Cyberbezpieczeństwo: dlaczego technologia zawiodła?

Dodane 23/01/2018 by blogsadmin
OŚWIADCZENIE: ten artykuł jest starszy niż jeden rok i może nie być aktualny w przypadku ostatnich wydarzeń lub nowo dostępnych informacji.

Mikołaj Wiśniak
, Manager Systems Engineering, Eastern Europe


Czas przyznać, że w dziedzinie cyberbezpieczeństwa i ochrony danych branża technologiczna zawiodła swoich klientów. Fundamentem w naszej branży jest zaufanie. Zaufanie, że oprogramowanie i sprzęt działają tak, jak powinny. Zaufanie dotyczące poufności danych klientów i tego, że potrafimy chronić integralność i dostępność systemów o fundamentalnym znaczeniu dla działalności przedsiębiorstwa. Pracujemy na to zaufanie każdego dnia, chroniąc newralgiczne aplikacje i wrażliwe dane klientów w świecie coraz bardziej zdominowanym przez mobilność i chmurę. Staje się to coraz trudniejsze z powodu szybkiej ewolucji architektur aplikacyjnych i tego, że celem cyberprzestępców coraz częściej są właśnie aplikacje.

Albert Einstein powiedział kiedyś, że obłędem jest powtarzanie w kółko tej samej czynności w oczekiwaniu na inne rezultaty. Niestety, tak wygląda nasze obecne podejście do cyberbezpieczeństwa. Dopóki nie zaprojektujemy nowego bazowego modelu ochrony, nie wydobędziemy się z tej pułapki.

Transformacja cyberbezpieczeństwa: od pogoni za złodziejem do zapewniania spokoju

Naszym problemem nie jest brak innowacyjnych produktów. Wręcz przeciwnie: w dziedzinie cyberbezpieczeństwa mamy obecnie mnóstwo innowacji. Problemem jest nasze podejście polegające na „pogoni za złodziejem“. To nigdy nie kończący się wyścig zbrojeń, w którym zawsze pozostajemy w tyle. Gonienie złodzieja jest jak szukanie igły w stogu siana, gdy próbuje się znaleźć dziurę w rozległej przestrzeni ataku.

Co by było, gdybyśmy przyjęli odwrotne podejście? Gdyby, zamiast gonić złodzieja, postawić cały model na głowie i skupić się na zapewnianiu spokoju? Robiąc to, ograniczamy nasz stóg siana, czyli przestrzeń ataku, do minimalnych rozmiarów. Jak to osiągnąć?

Istotą zapewniania spokoju jest przywrócenie do życia klasycznej koncepcji „minimum uprawnień“. Polega ona na tym, że użytkownicy mają tylko tyle możliwości dostępu, działań i interakcji, ile jest im naprawdę niezbędne. Innymi słowy: jeśli w zamierzony sposób nie przyznano nam dostępu do czegoś, to go nie posiadamy. W odróżnieniu od czasów, w których ta koncepcja powstała, obecnie można wymuszać zasadę minimum uprawnień na dużą skalę bez spowalniania innowacji i utrudniania działalności biznesowej.

Przy tym zapewnianie spokoju to coś znacznie więcej niż sztywne blokowanie wszystkiego domyślnie. Mówimy o dużo bardziej zniuansowanym i wyrafinowanym podejściu. Gdy wykorzystujemy zasadę minimum uprawnień do zapewniania spokoju, chodzi nam o zrównoważenie bezpieczeństwa oraz potrzeby szybkiego i elastycznego dostarczania usług. Innymi słowy bezpieczeństwo ma dawać nowe możliwości, a nie je ograniczać. Ma być jak hamulce w samochodzie: ich celem nie jest spowalnianie jazdy, ale umożliwienie bezpiecznego rozwijania dużej szybkości.

Trzy filary koncepcji zapewniania spokoju

Koncepcja zapewniania spokoju ma trzy filary:

  • Po pierwsze: korzystanie z bezpiecznej infrastruktury do budowy środowiska minimum uprawnień wokół aplikacji.
  • Po drugie: zwiększanie możliwości systemu poprzez eksponowanie granic i kontekstu tych środowisk oraz umożliwianie mu dostosowanie się do tych granic.
  • Po trzecie: ułatwianie pracy zgodnej z zasadami cyberhigieny.

Bezpieczna infrastruktura

Bezpieczna infrastruktura zmienia reguły gry, umożliwiając szybkie ograniczenie dostępu do newralgicznych aplikacji i danych, wbudowanie mechanizmów sterujących zabezpieczeniami i wdrożenie powtarzalnych i precyzyjnych procesów cyberhigieny. Nie chodzi tu jedynie o stworzenie bezpiecznego środowiska, ale przygotowanie infrastruktury, która umożliwia zrozumienie relacji między aplikacjami oraz stworzenie wokół nich warunków spełniających zasadę minimum uprawnień.

