szTAMA z cyberbezpieczeństwem | Na czym powinna polegać skuteczna ochrona przed...
Czy wiesz jak działają usługi ochrony anty-DDoS od EXATEL: TAMA i TAMA PRO7?
Przyjrzyjmy się najważniejszym zaletom i wadom rozwiązań chmurowych. Webinarium poprowadzimy wspólnie z naszym partnerem – firmą Palo Alto Prisma. Zapis webinaru: Rozwiązanie chmurowe dla biznesu – Święty Graal IT czy puszka Pandory.
Bezpieczeństwo pracy zdalnej
Rozwiązanie chmurowe dla biznesu – Święty Graal IT czy puszka Pandory
(24.06.2020)
— Sławomir Pyrek —
Tematem dzisiejszego webinara jest bezpieczeństwo pracy zdalnej w kontekście ochrony aplikacji chmurowej. Z uwagi na to, że wspieramy się w ramach oferowanych rozwiązań technologiami Palo Alto Networks, jest ze mną przedstawiciel producenta, Gabriel Kujawski. Razem przedstawimy Państwu szereg informacji na temat zabezpieczeń dostępu do aplikacji, przede wszystkim w kontekście dostępu i ochrony aplikacji typu SaaS. Webinar jest podzielony na dwie części. W pierwszej przedstawię kilka slajdów wprowadzających w tematykę zabezpieczeń dostępu do aplikacji. W drugiej części Gabriel przedstawi praktyczne funkcjonowanie rozwiązania Prisma SaaS, żeby mieli Państwo pewne informacje, w jaki sposób można skorzystać z rozwiązań Palo Alto do ochrony aplikacji SaaS.
03:30
Skąd taki temat? Przede wszystkim temat wynika ze zmian w funkcjonowaniu środowisk IT. Do niedawna obowiązującym modelem była centrala firmy, pracownicy korzystający przede wszystkim z data center z Internetu. Schemat był dosyć prosty – pracownicy byli ukryci za pewnego rodzaju bastionem, który pozwalał na dosyć ścisłą kontrolę zachowań użytkowników, ruchu wychodzącego do Internetu i ruchu przychodzącego do systemów data center. Od kilku lat natomiast jest coraz silniejsza tendencja do rozpraszania aplikacji. W tej chwili część aplikacji mamy w dalszym ciągu w naszym własnym data center, natomiast coraz częściej korzystamy z aplikacji w chmurach publicznych. Oczywiście cały czas korzystamy z aplikacji w Internecie i zaczynamy coraz szerzej korzystać z aplikacji typu SaaS. Korzystamy oczywiście z urządzeń, które są zarządzane przez naszą organizację, jak również korzystamy z urządzeń, które nie są zarządzane, na zasadzie „bring your own device”, czy też z urządzeń IOT, w związku z tym nie mamy pełnej kontroli nad urządzeniami końcowymi, z których korzystają użytkownicy. Dodatkowo na tę zmianę, nałożyły się pewne dosyć gwałtowne zmiany wywołane pandemią koronawirusa. W tej chwili praca zdalna stała się powszechna i bardzo popularna. Większość organizacji została zmuszona w krótkim czasie do przejścia na taki model pracy. Oczywiście skutkuje to silniejszą tendencją do szerszego używania aplikacji chmurowych. Zdecydowanie w większym zakresie używamy narzędzi zdalnej komunikacji. Narzędzia te oczywiście mają swoje podatności i producenci starają się usuwać je na bieżąco, tym niemniej jest to jakiś dodatkowy wektor ataku na naszą infrastrukturę. Dodatkowo firmy zostały zmuszone do szybkiej rekonfiguracji dostępu do zasobów firmy. Często jest to połączone ze zmianą sposobu obiegu wrażliwych dokumentów. Występuje tu ryzyko popełnienia błędów – czy to procesowych, czy technicznych – przy rekonfiguracji takich zasobów, co również skutkuje większym prawdopodobieństwem narażenia nas na utratę danych czy penetrację naszych systemów. Również cały szereg organizacji, firm, personel IT, musiał zmodyfikować użytkowane systemy i oni również z racji małego okna czasowego, które było przeznaczone na te zmiany. Często te zmiany zostały wykonane bez szczegółowej kontroli podatności, konfiguracji, co może też skutkować potencjalnie większą możliwością naruszeń bezpieczeństwa. Wszystkie te zmiany w krótkim czasie skutkują większym obciążeniem personelu IT i security.
