„Czy bezpieczeństwo zawsze musi generować koszt w naszej firmie?” – pytanie to nurtuje niejednego prezesa, a największe głowy biznesu wciąż nie potrafią udzielić jednoznacznej odpowiedzi.
Aby zmierzyć się z tak postawionym pytaniem, należy przede wszystkim zastanowić się, dlaczego bezpieczeństwo informatyczne traktowane jest jako dodatkowy wydatek – temat, który wiele firm (jeśli nie są do tego zobligowane prawnie) omija szerokim łukiem… Aż do momentu, kiedy przestępcy przypomną, że ignorowanie kwestii ochrony danych jako ostatecznego obowiązku to ciężki grzech zaniedbania, który mści się wielokrotnie.
Niestety wielowarstwowe i wielowektorowe ataki wymagają tak samo zaawansowanych zabezpieczeń. Wobec tego jedynie kompleksowe podejście do tych zagadnień daje nam realne obniżenie ryzyka i względną ochronę naszego przedsiębiorstwa. Dlaczego tylko względną? Ponieważ bezwzględna ochrona po prostu nie istnieje – nie ma się co do tego oszukiwać, jakaś luka zawsze będzie istniała nawet w najbardziej chronionym środowisku.
Tu należy postawić sobie pierwsze i podstawowe pytanie: jaką strategię walki z przestępcami obrać i jak się przed nimi chronić?
Możliwości są trzy.
1. Układ z wielowarstwowymi zabezpieczeniami pochodzącymi od wielu dostawców (oraz nadzieja, że taka układanka zapewni bezpieczeństwo).
Jeśli nie zapora sieciowa, to może system ochrony poczty, a może zabezpieczenie w punkcie końcowym lub matryca IPS – co skutecznie zatrzyma atak? Niestety rzeczywistość pokazuje, że takie podejście jest skazane na porażkę lub stanowić będzie wydatek, jakiego nasza organizacja nie udźwignie. Koszty utrzymania systemu, finansowanie wykształcenia i stałego podnoszenia kwalifikacji osób zarządzających systemami bezpieczeństwa, wsparcie dla wielu platform i środowisk – to wszystko sprawia, że model ten przestaje być atrakcyjny. Co więcej statystyki pokazują, że problem coraz rzadziej leży po stronie wykrywalności, a coraz częściej sukces tkwi w umiejętnym zarządzaniu całością systemów i przede wszystkim w szybkości detekcji incydentów bezpieczeństwa. Czas reakcji ponad 200 dni jest nieakceptowalny? Oczywiście, że nie jest. Jednak – według statystyk – tyle w rzeczywistości trwa wykrycie incydentu związanego z bezpieczeństwem w Polskich firmach.
2. Układ z wielowarstwowymi zabezpieczeniami pochodzącymi od jednego dostawcy.
Takie podejście daje nam wiele korzyści. Przede wszystkim jest to oczywiście centralne zarządzanie i korelacja zdarzeń z różnych systemów i urządzeń. To niewątpliwie najszybsza droga do tego, aby wykrywać zagrożenia i incydenty szybciej, sprawniej i w sposób w wielu przypadkach zautomatyzowany. Niestety takie rozwiązanie to również ryzyko. Proszę sobie wyobrazić, co się stanie, jeśli u danego dostawcy wystąpi podatność – czy nie będzie ona swoisty uniwersalnym wytrychem do wszystkich naszych drzwi? Takie ryzyko istnieje, jednak czy jest ono prawdopodobne?
Ważny jest również aspekt handlowy korzystania z usług jednego dostawcy. Nie można zapominać, że w takim scenariuszu istnieje zagrożenie możliwej dyktatury cenowej. Rozzuchwaleni dostawcy mogą wyjść z założenia, że klient korzysta z tak wielu usług, że zwyczajnie będzie skłonny zapłacić więcej, niż zmieniać całe środowisko, w które tyle już zainwestował.
Ten grzech pychy bardzo szybko sprowadził wielu dostawców na ziemię – klienci zdecydowali się podjąć ryzyko i wymienić całość systemu na rozwiązania innego producenta.
3. Dla tych, którzy nie wierzą w pierwszy model i nie są zainteresowani drugim modelem, istnieje trzeci.
Osobiście uważam, że ten model idealnie pasuje do teorii Świętego Graala – gdzie można realnie minimalizować ryzyka, a jednocześnie optymalizować koszty.
Jak to osiągnąć? Trzeba uświadomić sobie, że serwery można uporządkować w grupy o ujednoliconej infrastrukturze, co sprawi, że szybkość detekcji i obniżenia kosztów przeważy nad możliwym błędem producenta i jego konsekwencjami, a także nad sytuacją, w której jesteśmy skazani na jednego dostawcę.
Wyobraźmy sobie infrastrukturę bezpieczeństwa, w której pierwszą warstwę w postaci zapory sieciowej tworzy rozwiązanie dostawcy A (jednego z liderów rynku), a zabezpieczenie poczty, punktów końcowych, urządzeń mobilnych, ochronę ruchu web, a także szyfrowanie i DLP powierzamy innemu. Co dzięki temu uzyskujemy? Przede wszystkim stawiamy użytkownika w centrum naszego zainteresowania, ponieważ możemy w jednym miejscu monitorować to, co dla użytkownika istotne i widzieć zagrożenia czy ataki wymierzone właśnie w niego. Wgląd w zagrożenia rozprzestrzeniające się za pomocą podstawowych kanałów (web, poczta, nośniki USB) daje realne przyspieszenie naszych reakcji na incydenty bezpieczeństwa i tym samym redukcję ryzyka na tych polach. Uzupełnienie tych systemów o rozwiązania bazujące na reputacji lokalnej (tworzonej za pomocą rozwiązań klasy sandbox) i globalnej, pochodzącej z chmury, znacząco wpływa na procesy bezpieczeństwa, dając nam dużo więcej narzędzi i procesów, aby odpowiadać na działania przestępców.
Wszystko powyższe tyczy się technologii, a co z optymalizacją kosztów? Jeśli przyjrzymy się takiemu modelowi, to bardzo szybko okaże się, że miejsca na oszczędności jest naprawdę dużo. Mogę pokusić się o tezę, że 50 proc. budżetu przeznaczonego na systemy bezpieczeństwa IT może pozostać w naszej kieszeni.
Autor: Bartłomiej Wodziński – Regional Account Manager w Trend Micro