Infrastruktura zapewniająca spokój musi mieć zaprojektowane od podstaw, wbudowane, własne mechanizmy precyzyjnie dopasowane do tego, co najważniejsze: aplikacji i danych. Obecnie zbyt wiele jest mechanizmów sterujących zabezpieczeniami, które są dopasowane do urządzeń będących jedynie drobnymi składnikami infrastruktury: routerów, przełączników czy serwerów. Dlaczego tak jest? Ponieważ w świecie opartym na sprzęcie było to jedyne miejsce, w którym można je było umieścić. W świecie opartym na oprogramowaniu pracujemy już z bardziej płynną materią,  która nie jest tylko zbiorem odrębnych rozwiązań sprzętowych i brzegowych.

Zwiększenie możliwości ekosystemu

Aby skutecznie zapewniać spokój, ekosystem mechanizmów sterowania zabezpieczeniami musi mieć uprzywilejowaną pozycję w środowisku. Te mechanizmy muszą mieć dostęp do bogatych informacji kontekstowych o chronionych aplikacjach i danych oraz zapewnioną pełną widoczność i kontrolę. Wielu uczestników ekosystemu już teraz z entuzjazmem odnosi się do tej rewolucyjnej koncepcji, dostrzegając potrzebę nowych metod, które pozwolą uniknąć ciągłego szukania igieł w nieustannie rosnącym stogu siana.

Cyberhigiena

Stałe trzymanie się podstawowych zasad cyberhigieny to najskuteczniejszy środek przeciw włamaniom. Jest też jednym z filarów zapewniania spokoju.

Niestety, jedyną rzeczą w tym obszarze, co do której jesteśmy konsekwentni, jest brak konsekwencji — nieustanne naruszamy zasady cyberhigieny. Przyczyną nie jest brak zrozumienia potrzeb przez specjalistów ds. bezpieczeństwa, ale wielka trudności zachowania zasad cyberhigieny w obliczu ciągłych zmian. Bez wątpienia musimy znacznie uprościć stosowanie pięciu filarów dobrej cyberhigieny.

Przyjrzymy się największym włamaniom, o których głośno było w mediach w ostatnich latach. Wszystkich ich można było uniknąć lub znacznie ograniczyć ich efekty, gdyby będące celem ataków firmy przestrzegały tych podstawowych zasad.

W dziedzinie ochrony zwykle zadajemy pytanie: „Jak to zabezpieczyć?“. Powinniśmy raczej zapytać: „Jak w nowy sposób możemy wykorzystać naszą infrastrukturę IT do transformacji bezpieczeństwa?“.

Po epoce, w której branża technologiczna zawiodła w obszarze bezpieczeństwa, przyszedł czas, by postawić na głowie model bezpieczeństwa.

Kategoria: Business

Tagi: , , ,

Podobne artykuły
Dodane 16/02/2017 przez blogsadmin

Jak rozwiązać problemy współczesnych środowisk IT? Słuchając ludzi

Bartłomiej Ślawski, Country Manager, VMware Polska Nikt nie przepada za wypełnianiem firmowych formularzy rozliczania wydatków. Przez całe lata przedsiębiorcom wmawiano jednak, że korzystanie z nich ułatwia wszystkim życie. Ale prawda leży gdzie indziej — formularze są wygodne tylko dla tych, którzy odpowiadają za rozliczanie wydatków innych pracowników. Ten prosty przykład pokazuje, że w wielu firmach […]

Czytaj dalej
Dodane 19/05/2017 przez blogsadmin

Cyfrowe miejsce pracy w bankach nowej generacji

Bartłomiej Ślawski, Country Manager, VMware Polska Firmy z sektora usług finansowych od zawsze musiały być otwarte na cyfrowe technologie i szybko wdrażać nowe rozwiązania, po to, aby zachowywać konkurencyjność. Jednak my, jako klienci końcowi, nie zwracamy szczególnej uwagi na to, jakie technologie wykorzystywane są w ramach back office danego banku. Zdolność gromadzenia danych i wykorzystywania […]

Czytaj dalej
Dodane 07/03/2019 przez msalanski

Poznaj swoje dane, a zrozumiesz jak działa cyberbezpieczeństwo

Dane są dosłownie wszędzie. Generują je nasze telefony, pojedyncze kliknięcie w Internecie, urządzenia medyczne w szpitalach, fabryczne czujniki IoT. Ich liczba rośnie w zastraszającym tempie, a znaczenie jest niezwykle ważne, ponieważ to właśnie one stanowią fundament cyfrowej rewolucji, która pozwala nam rozwijać się jak nigdy wcześniej w historii. Zapewnienie bezpieczeństwa tym danym nigdy nie było […]

Czytaj dalej

Komentarze

Brak komentarzy

Dodaj komentarz

Your email address will not be published.

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy