Bezpieczeństwo IT. Czy jesteśmy gotowi na nowe wyzwania?

Rosnąca liczba coraz bardziej złożonych zagrożeń wymaga stosowania coraz bardziej zaawansowanych rozwiązań. Powinny one w szczególności dopasowywać się do potrzeb i możliwości konkretnych organizacji oraz uwzględniać hybrydowy charakter współczesnej infrastruktury teleinformatycznej łączącej świat sieci mobilnych i stacjonarnych.

WannaCry: Płacz albo płać

Czy firmy są dziś gotowe na nowe wyzwania? Na pełną digitalizację, na pracę zdalną, na BYOD, na potrzebę bycia „always on”? Wydawałoby się, że największe organizacje mają na tyle środków finansowych i know-how, by zapewnić odpowiedni poziom bezpieczeństwa IT. Czyżby?

Trzy lata temu ogromne hiszpańskie przedsiębiorstwa (m.in. Telefónica), brytyjska służba zdrowia, a także niemiecki Deutsche Bahn stały się, w tym samym momencie, celem (podobnie jak wiele innych biznesów w 99 różnych krajach) ataku typu ransomware o znamiennej nazwie WannaCry. Ransomware to oprogramowanie złośliwe, które szyfruje dane na dyskach i żąda okupu za ich odszyfrowanie.

Działania hakerów były na tyle skuteczne, że częściowo sparaliżowały struktury operacyjne korporacji, blokując dostęp do komputerów. Ostatecznie część podmiotów postanowiła wpłacić okupy sprawcom, byle tylko ich zasoby zostały szybko odszyfrowane – łącznie prawie 80 000 dolarów.

Firewall, hakerzy i boty. Czyli od ochrony podstawowej do zaawansowanej

Jeszcze nie tak dawno zabezpieczenie firmowego dostępu do internetu sprowadzało się do zapory ogniowej, filtrowania ruchu webowego czy kontroli aplikacyjnej oraz być może raportowania. W przypadku znacznej części małych i średnich organizacji to nadal wystarczająca kombinacja.

Firewall zapewnia przede wszystkim pełną kontrolę nad nawiązywanymi połączeniami, ochrania sieć użytkownika przed nieautoryzowanym dostępem i zapobiega różnym rodzajom ataków, nawet tzw. atakom MIT, czyli man in the middle, w których haker w sposób niewidoczny przejmuje komunikację pomiędzy dwiema stronami, np. klientem i bankiem, wykorzystując przechwytywane informacje do własnych celów.

Z kolei funkcja filtrowania ruchu webowego (HTTP i HTTPS) pozwala na kontrolowanie i blokowanie dostępu do określonych stron. Wskazując konkretne strony lub ich kategorie, chronimy użytkowników przed wejściem na niebezpieczne – z różnych względów – strony WWW. To skuteczny sposób na wyeliminowanie jednego ze źródeł złośliwego oprogramowania, ataków phishingowych i innych zagrożeń.

Wreszcie kontrola aplikacyjna umożliwia sprawdzanie, które programy i ewentualnie z jakimi usługami mogą komunikować się za pośrednictwem internetu. Uniemożliwia się w ten sposób np. wyciek danych zbieranych przez złośliwe aplikacje, np. logując się poprzez tekst wpisywany na klawiaturze.

Przedstawiona wyżej kombinacja mechanizmów bezpieczeństwa może spełnić wymogi części firm. Zwłaszcza jeśli posiadają one niezależną ochronę antywirusową. Jednak dla niektórych organizacji to zbyt mało. Potrzebują wyższego poziomu bezpieczeństwa i chciałyby zapewnić sobie ochronę przed botnetami oraz posiadać mechanizmy wykrywania włamań i ochrony przed nimi.

Systemy IPS – sposób na botnet

Botnety to sieci zainfekowanych złośliwym programem komputerów. Bez wiedzy ich właścicieli służą celom określanym przez cyberprzestępcę, który może wykorzystać je np. do rozsyłania spamu i złośliwego oprogramowania czy prowadzenia różnego rodzaju ataków, np. DDoS.

