Jak naši partneři vidí přístup ke kybernetické bezpečnosti v dnešním vysoce dynamickém podnikatelském prostředí
Způsob, jakým provozujeme obchodní činnost, se mění. Ale jaký to má vliv na IT bezpečnost? Partneři společnosti VMware – IBM, Computacenter, Softcat a OVH – nabízí svůj pohled na obor, který potřebuje zásadní změnu
Stoupá množství cloudů, zařízení a aplikací. S nimi se mění způsob práce a můžeme si dovolit tvrdit, že se tím zásadně mění i obchodní prostředí. Bezpečnostní rizika, která tato změna přináší, jsou vážná a stoupají ve všech odvětvích. Ochrana aplikací a dat nabývá na důležitosti. S tím souvisí otázka, zda tradiční přístupy k bezpečnosti – založené na zabezpečení perimetru sítě a sledování výskytu známého škodlivého softwaru – v dnešní době dostačují.
Stoupající frekvence a škody způsobené bezpečnostními incidenty – navzdory tomu, že podniky vynakládají na IT bezpečnost stoupající podíl svých rozpočtů na IT, ačkoli celkové výdaje stagnují – ukazuje na zásadní nedostatky stávajících bezpečnostních modelů, které se zaměřují výhradně na známé hrozby.
IT týmy potřebují nové technologie a řešení, která jim umožní zabezpečit interakce mezi uživateli, aplikacemi a daty v podstatně dynamičtějším, komplexnějším a rozsáhlejším prostředí než kdy dříve. S touto změnou musí pomoci distribuční partneři všech typů a velikostí. Jak ale oni sami vidí dřívější a dnešní bezpečnostní modely? Zeptali jsme se přímo těch, kteří jsou v každodenním kontaktu s koncovými uživateli. Adam Louca (Chief Technologist – Security, Softcat), Helen Kelisky (VP, Cloud, IBM UK & Ireland), Francois Loiseau (Private Cloud Technical Director, OVH) a Colin Williams (Chief Technologist – Networking, Security & Unified Communications, Computacenter) se s námi podělili o svůj názor na metody užívané v IT bezpečnosti a na to, co je potřeba změnit, mají-li podniky získat skutečně účinnou ochranu před narušením svých systémů a dat.
- IT bezpečnost se zásadně mění – od mikrosegmentace omezující možnosti pohybu útočníků v síti přes šifrování na úrovni dat a zabezpečení na úrovni jednotlivých aplikací po vynucování „známého dobrého“ namísto marné snahy o odhalení „neznámého špatného“. Jaký je váš názor na toto stručné shrnutí aktuálního stavu IT bezpečnosti?
Softcat: Potřebujeme, aby více dodavatelů chápalo tuto potřebu budovat bezpečnou infrastrukturu namísto snahy zabezpečit infrastrukturu až následně. Bezpečnostní principy nejmenších nutných oprávnění, segmentace sítě a seznamů povolených entit se v akademických kruzích již dlouho uvádí jako nejlepší praxe, ale pro většinu podniků dosud bylo jejich zavedení příliš složité. Problém zákazníků spočívá na straně provozu a „břemeno“ bezpečnosti lze zmenšit integrací zabezpečení do platforem, které již užívají. To znamená, že se zákazníci nemusí rozhodovat mezi doporučovanými bezpečnostními postupy a efektivitou provozu – mohou mít totiž obojí.
IBM: Potřebujeme změnit tradiční pohled na IT bezpečnost tak, aby odpovídal potřebám cloudových prostředí, kterým patří budoucnost. To znamená hledat způsoby, jak dosáhnout stejných výsledků v různých prostředích. Data jsou užívána ve všech složkách podniku, takže je nutný konzistentní přístup k zabezpečení ve všech oblastech. Cloudová bezpečnost je nejen dosažitelná, ale představuje i příležitost podpořit byznys, posílit obranu a snížit rizika. Transformací manuálních, statických a reaktivních bezpečnostních postupů na standardizovanější, automatizovanější a elastičtější přístup je možné si udržet náskok před hrozbami v cloudovém prostředí.
Computacenter: V oblasti podnikové IT bezpečnosti panuje určitý zmatek a tradiční přístup založený na obrazně „fyzického perimetru“ přestává být udržitelný. Každé ucelené řešení musí pokrývat všechny aspekty bezpečnosti IT prostředí – prevenci, detekci, neutralizaci a reakci po narušení – s pomocí různých, avšak úzce provázaných technologií. To znamená, že neexistuje jediný univerzální nástroj.
