Skip to main content
Loading...
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.

Jak się „cyberzabezpieczyć”?

Jak się „cyberzabezpieczyć”?

Aktualna sytuacja polityczna spowodowała w każdym z nas i w każdej organizacji konieczność odpowiedzi na pytanie: czy jesteśmy bezpieczni? Cyberprzestrzeń budzi szczególne emocje z uwagi na nasze ogromne uzależnienie od technologii informatycznych podczas dnia codziennego.

Czujność. Dlaczego jej brakuje?

Gwałtowny rozkwit komputerowych technologii spowodował, że z dziecinnym zauroczeniem korzystamy z nowinek tej branży, odsuwając na później troskę o bezpieczeństwo. To ten powszechnie nazywany „boom” technologiczny uśpił naszą czujność, której przecież nie brakuje nam w codziennym podejmowaniu decyzji przy kontaktach z nowymi osobami, ruchu ulicznym itp. Szukając odpowiedzi na pytanie : jak się „cyber-zabezpieczać”, należy szukać analogii właśnie z życia codziennego. Te zasady dobrze znamy. Parkując samochód w centrum miasta, nie zostawiamy na desce rozdzielczej cennych przedmiotów. Słysząc dzwonek do drzwi, nie otwieramy ich na oścież wprowadzając nieznajomego do środka.

Rozmawiając o sekretach, nie podnosimy głosu. Gdy widzimy osobę o wyglądzie który jest dla nas podejrzany, zmienimy stronę ulicy po której spacerujemy. Uczymy nasze dzieci: „Nie rozmawiaj z nieznajomym”. Z niejasnych powodów, te zdrowe odruchy w świecie IT są dopiero dziś wprowadzane w życie. Od pierwszych dni internet stosuje zasadę otwartej komunikacji i dopiero od pewnego czasu nieśmiało rozmawiamy o nowych zasadach i ograniczeniach w komunikacji. Tylko dlaczego nasze podejście w IT ma być inne niż w życiu codziennym?

Słysząc pukanie do drzwi, naturalnie pytamy „Kto tam?”. Uzyskując odpowiedź w niezrozumiałym języku, na pewno drzwi się nie otworzą. Nie wiadomo dlaczego ruch ze wszystkich krajów świata swobodnie dociera do naszych serwerów. Zespoły administratorów poczty codziennie toczą walkę z niechcianą korespondencją, gdzie 80% nadawców pochodzi z krajów, o których nigdy nie słyszeliśmy.

Tłumacząc zasady bezpieczeństwa codziennego na politykę dobrych praktyk cyber świata, należy schować to, co cenne. Systemy informatyczne powinny działać w takich strefach, które bezwzględnie potrzebują mieć do nich dostęp. Poza tymi strefami usługi nie powinny być dostępne. W praktyce może to również oznaczać zamknięcie komunikacji dla terytoriów o podwyższynym ryzyku ataku, gdzie jednocześnie nie utrzymujemy relacji biznesowej. Spójrzmy na prawdziwą mapę ataków informatycznych, uzyskanych od działu bezpieczeństwa EMCA S.A.

hZNdQs_1BYhd5vxTpwo4WoeGggZjPj9LDTnAPcoB4-zM6Sr3mxerB6itoEVfhBN4M-MMa6rO67dafRizjSXRdY5ZdbxCROtcRpdyp1F53JSIaaHilGNydtnz19gSdFlrv5qwzwDX_mGaFysvZkThbnwe5JyEFFoW

Kolory pochodzą z analizy 4 godzin ruchu sieciowego pod kątem bezpieczeństwa. Mówiąc wprost, czy działalność polskiej spółki ucierpi, gdy zablokuje komunikację ze Zjednoczonymi Emiratami lub prowincją Bengaluru w Indiach? Przeprowadźmy audyt usług, który powinien jasno wykazać, które z nich posiadają charakter wewnętrzny i nie ma potrzeby ich ekspozycji dla gości z zewnątrz. Usługi publiczne, również ograniczajmy terytorialnie blokując odpowiednie klasy adresowe.

Kolejne zagadnienie, to czy nasze zamki do drzwi działają jak należy? W domu szybko zaplanujemy wymianę zepsutego, zaniedbanego zamka. W systemach informatycznych również dbajmy o korzystanie z najnowszych wersji oprogramowania. Każdy produkt posiada błędy. Poprawki bezpieczeństwa są jednak szybko dostępne, a aktualizacje często darmowe. Uruchommy proces kontroli i aktualizacji wersji użytkowanego oprogramowania.

