Bezpieczeństwo w nowych realiach biznesu

CSO
Bezpieczeństwo
w nowych realiach biznesu
Świat biznesu ewoluuje coraz szybciej, wspierany przez rozwój technologii IT.
Bezpieczeństwo IT nie do końca radzi sobie z tym tempem zmian. Z roku na
rok obszary bezpieczeństwa w organizacjach wyciągają rękę po coraz większe
budżety, jednocześnie zarządy firm nie mają przekonania, że przedsiębiorstwa
są bardziej „bezpieczne”. Co zmienić w podejściu do bezpieczeństwa IT,
aby uniknąć ciągłego wzrostu kosztów i zmniejszyć ryzyko, że kwestie
bezpieczeństwa będą naszą piętą Achillesa?
Wymagania dotyczące ochrony danych rosną z roku na rok – sterowane nowymi regulacjami oraz wzrostem wartości informacji.
Równocześnie, nowe modele współpracy
biznesowej potrzebują udostępniania tych
danych coraz szerszemu gronu użytkowników spoza organizacji. Mamy też do czynienia z radykalnym wzrostem dynamiki zmian
otoczenia biznesowego, co powoduje, że
wzrasta stopień skomplikowania procesów
biznesowych, skróceniu ulegają cykle życia
produktów, systemów i zasobów. Poza tym
zmieniają się modele zachowań społecznych w kontekście oczekiwań pracowników i konsumentów. Wszystko to spędza
sen z powiek osobom odpowiedzialnym
za bezpieczeństwo zasobów IT w firmach.
Większa liczba zdarzeń, z którymi ma do
czynienia organizacja, implikuje oczekiwania w zakresie kolejnych etatów i narzędzi,
przy jednoczesnej presji na cięcie kosztów.
Jak to pogodzić?
Bezpieczeństwo bez fosy
Klasyczne podejście do bezpieczeństwa
IT było bliskie koncepcji średniowiecznej
twierdzy. Nasze zasoby (aplikacje, sieć) otaczamy wysokim murem i koncentrujemy się
na ochronie murów i ścisłej kontroli ograniczonej liczby bram, którymi przepływały
dane (o ile w ogóle – wspominając bliską
sektorowi publicznemu ideę separacji
galwanicznej). Wewnątrz „twierdzy” przebywali uprawnieni użytkownicy – zwykle
pracownicy – dlatego tu poziom ochrony
był tradycyjnie znacznie niższy i ograniczał
się do wybranych punktów (np. hasło do
aplikacji). W nowych warunkach ten model przestaje działać. Po pierwsze – skala
przepływu danych pomiędzy wnętrzem
twierdzy a jej otoczeniem sprawia, że nawet jeśli jesteśmy w stanie to monitorować
(np. firewalle, sieciowe DLP), to nie możemy
obsłużyć wszystkich zauważonych potencjalnych naruszeń. Drugi powód – w czasach outsourcingu i „odchudzonych” (lean)
organizacji – zmuszeni jesteśmy wpuścić do
twierdzy coraz więcej „obcych”: partnerów
biznesowych, audytorów, outsourcerów itp.
Jedną z reakcji na powyższe wyzwania jest
minimalizowanie obszarów zaufanych
i wprowadzenie maksymalnej ochrony.
Jednak w praktyce wdrożenie koncepcji
zero-trust zwykle wiąże się ze stosunkowo wysokimi kosztami – i wymaga długotrwałego dostosowania środowiska IT
– oraz większym nakładem na zarządzanie ich uprawnieniami. Nie można jednak
twierdzić, że klasyczne podejście do bezpieczeństwa powinniśmy odłożyć do lamusa. Nie odrzucajmy go, ale przestańmy
wierzyć, że za naszymi murami będziemy
bardzo bezpieczni. Zwłaszcza że koszty ich
rozbudowy analogicznie do ilości zagrożeń
szybko rosną.
Nowe realia oznaczają, że musimy zrezygnować z domniemania bezpieczeństwa
i zacząć myśleć o środowisku IT niczym
o ludzkim organizmie, który w jakimś stopniu jest ciągle penetrowany przez bakterie
i wirusy – istotne jest jednak to, czy potrafimy w jak najkrótszym czasie wykryć
i zdiagnozować zagrożenie oraz zwalczyć
je, jednocześnie minimalizując jego niepożądane skutki.
