14.12.2015 0 Comments

Bezpečnosť nie je len otázka nástrojov

Na ostatnej olympiáde v Londýne z viac ako štvrť miliardy zaznamenaných udalostí malo takmer päť miliónov podtón bezpečnostného rizika, viac ako 5000 sa dostalo do fázy poplachu a takmer 700 bolo kritických. Napriek tomu sa hackerom nepodarilo uspieť ani raz. Olympijské hry totiž chráni koncept komplexnej a aktívnej bezpečnosti.

Kým v minulosti sa bezpečnosť považovala za otázku najmä vhodných nástrojov (v súvislosti s ňou sa spomínali firewally, antivírusy, hardvérové bezpečnostné moduly či systémy na prevenciu prieniku), dnes to už nestačí. Moderný koncept agilnej bezpečnosti okrem nástrojov zahŕňa aj ľudí a procesy a tieto ďalšie dve zložky sú rovnako dôležité.

Hrozby v oblasti IT možno nájsť všade, či už ide o priemyselnú špionáž, zvedavé vládne organizácie, alebo zločinecké skupiny. Riziko však hrozí aj zo strán, ktorým zlý úmysel pripisovať nemožno. Dodávatelia spoločnosti môžu byť napadnutí bez toho, aby o tom vedeli, a cez nich možno kompromitovať celú bezpečnostnú infraštruktúru firmy. Chrániť sa teda treba pred všetkým a pred všetkými.

O tom, že kybernetický útok môže mať reálne následky aj vo fyzickom svete, sa zase presvedčili v Nemecku, kde po hacku došlo k poškodeniu výrobnej pece v oceliarni a následnému niekoľkomesačnému odstaveniu celej fabriky.

Nástroje nestačia

V čom spočíva zraniteľnosť firiem, ktoré považujú svoju bezpečnosť za dobrú a pritom sa stávajú terčom úspešných útokov?

Takéto spoločnosti väčšinou zlyhávajú práve v oblasti ľudí a procesov. Majú nasadené nástroje, ktoré však nedokážu naplno využívať. Bezpečnostný personál nestačí buď kapacitne, alebo z pohľadu schopností, svoje zohráva i nedostatok skúseností. Druhá možnosť je nesprávna implementácia nástrojov či nedostatočná identifikácia kritických dát. Laicky povedané, dobré nástroje nepomáhajú, ak nespolupracujú.

Novodobý model komplexnej a aktívnej bezpečnosti možno rozdeliť do štyroch fáz: príprava - detekcia a analýza - izolácia, odstránenie a obnova - akcie po incidente.

Každá spoločnosť by pri budovaní svojej bezpečnostnej infraštruktúry mala vedieť zodpovedať niekoľko základných otázok: Dokážeme ochrániť dáta? Vieme prečkať útok DDoS? Sú naše dátové centrá zraniteľné? Ako sú na tom koncové zariadenia? Sme vôbec schopní spracovať a vyhodnotiť miliardy udalostí, ktoré bezpečnostná infraštruktúra vytvorí?

Koncept modernej agilnej bezpečnosti počíta s centrom bezpečnostných operácií, ktoré je akýmsi hubom všetkých bezpečnostných operácií. Práve tu sa vyhodnocujú prijaté logy, identifikujú sa bezpečnostné hrozby a analyzujú sa. Ak už dôjde k bezpečnostnému incidentu, nastupujú ďalšie úrovne v rámci ľudskej infraštruktúry a procesov, v rámci ktorých sa bezpečnostné riziko izoluje, odstraňujú sa následky a všetko sa vyhodnocuje. Technológia a ľudia sú v tomto koncepte tak procesne spojení, že na bezpečnostné hrozby dokážu reagovať veľmi rýchlo. Vo veľkej miere dokonca tak, že v konečnom dôsledku k bezpečnostnému ohrozeniu podniku vôbec nedôjde.

Model komplexnej a aktívnej bezpečnosti však životne závisí od troch kľúčových predpokladov.

Najdôležitejší z nich sú ľudia. Bez skúseného tímu to jednoducho nejde. Bezpečnosť musia mať na starosti odborníci so správnym setom zručností, ktorí sú v správnom čase na správnom mieste a ktorí majú jasne definované roly a zodpovednosti.

Ďalší dôležitý predpoklad sú vyspelé procesy. Vyspelosť neznamená len to, že sú detailne opísané alebo automatizované v rámci nejakého nástroja, ale zároveň sú aj merateľné. V každom kroku možno zaznamenať kľúčové ukazovatele výkonnosti. Tieto procesy zároveň treba pravidelne testovať a prehodnocovať, pretože forma útokov a bezpečnostných hrozieb sa neustále vyvíja a mení.

Tretí dôležitý predpoklad sú správne nástroje. V tom je však tento koncept veľmi pružný, a ak sa pri implementácii zistí, že firma už investovala do bezpečnostných nástrojov, možno ich vo väčšine prípadov využiť, prípadne len doplniť.

Pre koho je moderná agilná bezpečnosť určená? Ak z predchádzajúcich riadkov vznikol dojem, že podobnú úroveň ochrany si môžu dovoliť len veľké firmy, nie je to tak. Spoločnosti s viac ako tisíc zamestnancami a masívnou infraštruktúrou sa môžu do budovania takejto infraštruktúry pustiť aj samy. Je to však nákladné, pretože pri takomto robustnom riešení musia investovať do licencií, hardvéru, softvéru a najmä musia zohnať skúsených odborníkov.

Firma však v skutočnosti nemusí mať ani vlastnú infraštruktúru, ani vlastných ľudí, dokonca ani nastavené procesy. Komplexnú a aktívnu ochranu si jednoducho môže kúpiť ako službu a implementovať do vlastnej infraštruktúry.

Marian Duda, Business Consultant for CyberSecurity Atos IT Solutions and Services

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Linux súkromne i pracovne v2.0 (15. časť): SIP (Session Initiation Protocol)

21.01.2017 00:05

Je priam neuveriteľné, aké množstvo užitočných informácií a faktov súvisiacich s IP telefóniou (VoIP) sa skrýva za takou jednoduchou skratkou, ako je SIP. Nejde pritom iba o protokol, ale o mnoho ďalš ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

Žiadne komentáre

Vyhľadávanie

ITSMF jar

Najnovšie videá