Czas pandemii sprawił, że firmy musiały postawić na telepracę i udostępnić swoim pracownikom zdalny dostęp do zasobów, które charakteryzują się różnym stopniem zabezpieczenia. To sprawiło, że w wielu przypadkach dla cyberprzestępców zostały otwarte nowe furtki do wyłudzeń i pozyskiwania poufnych danych. Pojawiła się także możliwość przejęcia zdalnej kontroli nad zasobami.
Utrzymanie dostępności systemów IT i ochrona przed atakami hakerów, to działania kluczowe, ponieważ do przeprowadzenia ataku na firmową sieć nie trzeba być superinformatykiem piszącym wirusy komputerowe. Malware (złośliwe oprogramowanie) lub ransomware (oprogramowanie do wymuszania okupów) można po prostu kupić w internecie.
Do destabilizacji lub wykluczenia działania aplikacji, usług lub całych systemów informatycznych coraz częściej wykorzystuje się ataki typu DDoS (ang. Distributed Denial of Service — rozproszona odmowa dostępu). Ich celem jest spowodowanie niedostępności serwera, usługi lub infrastruktury. Atak polega na jednoczesnym wysłaniu do serwera bardzo wielu zapytań z wielu miejsc w internecie (często z przejętych przez hakerów tzw. komputerów zombie). Rezultatem takiego „krzyżowego ognia” jest niestabilność lub całkowita niedostępność usługi. Na wzrost siły ataków mają wpływ nie tylko szybsze łącza internetowe, ale też przystępna cena ataków DDoS na czarnym rynku. Ponadto w dużym stopniu przyczynia się do tego wykorzystywanie technik wzmocnionego odbicia oraz botnetów bazujących na urządzeniach internetu rzeczy (ang. IoT – Internet of Things).
Innym bardzo niebezpiecznym trendem są ataki typu APT (ang. AdvancedPersistentThreats), które mogą pozostawać niewykryte przez wiele miesięcy. W tym wypadku celem cyberprzestępców jest znalezienie jak największej ilość luk i kradzież danych.
Poufność, integralność i dostępność, to trzy elementy, przez których pryzmat należy patrzeć na bezpieczeństwo IT. Jest to tzw. triada CIA (ang. Confidentiality, Integrity and Availability), czyli trzy filary, na których należy opierać budowane modele cyberbezpieczeństwa.
Częścią właściwie zaprojektowanego systemu IT jest identyfikowanie luk i słabych punktów w zabezpieczeniach środowisk sieciowych (w tym urządzeń, mechanizmów komunikacyjnych i aplikacji) oraz ich eliminacja lub minimalizacja. Kluczowe w tym procesie jest posiadanie odpowiednich narzędzi do przeprowadzenia analizy ryzyka.
Jak to się robi? Jednym ze sposobów jest np. przeprowadzenie testów, w których naprzeciw siebie stają drużyny czerwona i niebieska (tzw. testy Red Team vs Blue Team). Pomysł wywodzi się z wojska, gdzie w ten sposób sprawdzano skuteczność taktyk, strategii i systemów walki wykorzystywanych do obrony. Idea jest prosta – drużyna specjalistów IT, oznaczona jako „czerwona”, atakuje infrastrukturę sieciową wraz z oferowanymi w niej usługami, podczas gdy zadaniem drugiej drużyny, nazwanej niebieską, jest jej skuteczna obrona. „Niebiescy”, to zespół specjalistów odpowiedzialnych za implementację i realizację polityki bezpieczeństwa w danej firmie.
Zaletą tej metody – w porównaniu do tradycyjnych testów penetracyjnych – jest m.in. to, że w ten sposób można sprawdzić funkcjonowania całego systemu ochrony – nie tylko podatności sprzętu czy aplikacji, ale również działań specjalistów IT, sprawdzenie ich czujności i umiejętności zażegnania kryzysu. Do tego typu testów często można zaangażować hakerów zwanych „białymi” lub inaczej „etycznymi”. Są to osoby bez złych intencji, wyspecjalizowane w odkrywaniu słabych punktów w sieciach firm i instytucji. Ich przeciwieństwem są tzw. czarni hakerzy. Można jeszcze wyróżnić „szarych hakerów”, tj. osoby, które starają się złamać zabezpieczania sieci, bez wiedzy zarządzających, jednak bez złych zamiarów – przykładowo w celu sprawdzenia swoich umiejętności. W opisanej „grze” coraz częściej wykorzystuje się „cybernetyczne poligony” (ang. cyberrange), czyli wirtualne platformy szkoleniowo-ćwiczeniowe automatyzujące i maksymalnie obiektywizujące całe przedsięwzięcie.
Jednym z podstawowych sposobów zabezpieczenia firmowych zasobów IT przed nieautoryzowanym dostępem z zewnątrz, jest fizyczna i logiczna segmentacja firmowej sieci. W tym celu jest ona podzielona na segmenty, w których ruch jest odseparowany i możliwy jedynie wewnątrz określonego obszaru. Dobrze jest, gdy – ze względów bezpieczeństwa – niektóre stacje robocze przynależne do określonych działów (np. finansowego czy księgowości) są odseparowane od pozostałej części sieci komputerowej. Wiadomo także, że wydzielenie Wi-Fi „dla gości” jest już obowiązującą praktyką.
Jednym z rozwiązań może być tzw. silne uwierzytelnianie zastępujące hasła statyczne. Mowa tu o uwierzytelnianiu wieloskładnikowym MFA (ang. Multi-Factor Authentication) lub dwuskładnikowym (2FA). Praktyka pokazuje, że systemy bezpieczeństwa oparte tylko o nazwę użytkownika i hasło są raczej łatwe do złamania. Dlatego wprowadza się takie dodatkowe elementy jak np. uwierzytelnianie biometryczne, czyli weryfikację tożsamości użytkownika za pomocą cech biologicznych (np. odciski palców czy rozpoznawanie twarzy) albo dodatkowe urządzenia weryfikujące np. tokeny. Dziś coraz bardziej popularne są systemy obejmujące dwa z tych składników (np. hasło i odcisk palca).
Projektując system bezpieczeństwa IT, zawsze trzeba przeanalizować, gdzie w firmie są najbardziej wrażliwe dane i kto ma do nich dostęp. I tę właśnie grupę otoczyć najmocniejszymi środkami bezpieczeństwa.
Źródło: Systemics-PAB na podstawie materiałów własnych oraz webinarium Spirent Communications.
