Cyberbezpieczeństwo w firmie – wykorzystaj cybermonitoring

W obliczu wzrostu skali cyberzagrożeń coraz więcej firm uświadamia sobie, że trudno im będzie zapewnić sobie samodzielnie bezpieczeństwo na takie usługi jak cybermonitoring, którą oferują wyspecjalizowani zewnętrzni partnerzy, którzy na bieżąco rozwijają kompetencje z zakresu cyberbezpieczeństwa w swych Security Operations Center (SOC) i dysponują najnowocześniejszymi technologiami.

Cyberbezpieczeństwo staje się coraz istotniejsze

Aktywność i skala działania cyberprzestępców szybko rośnie w ostatnich latach. Dodatkowo wykorzystują oni coraz bardziej zaawansowane i złożone narzędzia, by osiągnąć swe cele. Coraz powszechniejsze stają się np. ataki typu APT (tzw. advanced persistent threats), które mogą pozostawać niewykryte przez wiele miesięcy, a celem cyberprzestępców jest zlokalizowanie jak największej liczby luk w systemie i kradzież jak największej ilości danych.

Cyberzagrożenia w 2022 r.

Autorzy najnowszego raportu CERT Orange Polska podsumowującego zagrożenia teleinformatyczne, które występowały w 2022r., podkreślają, że przestępcy usprawnili i mocno sprofesjonalizowali metody dokonywania oszustw i wyłudzeń. Wśród incydentów obsłużonych przez CERT Orange Polska w ubiegłym roku największą grupę stanowiły incydenty związane z gromadzeniem informacji. Mowa o podejmowaniu przez cyberprzestępców działań, których celem jest uzyskanie informacji o systemie, sieci lub jej użytkownikach (a najczęściej – wszystkim jednocześnie). To następnie prowadzi do akcji zmierzających do uzyskania nieautoryzowanego dostępu; powszechne są zwłaszcza maile phishingowe.

Kolejną grupą incydentów obsługiwanych często przez specjalistów CERT Orange Polska jest blokowanie dostępności zasobów sieciowych; chodzi m.in. o tzw. ataki DDoS, które polegają na wysyłaniu dużej ilości danych, co ma poskutkować odmową świadczenia usług. Oprócz tego eksperci wskazali w raporcie również, że w porównaniu do 2021 r. wzrosła liczba incydentów z zakresu złośliwego oprogramowania (chodzi zarówno o hostowanie C&C, wysyłanie zainfekowanych załączników wiadomości zawierających złośliwe oprogramowanie jak i wysyłanie linku do skompromitowanego adresu URL).

Odnotowano też spory wzrost incydentów z kategorii poufność i integralność informacji oraz oszustw sieciowych – choć ich udział we wszystkich incydentach, w porównaniu do tych z pozostałych kategorii, wciąż utrzymuje się na stosunkowo niskim poziomie.

Bezpieczeństwo IT: odpowiednie zabezpieczenie jest kluczowe

Dlatego dziś żadna firma, która chce utrzymać sprawność działania swego systemu teleinformatycznego, nie może zapomnieć o jego odpowiednim zabezpieczeniu w całej sieci komputerowej w firmie. Trudno to zaś osiągnąć, nie posiadając aktualnego i pełnego obrazu środowiska IT, w którym się pracuje, a także pełnej wiedzy o wykorzystywanych zasobach i urządzeniach sieciowych – trzeba mieć bowiem świadomość, gdzie znajdują się potencjalne wektory ataku (gdzie w firmie są najbardziej wrażliwe dane i kto ma do nich dostęp).

Niezbędna jest ciągła analiza całego ruchu, jaki ma miejsce w firmowej sieci. Nie sposób sobie to wyobrazić bez zastosowania mechanizmów automatyzacji pozwalających skutecznie przedzierać się przez ogromne ilości danych w poszukiwaniu anomalii w analizowanym ruchu sieciowym. Na tej podstawie zaś można dokonywać analizy ryzyka i odpowiednio reagować na incydenty. Oczywiście, aby skutecznie odpowiadać na działania hakerów, trzeba to robić bardzo szybko.

Sprawny dział IT w firmie musi bowiem bardzo efektywnie reagować na pojawiające się podatności, czyli luki i słabe punkty w zabezpieczeniach firmowych sieci, które cyberprzestępcy mogą wykorzystać w celu wykonania nieautoryzowanych działań.

Bezpieczeństwo sieci komputerowej: jak skutecznie zabezpieczyć sieć w firmie?

A jak firmy sobie z tym radzą w czasie pandemii, gdy kwestia wydolności systemów IT nabrała jeszcze większego znaczenia ze względu na przestawienie się na pracę zdalną? Z opublikowanego przez firmę Fortinet „Raportu o cyberbezpieczeństwie pracy zdalnej” wynika, że 60 proc. przedsiębiorstw doświadczyło wzrostu liczby prób naruszenia bezpieczeństwa IT podczas przechodzenia na pracę zdalną w czasie pandemii, a 34 proc. zgłosiło realne ataki na swoje sieci.

