty. Vzhledem k šíři využívání internetové komunikace musí být takové prostředky zároveň dostatečně robustní," říká.

 

Integrovaná bezpečnostní řešení

S tím, jak se zvyšuje rozmanitost hrozeb, narůstá i počet preventivních a bezpečnostních funkcionalit v bezpečnostních systémech a zařízeních. Velké oblibě zejména v segmentu menších a středních firem se proto těší koncept integrovaných řešení označovaných jako UTM (Unified Threat Management), který se snaží o sloučení všech těchto funkcí na jedné platformě s pokud možno jednoduchou správou. "To s sebou přináší výhody úspornějšího licencování, potřeby kontaktovat pouze jednu technickou podporu a také jednoduššího školení obsluhy zařízení," říká Patrick Müller.

Cílem UTM prvků je pokrýt co nejširší oblast IT bezpečnosti. "Samozřejmostí by měl být nejen firewall, antivirová ochrana, řízení webového provozu a e-mailové komunikace, antispam, antispyware, ochrana DNS, ale také možnosti autentizace a šifrovaného přístupu do vnitřní sítě prostřednictvím VPN," popisuje David Kulhan.

Řešení by podle něj mělo být také jednoduše administrovatelné, umožňovat definice chování prostřednictvím přehledných politik a mělo by být integrovatelné se SIEM systémy nebo obsahovat jednoduché rozhraní typu SIEM pro umožnění rychlé a efektivní reakce v případě bezpečnostních problémů a incidentů.

Ačkoliv primární ochranu nadále zajišťují tradiční bezpečnostní prvky, jako je firewall atp., záběr UTM zařízení se stále rozšiřuje. "V současné době tato řešení často integrují další a další funkcionality v podobě IDS/IPS (Intrusion Detection/Prevention systémů), antibotu, inspekce provozu na aplikační úrovni, heuristické a behaviorální analýzy, sandboxingu, SIEM a korelační jednotky, a to včetně online přístupu ke cloudové informační bázi aktuálních hrozeb," vysvětluje Jaroslav Javor, IT Operations Director společnosti AVG.

Moderní multifunkční UTM řešení tak dnes nabízí funkcionality, které umožnují detekci (a kontrolu) prakticky nad všemi fázemi životního cyklu hrozby.

Vyžadovány jsou také funkce související s prevencí a produktivitou, jako je filtrování URL a správa aplikací včetně QoS. Obvyklý je dnes již také nabízejí integrovaný kontrolér pro bezdrátovou síť a samozřejmě reporting. "Všechny tyto funkce by měly být dostupné s jednotnou správou, ideálně na co nejmenším počtu fyzických nebo virtuálních serverů," dodává Patrick Müller.

Za typického zákazníka, který sáhne po UTM řešení, je často považována malá nebo střední firma, která si nemůže dovolit zaměstnávat bezpečnostní specialisty na správu a vyhodnocování dějů a incidentů ve firemním prostředí. "U velkých firem bývá výhodnější využít výkonnějších prvků v diverzifikovaném prostředí, kde budou jednotlivé prostředky integrovány a centrálně řízeny," popisuje David Kulhan.

Investice do specializovaných zařízení se však vyplatí jen v případě, že tato zařízení dokážeme skutečně využít. "Dnešní technologie nabízejí úžasné možnosti v oblasti analyzování dějů na síti a reportingu. Ovšem bez kvalifikovaných pracovníků, kteří tyto výstupy zužitkují, je jejich přínos minimální," zdůrazňuje Müller.

 

Řízení přístupu a správa identit

S tím, jak roste komplexnost IT prostředí, zvyšuje se počet používaných aplikací i uživatelů a do hry vstupují mobilní zařízení od notebooků po smartphony.Roste důležitost důsledného řízení přístupu uživatelů (a jejich zařízení) do sítě a účinné správy identit, která umožní jednotné a bezpečné přihlašování uživatelů do sítě i k jednotlivým aplikacím.

Netýká se to přitom jen velkých společností a organizací. Také menší a střední firmy se mohou potýkat s tím, že je obtížné "manuálně" řídit přístup do své sítě a udržet si přehled o tom, který uživatel má jaká oprávnění a kolik zapomenutých dočasných účtů se může stát potenciálním vektorem útoku. "V době masivních úniků dat by měla každá společnost řízení přístupu aktivně řešit. Mnoho malých a středních společností riziko zneužití přístupových oprávnění podceňuje," pozoruje Petr Šnajdr.

A priori nemusí jít o investičně náročnou záležitost: "Ne vždy je na místě využívat specializovaná řešení. Dostatečně lze tuto oblast pokrýt i standardními způsoby správy systémů," tvrdí Kulhan.

"Riziko lze minimalizovat využitím pokročilých autentizačních metod, případně využití dvoufaktorové autentizace pro přístup ke kritickým službám, jako je např. VPN a přístup do firemních systémů," dodává Šnajdr. Menší a střední firmy mohou pro správu identit využít namísto robustních a drahých řešení open source řešení založená na osvědčených standardech.

Především velké firmy a organizace by zase měly věnovat zvýšenou pozornost chování interních uživatelů a administrátorů systémů, sítí a aplikací. "Tato oblast IT bezpečnosti se jeví v současnosti jako velmi málo a nekvalitně pokrytá. Interní útoky se stávají čím dál nebezpečnějšími a ztráty po úspěšném útoku mohou být pro některé firmy až likvidační," upozorňuje David Kulhan.

