14.12.2015 0 Comments

Bezpečnosť nie je len otázka nástrojov

Na ostatnej olympiáde v Londýne z viac ako štvrť miliardy zaznamenaných udalostí malo takmer päť miliónov podtón bezpečnostného rizika, viac ako 5000 sa dostalo do fázy poplachu a takmer 700 bolo kritických. Napriek tomu sa hackerom nepodarilo uspieť ani raz. Olympijské hry totiž chráni koncept komplexnej a aktívnej bezpečnosti.

Kým v minulosti sa bezpečnosť považovala za otázku najmä vhodných nástrojov (v súvislosti s ňou sa spomínali firewally, antivírusy, hardvérové bezpečnostné moduly či systémy na prevenciu prieniku), dnes to už nestačí. Moderný koncept agilnej bezpečnosti okrem nástrojov zahŕňa aj ľudí a procesy a tieto ďalšie dve zložky sú rovnako dôležité.

Hrozby v oblasti IT možno nájsť všade, či už ide o priemyselnú špionáž, zvedavé vládne organizácie, alebo zločinecké skupiny. Riziko však hrozí aj zo strán, ktorým zlý úmysel pripisovať nemožno. Dodávatelia spoločnosti môžu byť napadnutí bez toho, aby o tom vedeli, a cez nich možno kompromitovať celú bezpečnostnú infraštruktúru firmy. Chrániť sa teda treba pred všetkým a pred všetkými.

O tom, že kybernetický útok môže mať reálne následky aj vo fyzickom svete, sa zase presvedčili v Nemecku, kde po hacku došlo k poškodeniu výrobnej pece v oceliarni a následnému niekoľkomesačnému odstaveniu celej fabriky.

Nástroje nestačia

V čom spočíva zraniteľnosť firiem, ktoré považujú svoju bezpečnosť za dobrú a pritom sa stávajú terčom úspešných útokov?

Takéto spoločnosti väčšinou zlyhávajú práve v oblasti ľudí a procesov. Majú nasadené nástroje, ktoré však nedokážu naplno využívať. Bezpečnostný personál nestačí buď kapacitne, alebo z pohľadu schopností, svoje zohráva i nedostatok skúseností. Druhá možnosť je nesprávna implementácia nástrojov či nedostatočná identifikácia kritických dát. Laicky povedané, dobré nástroje nepomáhajú, ak nespolupracujú.

Novodobý model komplexnej a aktívnej bezpečnosti možno rozdeliť do štyroch fáz: príprava - detekcia a analýza - izolácia, odstránenie a obnova - akcie po incidente.

Každá spoločnosť by pri budovaní svojej bezpečnostnej infraštruktúry mala vedieť zodpovedať niekoľko základných otázok: Dokážeme ochrániť dáta? Vieme prečkať útok DDoS? Sú naše dátové centrá zraniteľné? Ako sú na tom koncové zariadenia? Sme vôbec schopní spracovať a vyhodnotiť miliardy udalostí, ktoré bezpečnostná infraštruktúra vytvorí?

Koncept modernej agilnej bezpečnosti počíta s centrom bezpečnostných operácií, ktoré je akýmsi hubom všetkých bezpečnostných operácií. Práve tu sa vyhodnocujú prijaté logy, identifikujú sa bezpečnostné hrozby a analyzujú sa. Ak už dôjde k bezpečnostnému incidentu, nastupujú ďalšie úrovne v rámci ľudskej infraštruktúry a procesov, v rámci ktorých sa bezpečnostné riziko izoluje, odstraňujú sa následky a všetko sa vyhodnocuje. Technológia a ľudia sú v tomto koncepte tak procesne spojení, že na bezpečnostné hrozby dokážu reagovať veľmi rýchlo. Vo veľkej miere dokonca tak, že v konečnom dôsledku k bezpečnostnému ohrozeniu podniku vôbec nedôjde.

Model komplexnej a aktívnej bezpečnosti však životne závisí od troch kľúčových predpokladov.

Najdôležitejší z nich sú ľudia. Bez skúseného tímu to jednoducho nejde. Bezpečnosť musia mať na starosti odborníci so správnym setom zručností, ktorí sú v správnom čase na správnom mieste a ktorí majú jasne definované roly a zodpovednosti.

Ďalší dôležitý predpoklad sú vyspelé procesy. Vyspelosť neznamená len to, že sú detailne opísané alebo automatizované v rámci nejakého nástroja, ale zároveň sú aj merateľné. V každom kroku možno zaznamenať kľúčové ukazovatele výkonnosti. Tieto procesy zároveň treba pravidelne testovať a prehodnocovať, pretože forma útokov a bezpečnostných hrozieb sa neustále vyvíja a mení.

Tretí dôležitý predpoklad sú správne nástroje. V tom je však tento koncept veľmi pružný, a ak sa pri implementácii zistí, že firma už investovala do bezpečnostných nástrojov, možno ich vo väčšine prípadov využiť, prípadne len doplniť.

Pre koho je moderná agilná bezpečnosť určená? Ak z predchádzajúcich riadkov vznikol dojem, že podobnú úroveň ochrany si môžu dovoliť len veľké firmy, nie je to tak. Spoločnosti s viac ako tisíc zamestnancami a masívnou infraštruktúrou sa môžu do budovania takejto infraštruktúry pustiť aj samy. Je to však nákladné, pretože pri takomto robustnom riešení musia investovať do licencií, hardvéru, softvéru a najmä musia zohnať skúsených odborníkov.

Firma však v skutočnosti nemusí mať ani vlastnú infraštruktúru, ani vlastných ľudí, dokonca ani nastavené procesy. Komplexnú a aktívnu ochranu si jednoducho môže kúpiť ako službu a implementovať do vlastnej infraštruktúry.

Marian Duda, Business Consultant for CyberSecurity Atos IT Solutions and Services

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Red Hat a Veracomp: Open source a cloudy

09.12.2016 12:05

Cieľom ďalšej z radu spoločných akcií firiem Red Hat a Veracomp Slovakia v Bratislave bola prezentácia produktov, služieb a stratégií týkajúcich sa najhorúcejších tém IT podpory biznisu s využitím naj ...

ITPro

Právne okienko

08.12.2016 12:02

1. Ako postupovať, ak obchodník nechce uznať reklamáciu tovaru objednaného z e-shopu? V takomto prípade môžu nastať v zásade dve situácie. Ak zákazník reklamuje tovar do 12 mesiacov od jeho kúpy, mož ...

ITPro

Red Hat Forum 2016: Otvorená digitálna transformácia

09.12.2016 11:51

Podujatím v Prahe pre región CENE (stredná a severná Európa) rezonovala komunitná atmosféra a snaha o spoluprácu podľa pravidla „každý s každým“. IT musí priniesť do digitálneho biznisu novú kultúru a ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá