Bezpieczeństwo w nowych realiach biznesu
Transkrypt
Bezpieczeństwo w nowych realiach biznesu
CSO Bezpieczeństwo w nowych realiach biznesu Świat biznesu ewoluuje coraz szybciej, wspierany przez rozwój technologii IT. Bezpieczeństwo IT nie do końca radzi sobie z tym tempem zmian. Z roku na rok obszary bezpieczeństwa w organizacjach wyciągają rękę po coraz większe budżety, jednocześnie zarządy firm nie mają przekonania, że przedsiębiorstwa są bardziej „bezpieczne”. Co zmienić w podejściu do bezpieczeństwa IT, aby uniknąć ciągłego wzrostu kosztów i zmniejszyć ryzyko, że kwestie bezpieczeństwa będą naszą piętą Achillesa? Wymagania dotyczące ochrony danych rosną z roku na rok – sterowane nowymi regulacjami oraz wzrostem wartości informacji. Równocześnie, nowe modele współpracy biznesowej potrzebują udostępniania tych danych coraz szerszemu gronu użytkowników spoza organizacji. Mamy też do czynienia z radykalnym wzrostem dynamiki zmian otoczenia biznesowego, co powoduje, że wzrasta stopień skomplikowania procesów biznesowych, skróceniu ulegają cykle życia produktów, systemów i zasobów. Poza tym zmieniają się modele zachowań społecznych w kontekście oczekiwań pracowników i konsumentów. Wszystko to spędza sen z powiek osobom odpowiedzialnym za bezpieczeństwo zasobów IT w firmach. Większa liczba zdarzeń, z którymi ma do czynienia organizacja, implikuje oczekiwania w zakresie kolejnych etatów i narzędzi, przy jednoczesnej presji na cięcie kosztów. Jak to pogodzić? Bezpieczeństwo bez fosy Klasyczne podejście do bezpieczeństwa IT było bliskie koncepcji średniowiecznej twierdzy. Nasze zasoby (aplikacje, sieć) otaczamy wysokim murem i koncentrujemy się na ochronie murów i ścisłej kontroli ograniczonej liczby bram, którymi przepływały dane (o ile w ogóle – wspominając bliską sektorowi publicznemu ideę separacji galwanicznej). Wewnątrz „twierdzy” przebywali uprawnieni użytkownicy – zwykle pracownicy – dlatego tu poziom ochrony był tradycyjnie znacznie niższy i ograniczał się do wybranych punktów (np. hasło do aplikacji). W nowych warunkach ten model przestaje działać. Po pierwsze – skala przepływu danych pomiędzy wnętrzem twierdzy a jej otoczeniem sprawia, że nawet jeśli jesteśmy w stanie to monitorować (np. firewalle, sieciowe DLP), to nie możemy obsłużyć wszystkich zauważonych potencjalnych naruszeń. Drugi powód – w czasach outsourcingu i „odchudzonych” (lean) organizacji – zmuszeni jesteśmy wpuścić do twierdzy coraz więcej „obcych”: partnerów biznesowych, audytorów, outsourcerów itp. Jedną z reakcji na powyższe wyzwania jest minimalizowanie obszarów zaufanych i wprowadzenie maksymalnej ochrony. Jednak w praktyce wdrożenie koncepcji zero-trust zwykle wiąże się ze stosunkowo wysokimi kosztami – i wymaga długotrwałego dostosowania środowiska IT – oraz większym nakładem na zarządzanie ich uprawnieniami. Nie można jednak twierdzić, że klasyczne podejście do bezpieczeństwa powinniśmy odłożyć do lamusa. Nie odrzucajmy go, ale przestańmy wierzyć, że za naszymi murami będziemy bardzo bezpieczni. Zwłaszcza że koszty ich rozbudowy analogicznie do ilości zagrożeń szybko rosną. Nowe realia oznaczają, że musimy zrezygnować z domniemania bezpieczeństwa i zacząć myśleć o środowisku IT niczym o ludzkim organizmie, który w jakimś stopniu jest ciągle penetrowany przez bakterie i wirusy – istotne jest jednak to, czy potrafimy w jak najkrótszym czasie wykryć i zdiagnozować zagrożenie oraz zwalczyć je, jednocześnie minimalizując jego niepożądane skutki. Takie podejście, w kontekście bezpieczeństwa IT, opiera się na konieczności zmiany Nowe realia oznaczają, że musimy zrezygnować z domniemania bezpieczeństwa i zacząć myśleć o