Najciemniej zawsze pod latarnią: o lekceważonych wektorach zagrożeń

Chcąc im przeciwdziałać organizacje inwestują w najnowsze urządzenia zabezpieczające, nowe technologie detekcji i prewencji, szkolenia pracowników. Badania IDC pokazują, że inwestycje w cyfrowe bezpieczeństwo będą rosnąć – wydatki w tym obszarze w 2020 roku mają wynieść aż 101,6 mld dolarów. To o 38 proc. więcej niż w 2016 roku.

Skoro firmy zwiększają inwestycje w cyberbezpieczeństwo, dlaczego rosną również statystyki włamań? Eksperci często mówią nie tylko o zwiększaniu wydatków, ale o ich właściwym ukierunkowaniu. Podobnie jak hakerzy dywersyfikują taktyki ataku i szukają luk w różnych miejscach, tak firmy powinny zadbać o często lekceważone wektory zagrożeń. Nie twierdzę bynajmniej, że któreś z tych wektorów są nieznane, po prostu obecnie nie poświęca się im tyle uwagi, co tradycyjnym obszarom bezpieczeństwa.

Mając to na uwadze, przyjrzyjmy się niektórym wektorom zagrożeń, o których często się zapomina, oraz najlepszym praktykom ich przeciwdziałania.

Aplikacje internetowe

Nowoczesne, zaawansowane ataki wykorzystują wiele wektorów, w tym zachowania użytkowników oraz luki w zabezpieczeniach systemów i aplikacji. Sama zapora sieciowa na granicy sieci to już za mało. Kompleksowy system bezpieczeństwa powinien uwzględniać wszystkie te wektory, wśród których jednym z najpoważniejszych są aplikacje internetowe.

Według raportu 2016 Verizon Data Breach Investigations Report (DBIR), 82 proc. włamań w sektorze usług finansowych było rezultatem ataków na aplikacje internetowe. Odsetek ten wynosił 57 proc. w sektorze informatycznym i 50 proc. w sektorze rozrywkowym. W niektórych dużych firmach używa się dosłownie tysięcy aplikacji internetowych. Mają one wiele słabych punktów, zarówno na zapleczu bazodanowym, jak i po stronie urządzeń klienckich. Jeśli organizacje nie zaczną się skupiać na bezpieczeństwie aplikacji, liczba ta będzie nieuchronnie rosnąć. Co mogą zatem zrobić?

• Upewnić się, że każda aplikacja internetowa jest chroniona przez zaporę aplikacyjną
• Zadbać o to, żeby aplikacje internetowe nie miały bezpośredniego dostępu do baz danych, a bazy danych zawierały tylko te informacje, które są rzeczywiście potrzebne
• Nieustannie oceniać najbardziej krytyczne aplikacje i w pierwszej kolejności eliminować te luki w zabezpieczeniach, które mogą spowodować największe szkody
• Wykorzystywać kierownictwo i zespoły deweloperskie w promowaniu filozofii bezpiecznego kodowania

Elementy hybrydowe

Większość firm przenosi przynajmniej niektóre komponenty sieciowe z tradycyjnych, fizycznych centrów danych do środowisk chmurowych. Niestety, często błędnie przyjmuje się, że dostawca usług chmurowych przejmuje odpowiedzialność za bezpieczeństwo tych elementów. W rzeczywistości odpowiedzialność rozkłada się na obie strony – dostawca usług dba o bezpieczeństwo infrastruktury chmurowej, podczas gdy klient jest odpowiedzialny za zabezpieczenie procesów, które wykonuje w chmurze.

Dostawca nie może na przykład wykryć, że z procesu wyciekają dane – to nie on kontroluje aplikację. Podobnie w przypadku ataków „dnia zerowego” często nie ma wyraźnych objawów złośliwej aktywności. Firmy muszą zatem same zadbać o ochronę tych hybrydowych elementów.

Jeśli przenosi się aplikację internetową do chmury publicznej albo używa aplikacji SaaS, takiej jak Office 365, to należy upewnić się, że w chmurze zachowany zostanie ten sam poziom ochrony i kontroli dostępu, co w lokalnej infrastrukturze. Co warto wtedy zrobić?

• Wykorzystać elastyczność chmury, aby wdrożyć więcej zapór we właściwych miejscach oraz chronić ruch sieciowy i aplikacyjny w chmurze
• Używać tej samej metody szyfrowania danych tworzonych i przechowywanych przez aplikacje SaaS, takie jak Office 365 i Salesforce, których używałoby się do szyfrowania danych lokalnych
• Upewnic się, że elementy hybrydowe są chronione przez te same mechanizmy kontroli tożsamości i dostępu, co inne części infrastruktury

Praca zdalna

Żyjemy i pracujemy w mobilnym świecie, więc w większości organizacji przynajmniej część pracowników znajduje się poza granicami korporacyjnej sieci albo pracuje w oddziałach zamiejscowych. Co więcej, większość z nich używa urządzeń mobilnych, które w wielu przypadkach nie należą do firmy. Ci zdalni i mobilni pracownicy często nie są chronieni równie skutecznie, jak osoby pracujące w środowisku korporacyjnym, po prostu dlatego, że firmy często zapominają o tym wektorze ataku. Współcześni cyberprzestępcy równie często atakują „sieci ludzkie”, jak sieci komputerowe, a trudniej jest kontrolować pracowników, którzy znajdują się poza fizycznymi granicami sieci. Wszystkich użytkowników należy chronić przed phishingiem (wyłudzaniem informacji), phishingiem ukierunkowanym, typo-squattingiem (wykorzystywaniem błędów literowych popełnianych podczas wpisywania adresów) oraz socjotechniką.

Dyrektor lub specjalista ds. informacji musi w związku z tym zadbać o trzy rzeczy. Po pierwsze, musi upewnić się, że zabezpieczenia ruchu między oddziałami firmy, centralą a internetem są jednakowo skuteczne. Po drugie, musi zapewnić zdalny dostęp i bezpieczeństwo pracownikom przebywającym poza biurem. Po trzecie, musi zadbać o to, żeby usługi SaaS i inne aplikacje biznesowe były dostępne, a dane bezpieczne bez względu na to, gdzie znajdują się pracownicy. Rozproszone sieci potrzebują bardziej zaawansowanej infrastruktury zapór sieciowych. Każdy oddział firmy reprezentuje kilka dróg ataku, m.in. „od użytkownika do usługi” i „od użytkownika do chmury”. Zapora w każdej lokalizacji pozwala zablokować te drogi ataku i zwiększyć produktywność użytkowników. Zapory w każdej lokalizacji zapewniają też mikrosegmentację w całej sieci, nie tylko w centrali firmy. Skuteczne zabezpieczenia wymagają egzekwowania zasad, monitorowania i szkolenia wszystkich pracowników, bez względu na to, gdzie się znajdują.