Największe botnety składały się z kilku milionów komputerów i generowały blisko jedną czwartą całego ruchu internetowego. Dla właścicieli tych urządzeń oznaczało to przede wszystkim spowolnienie działania maszyny i sieci, ale także ryzyko wystąpienia poważniejszych konsekwencji – haker posiada bowiem kontrolę nad zainfekowanym komputerem. Jak czytamy w raporcie CERT Orange Polska za 2019 rok, botnety miały większy niż w roku 2018 i stale rosnący udział we wszystkich zagrożeniach (34 proc.).

Systemy IPS (Intrusion Prevention System) chronią firmowe sieci przed atakami, analizując ruch i wychwytując anomalie oraz wszelkie nietypowe zdarzenia. Kiedy wykrywają coś podejrzanego, od razu blokują takie działania oraz informują o tym administratorów. Ich działanie polega na tym, że łączą wiedzę o znanych typach ataków, wypatrują powiązanych z nimi charakterystycznych zdarzeń oraz prowadzą analizę przesyłanych w sieci danych i poszukują odbiegających od norm fragmentów informacji.

Wreszcie niektóre organizacje z różnych powodów mogą potrzebować czegoś ekstra – dodatkowych wyspecjalizowanych, zaawansowanych rozwiązań, które zapewniają bardzo wysoki poziom bezpieczeństwa. Może to być np. głęboka inspekcja pakietów SSL, czyli szyfrowanego ruchu webowego.

Czasem bowiem atakujący wykorzystują standardowy mechanizm szyfrowania komunikacji do ukrywania prowadzonych działań, żeby zmylić systemy firmowej obrony. Zastosowanie tej technologii pozwala na odszyfrowanie komunikacji i sprawdzenie, czy nie stanowi ona zagrożenia, a następnie ponowne jej zaszyfrowanie i przesłanie do adresata.

Mogą to być także sandboxy, które umożliwiają bezpieczne analizowanie otrzymywanych przez użytkowników plików w bezpiecznych, odizolowanych od sieci środowiskach wirtualnych, zanim trafią na urządzenie końcowe, gdzie mogłyby spowodować kłopoty. W ten sposób można wykrywać nieznane wcześniej rodzaje złośliwego oprogramowania, ponieważ po instalacji podejrzanego pliku można obserwować bez konsekwencji jego zachowanie, sprawdzając, czy próbuje podejmować jakieś wrogie działania.

Elastyczna usługa i partnerska obsługa

Firmy mają dzisiaj do dyspozycji bogaty arsenał – od stosunkowo prostych do najbardziej zaawansowanych technologii pozwalających budować bezpieczeństwo IT, chroniąc infrastrukturę i dane. Oferta dostępnych na rynku rozwiązań jest niezwykle szeroka. Pozwala na skonstruowanie systemu ochrony zgodnie z wymaganiami każdej organizacji. Co ciekawe, są one dostępne również w postaci usług, w tym także zintegrowanych z usługami dostępu do internetu oferowanymi przez operatorów telekomunikacyjnych.

Przykładem takiej elastycznej oferty jest Orange Network Security, która chroni użytkowników usług Prywatny APN w Orange, Biznesowy VPN i Miejski Ethernet. Udostępniana w trzech wersjach (pakiety Basic, Standard i Premium) stanowi multifunkcjonalną platformę bezpieczeństwa IT, która znacznie upraszcza zarządzanie polityką bezpiecznego korzystania z internetu.

Nie bez znaczenia jest marka Orange w nazwie usługi – dzięki skali swojej działalności oraz wieloletniemu doświadczeniu jest wiarygodnym partnerem w zakresie implementacji narzędzi ochrony dla nawet największych podmiotów gospodarczych.

Jesteś zainteresowany tym rozwiązaniem? Postaw na Orange Network Security.