+48 669 STORIO (786746)

Twoja firma pod

szczególną ochroną

DataDomain - rozwiązanie do deduplikacji danych
EMC UNITY najnowsze macierze
Isilon - przechowywanie danych przez długie lata
UTM – czyli nowoczesne rozwiązania bezpieczeństwa sieci

Wyprzedzanie zagrożeń

W ostatnich latach coraz więcej słyszymy o serii niezwykle udanych przypadków poważnego naruszenia bezpieczeństwa dostępu do danych. Tego rodzaju ataki przyciągają uwagę konsumentów, prawodawców i mediów, gdy w ich wyniku udaje się włamać do bardzo dużych organizacji zatrudniających specjalne zespoły do spraw zabezpieczeń oraz dysponujących rozległą infrastrukturą, której zadaniem jest powstrzymywanie działań hakerów. Mniejsze organizacje również stają się celami, czasem, jako część większego skoordynowanego ataku, a czasem jako ofiary infekcji różnego rodzaju złośliwym oprogramowaniem. Wziąwszy to wszystko pod uwagę, należy zadać sobie pytanie — jak to się stało, że przy takich nakładach finansowych na bezpieczeństwo w cyberprzestrzeni takie naruszenia bezpieczeństwa miały i nadal mają miejsce?

Odpowiedź leży po części w tradycyjnym podejściu organizacji do kwestii bezpieczeństwa sieci, które to przesadnie skupiają się na zapewnieniu zgodności z przepisami (odhaczenie wszystkich pozycji na liście kontrolnej to nie wszystko). Poza tym, wiele firm za bardzo opiera strategię bezpieczeństwa na wynikach oceny ryzyka przed znanymi zagrożeniami (oczywiście ochrona przed znanymi zagrożeniami jest ważna, najważniejsza jest jednak zdolność do ochrony przed nieznanymi zagrożeniami). Kolejna przyczyna to zbytnie skupienie na najlepszych rozwiązaniach w swojej klasie, czyli zapora od jednego producenta, środowisko testowe (typu sandbox) od drugiego producenta, a system filtrowania spamu od trzeciego producenta. Żadne z tych rozwiązań nie zostało zaprojektowane do współdziałania ze sobą, co w efekcie sprawia, że mogą pojawić się groźne luki w zabezpieczeniach. 

Inną kwestią jest fakt, że zmieniła się sama sieć. Z biznesowego punktu widzenia te zmiany może i są pozytywne, bo pozwalają przedsiębiorstwom się rozwijać i korzystać z nowych okazji. Z punktu widzenia bezpieczeństwa jednak bardzo ułatwiły one hakerom i cyberprzestępcom włamywanie się do sieci. Dawniej granice sieci były wyraźnie zdefiniowane i chronione odpowiednimi zabezpieczeniami. Rozwój technologiczny spowodował jednak zmiany, w obliczu których wspomniane zabezpieczenia są nieskuteczne. Do ogromnego zwiększenia się obszaru ataku przyczyniły się między innymi połączenia z Internetem, technologie chmury i powszechne obecnie technologie bezprzewodowe. Ze względu na fakt, że większość sieci wewnętrznych jest płaska, naruszenie ich zabezpieczeń sprawia, że atakujący może łatwo poruszać się po poszczególnych poziomach całej zaatakowanej sieci. Wyeliminowanie takiego zagrożenia to największe wyzwanie dla większości przedsiębiorstw.

Jaki z tego wniosek? – Taki, że należy zastosować bardziej dogłębne i wszechstronne podejście do bezpieczeństwa cybernetycznego.

Tradycyjne podejście koncentrowało się na zapobieganiu — uniemożliwianiu hakerowi lub złośliwemu oprogramowaniu przedostania się do sieci. I podczas gdy mechanizmy zapobiegające nadal są istotną częścią rozwiązania, same w sobie okazały się niewystarczające. Potrzebujemy wielowarstwowego systemu obejmującego wiele mechanizmów, które zapewnią nie tylko silną warstwę zapobiegającą, lecz także możliwość wykrywania włamań i wykonywania odpowiednich czynności w odpowiedzi na atak.