Takie podejście, w kontekście bezpieczeństwa IT, opiera się na konieczności zmiany
Nowe realia oznaczają, że musimy zrezygnować
z domniemania bezpieczeństwa i zacząć myśleć
o środowisku IT niczym o ludzkim organizmie, który
w jakimś stopniu jest ciągle penetrowany przez
bakterie i wirusy – istotne jest jednak to, czy potrafimy w jak
najkrótszym czasie wykryć i zdiagnozować zagrożenie oraz zwalczyć je,
jednocześnie minimalizując jego niepożądane skutki.
luty 2015
ITWIZ MAGAZYN
59
CSO
MODEL OPERACYJNY CYBERBEZPIECZEŃSTWA – POZIOMY DOJRZAŁOŚCI
PODSTAWOWY
KONTEKSTOWY
Przygotowanie,
wykrycie i akcje naprawcze
Zarządzanie
podatnością
Monitorowanie
operacyjne
Priorytetyzacja
i przewidywanie
Zarządzanie
incydentami
bezpieczeństwa
Zarządzanie
zagrożeniami
Zaawansowana
analityka
ADAPTACYJNY
Automatyzacja
Aktywna obrona
Procesy wspierające
Zarządzanie wydajnością usług
Nadzór
Integracja
Zarządzanie
Usprawnianie
Źródło: Opracowanie własne Accenture
sposobu myślenia w kilku aspektach. Po
pierwsze, chronimy to, co jest naprawdę
ważne. Oznacza to jednak, że musimy rozumieć, które zasoby są istotne. Chociaż
o takiej potrzebie audytorzy mówią od
dawna, to z naszych doświadczeń wynika, że dotychczas większość polskich firm
nie wypracowała wiarygodnych sposobów
identyfikacji krytycznych zasobów. Szczególnie, że tymi zasobami wcale nie muszą
być wielkie aplikacje. To może być dokument zawierający zarys inicjatyw strategicznych lub dane przetwarzane przez dostawcę platformy analityczno-raportowej.
Tymczasem standardy bezpieczeństwa są
nakładane wszędzie i w zbyt statyczny – jak
na dzisiejsze realia – sposób.
Zdolność identyfikacji krytycznych zasobów powinna być zdecydowanie szybsza
niż dotąd. Bezpieczeństwo musi nadążyć
w tempie zmian biznesowych. To realia,
z których wiele firm nie zdaje sobie jeszcze
sprawy, czując się komfortowo ze swoją listą aplikacji krytycznych.
Nowy sposób walki
Chęć zapewnienia cyberbezpieczeństwa
organizacji wymusza nowe podejście. Niczym na froncie coraz ważniejsze stają się
działania przygotowawcze, logistyka, a także obserwacja i przewidywanie pozwalające przygotować adekwatną wobec działań
przeciwnika obronę. Dla osób odpowiedzialnych za firmowe IT oraz bezpieczeństwo oznacza to konieczność przeniesienia
nacisku na trochę inne obszary, a także podejścia bardziej proaktywnego.
Idea proaktywnego cyberbezpieczeństwa
jest nakierowana na to podejmowanie
działań dopasowanych do poszczególnych
60
MAGAZYN
ITWIZ
luty 2015
etapów działań przeciwnika. Każdy atakujący, zanim dostanie się do interesujących
go zasobów, przechodzi bowiem pewną
ścieżkę – zaczyna od oceny naszych silnych
i słabych stron, realizuje próby przeniknięcia do naszej organizacji, a jeśli mu się to
uda – podejmuje, często wieloetapowe,
kroki zmierzające do realizacji celu ataku,
czyli zazwyczaj pozyskania interesujących
go danych.
Priorytety zdefiniowane na nowo
Zdolność do zareagowania odpowiednimi
działaniami i narzędziami na dowolnym
etapie ewentualnego ataku nazywamy cyberbezpieczeństwem. W odróżnieniu do
podejścia określonego jako „klasyczne”, we
współczesnym podejściu do cyberbezpieczeństwa istotny nacisk położony jest na
trzy kwestie:
zdolność do wczesnego wykrycia lub
nawet przewidzenia cyberataku na
podstawie analizy szerokiego zakresu
danych dot. bezpieczeństwa,
umiejętność szybkiego zdiagnozowania
i priorytetyzacji zagrożeń (w celu skupienia się na najważniejszych i pominięcia niekluczowych),
zdolność do selektywnej i możliwie zautomatyzowanej reakcji, pozwalającej
minimalizować straty i możliwie szybko
wznawiać pełną sprawność biznesową.
