0

Cyberataki nie uznają granic – ochrona na trzech filarach

cyberataki nie uznają granic

Obecnie wszyscy na świecie zdają sobie sprawę z bardzo krytycznej sytuacji w jakiej znalazła się wchodnia Europa. Otwarta agresja Rosji na Ukrainę uaktywniła jednostki do walki w cyberprzestrzeni, a także wiele grup cyberprzestępczych, które z różnych pobudek, chcą wykorzystać sytuację.

Jednakże naiwnym i nierozsądnym byłoby uznać, że ataki na cyberwojnie ograniczą się wyłącznie do terenów objętych wojną konwencjonalną – w odróżnieniu od niej, cyberwojna nie ma granic. Oznacza to, że jesteśmy na niej czy tego chcemy czy nie. Wobec tego ochrona naszej sieci stała się bardziej wymagająca i warto rozważyć natychmiastowe wprowadzenie zaawansowanych technologii, by nie stać się ofiarą cyberataku.

Pierwsza linia obrony – ochrona endpointów

Wiele rozwiązań antywirusowych czołowych producentów posiadaj już technologie, które jeszcze do niedawna były przeznaczone głównie dla jednostek SOC (Security Operation Center). Technologie takie jak EDR/XEDR/XDR czy Sandboxing na stałe weszły do oferty niektórych producentów takich jak ESET czy BitDefender.

EDR to system monitoringu oraz głębokiej analizy systemu i procesów (np. w pamięci stacji końcowej). W odróżnieniu od innych systemów detekcji, nie pozwala on na łatwe przeoczenie zagrożenia. Dzięki temu możemy łatwo ustalić wektor ataku, metodę i czas oraz otrzymać od razu możliwości adekwatnej reakcji, czy natychmiastowego załatania potencjalnej luki w zabezpieczeniach. Zatem w skrócie, EDR to szybkie wykrycie i reakcja (w tym poprzez analizę wzorców MITRE Attack). I choćby dlatego taka ochrona jest wskazana w kontekście obecnego poziomu cyberzagrożenia.

Warto wspomnieć również o XEDR, czyli rozszerzonym EDR. Rozszerzenie zawiera m. in. korelację między różnymi endpointami, która obejmuje incydennty punktów końcowych A i B z punktem końcowym C jako ostatecznym miejscem docelowym. Przyczynia się to do określonego łańcucha zabijania ataków. Zapewnia to widoczność nie tylko z perspektywy maszyny ofiary, ale także z perspektywy maszyny atakującej.

Jeśli jednak XEDR to wciąż za mało, warto wskazać na XDR. Ochrona tego typu pozwala na najgłębszą analizę zdarzeń poprzez inteligentną korelację danych na wielu poziomach i z wielu źródeł, w tym wskazywania anomalii i prób określenia ich przyczyn.

Strefa buforowa

Obok systemów detekcji warto wytworzyć sobie strefę buforową. Tutaj z pomocą przychodzi ochrona poprzez sandboxing. To nic innego jak uruchomienie pliku lub procesu w specjalnym bezpiecznym środowisku odizolowanym od oryginalnych zasobów endpointa, aby w różnych okolicznościach, odstępach czasowych i środowiskach upewnić się, że podejrzany obiekt nie okaże się złośliwy. Posiadając taką “strefę detonacji” otrzymujemy realną odpowiedź, jak zachowa się plik po uruchomieniu i nie opieramy się jedynie na przypuszczeniach. Istotne jest, że nawet jeśli posiadamy jakieś oprogramowanie tychże producentów, ale nie posiada ono wspomnianych wyżej modułów, możemy bez problemu ulepszyć je do aktualnych i mocniejszych wersji. Często u dużych sprzedawców można oczekiwać dodatkowych rabatów na takie migracje.

Drugi filar – ochrona brzegowa

Bardzo istotnym filarem jest oczywiście ochrona brzegu sieci. Klasyczny firewall to zdecydowanie zbyt mało by powstrzymać zaawansowane ataki sieciowe. Nie zamierzamy przekonywać do tak oczywistej rzeczy jaką jest dziś posiadanie wydajnego i zaawansowanego UTM-a, w tym takiego, w którego skład wchodzi inspekcja ruchu SSL, czy ochrona przed atakami botnetowymi (w tym podstawowy anti-DDOS). FortiNet, lider wielu rynków, stawia na znacznie szerszą rozbudowę ochrony brzegowej. Niech za przykład posłuży choćby FortiAI, czyli NDR wykorzystujący SI oparte o sieci neuronowe (i działające nawet w DMZ/lokalnie).

