Adaptacyjne zwalczanie zagrożeń – widoczność, koordynacja i kontrola przy niskim koszcie całkowitym

przez | 08/05/2009

Jeszcze nie tak dawno temu robak czy wirus w sieci firmowej oznaczał zarwaną noc administratora systemów przeszukującego logi grodzi ogniowej czy systemu wykrywania włamań w poszukiwaniu problemu i sposobu opanowania zagrożenia. Było to pracochłonne i niezbyt sprawne rozwiązanie w wypadku prostszych zagrożeń spotykanych w przeszłości.

Niestety wielu współczesnych najniebezpieczniejszych zagrożeń nie daje się wykryć indywidualnymi mechanizmami ochronnymi, nawet pod czujnym nadzorem administratorów, ponieważ:

  1. Złożone wielopłaszczyznowe ataki mogą przemycać się poniżej progów reagowania pojedynczych mechanizmów ochronnych
  2. Personel może sobie nie radzić z szybkością i rozległością ataków – a nowe ataki pojawiają się szybciej, niż administratorzy są w stanie zdobywać o nich wiedzę
  3. Ataki mają miejsce tam i wtedy, gdy administratorzy nie są dostępni – w oddalonych biurach lub podczas awarii dotyczących całej okolicy
  4. Jednym ze źródeł najgroźniejszych i najkosztowniejszych ataków bywają czasem sami niezadowoleni lub przekupieni administratorzy

Kluczem do zwalczania takich zagrożeń przedsiębiorstw jest podejście kompleksowe z automatyczną korelacją pracy wielu mechanizmów zabezpieczających. Po latach inwestowania, sieci są wyposażone w bardzo rozbudowane, ale autonomiczne rozwiązania ochronne. Problem w tym, że są to rozwiązania specjalizowane i działające niejako w próżni. Rozwiązania współczesne posuwają rozpoznanie, eliminację i raportowanie zagrożeń o krok dalej poprzez koordynację ochrony sieci na poziomie wielu urządzeń znajdujących się w jej infrastrukturze i dostosowywanie się do zagrożeń zmiennych. Dzięki takim nowym rozwiązaniom adaptacyjnym oszczędza się czas i pieniądze, można utrzymać zgodność z przepisami regulującymi kwestie zdrowia systemów, obrót papierami wartościowymi, bankowy, ochronę poufności, itd., jednocześnie upraszczając procesy dokumentowania zagrożeń i sprawozdawczości.

Adaptacyjne zwalczanie zagrożeń

Adaptacyjne zwalczanie zagrożeń (Adaptive threat management – AdTM) to rozwiązania tworzące system współpracujący dynamicznie, który zapewnia wgląd w całą sieć i dostosowuje swoje działanie do zmieniających się zagrożeń i ryzyk. Takie rozwiązania nazywamy adaptacyjnymi, ponieważ zmieniają one profil ochrony sieci w odpowiedzi na rodzaje i stopień zagrożeń, na przykład poddając kwarantannie podejrzany komputer, użytkownika, czy segment sieci, gromadzą dodatkowe informacje podczas próby włamania, czy też w czasie ataku na sieć dławią przepustowość przydzieloną określonym aplikacjom.

W skład AdTM wchodzą takie elementy zabezpieczające, jak grodzie ogniowe/VPN w kluczowych bramach sieciowych, urządzenia wykrywające i uniemożliwiające włamania (IDP) blokujące ataki na sieć i aplikacje, oraz mechanizmy kontroli dostępu wymuszające przestrzeganie polityk bezpieczeństwa w funkcji tożsamości użytkowników.

Działając w ścisłej koordynacji, takie otwarte platformy rozwiązań:

  1. Korelują informacje przychodzące z różnych systemów ochronnych by wykrywać zagrożenia, których pojedyncze urządzenia nie wykryją i nie zasygnalizują
  2. Wykrywają skomplikowane i zamaskowane ataki, które pokonują klasyczne mechanizmy zabezpieczeń
  3. Reagują przeciwdziałaniem ograniczającym skuteczność ataku, jednocześnie informując o nim administratorów i gromadząc bardzo szczegółowe informacje o ataku, zgodnie z wytycznymi polityk bezpieczeństwa
  4. Zarządzają i egzekwują przestrzeganiem polityk bezpieczeństwa, w tym sterują stosowaniem i aktualizacją ochronnego oprogramowania klienckiego, podpisami, politykami i społecznościami użytkowników w wypadku ich nowych lub powracających członków
  5. Dokumentują i przekazują informacje potrzebne do weryfikacji zgodności działań z prawem oraz dochodzeń kryminalnych, poczynając od związanych z działaniem polityk, do informacji o zdarzeniach w skali sieci całego przedsiębiorstwa

Warto zastanowić się nad opcjami

Większość współczesnych organizacji wdrożyła wiele zabezpieczeń zarówno programowych jak i sprzętowych.

