czwartek, 11 marca, 2021

COVID-19, lockdown, praca zdalna to słowa klucze wiążące się z rokiem ubiegłym i obecnym. Wpływa to na wszystkie aspekty życia – zarówno społecznego, jak i gospodarczego. Dowiedz się czym jest IDS/IPS oraz jakie są sposoby analizy bezpieczeństwa.

Osoba pracująca zdalnie

Dlatego nowego znaczenia nabiera również cyberbezpieczeństwo. W niezwykle szybkim czasie cały świat musiał dostosować się do funkcjonowania w nowej rzeczywistości. Pandemia radykalnie zmieniła nie tylko cele firmowe, ale i sposoby prowadzenia biznesu. Zmieniło się wszystko: sposób nauki, dokonywania zakupów, świadczenia pracy, podróżowania, kontaktów międzyludzkich.

🔔👀 Po pierwsze – bezpieczeństwo

W nowej rzeczywistości organizacje muszą mierzyć się nie tylko ze skutkami kryzysu gospodarczego, ochroną przychodów, zerwanymi łańcuchami dostaw, kosztami i walką o zachowanie płynności finansowej, ale również z szybko zachodzącymi zmianami w zakresie elastyczności pracy, cyfrowej transformacji czy zapewnieniem odpowiedniego poziomu cyberbezpieczeństwa. W dynamicznie zmieniającym się otoczeniu kluczem do zapewnienia sukcesu każdego przedsiębiorstwa jest umiejętność szybkiego i efektywnego dostosowania się do zmian, elastyczność oraz przygotowanie do działania w zmieniających się warunkach.

Coraz więcej osób zarządzających firmami zdaje sobie sprawę, że wyjście z pandemii nie będzie oznaczało zwykłego powrotu do normalności, jaką znaliśmy wcześniej. Zamiast tego organizacje staną przed możliwością (a może raczej koniecznością) określenia warunków nowej normalności, w której decydujące znaczenie będą miały: zaufanie, zrównoważony rozwój oraz technologie cyfrowe.

Podczas pierwszej fali pandemii COVID-19 firmy wydawały dodatkowo około 15 miliardów dolarów amerykańskich tygodniowo więcej na technologie zapewniające bezpieczne przejście swoich organizacji na pracę w trybie zdalnym, podkreślają eksperci firmy doradczej KPMG. Działania te spowodowały, że transformacja cyfrowa i adopcja nowych technologii uległy przyspieszeniu. Liderzy IT w firmach koncentrują się więc przede wszystkim na zapewnieniu odpowiedniego poziomu bezpieczeństwa przetwarzanych w firmie danych oraz inwestowaniu w nowoczesne technologie, którą są kluczowe do sprawnego działania w nowej rzeczywistości.

Obecne tempo rozwoju i stopień skomplikowania technologii IT sprawiają, że luki w bezpieczeństwie systemów informatycznych są zjawiskiem powszechnym. Jeśli dodać do tego podatność pracowników na manipulację, ochrona informacji staje się niezwykle trudnym zagadnieniem. Nic więc dziwnego, że cyberprzestępczość jest dziś największym i najszybciej rozwijającym się obszarem działań międzynarodowych grup przestępczych. Celem cyberataku może być każda firma. Ofiarami są nawet najbardziej zaawansowane technologicznie korporacje. W jaki sposób radzić sobie zatem z tym wyzwaniem?

Odpowiedź jest prosta i powszechnie znana. Trzeba być dobrze przygotowanym. Wydawać by się mogło, że to truizm, a jednak liczne przykłady wskazują, iż nie wszyscy o tym pamiętają.

🔔👀 IDS

W tych trudnych czasach w organizacji nie wystarczą proste programy antywirusowe. Konieczne są znacznie bardziej zaawansowane rozwiązania. Należą do nich między innymi IDS (Intrusion Detection Systems – systemy wykrywania włamań). To urządzenia sieciowe albo oprogramowanie poprawiające bezpieczeństwo sieci komputerowych poprzez wykrywanie ataków w czasie rzeczywistym.