Infrastruktura nowoczesnego podejścia obejmuje trzy różne obszary: zapobiegania, wykrywania i ochrony. Jej główną cechą jest to, że zamiast działać oddzielnie, wszystkie one są połączone i współpracują, co pozwala zminimalizować, a nawet wyeliminować luki między poszczególnymi produktami, jakie można znaleźć w typowych rozwiązaniach punktowych.


Jakie technologie kryją się za tymi obszarami?
 

Mając na uwadze fakt, że istnieje wiele równoległych wektorów ataku, które haker lub cyberprzestępca może wykorzystać w celu dostania się do sieci, u podstaw każdego rozwiązania ATP (Advanced Persistent Threats) powinno leżeć zapewnienie maksymalnej możliwej ochrony poprzez współdziałanie wszystkich elementów rozwiązania. Nie jest to możliwe, gdy używanych jest kilka odrębnych produktów zabezpieczających. Wszystkie trzy obszary działania, czyli zapobieganie, wykrywanie i ochrona, mogą zapewnić skuteczność tylko wówczas, gdy poszczególne elementy rozwiązania współpracują ze sobą. To właśnie jest sednem rozwiązania ATP firmy Fortinet, której jesteśmy autoryzowanym partnerem.

Podstawą skutecznego zapobiegania jest współdziałanie wielu technologii w celu ograniczania przestrzeni ataków i blokowanie dostępu zagrożeń do sieci. FortiGate — oferowane przez firmę Fortinet urządzenie zabezpieczające — jest czymś znacznie więcej niż tylko firewallem. Najważniejszym atutem rozwiązania FortiGate, wyróżniającym je spośród innych rozwiązań dostępnych na rynku, jest wielofunkcyjność uzyskiwana dzięki wysokowydajnej technologii ASIC zastosowanej w każdym z tych urządzeń w celu przyspieszenia ich działania. Podstawą rozwiązania jest firewall o pełnym zakresie funkcji, do którego w ramach ekonomicznej licencji można dodawać kolejne funkcje na wyższych poziomach. W zależności od potrzeb klienta możliwe jest aktywowanie i równoczesne uruchamianie następujących usług: systemy ochrony przed włamaniami (IPS), kontrola aplikacji, filtrowanie adresów URL, antywirus oraz kontrola punktów końcowych. Zapewnia to skuteczną ochronę pogranicza sieci.

Jednak uzyskanie dostępu do sieci poprzez sieć WAN lub Internet to tylko jeden z możliwych wektorów ataku. Dwa inne popularne wektory to publicznie dostępne strony internetowe oraz serwery pocztowe. Te systemy wymagają specjalistycznych zabezpieczeń. Firmie Fortinet udało się sprostać temu wyzwaniu poprzez zastosowanie rozwiązań, takich jak firewall aplikacji webowych (WAF) FortiWeb oraz bezpieczna brama pocztowa FortiMail.
W rozwiązaniu FortiGate dostępna jest wprawdzie funkcja filtrowania adresów URL, jednak zadaniem firewalli jest działanie przede wszystkim na poziomie sieci, przez co strony internetowe i działające na nich aplikacje mogą być narażone na zagrożenia, takie jak wstrzyknięcie kodu SQL, cross-site scripting (XSS) oraz zdalne wykonanie kodu. Rozwiązanie FortiWeb zapewnia ochronę w warstwie aplikacji i jest dostosowane do szczególnych potrzeb związanych z używanymi obecnie aplikacjami webowymi.