Accenture wyodrębnia sześć podstawowych obszarów cyberbezpieczeństwa:
zarządzanie podatnościami, monitorowanie operacyjne, zarządzanie incydentami
bezpieczeństwa, zarządzanie zagrożeniami
(threat intelligence), zaawansowana analityka oraz obrona aktywna. One z kolei łączą
się w warstwy identyfikujące dojrzałość organizacji w zakresie cyberbezpieczeństwa.
Podstawowa (Foundational)
Przygotowanie organizacji do ochrony
poprzez analizę własnej infrastruktury
pod kątem podatności oraz ich skoordynowane usuwanie lub niwelowanie.
Monitorowanie zasobów firmy pod kątem anomalii i potencjalnych niebezpiecznych zachowań.
Skoordynowane reagowanie na incydenty bezpieczeństwa uwzględniające
zdefiniowaną ścieżkę działań od momentu wykrycia zdarzenia bezpieczeństwa, poprzez jego analizę pod kątem
zagrożenia dla organizacji (identyfikacja, czy jest to incydent, czy tzw. false-positive), aż po działania naprawcze
minimalizujące ryzyko wynikające z wykrytego zdarzenia.
Kontekstowa (Contextual) – rozszerzenie
poziomu podstawowego przez ochronę
kontekstową, np. poprzez zróżnicowanie
ochrony pod kątem krytyczności zasobów,
a także analizowanie, zarządzanie i analizę zagrożeń, które pojawiają się dla naszej
organizacji.
Adaptacyjna (Adaptive) – proaktywne
działania ochronne z uwzględnieniem automatyzacji wielu procesów, w szczególności procesów reakcji na incydent.
Aby zapewnić wymagany poziom bezpieczeństwa w realiach ewoluujących
zagrożeń, należy pamiętać także o wielu działaniach wspierających, np. nadzór
i raportowanie (governance), optymalizacja
procesów, zarządzanie zmianą w organizacji i jej zasobami.
Obecne trendy na rynku oraz dostępne technologie prowadzą coraz mocniej
CSO
w stronę analityki oraz aktywnej obrony, np.
poprzez technologie klasy Security Analytics lub sandboxing. Należy jednak pamiętać, że bez osiągnięcia dojrzałości w zakresie
warstwy podstawowej, wartość dodana dla
organizacji z zaawansowanych technologii
w obszarze warstwy kontekstowej oraz adaptacyjnej jest bardzo ograniczona.
Kluczowy fundament
Należy zadbać, aby obszary z poziomu
podstawowego działały w sposób przemyślany i kompleksowy. Stanowią one bowiem fundament do kolejnych poziomów
dojrzałości funkcji cyberbezpieczeństwa.
Przykładowo, uzyskanie wartościowych
rezultatów z rozwiązań klasy Advanced
Security Analytics wymaga od kilku do kilkunastu miesięcy zbierania odpowiednio
znormalizowanych danych w narzędziach
klasy SIEM lub innych wspomagających
ochronę przed cyberatakami.
Warto pamiętać, że skuteczność funkcji cyberbezpieczeństwa jest uzależniona
od obszarów, których z bezpieczeństwem
zwykle nie wiążemy. Przykład? Zarządzanie
zasobami (asset management) – czyli co
my tak naprawdę w tej firmie mamy? Jakie
urządzenia i technologie i w jakich wersjach,
kto za nie odpowiada? Część z procesów
bezpieczeństwa będzie źle funkcjonować,
jeśli organizacja nie będzie dysponowała
uporządkowanymi informacjami o własnej
infrastrukturze. Innym przykładem jest Zarządzanie Zmianą w IT – wpięcie w ten proces pozwala skuteczniej identyfikować nowe
krytyczne zasoby, zagrożenia i podatności,
zanim przejdą z fazy koncepcji na produkcję.
Siła metodycznego myślenia o bezpieczeństwie IT polega na tym, że zawiera ono
know-how niezbędne do odpowiedniego
poukładania wzajemnie zależnych elementów działalności, które na pierwszy rzut oka
nie mają związku z bezpieczeństwem.
Centralizacja kompetencji
i narzędzi
Fragmentem kompleksowego podejścia do
zabezpieczenia organizacji jest powołanie
ośrodka Security Operations Center (SOC).