środowisku IT niczym o ludzkim organizmie, który w jakimś stopniu jest ciągle penetrowany przez bakterie i wirusy – istotne jest jednak to, czy potrafimy w jak najkrótszym czasie wykryć i zdiagnozować zagrożenie oraz zwalczyć je, jednocześnie minimalizując jego niepożądane skutki. luty 2015 ITWIZ MAGAZYN 59 CSO MODEL OPERACYJNY CYBERBEZPIECZEŃSTWA – POZIOMY DOJRZAŁOŚCI PODSTAWOWY KONTEKSTOWY Przygotowanie, wykrycie i akcje naprawcze Zarządzanie podatnością Monitorowanie operacyjne Priorytetyzacja i przewidywanie Zarządzanie incydentami bezpieczeństwa Zarządzanie zagrożeniami Zaawansowana analityka ADAPTACYJNY Automatyzacja Aktywna obrona Procesy wspierające Zarządzanie wydajnością usług Nadzór Integracja Zarządzanie Usprawnianie Źródło: Opracowanie własne Accenture sposobu myślenia w kilku aspektach. Po pierwsze, chronimy to, co jest naprawdę ważne. Oznacza to jednak, że musimy rozumieć, które zasoby są istotne. Chociaż o takiej potrzebie audytorzy mówią od dawna, to z naszych doświadczeń wynika, że dotychczas większość polskich firm nie wypracowała wiarygodnych sposobów identyfikacji krytycznych zasobów. Szczególnie, że tymi zasobami wcale nie muszą być wielkie aplikacje. To może być dokument zawierający zarys inicjatyw strategicznych lub dane przetwarzane przez dostawcę platformy analityczno-raportowej. Tymczasem standardy bezpieczeństwa są nakładane wszędzie i w zbyt statyczny – jak na dzisiejsze realia – sposób. Zdolność identyfikacji krytycznych zasobów powinna być zdecydowanie szybsza niż dotąd. Bezpieczeństwo musi nadążyć w tempie zmian biznesowych. To realia, z których wiele firm nie zdaje sobie jeszcze sprawy, czując się komfortowo ze swoją listą aplikacji krytycznych. Nowy sposób walki Chęć zapewnienia cyberbezpieczeństwa organizacji wymusza nowe podejście. Niczym na froncie coraz ważniejsze stają się działania przygotowawcze, logistyka, a także obserwacja i przewidywanie pozwalające przygotować adekwatną wobec działań przeciwnika obronę. Dla osób odpowiedzialnych za firmowe IT oraz bezpieczeństwo oznacza to konieczność przeniesienia nacisku na trochę inne obszary, a także podejścia bardziej proaktywnego. Idea proaktywnego cyberbezpieczeństwa jest nakierowana na to podejmowanie działań dopasowanych do poszczególnych 60 MAGAZYN ITWIZ luty 2015 etapów działań przeciwnika. Każdy atakujący, zanim dostanie się do interesujących go zasobów, przechodzi bowiem pewną ścieżkę – zaczyna od oceny naszych silnych i słabych stron, realizuje próby przeniknięcia do naszej organizacji, a jeśli mu się to uda – podejmuje, często wieloetapowe, kroki zmierzające do realizacji celu ataku, czyli zazwyczaj pozyskania interesujących go danych. Priorytety zdefiniowane na nowo Zdolność do zareagowania odpowiednimi działaniami i narzędziami na dowolnym etapie ewentualnego ataku nazywamy cyberbezpieczeństwem. W odróżnieniu do podejścia określonego jako „klasyczne”, we współczesnym podejściu do cyberbezpieczeństwa istotny nacisk położony jest na trzy kwestie: zdolność do wczesnego wykrycia lub nawet przewidzenia cyberataku na podstawie analizy szerokiego zakresu danych dot. bezpieczeństwa, umiejętność szybkiego zdiagnozowania i priorytetyzacji zagrożeń (w celu skupienia się na najważniejszych i pominięcia niekluczowych), zdolność do selektywnej i możliwie zautomatyzowanej reakcji, pozwalającej minimalizować straty i możliwie szybko wznawiać pełną sprawność biznesową. Accenture wyodrębnia sześć podstawowych obszarów cyberbezpieczeństwa: zarządzanie podatnościami, monitorowanie operacyjne, zarządzanie incydentami bezpieczeństwa, zarządzanie zagrożeniami (threat intelligence), zaawansowana analityka oraz obrona