Trzecim elementem zapobiegania w rozwiązaniu ATP firmy Fortinet jest FortiMail. FortiMail to rozwiązanie zabezpieczające przestrzeń pomiędzy siecią a serwerem pocztowym organizacji, które skanuje wiadomości e-mail zanim dotrą do serwera i zostaną doręczone do użytkowników końcowych. Podobnie jak w przypadku powiązań między rozwiązaniami FortiGate i FortiWeb, brama FortiMail uzupełnia rozwiązanie FortiGate o bardziej zaawansowane funkcje antyspamowe oraz własne zabezpieczenia antywirusowe i filtrowanie adresów URL, umożliwiające wykrywanie nieznanych, złośliwych plików oraz adresów URL osadzonych w „phishingowych” wiadomościach e-mail. Umożliwia to kontrolowanie w czasie rzeczywistym i blokowanie zagrożeń przesyłanych w wiadomościach e-mail przy wykorzystaniu jak najmniejszej ilości zasobów, często na etapie nawiązywania połączenia. Poprzez wyeliminowanie konieczności dodawania wiadomości e-mail do kolejki, gdy docelowy serwer pocztowy jest dostępny, przy użyciu jednego urządzenia możliwe jest zapewnienie ochrony z wydajnością ponad 28 milionów wiadomości na godzinę.

Ponieważ te trzy systemy — FortiGate, FortiWeb i FortiMail — można wdrożyć jako samodzielne rozwiązania, każdy z nich obejmuje pełen zestaw funkcji uniemożliwiających złośliwemu oprogramowaniu uzyskanie dostępu do sieci. Wdrożenie ich razem sprawia, że połączone funkcje tworzą system zazębiających się ze sobą zabezpieczeń, obejmujących swym działaniem wszystkie możliwe wektory ataku. Jedną szczególną funkcję wspólną można jednak uznać za „klej”, który wszystko spaja — jest to potężny silnik antywirusowy zastosowany w każdym z tych trzech produktów, będący równocześnie kluczowym elementem zapobiegania w infrastrukturze firmy Fortinet. Skuteczna technologia antywirusowa jest w rzeczy samej najważniejszą częścią infrastruktury zabezpieczeń przed zaawansowanymi zagrożeniami. Jest tak dlatego, że znaczny odsetek malware'u będącego w użyciu jest już znany (lub znane są jego odmiany) i w dalszym ciągu skuteczny. Jego skuteczność spowodowana jest tym, że systemy będące obiektem ataków wymagają okresowych aktualizacji w celu wyeliminowania podatności, które mogą zostać wykorzystane przez hakerów lub cyberprzestępców.
Jednak pewna część tych systemów nie zostaje zaktualizowana z powodu braku działań ze strony użytkowników końcowych lub nie może zostać zaktualizowana ze względów operacyjnych, co udostępnia bardzo rozległą i atrakcyjną przestrzeń ataków. Opracowany przez firmę Fortinet system antywirusowy jest systematycznie testowany przez zewnętrzne, niezależne organizacje i niezmiennie jest oceniany jako jedno z najlepszych rozwiązań antywirusowych dostępnych na rynku. 

Uzupełnieniem sieciowych funkcji antywirusowych jest rozwiązanie FortiClient — opracowane przez firmę Fortinet oprogramowanie klienckie, w którym zastosowano ten sam silnik antywirusowy. Dzięki rozszerzeniu zakresu działania skutecznej funkcji antywirusowej firmy Fortinet na całą sieć, aż po komputery użytkowników, całość sieci objęta jest ochroną w ramach sprawdzonego mechanizmu zapobiegania.

Kolejnym aspektem udaremniania penetracji sieci przez zagrożenia jest uwierzytelnianie użytkowników. W związku z coraz powszechniejszym wykorzystaniem „phishingowych” wiadomości e-mail, mających na celu wyłudzenie danych uwierzytelniających w celu uzyskania dostępu do sieci, dodatkowy poziom zabezpieczeń związanych z identyfikacją uprawnionych użytkowników zapewnia uwierzytelnianie dwuskładnikowe. Rozwiązania FortiAuthenticator oraz FortiToken w połączeniu z urządzeniem FortiGate zapewniają sprawdzone, dwuskładnikowe uwierzytelnianie dostępu do sieci w ramach samodzielnego systemu lub przy współpracy z dowolną wdrożoną już technologią uwierzytelniania. Połączenie podejść „kim jesteś” i „co wiesz” pozwala wyeliminować luki w kontroli dostępu użytkowników i strategii zarządzania tożsamościami. Po prawidłowym uwierzytelnieniu i zidentyfikowaniu użytkownika funkcje kontroli urządzeń końcowych i dostępu stosowane w rozwiązaniu FortiGate są w stanie zapewniać i przydzielać poszczególnym użytkownikom i urządzeniom odpowiedni poziom uprawnień.