OVH: Při vývoji jakéhokoli řešení myslíme jako první na bezpečnost. Vytváření koncepce infrastruktury začíná bezpečností a následně neustále hledáme způsoby, jak ji zlepšovat. Předpisy a normy jako ISO, SOC a PCIDSS přiměly podniky respektovat globální bezpečnostní standardy. Při vytváření řešení k naplnění jejich požadavků jsme se velmi poučili, jak koncipovat inovativní, maximálně bezpečná řešení pro lokální cloudy našich zákazníků. Donedávna byly pro podniky přecházející z tradičního prostředí na cloud důležité přínosy jako provozní náklady, rychlost uvádění na trh nebo škálovatelnost. Dnes zákazníkům prodáváme cloudová řešení, kde je klíčovým parametrem zvýšení úrovně bezpečnosti, které získávají.
- Mění se nějak vaše diskuse se zákazníky o jejich IT bezpečnosti? Pokud ano, jak?
Softcat: Za posledních dvanáct měsíců jsme se setkali se zákazníky dvou typů. První skupina si plně uvědomuje, že musí významně investovat do kybernetické bezpečnosti, má-li dosáhnout přijatelné základní úrovně odolnosti – a u těchto zákazníků pozorujeme zvýšený zájem nejvyššího vedení o problematiku bezpečnosti, což je pozitivní.
Druhá skupina se trochu liší. Tyto podniky investovaly nemalé prostředky do rozsáhlého souboru nástrojů, ale přesto u nich stále dochází k bezpečnostním incidentům. Výsledkem je určitá deziluze a pocit, že kybernetická bezpečnost je zbytečná investice. Právě těmto podnikům intenzivně pomáháme – zjednodušit jejich přístup, položit správné základy a stavět na nich dále pouze podle skutečné potřeby.
IBM: Naši klienti chtějí využít přínosů přechodu na cloud, ale dobře vědí, že musí pečlivě vyhodnotit dopad takového kroku na bezpečnost. Postupně opouští přístupy zaměřené na ochranu perimetru a hledají produkty, které dokáží nahradit prvky zabezpečení poskytované routery, firewally a dalšími hraničními zařízeními cloudovými službami, jako jsou zprostředkovatelé zabezpečení přístupu do cloudu a služby ověřování identity v cloudu.
Computacenter: Diskuse o bezpečnosti se mění. Pozorujeme posun od tradičních implementací „bodových produktů“, které řeší jednotlivé problémy, směrem k potřebě konzultačních služeb v oblasti architektury a sladění s potřebami byznysu. Podniky si uvědomují, že potřebují lepší přehled o potenciálních hrozbách i skutečných narušeních bezpečnosti, ale také že mají-li toho dosáhnout, budou potřebovat jednodušší koncepci zabezpečení a vyšší míru integrace bezpečnostních řešení.
OVH: Ještě před několika lety jsme prodávali zálohovací nástroje jako volitelný doplněk, dnes je obnova po havárii považována za nedílnou součást každého řešení. Mění se i bezpečnostní ekosystém. V dnešním světě, kde je vše nabízeno jako služba a cokoli lze instalovat na jedno kliknutí, zákazníci nechtějí trávit týdny či měsíce krocením složitého firewallu nebo konfigurací vyvažovače zátěže. Chtějí nastavit spouštěče nebo zavést do systémů inteligenci, která zajistí konstantní úroveň bezpečnosti v dynamické infrastruktuře.
- Souhlasíte s tvrzením, že IT bezpečnost potřebuje zásadní změnu?
Softcat: Domnívám se, že se jedná o návrat ke kořenům IT bezpečnosti. Můžeme pozorovat, jak se nástroje vrací k bezpečnostním konceptům, které existují od počátku 90. let.
IBM: Na bezpečnost je nutné pohlížet společně s vývojem a provozem jako na součást agilních procesů DevOps, jejichž obliba stoupá. Zacházení se zabezpečením stejným způsobem a definování bezpečnosti jako kódu spojuje příslušné týmy, vyzdvihuje bezpečnost do popředí a zajišťuje, že bude stejně důležitá jako vývoj a provoz.
Computacenter: Radikální změna již probíhá, ale nikoli s dostatečnou razancí. Nekonečná řada nových produktů od nově vznikajících dodavatelů vyznačuje „další cestu“. Před dalšími nákupy nových řešení však musí být pro podniky prioritou položit správné základy a zavést správná bezpečnostní opatření.
