Kybernetická bezpečnost je důležité téma, které je však mnohdy managementem podceňováno. Manažeři mají často za to, že kybernetická bezpečnost je věcí jen ICT pracovníků. K tomu jim kupují nástroje jako firewally nebo antiviry.
Ano, někde šli dál a začínají uvažovat o nástrojích pokročilé detekce, postavených třeba na behaviorální analýze. To je dobrý základ, ale nedostatečný pro boj s profesionálními hackery. Vedle přímého nebezpečí třeba od konkurence, a s tím spojenými hrozícími ztrátami (finančními a reputačními), se projevují dnes rovněž legislativní důvody pro povýšení kybernetické ochrany. Mezi nejznámější patří ZoKB a GDPR.
Jak tedy povýšit kybernetickou ochranu v organizacích?
Především pochopit, že kybernetická ochrana se dotýká všech a je komplexní disciplínou. Je třeba zajistit potřebné personální zdroje, nastavit procesy fungování a připravit technická opatření. To všechno obvykle v souladu s řízením procesů informační bezpečnosti, např. ISO27000.
Technická opatření by měla směrovat k zajištění nástrojů pokročilé detekce, které dokážou odhalit případného útočníka po překonání konvenčních ochran, jako jsou firewally nebo antiviry. Tyto nástroje pomohou detekovat, že se něco špatného děje, ale samy o sobě nedokáží hackery porazit. K tomu je zapotřebí mít IT aktiva pod kontrolou. Pro kontrolu IT aktiv je nutné mít jejich plnou visibilitu a zároveň schopnost je snadno a efektivně ovládat.
Pokud je zaveden pořádek v síti, v IT aktivech a organizace dokáže například jednoznačně řídit, které zařízení je její, do které sítě a k jakým informačním zdrojům má mít přístup, tak bude na dobré cestě. Zde ale pravděpodobně narazí na svoje finanční limity. Kybernetická bezpečnost totiž vyžaduje schopnost detekce a reakce 24 hodin denně. To v praxi znamená zajištění většího množství kvalifikovaných odborníků, které s sebou nese značné náklady. Alternativou se tak jeví využití služby externího SOCu (security operation center). Jeho specialisté vyhodnocují provoz a zajišťují potřebnou reakci ve spolupráci s administrátory zákazníka.
Pro zvýšení hodnoty SOCu, zkrácení doby incident response a fungování 24 hodin denně se jako správná cesta ukazuje využití služby postavené na principu aktivního SOCu. To znamená, že služba SOC je připravena standardizovanou formou přijímat provozní informace, vyhodnocovat je a umožnit operátorovi SOCu provést zásah kdykoliv pomocí integrovaných nástrojů síťové správy.
Jak pomůže Novicom?
Řešení Novicomu plně podporují princip fungování aktivního SOCu. To je stav, ke kterému má většina organizací daleko, nicméně DDI/NAC nástroj AddNet a network visibility nástroj BVS umožňují formou postupných kroků tohoto stavu dosáhnout.
Síťová viditelnost a správa IT aktiv
Pokud nemáte pod kontrolou vlastní IT aktiva, budete jen těžko schopni zajistit bezpečnost ve vaší organizaci. Informace typu, co to je za zařízení, kdo ho vlastí, s kým komunikuje a kde se nachází, je základ pro efektivní činnost bezpečnostních správců. Informace o vazbě těchto aktiv na business procesy je důležitá při stanovování závažnosti dopadů útoků na spravovaná aktiva. Operátor tak může kvalifikovaně rozhodnout o izolaci infikovaného síťového zařízení, aniž by se musel obávat důsledku například v podobě nechtěného zastavení výrobní linky. Toto řeší nástroj Novicom Business Visibility Suite (BVS). Vlastnosti BVS jsou vhodné i pro další činnosti, jako je tvorba business impact analýz nebo modelování dopadů stěhování infrastruktury do cloudu.
Efektivně spravovaná síť pod kontrolou
Pouhá detekce hrozeb nedokáže vyřešit zjištěné hrozby. K tomu jsou nástroje reakce jako je AddNet – DDI/NAC řešení Novicomu. Ten unikátním způsobem kombinuje nástroj efektivní síťové správy a řízení přístupu do sítě. Spojením L2 monitoringu, základních síťových služeb (DHCP/DNS) s řízením přístupu do sítě (NAC), a jejich integrací do jednoho robustního produktu, došlo k významnému zjednodušení této jinak velmi komplikované oblasti.
Prevence proti nákazám typu Ransomware
Pokročilá síťová správa umožňuje velmi snadné nastavení izolace zařízení v síti. Síťová zařízení jsou tak schopna přistupovat k potřebným informačním zdrojům v organizaci, ale nevidí se navzájem ani ve stejné části sítě (VLAN). Tato prevence šíření škodlivého kódu je při rychlosti šíření nákaz extrémně důležitá. Pouhé detekční mechanismy totiž nejsou schopny zajistit potřebnou reakci.
Aktivní incident response – základ kybernetické ochrany
Díky možnosti sběru informací z lokalit zákazníků (syslog, flow data) a integracím na nástroje pokročilé detekce nebo SOC prostředí, může AddNet sloužit jako jediné místo pro sběr a odesílání informací do SOC. Integrace AddNetu se SOC se rovněž pozitivně odráží ve schopnosti SOCu provést okamžitý zásah v případě, že je detekována hrozba nebo kompromitace zařízení. Operátor SOCu tak může provést třeba uprostřed noci izolaci vzdáleného zařízení a nastavit ho pro možnost vzdálené opravy správcem PC druhý den ráno.
Autor článku: Jindřich Šavel, obchodní ředitel, Novicom, s.r.o.
Zdroj: Článek vyšel v červnu 2018 v magazínu ICT Revue, příloze Hospodářských novin, od vydavatelství Economia.