Takie systemy wykrywania włamań działają, analizując ruch sieciowy na dwa sposoby. Pierwsza metoda oznacza analizę heurystyczną. Chodzi o znajdowanie rozwiązań, dla których nie ma gwarancji znalezienia wyjścia optymalnego, a często nawet prawidłowego. Takich rozwiązań używa się w tych przypadkach, gdy pełny algorytm jest z przyczyn technicznych zbyt kosztowny lub gdy jest nieznany (na przykład przy przewidywaniu pogody lub przy wykrywaniu szkodliwego oprogramowania w systemach komputerowych). Ta metoda służy także do znajdowania rozwiązań przybliżonych, na podstawie których później wylicza się ostateczny rezultat pełnym algorytmem. To ostatnie zastosowanie dotyczy przede wszystkim przypadków, gdy heurystyka jest wykorzystywana do nakierowywania pełnego algorytmu ku optymalnemu rozwiązaniu, aby zmniejszyć czas działania programu w typowym przypadku bez poświęcania jakości rozwiązania.

analiza heurystyczna

Praktycznie analiza heurystyczna polega na defragmentacji (proces konsolidacji pofragmentowanych danych na dysku, dzięki czemu może on działać wydajniej). Defragmentację stosuje się na dyskach twardych, opartych na magnetycznych talerzach (HDD). Później następuje łączenie pakietów w strumienie danych, analiza nagłówków pakietów oraz analiza protokołów aplikacyjnych. Cały proces pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych. Chodzi o usterki programów komputerowych powodujące ich nieprawidłowe działanie, wynikające z błędu człowieka na jednym z etapów tworzenia oprogramowania – zwykle podczas tworzenia kodu źródłowego, ale również na etapie projektowania. Analiza heurystyczna nosi różne nazwy, na przykład protocol analysis czy preprocessing. W większości systemów IDS analiza heurystyczna odbywa się równocześnie z normalizacją danych przed poddaniem ich analizie innego typu.

Analiza sygnaturowa

Analiza sygnaturowa polega na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla znanych ataków sieciowych. W tym przypadku ogromne znaczenie ma baza sygnatur. Jest ona tworzona wraz z pojawianiem się nowych ataków, a więc powinna być odpowiednio często aktualizowana.

Elementy systemów IDS/IPS

Do typowych elementów systemów IDS/IPS należą sondy (sensory), bazy danych i analizatory logów. Sonda to element analizujący ruch sieciowy i wykrywający ataki. Bazy danych zbiera informacje o atakach z grupy sensorów. Natomiast analizator logów umożliwia wizualizację i analizę logów z grupy sensorów.

Biorąc pod uwagę lokalizację sensora oraz zakres analizowanych zdarzeń, rozróżnia się hostowe i sieciowe systemy IDS. System hostowy (Host-based IDS – HIDS) działa jako aplikacja w jednym, ochranianym systemie operacyjnym, analizując zdarzenia pochodzące z logu systemowego oraz z lokalnych interfejsów sieciowych.

Tymczasem system sieciowy (Network IDS – NIDS) analizuje ruch sieciowy dla wszystkich systemów w tym segmencie sieci, do którego są podłączone. NIDS potrafi rozpoznawać ataki skierowane przeciwko systemom, które nie mają zainstalowanych HIDS. Jednakże ma ograniczone zdolności analizowania ruchu przesyłanego w kanałach SSL lub zdarzeń zachodzących lokalnie w systemie (brak pamięci, ataki lokalne z konsoli).