Jednocześnie tylko 55 proc. firm stwierdziło, że na początku pandemii dysponowały wystarczającą liczbą wykwalifikowanych pracowników IT, którzy mogli wspierać przejście na model pracy zdalnej. I choć 73 proc. badanych zadeklarowało zamiar dalszego inwestowania w ekspertów IT, to według autorów raportu brak wykwalifikowanych specjalistów ds. bezpieczeństwa IT może stanowić ogromne wyzwanie na najbliższe 24 miesiące dla wielu organizacji.

Dlatego też coraz więcej firm uświadamia sobie, że trudno im będzie zapewnić sobie samodzielnie bezpieczeństwo infrastruktury teleinformatycznej, bez profesjonalnego wsparcia z zewnątrz. Decydują się skorzystać z takiej usługi jak cybermonitoring, którą oferują wyspecjalizowani zewnętrzni partnerzy. Na polskim rynku jednym z czołowych tego typu usługodawców jest Orange Polska, w którego strukturach od ponad 20 lat działa wyspecjalizowany zespół ekspertów CERT Orange Polska, odpowiedzialny za bezpieczeństwo użytkowników internetu korzystających z sieci operatora.

Orange wspiera bezpieczeństwo sieci w firmach

Jedną z usług oferowanych przez Orange, które cieszą się dużą popularnością, jest monitorowanie incydentów bezpieczeństwa. Zespół CERT Orange wspomaga pracowników IT swoich klientów przy zbieraniu i analizie istotnych zdarzeń z systemów i aplikacji wykorzystywanych w jej systemie informatycznym w poszukiwaniu incydentów bezpieczeństwa. CERT Orange może zaś to robić skutecznie, ponieważ dysponuje odpowiednimi algorytmami (scenariuszem bezpieczeństwa) wyszukiwania informacji w logach monitorowanych systemów.

Małe firmy w tym zakresie chętnie korzystają np. z usługi CyberWatch od Orange, którą można uruchomić błyskawicznie, bez konieczności instalowania czegokolwiek we własnej infrastrukturze – ponieważ jest to usługa działająca w sieci operatora telekomunikacyjnego. CyberWatch zabezpiecza smartfony, komputery, urządzenia IoT, serwery i routery działające w sieci Orange.

Całość oparta jest na technologiach Threat Manager i IP Tracker. Usługa znacząco podnosi poziom bezpieczeństwa organizacji i pozwala na natychmiastowe zablokowanie prób połączeń z zagrożeniami takimi jak phishing czy malware. Klient otrzymuje również raport z numerem zainfekowanego smartfona oraz rodzaj, czas i adres IP zagrożenia.

Co ważne, chronione są również urządzenia IoT, niezależnie od tego, czy wspierają handlowców w pracy (np. urządzenia telemetryczne zainstalowane w samochodach), czy są to urządzenia pomiarowe lub kamery sieciowe wykorzystujące łączność w oparciu o karty SIM sieci Orange Polska. Ten sam mechanizm CyberWatch realizuje dla komputerów i serwerów znajdujących się za chronionym usługą łączem stacjonarnym.

Bezpieczeństwo informatyczne w firmie: Security Operations Center

Większe firmy, których potrzeby w zakresie cyberbezpieczeństwa z natury są większe, chętnie korzystają natomiast z usług Security Operations Center (SOC) od Orange. Dziś bowiem często nie wystarczy walczyć z cyberprzestępcami tradycyjnymi narzędziami i metodami i konieczne staje się wykorzystanie zastosowania najnowocześniejszych rozwiązań technologicznych – nowej generacji systemów klasy SIEM (Security Information and Event Management), wykorzystujących sztuczną inteligencję i uczenie maszynowe, co umożliwia gromadzenie, filtrowanie i korelację zdarzeń sieciowych, pochodzących z wielu różnych źródeł.

Są one poddawane analizie przez zespół SOC i gdy wykryty w takim procesie incydent zostanie zakwalifikowany jako niebezpieczny, każdorazowo i niezwłocznie wysyłany jest alert mailowy do klienta. Zawiera on informacje pozwalające zidentyfikować wykryte naruszenia, takie jak namiary na zainfekowane urządzenie, źródło ataku czy rekomendacje dotyczące proponowanych działań. Rozwiązania klasy SOAR (Security Orchestration, Automation and Response) pozwalają natomiast na automatyzację działań i ich podejmowanie (np. blokowanie podejrzanego ruchu sieciowego na urządzeniach sieciowych) natychmiast po identyfikacji zagrożenia.

Oferta SOC od Orange to odpowiedź na potrzeby klientów, u których niezbędne jest stałe monitorowanie infrastruktury sieciowej w trybie 24/7/365. Orange ma wypracowane setki scenariuszy bezpieczeństwa gotowych do użycia. To wynik współpracy z klientami z różnych rynków i branż – banki komercyjne, lotniska, duże i średnie organizacje publiczne oraz prywatne. To wszystko pozwala sprostać współczesnym wyzwaniom związanym z cyberbezpieczeństwem, a klientom Orange umożliwia zmniejszenie liczby osób zaangażowanych do monitorowania i reagowania na incydenty bezpieczeństwa.