Dalším aspektem je rozmach SaaS, díky němuž je stále jednodušší nasadit nový systém. "Hlavním pojítkem pak bývá typicky právě systém správy identit, stále častěji rovněž zaváděný jako SaaS," říká Jaroslav Javor a doplňuje: "Klíčovým pak bývá výběr důvěryhodného dodavatele systému správy identit s relativně stabilní pozicí na trhu, který je schopen nabídnout integraci s širokým portfoliem služeb."

 

Trendy v NAS a Identity Managementu

Hlavní výzvou je v současnosti rostoucí počet zařízení v síti, jejich různorodost, různé způsoby připojování uživatelů i zařízení do sítě a malá vazba mezi aplikacemi a sítí.

"Cílem je vytvořit jednotný systém řízení přístupu do sítě i k aplikacím a k datům, který zachovává vysokou úroveň zabezpečení, ale zároveň příliš nekomplikuje práci uživatelů," popisuje Němeček, ale dodává, že v komplexním a různorodém prostředí to může být obtížné.

"Systémy pro řízení přístupu dnes vyhodnocují široký kontext, například kdo se do sítě připojil, kdy, odkud, z jakého typu zařízení, zda zařízení vyhovuje předepsaným požadavkům, jaká je historie připojení a podobně," vysvětluje specialista společnosti Cisco.

S rozmachem mobilních a cloudových technologií roste požadavek se přihlašovat odkudkoliv. "Ruku v ruce s tím je potřeba řešit zavedení vhodných autentizačních metod a také správu mobilních zařízení (MDM)," doplňuje Jaroslav Javor z AVG. Konkrétně u identifikace a autentizace uživatele je podle něj výzvou zajistit rozumnou míru bezpečnosti a zároveň příliš neomezit uživatelský komfort. "V současné době se často využívají multifaktorové metody autentizace v kombinaci s tzv. adaptivní autentizací, resp. řízením přístupu v závislosti na tom co vím o uživateli, zařízení a prostředí, ze kterého se připojuje," vysvětluje a uvádí: "Tato oblast je relativně dynamická, stále vznikají nové moderní metody autentizace (založené např. na biometrii, behaviorálním monitoringu atp.), které jsou zároveň integrovány do zařízení každodenní potřeby, jako je mobilní telefon nebo kreditní karta, a lze je tak využít jako autentizační prostředky i ve firemním prostředí."

Z hlediska ochrany IT prostoru proti interním útokům hraje stále důležitější roli tzv. behaviorální analýza. "V případě nestandardního chování uživatelů by měly prostředky behaviorální analýzy dokázat včas informovat CSO (šéfa pro oblast bezpečnosti) a technologie by měla zajistit buď okamžitý, automatický nebo alespoň velmi rychlý a efektivní ruční zásah pro eliminaci následků možných útoků," vyzdvihuje Kulhan z Komixu. Samozřejmostí by pak měl být prokazatelný záznam chování uživatelů a administrátorů pro forenzní účely.

 

Bezpečnost a mobilita

Jedním z hlavních trendů, který ovlivňuje každodenní život současných firem, je stále širší adopce přístupů označovaných pojmy BYOD (Bring Your Own Device), BYOC (Bring Your Own Computer) atd. Firmy tak stojí před výzvou vyřešit bezpečnost mobilních zařízení a dat. A ta vzniká již v okamžiku připojení prvního připojení mobilních zařízení do firemní sítě. Hlavní riziko přitom představuje ztráta či odcizení dat.

Mobilní bezpečnost, ilustraceZ dnešního pohledu je naprosto zřejmé, že mobilní zařízení představují pro firmy podobná rizika jako pracovní stanice a notebooky. "Pro mobilní platformy vzniká velké množství škodlivého kódu, jehož schopnosti páchat škody se od těch nemobilních prakticky neliší - firmy se tak vystavují zbytečnému riziku," vysvětluje Petr Šnajdr.

"Mobilní zařízení jsou připojována střídavě do nezabezpečených prostředí i do firemních sítí. Operační systémy a aplikace se dostávají do hledáčku útočníků, svojí povahou lákají uživatele k nezodpovědnému chování. Udržet je pod kontrolou není jednoduché," popisuje Ivo Němeček.

Vše navíc komplikuje různorodost platforem a zařízení na trhu. "Dá se téměř říci, že co model to originál," popisuje situaci Jaroslav Javor. "Výrazně pomáhá standardizace mobilního ekosystému v rámci nasazení jakéhokoliv komplexnějšího řešení ochrany mobilních dat," dodává.

Fyzická bezpečnost mobilních zařízení a vlastní ochrana dat v těchto zařízeních nadále zůstává problematická. Ačkoliv k ochraně před ztrátou dat lze využít například systémy DLP, ne vždy je to tak jednoduché. "Robustní DLP systémy je velmi obtížné uvést do praxe a řada firem se raději smíří s žádným nebo polovičatým řešením," doplňuje Müller.

Řešení však existují. Klíčovým aspektem je šifrování dat na mobilních zařízeních. Zatím však není tak rozšířené, jak by bylo vhodné. "Šifrování dat a citlivých údajů na mobilních zařízeních zdaleka není v současné době standardem," uvádí David Kulhan. Ačkoliv řešení existují, firmy mnohdy podle něj zřejmě narážejí na odpor uživatelů využívajících prostředků BYOD.

 

Článek byl publikován v ICT revue.