aktywna. One z kolei łączą się w warstwy identyfikujące dojrzałość organizacji w zakresie cyberbezpieczeństwa. Podstawowa (Foundational) Przygotowanie organizacji do ochrony poprzez analizę własnej infrastruktury pod kątem podatności oraz ich skoordynowane usuwanie lub niwelowanie. Monitorowanie zasobów firmy pod kątem anomalii i potencjalnych niebezpiecznych zachowań. Skoordynowane reagowanie na incydenty bezpieczeństwa uwzględniające zdefiniowaną ścieżkę działań od momentu wykrycia zdarzenia bezpieczeństwa, poprzez jego analizę pod kątem zagrożenia dla organizacji (identyfikacja, czy jest to incydent, czy tzw. false-positive), aż po działania naprawcze minimalizujące ryzyko wynikające z wykrytego zdarzenia. Kontekstowa (Contextual) – rozszerzenie poziomu podstawowego przez ochronę kontekstową, np. poprzez zróżnicowanie ochrony pod kątem krytyczności zasobów, a także analizowanie, zarządzanie i analizę zagrożeń, które pojawiają się dla naszej organizacji. Adaptacyjna (Adaptive) – proaktywne działania ochronne z uwzględnieniem automatyzacji wielu procesów, w szczególności procesów reakcji na incydent. Aby zapewnić wymagany poziom bezpieczeństwa w realiach ewoluujących zagrożeń, należy pamiętać także o wielu działaniach wspierających, np. nadzór i raportowanie (governance), optymalizacja procesów, zarządzanie zmianą w organizacji i jej zasobami. Obecne trendy na rynku oraz dostępne technologie prowadzą coraz mocniej CSO w stronę analityki oraz aktywnej obrony, np. poprzez technologie klasy Security Analytics lub sandboxing. Należy jednak pamiętać, że bez osiągnięcia dojrzałości w zakresie warstwy podstawowej, wartość dodana dla organizacji z zaawansowanych technologii w obszarze warstwy kontekstowej oraz adaptacyjnej jest bardzo ograniczona. Kluczowy fundament Należy zadbać, aby obszary z poziomu podstawowego działały w sposób przemyślany i kompleksowy. Stanowią one bowiem fundament do kolejnych poziomów dojrzałości funkcji cyberbezpieczeństwa. Przykładowo, uzyskanie wartościowych rezultatów z rozwiązań klasy Advanced Security Analytics wymaga od kilku do kilkunastu miesięcy zbierania odpowiednio znormalizowanych danych w narzędziach klasy SIEM lub innych wspomagających ochronę przed cyberatakami. Warto pamiętać, że skuteczność funkcji cyberbezpieczeństwa jest uzależniona od obszarów, których z bezpieczeństwem zwykle nie wiążemy. Przykład? Zarządzanie zasobami (asset management) – czyli co my tak naprawdę w tej firmie mamy? Jakie urządzenia i technologie i w jakich wersjach, kto za nie odpowiada? Część z procesów bezpieczeństwa będzie źle funkcjonować, jeśli organizacja nie będzie dysponowała uporządkowanymi informacjami o własnej infrastrukturze. Innym przykładem jest Zarządzanie Zmianą w IT – wpięcie w ten proces pozwala skuteczniej identyfikować nowe krytyczne zasoby, zagrożenia i podatności, zanim przejdą z fazy koncepcji na produkcję. Siła metodycznego myślenia o bezpieczeństwie IT polega na tym, że zawiera ono know-how niezbędne do odpowiedniego poukładania wzajemnie zależnych elementów działalności, które na pierwszy rzut oka nie mają związku z bezpieczeństwem. Centralizacja kompetencji i narzędzi Fragmentem kompleksowego podejścia do zabezpieczenia organizacji jest powołanie ośrodka Security Operations Center (SOC). Winien być to ośrodek, który m.in. centralizuje kompetencje w zakresie cyberbezpieczeństwa. Kończymy więc z podejściem, gdzie każdy z administratorów dziedzinowych dba o bezpieczeństwo we własnym zakresie – i na tyle, na ile potrafi. Następu- Idea proaktywnego cyberbezpieczeństwa jest nakierowana na podejmowanie działań dostosowanych do poszczególnych etapów działań przeciwnika. Każdy