Wchodząc do własnego domu zauważymy na pewno fakt, że złodziej próbował sforsować nasze drzwi. Ślady włamania do infrastruktury informatycznej również muszą być szybko zabezpieczane i analizowane. Zdarzenia pochodzące z krytycznych punktów przetwarzania, urządzeń sieciowych i aplikacji muszą być w pierwszym kroku gromadzone w bezpiecznym miejscu oraz cyklicznie poddawane analizie. Odbywa się to w dedykowanych systemach typu SIEM, jakim jest nasz Energy Logserver.

To, co niewątpliwie odróżnia problemy dnia codziennego od działań w cyberprzestrzeni to skala problemu. Ataków IT odbieramy tysiące dziennie. Można wprost powiedzieć, że procent ruchu informatycznego związanego z nadużyciami informatycznymi to około 70% całości. Spójrzmy jeszcze raz na wynik analizy 4 godzin ruchu sieciowego wykonanego przez biuro bezpieczeństwa EMCA SA.

kBxkQFzewD7H9BptySbvH4Qks3tYohNC5ZOu0V0zL6IWPsSBbO5KgVGCI6vzMl4M-8GfRIqZcITbAFTx8iBMlbMEqx2drpSgL7fvEo4uRuCHIS3kfYev-NS2ROhK9TfzmPVVHfMZqBwoZcdd0W7QtWIi4zGVtQbr

Liczba ataków dla 4 godzin ruchu w rozbiciu na kraje pochodzenia

j83lMrCPbpSu7k3tan-Dwln4suWcJvNp937m43I6NcS4-KGzrl9Lj-ZOh4mNgHg7G-LItl3mT8BRvaDdugDi9swmLQiyDGX3iBzJKzXOtzlyY_XZj5Poy4S7qBNVfCMumxbsX0c5IdBIUvFNQuPyeX4gXxOCD-ml

Liczba ataków względem czasu

Już małych organizacji ataki liczone są w tysiącach, dla dużych przedsiębiorstw to zdecydowanie większe liczby i w konsekwencji ogrom pracy do wykonania w zakresie analizy problemów. Nie jest tajemnicą, że wiele technik ataku oraz stosowanych mechanizmów obronnych powtarza się. Jest to doskonałe miejsce na automatyzację obsługi incydentów, która realizowana jest przez systemy klasy Energy SOAR. To w takich narzędziach należy zaszywać automatyczna logikę obsługi, która pozwoli na szybką klasyfikację problemów i określenie jego priorytetu.

Rozszerzając swoją świadomość w obszarze bezpieczeństwa, dojdziemy szybko do wniosku, że nasza wiedza jest niewystarczająca. Walczymy ze zorganizowanymi grupami przestępczymi, dlatego też w obronie nie działajmy w pojedynkę. Konieczne jest stałe i konsekwentne poszerzanie wiedzy z nowych technik ataków. Szkolenie podnoszące świadomość problemów powinno obejmować wszystkich pracowników. Dodatkowo szkolenia powinny objąć pracowników biur bezpieczeństwa, aby ułatwić im realizację obrony systemów informatycznych. Połączenie sił posiada jeszcze jeden wymiar.

Funkcjonują w Polsce globalne Centra Bezpieczeństwa (CERT — Computer Emergency Response Team) które stanowią centra wiedzy o aktualnych atakach. Cert to jednostki funkcjonujące zazwyczaj z ramienia globalnych firm telekomunikacyjnych, odpowiedzialnych za dostarczaną infrastrukturę sieciową. Na stronach CERT warto śledzić najnowsze doniesienia o zagrożeniach obszaru cybersecurity. Do jednostek CERT należy zgłaszać zauważone incydenty pochodzące z utrzymywanej infrastruktury. Duże organizację posiadają wypracowane automaty (w systemach SOAR), które incydenty o odpowiednich cechach raportują do jednostki CERT.

Czy po wdrożeniu tych i innych zabezpieczeń możemy czuć się bezpieczni? Nie. Znacząco jednak obniżamy ryzyko awarii systemu w wyniku ataku, czy też kradzieży informacji. Wojna w sieci trwa od dawna i codziennie stawia nam nowe wyzwania.

Oceń artykuł

Jak możesz czytać Security Magazine?

  1. Kliknij w POBIERZ - rozpocznie się pobieranie PDF-a na Twoje urządzenie.
  2. Śledź nasze kanały na Facebooku, LinkedIn i TikTok - tam również udostępniamy informacje na temat wydania
  3. W przystępny sposób korzystaj z lektury za pomocą ISSUU — poniżej.

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa