Raport „Chmura i cyberbezpieczeństwo w Polsce” pokazuje, że już 68 procent dużych i średnich firm w Polsce wyraża zapotrzebowanie na korzystanie z usług chmurowych jako nieodłączny element prowadzenia biznesu.
Rozwiązania tradycyjne takie jak segregatory stają się całkowicie bezużyteczne przy ciągle rozwijającej się bazie klientów, rosnącej ilości oferowanych produktów oraz usług. Cyfryzacja jest nieunikniona dla tych, którzy nie chcą zostać w tyle.
Polska Agencja Rozwoju Przedsiębiorczości w swoim raporcie z 2021 wskazuje, że okres pandemii wyjątkowo przyczynił się do rozwoju branży IT, a szczególnie jej dziedzin takich jak:
• Automatyzacja pozwalająca dostarczać indywidualne rozwiązania dla klientów biznesowych pomagających zoptymalizować procesy,
• Cyberbezpieczeństwo, które stało się wyjątkowo ważnym elementem popytu dla polskiej branży IT;
• Sztuczna inteligencja będąca najszybciej rozwijającą się na ten moment branżą IT, która każdego dnia znajduje nowe zastosowania
• Przestrzenie brzegowe będące kluczowym elementem dla rozwoju branży IoT.
Zagrożenia w praktyce – czyli bardzo rzeczywisty wymiar niedociągnięć w cyberbezpieczeństwie
Postępująca cyfryzacja sprawiła, że osoby żyjące z kradzieży lub oszustw również przeniosły się do sieci. Popularne stały się próby wyłudzeń wrażliwych danych bankowych i innych kluczowych dostępów oparte na socjotechnikach. Nie oznacza to jednak, że hakerzy skupiają się jedynie na czynniku ludzkim, chociaż trzeba zaznaczyć, że najczęściej jest on najsłabszym ogniwem. Odważnie atakują również zabezpieczenia przygotowane przez zespoły IT. Przykład?
Głośnym przypadkiem takich ataków było włamanie do systemu wodociągów w mieście Oldsmar na Florydzie. System nie był odpowiednio chroniony – wszystkie komputery podłączone do sieci zabezpieczone były tym samym hasłem, które wcześniej wyciekło. Sprawca postanowił zwiększyć stężenie wodorotlenku sodu w całej sieci wodnej, co mogło doprowadzić do zatrucia ludności szkodliwymi środkami. Na szczęście obsługa wodociągów została w porę poinformowana o nieprawidłowościach i udało się zapobiec katastrofie.
Czym jest monitoring bezpieczeństwa?
Sytuacji tej można było uniknąć stosując monitoring bezpieczeństwa skierowany na wykrywanie potencjalnych zagrożeń. Stanowi on proces systematycznego badania, analizy i reagowania na wszelkie podejrzane aktywności oraz incydenty w infrastrukturze informatycznej. Kluczowe elementy Monitoringu bezpieczeństwa to:
• Śledzenie aktywności na poszczególnych urządzeniach.
• Analiza zachowań użytkowników oraz zdarzeń w sieci.
• Reakcja na incydenty – skuteczne monitorowanie bezpieczeństwa IT to nie tylko wykrywanie zagrożeń, lecz także szybka i zorganizowana reakcja na zauważone anomalie. Działa tutaj zespół SOC (Security Operations Center), który jest odpowiedzialny za analizę zgłoszeń, podejmowanie decyzji dotyczących priorytetów oraz wprowadzanie działań naprawczych.
Czym jest SOC? Rola Security Operations Center
S O C czyli Security Operations Center, to centralne miejsce w organizacji odpowiedzialne za monitorowanie, analizę i reakcję na zagrożenia związane z bezpieczeństwem informatycznym. Jest to centrum dowodzenia, gdzie specjaliści ds. bezpieczeństwa skupiają się na utrzymaniu cyberbezpieczeństwa organizacji. Specjaliści są swoistą tarczą, która chroni organizację przed potencjalnymi atakami, które mogą mieć katastrofalne skutki. Działaniami realizowanymi przez SOC są m.in.:
• monitorowanie bezpieczeństwa, które obejmuje logi systemowe, ruch sieciowy, a także wszelkie zdarzenia związane z bezpieczeństwem
• analiza i wykrywanie zagrożeń poprzez prowadzenie dogłębnej analizy danych w celu identyfikowania podejrzanych wzorców czy działań wskazujących na potencjalne zagrożenia.