1. Rozwiązania „punktowe”

Atutem rozwiązań „punktowych” jest ich zdolność do rozwiązywania konkretnego problemu. Ale ten atut jest zarazem ich piętą achillesową. Nastawione na konkretne zagrożenia, są całkowicie krótkowzroczne i nie widzą szerszego kontekstu sytuacji. Tego rodzaju rozwiązania punktowe oferują najczęściej nowopowstające firmy, dlatego należy się zastanowić nad ich skalowalnością, niezawodnością i długofalowym wsparciem decydującym o użyteczności.

2. Rozwiązania nieznormalizowane

Rozwiązania sprzętowe z nieznormalizowanymi architekturami są kupowane w przekonaniu, że elementy pochodzące od jednego producenta będą ze sobą gładko współpracowały i zapewnią ciągłość ochrony sieci. Ale nawet w wypadku jednego producenta integracja może być płytka, a nawet żadna. Wiele tak zwanych „suit” składa się z elementów kiedyś opracowanych przez różne firmy, potem kupione przez obecnego dostawcę, więc jedyne co je łączy, to nowa marka. A nieoptymalna integracja czy stosowanie różnych systemów operacyjnych może prowadzić do drastycznego spadku parametrów sieci, a nawet wprowadzać do niej słabe punkty.

Po stronie ekonomicznej doskonale są znane koszta i ryzyko przywiązania się do jednego dostawcy, dlatego twierdzenia producentów na temat interoperacyjności i kompleksowości ich produktów należy dobrze przeanalizować przed decyzją o zastosowaniu nieznormalizowanej architektury systemu zabezpieczeń. Prawdziwie oparte na rozwiązaniach podejście wymaga swobody stosowania przez firmę rozwiązania bez ograniczenia się do jednego dostawcy, a także działającego na jednym systemie operacyjnym. To minimalizuje i optymalizuje koszty zakupu i późniejsze ciągłe koszty eksploatacji.

Elastyczność i swoboda wyboru dzięki zabezpieczeniom zaawansowanym

Rozwiązania AdTM oparte na platformie otwartej zapewniają ogromną elastyczność i swobodę wdrażania zabezpieczeń, jednocześnie ograniczając całkowity koszty udostępniania bezpiecznych aplikacji i usług.

Rozwiązania oparte na platformie otwartej integrują i koordynują elementy infrastruktury sieciowej i ochronnej ograniczając zagrożenia, z którymi nie poradziły by sobie indywidualne produkty działające samodzielnie:

  1. Nowe zagrożenia – wykrywanie zdarzeń wskazujących na ataki, nawet jeżeli jeszcze nie opublikowano ich definicji i sygnatur
  2. Kompleksowe ataki wielodrożne – korelacja pracy wielu urządzeń zabezpieczających umożliwia wykrywanie zagrożeń nawet wtedy, gdy w poszczególnych urządzeniach nie przekraczają one progów alarmowania
  3. Ataki uprawnionych użytkowników wewnętrznych – integracja z mechanizmami kontroli dostępu wykrywająca próby naruszenia integralności sieci

Rozwiązania AdTM oferują szerokie możliwości reagowania w czasie rzeczywistym, w tym na przykład natychmiastowe kwarantannowanie zagrożenia, alarmowanie personelu ochrony sieci, odcięcie niebezpiecznego zakończenia sieci czy ograniczenie pasma przesyłowego w niebezpiecznym zakończeniu lub segmencie sieci. Niezależnie od tego, czy skonfiguruje się je na podejmowanie działań automatycznie, półautomatycznie, czy ręcznie, rozwiązania AdTM dostosowują się w czasie rzeczywistym tak, by chronić bezpieczeństwo całej sieci przy ustawicznie zmieniającym się krajobrazie zagrożeń. Tak inteligentna współpraca poprawia zakres, skalę i sprawność zarządzania ochroną, uwalniając od tych zadań specjalistyczny personel, który może się zajmować sprawami ochrony naprawdę wymagającymi jego wysokich kwalifikacji.