Gdy dochodzi do włamania, oprócz błędu ludzkiego lub niewłaściwego projektu sieci, najbardziej prawdopodobną jego przyczyną jest nieznany malware, czyli złośliwe oprogramowanie, którego nie udało się powstrzymać przy użyciu technologii zapobiegawczych, ponieważ nie były one w stanie rozpoznać jego szkodliwości (możliwe powody niewykrycia malware'u to polimorfizm, kompresja, szyfrowanie oraz ochrona hasłem). Dlatego właśnie niezbędna jest druga warstwa zabezpieczeń, służąca do eliminowania nieznanych lub niewykrytych zagrożeń. Jak już wspomnieliśmy, istnieje wiele technologii i metod, z których należy korzystać na etapie wykrywania. Jedną z nich jest zastosowanie środowiska sandbox.

Środowisko sandbox umożliwia wykrywanie malware'u, któremu udało się uniknąć identyfikacji przez stosowane w sieci technologie zapobiegawcze. W sytuacji idealnej środowisko sandbox wykrywałoby 100% malware'u w ciągu kilku sekund od włamania. Jednak w prawdziwym świecie, mimo iż 100-procentowa skuteczność wykrywania naruszeń zabezpieczeń jest osiągalna, ilość czasu niezbędnego do wykrycia włamania znacząco się różni w rozwiązaniach różnych dostawców.

Głównym czynnikiem odróżniającym poszczególne produkty jest zależność pomiędzy wykrywaniem i zapobieganiem. Jeśli zasada działania środowiska sandbox opiera się wyłącznie na wykrywaniu, przetestowany musi zostać każdy plik przechodzący przez to środowisko. W tej metodologii problemem jest to, że pochłania dużo czasu, który może zostać wykorzystany przez malware. Aby zminimalizować czas wykrycia, w środowisku sandbox należy zastosować odpowiednio dobraną funkcję filtrowania wstępnego, ograniczającą liczbę plików poddawanych szczegółowej analizie. Przeniesienie części zapobiegania do etapu wykrywania zwiększa możliwości wykrywania włamań do sieci i reagowania na nie. FortiSandbox to wielowarstwowe, kompletne środowisko sandbox, w którym wykorzystano dwie funkcje wstępnego filtrowania: skuteczny system antywirusowy oraz dostęp do chmury z informacjami o zagrożeniach opracowywanymi przez FortiGuard — dział firmy Fortinet odpowiedzialny za badania nad zagrożeniami i ich analizowanie. Jeśli próbka nie zostanie wyeliminowana w ramach tych dwóch odrębnych procedur, zostaje poddana pełnej analizie w wirtualnym środowisku sandbox, obejmującej emulację kodu w celu ustalenia, czy zawiera złośliwą zawartość. Jeśli próbka okaże się złośliwym kodem, system FortiSandbox prześle dane na temat tego malware'u do laboratoriów FortiGuard Labs, gdzie zostaną przeprowadzone odpowiednie analizy, po czym do wszystkich produktów firmy Fortinet na całym świecie zostanie rozesłana aktualizacja.

Fortinet zapewnia przedsiębiorstwom kompleksową, spójną i sprawdzoną automatyczną infrastrukturę zabezpieczającą wszystkie elementy sieci wewnętrznej, w tym chmurę, granice i punkty końcowe. Elementy oferowanych przez Fortinet rozwiązań Advanced Threat Protection zostały zaprojektowane pod kątem ścisłej wzajemnej integracji. Podejście to gwarantuje, że zabezpieczenia są zdolne do szybkiej i efektywnej wzajemnej wymiany danych oraz ułatwiają zarządzanie całym środowiskiem zabezpieczeń. Ponadto każdy składnik jest osobno sprawdzany, aby wspomniana integracja i automatyzacja nie odbywały się kosztem efektywnego działania sieci.

 

Artykuł w oparciu o materiały producenta Fortinet.