• reakcja na incydenty dopasowana do rodzaju ataku, która może obejmować izolację zainfekowanych systemów, zmianę haseł, analizę szkód oraz przywracanie normalnego funkcjonowania systemów. Reakcje na incydenty są podejmowane bezzwłocznie
• rozwijanie strategii bezpieczeństwa na podstawie analizy incydentów – to przede wszystkim wyciągnięcie wniosków, które można później przełożyć na usprawnienia w politykach bezpieczeństwa, procedurach reagowania i konfiguracjach systemów.
Zapobieganie przyszłym atakom jest zwieńczeniem wszystkich powyższych działań. Znając metody działań przestępców SOC może proaktywnie reagować na przyszłe ataki poprzez szkolenia pracowników, testowanie wprowadzonych zabezpieczeń oraz wprowadzanie poprawek.
Technologie wykorzystywane przez SOC
Przedstawiony zakres prac nie byłby możliwy do wykonania przez zespół SOC bez zastosowania specjalistycznych narzędzi. Część z nich zostanie przedstawiona poniżej, jednak należy pamiętać że mogą się one różnić między sobą w zależności od stopnia zaawansowania zespołu, ilość środków jakie zostały przeznaczone na zabezpieczenie, preferencji klienta oraz obszaru jaki ma zostać objęty ochroną.
Pierwszym, kluczowym narzędziem, bez którego nie ma możliwości uruchomienia SOC jest system SIEM, czyli Security Information and Event Management. To kompleksowe rozwiązanie ma na celu zbieranie i analizę danych z logów oraz reakcję na zdarzenia związane z bezpieczeństwem w systemie informatycznym. SIEM integruje funkcje zarządzania informacjami bezpieczeństwa (SIM) oraz zarządzania zdarzeniami bezpieczeństwa (SEM).
Główne zadania SIEM obejmują zbieranie i analizę logów z różnych źródeł w celu identyfikacji potencjalnych zagrożeń dla bezpieczeństwa. System automatycznie kategoryzuje, normalizuje i analizuje zgromadzone dane, identyfikując nietypowe lub podejrzane wzorce, które mogą wskazywać na atak lub incydent bezpieczeństwa.
Kolejnym narzędziem, bardzo przydatnym w ochronie danych organizacji i stanowiącym wsparcie dla SOC jest system DLP (Data Loss Prevention). To kompleksowy zestaw narzędzi i strategii mających na celu zabezpieczenie danych przed nieuprawnionym dostępem, wyciekiem czy ich nieautoryzowanym użyciem.
W ramach DLP wykorzystywane są różne techniki, takie jak klasyfikacja danych, monitorowanie ruchu sieciowego, analiza treści oraz kontrola dostępu. Systemy DLP skanują i identyfikują poufne dane, takie jak informacje osobiste, poufne dokumenty czy dane finansowe. W przypadku wykrycia potencjalnego zagrożenia, DLP może podjąć działania prewencyjne, takie jak blokowanie dostępu, szyfrowanie danych, a nawet generowanie alertów dla administratorów, które z kolei informują SOC o zauważonych nieprawidłowościach. Dzięki temu rozwiązaniu organizacje mogą skutecznie chronić swoje najważniejsze zasoby przed wyciekiem, utratą lub nieautoryzowanym użyciem, zarówno w sieci wewnętrznej, jak i w środowisku chmurowym.
Z kolei ruch sieciowy w poszukiwaniu nieprawidłowych lub podejrzanych wzorców analizuje IDS. Są to prawidłowości, które mogą wskazywać na potencjalne ataki. Idąc krok dalej mamy IPS, który nie tylko wykrywa, ale także aktywnie reaguje, blokując bądź eliminując niebezpieczne ruchy. Oba systemy monitorują ruch sieciowy, korzystając z sygnatur, heurystyki i innych technik detekcji, aby zidentyfikować ataki, malware czy inne niebezpieczne zdarzenia. Systemy IDS ostrzegają administratorów lub generują alert, gdy wykryją potencjalne zagrożenia. Z kolei IPS, posiadając zdolność interwencji, może automatycznie blokować podejrzane ruchy, zanim te zaszkodzą systemowi.
Monitoring bezpieczeństwa IT, zwłaszcza w kontekście SOC, to kluczowy element współczesnych strategii bezpieczeństwa. Poprzez ciągłą analizę danych, szybką reakcję na incydenty i rozwijanie skutecznych strategii może pozwolić wielu biznesom działać bez przeszkód. Każdy element stosowany przez ekspertów musi być nieustannie udoskonalany aby zapewniać bezpieczeństwo najwyższej klasy, a sprawne działanie zespołu operatorów wspiera sztuczna inteligencja.
Łukasz Chomont
Security Operation Center L1 w Perceptus Sp z o.o.,
realizującej outsourcing usług SOC dla organizacji
zewnętrznych: Perceptus.pl