Winien być to ośrodek, który m.in. centralizuje kompetencje w zakresie cyberbezpieczeństwa. Kończymy więc z podejściem,
gdzie każdy z administratorów dziedzinowych dba o bezpieczeństwo we własnym
zakresie – i na tyle, na ile potrafi. Następu-
Idea proaktywnego cyberbezpieczeństwa jest
nakierowana na podejmowanie działań
dostosowanych do poszczególnych etapów działań
przeciwnika. Każdy atakujący przechodzi bowiem pewną ścieżkę
– zaczyna od oceny naszych silnych i słabych stron, realizuje próby
przeniknięcia do naszej organizacji, a jeśli mu się to uda – podejmuje,
często wieloetapowe, kroki zmierzające do realizacji celu ataku,
pozyskania interesujących go danych.
je centralizacja kompetencji, wiedzy oraz
dostępu do narzędzi w ramach pewnego
zespołu, którego celem jest koordynacja
działań operacyjnych w zakresie cyberbezpieczeństwa. Jest to podmiot, którego
kompetencje sięgają wskroś wielu obszarów – niekoniecznie wprost związanych z IT.
Często obserwujemy podejście, że do SOC
wystarczy zestaw narzędzi IT, które zapewnią nam pokrycie organizacji we wszystkich
obszarach cyberbezpieczeństwa. Takie podejście jest niestety niekompletne. W efek­cie,
narzędzia te zasypią nas ogromem da­nych,
których i tak nie będziemy w stanie przetworzyć i przeanalizować, a przez to nie będziemy mogli wyciągnąć z nich wniosków ani
odpowiednio zareago­wać. Dojrzały SOC to
odpowiednie struktury organizacyjne, zdefiniowane i wdrożone procesy, które umożliwią
wykrycie zagrożenia lub naruszenia bezpieczeństwa i doprowadzą do zniwelowania tego
zagrożenia, lub zatrzymania postępujących
strat (np. wycieku danych, utraty dostępności
systemu) oraz naprawienia zidentyfikowanej
luki – zgodnie z przedstawionym schematem – czyli przygotowanie, wykrycie i akcje
naprawcze. Co ważne, SOC nie musi operacyjnie zajmować się realizacją poszczególnych działań o znaczeniu fundamentalnym.
W gestii tego zespołu powinna znajdować
się jednak możliwość zweryfikowania czy
takie operacyjne zostały wykonane oraz czy
wykonano je w sposób prawidłowy. Nie jest
wymagane, aby tego rodzaju kompetencje
koniecznie skupić w ramach konkretnej komórki nazwanej Security Operations Center.
Musi być to jednak jednostka dedykowana
bezpieczeństwu IT.
Przy tworzeniu struktur SOC pamiętajmy, że
nie tylko bezpieczeństwo oraz IT powinny
być zaangażowane. Skończyły się czasy bezpieczeństwa, które współpracuje wyłącznie
z IT. Obecnie bezpieczeństwo powinno być
w pierwszej linii, czyli tam, gdzie powstaje
koncepcja i wymagania biznesowe na nowy
projekt, i to nie tylko projekt informatyczny. Bezpieczeństwo powinno być wbudowane we wszystko, co nowe w organizacji,
bo wszystko, co nowe, niesie potencjalnie
nowe ryzyka. Potrzebni są zatem ludzie, którzy będą rozumieć istotę nowych procesów
i modeli biznesowych, dysponując zarazem
wiedzą z zakresu bezpieczeństwa IT.
Potencjał współpracy
Wprowadzenie w organizacji Security Operations Center czy zaawansowanych narzędzi cybersecurity nie rozwiąże wszystkich
bolączek obszaru bezpieczeństwa IT. Jest to
jednak podejście, które dużo skuteczniej od
dotychczasowego podejścia pozwala osiągnąć oczekiwany efekt – czyli ograniczenie
szybkiego wzrostu kosztów bezpieczeństwa
przy jednoczesnym zwiększeniu pewności,
że nie przeoczyliśmy ważnego cyberataku
na nasze krytyczne zasoby.
W zaprezentowanym podejściu do cyberbezpieczeństwa kryje się też potencjał do dalszego ograniczania kosztów, w szczególności
związanych z analizą zagrożeń i obsługą incydentów bezpieczeństwa. Ten potencjał tkwi
we współpracy pomiędzy organizacjami – zarówno sektorowej, jak i współpracy z partnerami biznesowymi i klientami. W jaki sposób
wykorzystać potencjał współpracy w obszarze cyberbezpieczeństwa, jak ona powinna
być zorganizowana i jaka w tym może być
rola regulatorów czy instytucji państwowych
– to temat na kolejny artykuł.
Artur Józefiak,
manager w dziale IT Strategy, Infrastructure and
Security w firmie Accenture
Filip Kupiński,
konsultant w dziale IT Strategy, Infrastructure
and Security w firmie Accenture
luty 2015
ITWIZ MAGAZYN
61