Specjaliści do spraw zabezpieczeń sieci firmowych powinni przy ocenie rozwiązań AsTM dla swoich sieci uwzględniać następujące kryteria:

  1. Możliwość pełnej integracji zabezpieczeń – obejmującej grodzie ogniowe/VPN, mechanizmy wykrywania i zapobiegania włamaniom, kontroli dostępu do sieci  (NAC), oraz szkieletową architekturę rutingową. Rozwiązania powinny dobrze współpracować z oprogramowaniem antywirusowym i antyspamowym, sprzętowymi systemami zabezpieczającymi i istniejącą infrastrukturą sieci
  2. Możliwość szczegółowego sterowania działaniem systemu w oparciu o polityki – rozwiązania do zarządzania siecią i jej ochrony powinny wymuszać kontrolę dostępu z rozdzielczością do pojedynczych użytkowników i ich grup
  3. Automatyczne wdrażanie z możliwością klonowania i dostosowywania polityk do różnych rodzajów urządzeń podnosi zarówno bezpieczeństwo, jak i zgodność prawną, szczególnie w dużych rozproszonych organizacjach
  4. Zarządzanie reakcjami – AdTM wymaga aby rozwiązania dostosowywały profil ochrony sieci do zmian w krajobrazie zagrożeń – zwiększały ochronę dostępu, izolowały segmenty sieci, zmieniały uprawnienia, aktualizowały definicje i sygnatury i podejmowały inne działania dyktowane polityką bezpieczeństwa. Dla szybkich sukcesów krytyczna jest dostępność ustawień domyślnych i narzędzi upraszczających czynności administracyjne
  5. Monitoring, sprawozdawczość i kontrola – długofalowa ochrona sieci wymaga aby specjaliści od jej ochrony mieli dostęp do danych pochodzących z wielu źródeł, co umożliwia tworzenie polityk optymalizujących ochronę i wydajność sieci. Szczegółowe sprawozdania i narzędzia audytorskie pomagają w działaniach na rzecz długofalowego utrzymania bezpieczeństwa sieci, zgodności z politykami i sprawności
  6. Kompromisy między wydajnością a bezpieczeństwem – bezpieczeństwo nie powinno być zapewniane kosztem wydajności. Należy wystrzegać się kompromisów takich, jak analiza stanów w grodziach ogniowych zwiększająca prawdopodobieństwo spadku wydajności sieci w miarę „załączania” kolejnych mechanizmów ochronnych. Dokładne rozważenie przyszłych potrzeb biznesowych i uważna analiza podejścia producenta do kompromisów między bezpieczeństwem a wydajnością pomoże się ustrzec ślepych uliczek czy rozwiązań stwarzających problemy z wydajnością
  7. Skalowalność – rozwiązania zabezpieczające powinny być skalowalne w ślad za przyszłym rozrostem i zmianami sieci. Skalowalność możliwa jest po części dzięki dobremu zaprojektowaniu sieci, a po części dzięki elementom infrastruktury sieciowej zapewniającym nowe możliwości bez zbędnych dodatkowych instancji systemów operacyjnych, warstw sieciowych czy nieoptymalnych przepływów pakietów

Podsumowanie

Podejście oparte na rozwiązaniach stanowi kwantowy skok w przyszłość w walce o utrzymanie bezpieczeństwa organizacji i zapewnia swobodę wyboru. AdTM zwiastuje koniec wdrażania zabezpieczeń systemów informatycznych „po kawałku”. Dzięki korelowaniu informacji pochodzących z licznych systemów ochronnych, koordynowaniu ich reakcji na ataki i konsolidowaniu informacji w celu zapewnienia zarówno doraźnej jak i długofalowej adaptacji do zmiennego krajobrazu zagrożeń, systemy AdTM ogromnie podnoszą poziom bezpieczeństwa przy racjonalnych kosztach tego działania. Dokładna ocena technik alternatywnych i uważna analiza wyważenia zabezpieczeń i wydajności sieci pozwoli firmom najlepiej wykorzystać posiadane sieci, budżety oraz czas i umiejętności personelu.