OVH: Externalizace pracovních zátěží, hybridní design a cloud obecně přináší zásadní změny. Často hovoříme o „nativně cloudových“ implementacích a bezpečnost se musí změnit z nadstavby IT prostředí také na nativně cloudovou. Což znamená přizpůsobitelnost, soulad s předpisy, schopnost dalšího vývoje, jednoduchost a (velmi brzy) také hladkou integraci do multi-cloudového prostředí.
- Jak vašim zákazníkům pomůže implementace zabezpečení v síti nebo na úrovni aplikací level dosáhnout cílů digitalizace?
Softcat: Digitální transformace může probíhat pouze v bezpečném prostředí. Transformace vyžaduje od podniku investice a ty se mohou uskutečnit pouze za předpokladu, že dokážeme řídit rizika. Jedním z nejvýznamnějších je riziko průniku do systémů. Začlenění zabezpečení do podnikových platforem pomáhá přizpůsobit bezpečnostní požadavky pro každou aplikaci a služby podle závažnosti rizik a dopadu narušení jejich bezpečnosti. To umožňuje rychleji a bezpečněji zavádět nová řešení, protože zabezpečení je součástí procesu, nikoli nadstavba.
IBM: Je nutné zvažovat kontext a přínos zaváděných bezpečnostních opatření. Přínosem pro podnik bude vyšší míra kontroly, podrobnější řízení přístupu do sítě a vnitřní bezpečnostní opatření, např. šifrování.
Computacenter: Síť v digitálním věku „všechno vidí“ a díky úzkému propojení s aplikační vrstvou lze dosáhnout určitého stupně znalosti kontextu. Zabezpečení na úrovni sítě nevyřeší všechny problémy, ale musí prostupovat celou architekturou včetně příslušných pravidel.
OVH: Doba nutná k uvádění nových produktů a služeb na trh souvisí s podnikovým IT. To znamená, že je na IT oddělení, aby vytvořilo takové prostředí, které nebude podnik brzdit, ale naopak tuto dobu pomůže zkrátit. Mnoho zákazníku z tohoto důvodu volí softwarově definovaná řešení, konkrétně NSX na úrovni sítě, aby tak vytvořilo bezpečné, automatizované prostředí, které umožňuje IT oddělení ušetřit čas při zavádění různých platforem.
- Můžete uvést příklady zákazníků, kteří transformovali svoji IT bezpečnost? Co udělali jinak?
Softcat: Pomáhal jsem velkému podniku na severovýchodě USA transformovat IT bezpečnost z tradičního modelu zabezpečení jako nadstavby na model založený na principu nulové důvěry. Podnik se změnil z hledače hrozeb na organizaci, která si uvědomuje svá vnitřní i vnější rizika a zná možnosti jejich řízení a minimalizace. Pomohli jsme jim sestavit strategii architektury, která poskytuje vícevrstvou ochranu bez ohledu na typ hrozby. To vše, aniž by museli investovat do mnoha různých nástrojů. Je úžasné, čeho lze dosáhnout, vrátíme-li se k úplným základům.
IBM: Většina klientů, kteří úspěšně transformovali IT bezpečnost, toho dosáhli změnou organizační kultury. Je nutné přijmout myšlenku, že bezpečnost existuje proto, aby umožňovala a podporovala obchodní činnost. Bude-li podnik brát bezpečnost jako celek vážně, bude podstatně snazší připravit, zavést a řídit bezpečnostní opatření.
Závěrečné zamyšlení
Všechny tyto postřehy svědčí o jednom: potřebě zavést jediný „zdroj pravdy“ pro všechna dnešní bezpečnostní řešení a pro vyvíjející se obchodní prostředí, které potřebuje ochranu. Obchodní modely se budou neustále měnit a lidé a zařízení stále více propojovat s tím, jak se podniky rozkračují mezi fyzickým a digitálním světem. Podniky dnes posouvají hranice svých možností pomocí technologií od IoT přes strojové učení po plnohodnotnou umělou inteligenci, aby si zachovaly konkurenceschopnost.
To jednak představuje skvělou příležitost, jednak vytváří rozsáhlejší a komplikovanější IT prostředí s větším množstvím potenciálních zranitelností, které je nutné zabezpečit. Avšak ustavením „vyšší pravdy“ – na základě podrobnějšího a ucelenějšího přehledu a lepší znalosti kontextu – dokáží podniky lépe porozumět svému stále fragmentovanějšímu a složitějšímu IT prostředí a zajistit jeho ochranu, které je nebude brzdit, ale naopak poskytne bezpečí, podpoří inovace a pomůže dosahovat lepších obchodních výsledků.
Kategorie: Novinky a hlavní zprávy
Zatím žádné komentáře