Innym przykładem będzie FortiMail, a więc dedykowana ochrona poczty elektronicznej. Tutaj mając na uwadze dynamikę kampanii dezinformacyjnych, phishingowych i spamowych w związku z konfliktem wschodnim, bardzo wskazane jest chronić właśnie pocztę. Ochrona na poziomie serwera dostawcy usług internetowych odbije złośliwą korespondencję, nim w ogóle dotrze ona do skrzynek naszych użytkowników (bez zakłócania działania protokołu SMTP). Warto wspomnieć, że możemy także wybrać ochronę chmurową, będącą w rzeczy samej konfigurowalną bramką filtrującą w chmurze, co gwarantuje brak obciążenia naszych zasobów oraz ciągłą aktualność.

Stawiaj na redudancję – ochrona danych w przypadku udanego ataku

Bardzo istotna jest ochrona na wypadek skutecznego ataku, który zawsze powinien być brany pod uwagę w analizie ryzyka – zwłaszcza, gdy w grę wchodzi atak z użyciem technologii wojskowych. Wykonanie prostego backup’u nie wystarczy, gdyż oprócz samego faktu zabezpieczenia się, należy wziąć pod uwagę czyniki takie jak RTO (Recovery Time Objective) i RPO (Recovery Point Objective).

Pierwszy to czas potrzebny na przywrócenie środowiska produkcyjnego i ciągłości biznesowej. Drugi określa akceptowalną ilość utraconych danych, co jest istotne z perspektywy planowania ilości przeznaczonej pamięci masowej i zarządzania interwałami retencji danych. Robienie tego bez odpowiednich narzędzi może okazać się karkołomne i zbyt czasochłonne, dlatego wielu administratorów wspiera się specjalistycznymi oprogramowaniami. Warto tutaj rozważyć komercyjne, profesjonalne rozwiązanie od uznanych producentów.

Z naszej strony na pewno możemy polecić rozwiązania Veeam, który od niedawna też bardzo uprościł licencjonowanie, wprowadzając m.in. Veeam Universal Licence. Od teraz możemy jedną licencją obejmować większość obciążeń. Osobną kwestią są dostawcy przestrzeni w chmurze i nie należy zapominać o backupie tych danych, gdyż chmurowy dostawca często ceduje odpowiedzialność za ich bezpieczeństwo na użytkownika. Veeam również potrafi to zapewnić, a ponadto dysponuje także dedykowanym rozwiązaniem dla produktów Office 365. Wracając jeszcze do kwestii wspomnianych RTO I RPO, również tutaj przy większych strukturach można wdrożyć bezpośrednie rozwiązanie do zarządzania odtwarzaniem awaryjnym (tzw. Disaster Recovery). Jednym z nich jest np. Veeam Disaster Recovery Orchestrator, dzięki któremu możemy nie tylko zarządzać oboma parametrami, ale również m. in. zautomatyzować testy odzyskiwania (wraz ze środowiskiem testowym), generowania dokumentacji, czy nadawaniea ról. I nie zapominajmy o weryfikacji backup’u (Veaam robi to automatycznie).

Czujność nie wystarcza – uzbrój się!

Ukraińska armia nie odniosłaby takich sukcesów w obronie swojego terytorium, gdyby nie otrzymała odpowiedniego uzbrojenia od jej sojuszników. Choć nie sposób odmówić Ukraincom woli walki i odwagi, tak stając naprzeciwko nowoczesnej armii rosyjskiej musieli mieć czym się bronić. Nie inaczej jest na cyberwojnie – czujność, wiedza i ostrożność są nieodzowne, ale bez odpowiednich technologii prędzej czy później przegrają z dobrze uzbrojnymi cybeprzestępcami. Aby wyrównać szanse i skutecznie stawić im czoła – trzeba nam się uzbroić, zwłaszcza że ostatnie ataki (niezależnie od strony konfliktu) pokazują, że hakerzy nie cofną się przed niczym.

Avatar

Karol Mondry

IT Product Manager

Zostańmy w kontakcie!
Dołącz do naszego newslettera i bądź zawsze na bieżąco z naszymi promocjami i nowościami
Naciskając „Zapisz się” wyrażasz zgodę na otrzymywanie informacji marketingowych na podany adres e-mail. Administratorem Twoich danych osobowych będzie Senetic SA z siedzibą w ul. Kościuszki 227, 40-600 Katowice, Polska. Masz prawo żądania dostępu do danych osobowych oraz do ich sprostowania, usunięcia, lub ograniczenia przetwarzania, a także wniesienia sprzeciwu wobec przetwarzania. Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności.
Dziękujemy!
Zostałeś zapisany do naszego newslettera.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

Time limit is exhausted. Please reload the CAPTCHA.