Sieciowe systemy IPS mogą działać w topologii sieciowej pasywnej sondy albo Inline. W tej pierwszej sonda podłączona do portu monitorującego przełącznika analizuje kopie wszystkich pakietów w danym segmencie sieci. Ma jednak ograniczone możliwości reagowania na ataki. Stosowane są przy tym dwie techniki blokowania ataków: wysyłanie fałszywych pakietów TCP RST do obu stron komunikacji i zerwanie połączenia oraz dynamiczna rekonfiguracja zapory, z którą sonda może współpracować. W pierwszym przypadku blokowaniu może podlegać tylko ruch TCP, a w drugim reakcja może być spóźniona.

Najlepszy antywirus

🔔👀Które oprogramowanie jest najlepsze?

Topologia inline

Natomiast w topologii Inline sonda umieszczona między dwoma segmentami sieci, pozbawiona adresów IP i działająca w trybie przezroczystego mostu analizuje i bezpośrednio uczestniczy w przekazywaniu wszystkich pakietów w sieci. W tym trybie sonda ma możliwość blokowania wszystkich pakietów rozpoznanych jako niebezpieczne (fałszywe pakiety TCP RST nadal są wysyłane dla uniknięcia retransmisji). Działanie w tym trybie nakłada na oprogramowanie sondy znacznie wyższe wymagania co do wydajności i stabilności.

Stanowisko pracy w domu

🔔👀 Intrusion Prevention System – system zapobiegania włamaniom

IPS to sprzętowe bądź programowe rozwiązanie, którego zadaniem jest wykrywanie ataków na system komputerowy oraz ich blokowanie w czasie rzeczywistym. Chodzi o ataki zarówno wewnątrz, jak i z zewnątrz systemu. System IPS stanowi uzupełnienie systemu IDS. Stąd często IDS i IPS określane są jako dwa elementy tej samej technologii. Trudno przecież mówić o zapobieganiu bez wykrywania. Reakcja na zagrożenia, których nie jesteśmy świadomi, jest niemożliwa.

🔔👀 Polityka bezpieczeństwa

Podkreśla się przy tym, że cyberbezpieczeństwo nie zależy wyłącznie od rozwiązań technicznych. Muszą o tym pamiętać na co dzień wszyscy pracownicy. Ponieważ coraz trudniej jest zapobiegać włamaniom, organizacje muszą prowadzić odpowiednią politykę bezpieczeństwa. Inna rzecz to stosowanie zaawansowanych rozwiązań z zakresu wykrywania zagrożeń i ostrzegania przed nimi, by móc błyskawicznie identyfikować nieautoryzowaną lub podejrzaną aktywność w obrębie swego środowiska, przypominają eksperci firmy doradczej Deloitte. Dzięki integracji informacji o zagrożeniach oraz danych o zdarzeniach w sieci zespoły odpowiedzialne w organizacjach za bezpieczeństwo wyposażone są w precyzyjne narzędzia ostrzegające, pomagające w ustalaniu priorytetów obsługi incydentów oraz usprawnieniu procesu ich wykrywania.

Jednak nawet przy zachowaniu wszelkich zasad, nie wszystkim incydentom można zapobiec. Niektóre ataki hakerskie i przypadki włamań mogą skutkować poważnym kryzysem dotykającym całe przedsiębiorstwo. Zakres i skala szkód może zależeć między innymi od szybkości poddania analizie danego zdarzenia, stanowczości liderów w podejmowaniu działań oraz skuteczności współpracy zespołów wewnętrznych z klientami, mediami, doradcami prawnymi, organami ścigania i pozostałymi graczami w branży.

Polowanie na podatności

Skuteczna ochrona przed cyberatakami nie może sprowadzać się do odpowiadania na alerty, gdyż systemy cybersec analizują głównie zagrożenia, które są powszechnie znane, zwracają uwagę eksperci Cisco, światowego lidera w dziedzinie technologii sieciowych. Tymczasem cyberprzestępcy bezustannie szukają sposobów, aby uzyskać dostęp do zasobów firmowych. Chcąc zapewnić wysoki poziom cyberbezpieczeństwa, należy aktywnie poszukiwać nowych zagrożeń.