atakujący przechodzi bowiem pewną ścieżkę – zaczyna od oceny naszych silnych i słabych stron, realizuje próby przeniknięcia do naszej organizacji, a jeśli mu się to uda – podejmuje, często wieloetapowe, kroki zmierzające do realizacji celu ataku, pozyskania interesujących go danych. je centralizacja kompetencji, wiedzy oraz dostępu do narzędzi w ramach pewnego zespołu, którego celem jest koordynacja działań operacyjnych w zakresie cyberbezpieczeństwa. Jest to podmiot, którego kompetencje sięgają wskroś wielu obszarów – niekoniecznie wprost związanych z IT. Często obserwujemy podejście, że do SOC wystarczy zestaw narzędzi IT, które zapewnią nam pokrycie organizacji we wszystkich obszarach cyberbezpieczeństwa. Takie podejście jest niestety niekompletne. W efekcie, narzędzia te zasypią nas ogromem danych, których i tak nie będziemy w stanie przetworzyć i przeanalizować, a przez to nie będziemy mogli wyciągnąć z nich wniosków ani odpowiednio zareagować. Dojrzały SOC to odpowiednie struktury organizacyjne, zdefiniowane i wdrożone procesy, które umożliwią wykrycie zagrożenia lub naruszenia bezpieczeństwa i doprowadzą do zniwelowania tego zagrożenia, lub zatrzymania postępujących strat (np. wycieku danych, utraty dostępności systemu) oraz naprawienia zidentyfikowanej luki – zgodnie z przedstawionym schematem – czyli przygotowanie, wykrycie i akcje naprawcze. Co ważne, SOC nie musi operacyjnie zajmować się realizacją poszczególnych działań o znaczeniu fundamentalnym. W gestii tego zespołu powinna znajdować się jednak możliwość zweryfikowania czy takie operacyjne zostały wykonane oraz czy wykonano je w sposób prawidłowy. Nie jest wymagane, aby tego rodzaju kompetencje koniecznie skupić w ramach konkretnej komórki nazwanej Security Operations Center. Musi być to jednak jednostka dedykowana bezpieczeństwu IT. Przy tworzeniu struktur SOC pamiętajmy, że nie tylko bezpieczeństwo oraz IT powinny być zaangażowane. Skończyły się czasy bezpieczeństwa, które współpracuje wyłącznie z IT. Obecnie bezpieczeństwo powinno być w pierwszej linii, czyli tam, gdzie powstaje koncepcja i wymagania biznesowe na nowy projekt, i to nie tylko projekt informatyczny. Bezpieczeństwo powinno być wbudowane we wszystko, co nowe w organizacji, bo wszystko, co nowe, niesie potencjalnie nowe ryzyka. Potrzebni są zatem ludzie, którzy będą rozumieć istotę nowych procesów i modeli biznesowych, dysponując zarazem wiedzą z zakresu bezpieczeństwa IT. Potencjał współpracy Wprowadzenie w organizacji Security Operations Center czy zaawansowanych narzędzi cybersecurity nie rozwiąże wszystkich bolączek obszaru bezpieczeństwa IT. Jest to jednak podejście, które dużo skuteczniej od dotychczasowego podejścia pozwala osiągnąć oczekiwany efekt – czyli ograniczenie szybkiego wzrostu kosztów bezpieczeństwa przy jednoczesnym zwiększeniu pewności, że nie przeoczyliśmy ważnego cyberataku na nasze krytyczne zasoby. W zaprezentowanym podejściu do cyberbezpieczeństwa kryje się też potencjał do dalszego ograniczania kosztów, w szczególności związanych z analizą zagrożeń i obsługą incydentów bezpieczeństwa. Ten potencjał tkwi we współpracy pomiędzy organizacjami – zarówno sektorowej, jak i współpracy z partnerami biznesowymi i klientami. W jaki sposób wykorzystać potencjał współpracy w obszarze cyberbezpieczeństwa, jak ona powinna być zorganizowana i jaka w tym może być rola regulatorów czy instytucji państwowych – to temat na kolejny artykuł. Artur Józefiak, manager w dziale IT Strategy, Infrastructure and Security w firmie Accenture Filip Kupiński, konsultant w dziale IT Strategy, Infrastructure and Security w firmie Accenture luty 2015 ITWIZ MAGAZYN 61