Z drugiej strony, identyfikacja nowych form zagrożeń to tylko część strategii bezpieczeństwa. Równie istotne jest nieustanne wyszukiwanie słabych punktów w ekosystemie cybersec. Oba te działania mieszczą się w ramach stosunkowo nowej dyscypliny, jaką jest threat hunting, czyli polowanie na podatności.

Wdrożenie tej filozofii w ramach organizacji wymaga kilku kroków. Po pierwsze, chodzi o stworzenie odpowiedniego zespołu. Osoby te powinny mieć wiedzę, a także zestaw konkretnych cech i umiejętności, takich jak znajomość punktów końcowych i sieci w organizacji, umiejętność korzystania z systemów analitycznych, wrodzona ciekawość, a także zdolność do kreatywnego myślenia.

Threat hunting wymaga odpowiednich narzędzi, takich jak systemy SIEM (Security Information and Event Management). Zespół odpowiedzialny za wspomniane polowanie na podatności musi mieć wgląd w ruch sieciowy oraz rejestr wszystkich zdarzeń, w tym informacje o adresach IP, URL i domenach. Niezwykle ważne jest także śledzenie najnowszych informacji dotyczących cyberzagrożeń.

Polowanie na podatności warto przeprowadzić w sytuacji, gdy w organizacji mają miejsce nietypowe zdarzenia, które mogą sugerować, że doszło do ataku. Należy zadać sobie pytanie, czy ostatnio nie doszło do pobrania wyjątkowo dużej liczby danych, czy któryś z użytkowników nie próbował uzyskać dostępu do systemów, do których nie ma uprawnień, czy administrator nie usunął danych z rejestru zdarzeń, czy uśpiony system nie aktywował się nagle w środku nocy?

Ulepsz bezpieczeństwo

🔔👀Ochroń się przed zagrożeniami

Skuteczny system bezpieczeństwa ma na celu nie tylko identyfikację i przeciwdziałanie zagrożeniom, ale również zniechęcenie do przeprowadzania cyberataku. Ekspert ds. cyberbezpieczeństwa David Blanco stworzył tak zwaną Piramidę bólu (Pyramid of Pain), która pozwala określić, z jakich narzędzi korzystają cyberprzestępcy. Każdy kolejny element piramidy znajdujący się bliżej jej szczytu jest trudniejszy do wcielenia w życie, wymaga od cyberprzestępców więcej wysiłku i wiąże się z wyższym ryzykiem, że zostaną złapani. U jej podstawy znajdują się stosunkowo łatwe do zlokalizowania hasła zainfekowanych plików. Następnie są adresy IP komputerów, z których korzystają cyberprzestępcy, nazwy domen zawierających złośliwe oprogramowanie, zainfekowane elementy sieci i aplikacje służące jako narzędzie do przeprowadzenia cyberataku.

Na szczycie piramidy Blanco umieścił taktykę, technikę i procedury, które składają się na schematy działania cyberprzestępców. Specjalistom ds. cyberbezpieczeństwa niezwykle ciężko jest je odkryć, gdyż wymaga to porównywania różnych zbiorów danych i odkrywania niewidocznych na pierwszy rzut oka zależności. Idealnie zaprojektowany system bezpieczeństwa zakłada, że osoba, która chce go złamać, będzie musiała poświęcić na to tyle czasu, że ostatecznie się zniechęci i zaniecha.

Podobne artykuły:

Marken Systemy Antywirusowe został Partnerem Roku 2023 firmy Bitdefender
Bitdefender zwycięża w teście antyphishingowym AV-Comparatives
Reprezentant firmy Marken wziął udział w Bitdefender Country Partners Summit 2023
Ochrona mobilna na samym szczycie
5 2 votes
Article Rating

Subscribe
Powiadom o
guest
0 komentarzy
Inline Feedbacks
View all comments