07:24
Wracając do dostępu do aplikacji w różnych miejscach – jest kilka powszechnie stosowanych rozwiązań. Pierwsze: Firmy czy organizacje często mają swoje oddziały po to, żeby zapewnić użytkownikom dostęp do Internetu czy do aplikacji typu SaaS, czy do chmury publicznej. Stosowane jest połączenie, czy w technologii MPLS czy IPSEC, między biurami oddziałowymi, a centralą firmy i następnie przez centralny punkt kontrolny komunikacja jest wyprowadzana bądź do Internetu, bądź do aplikacji typu SaaS. To jest powszechnie stosowane rozwiązanie, które oczywiście funkcjonuje, ale stwarza pewne problemy, ponieważ cały ruch z oddziału musi przejść przez centralę firmy. Również ruch powrotny wraca najpierw do centrali firmy i potem dopiero jest dystrybuowany do biur oddziałowych. Skutkuje to tym, że musimy zwymiarować urządzenie w centrali do takiego poziomu, żeby poradziło sobie ono z inspekcją ruchów z wszystkich oddziałów, z centrali firmy. Oczywiście musimy też zapewnić, zwłaszcza w kontekście dużej ilości zdalnych pracowników, odpowiedni poziom niezawodności takiego systemu, co powoduje pewne dodatkowe koszty. Również przepustowość łącza do Internetu musi być odpowiednio zwymiarowana, tak aby obsłużyć ruch z wszystkich oddziałów przez centralny punkt styku. Oczywiście możemy się tutaj zmierzyć z takimi problemami jak np. ruch między oddziałami, który z uwagi na zbyt małą wydajność czy to połączeń, czy centralnego punktu styku, może nie zachowywać odpowiednich parametrów, chociażby, jeżeli chodzi o opóźnienie. Bezpośrednie połączenia między biurami oddziałowymi często skutkują tym, że nie mamy tutaj możliwości inspekcji tego ruchu. Podobny schemat jest stosowany w przypadku połączeń dla zdalnych użytkowników. Również typowym takim schematem jest podłączenie tych użytkowników do centralnego punktu styku. Ten ruch w centralnym punkcie styku jest poddawany inspekcji i wychodzi później czy do Internetu, czy do chmury publicznej, czy do aplikacji SaaSowych. Tutaj również mamy pewnego rodzaju wadę tego rozwiązania, mianowicie liczba użytkowników zdalnych (w ostatnim zwłaszcza okresie) może się zmieniać w sposób bardzo dynamiczny. Na początku pandemii praktycznie wszyscy wylądowaliśmy na pracy zdalnej. W tej chwili część osób wraca do biur. Na pytanie co będzie jesienią i czy będzie kolejna fala zachorowań, w tym momencie z dużym prawdopodobieństwem można przyjąć, że znowu część pracowników będzie pracowała zdalnie i tutaj niestety urządzenia w centralnym punkcie muszą być zwymiarowane na maksymalną liczbę użytkowników, którzy mogą pracować zdalnie, oczywiście z zachowaniem wymagania zapewnienia wysokiej dostępności.
11:22
Kolejnym (typowym) rozwiązaniem, które jest stosowane, jest rozwiązanie typu Proxy. Ono się świetnie sprawdza w przypadku, w którym ruch wychodzi chociażby z oddziałów, ruch użytkowników zdalnych, czy ruch z centrali. Mamy tu natomiast pewne ograniczenia, mianowicie Proxy kontroluje nam przede wszystkim ruch HTTP, HTTPS, FTP. Niespecjalnie te rozwiązanie jest dobre do zastosowania w przypadku dostępu do aplikacji typu SaaS. Również z ograniczeniami możemy stosować, przy dostępie do aplikacji, dostępie do naszego centralnego biura. Efektem obecnego stanu korzystania z różnorodnych aplikacji, jest stosowanie całego szeregu technologii. Stosujemy MPLS, zdalny dostęp, VPN side to side i rozwiązania CASB przy dostępie do aplikacji typu SaaS. Natomiast oczywiście część ruchu np. w przypadku konfiguracji SSL VPN w trybie split tunneling, jest de-facto niemonitorowana. Dodatkowo te wszystkie technologie, jeżeli będą one punktowo stosowane, mają swoją własną logikę, własny sposób logowania i ciężko nam jest uchwycić stan bezpieczeństwa w danej chwili, bez odpowiednich prac integracyjnych czy też konieczności stosowania różnych rozwiązań do monitorowania poszczególnych fragmentów ruchu sieciowego lub poszczególnych danych, co oczywiście utrudnia i zwiększa czas reakcji na potencjalne zagrożenia i naruszenia bezpieczeństwa. Propozycja Palo Alto, która adresuje problem rozproszonych, punktowych systemów zabezpieczeń, nazywa się Prisma. Rodzina składa się właściwie z trzech komponentów: Prisma Access, Prisma SaaS i Prisma Cloud. W ramach dzisiejszego webinara poruszymy temat Prismy Access i Prismy SaaS.
14:00
Palo Alto skonstruowało w swojej chmurze hub w których mamy dostęp do całego szeregu aplikacji, m.in. do aplikacji Prisma Access. Prisma Access jest hubem komunikacyjnym, który pozwala nam na podłączenie, po pierwsze obiektów naszej organizacji typu centrala, biura oddziałowe, zdalni użytkownicy, do miejsc w których są serwowane aplikacje i serwisy, z których nasi pracownicy korzystają – czy będzie to data center, czy będzie to chmura publiczna, Internet czy aplikacje typu SaaS. Ten hub komunikacyjny składa się z dwóch warstw, z warstwy komunikacyjnej (sieciowej) oraz z warstwy zapewniającej możliwość inspekcji bezpieczeństwa. Warstwa sieciowa pozwala nam na podłączenie naszych zasobów w różnych technologiach. Możemy dla zdalnych użytkowników korzystać z technologii bezagentowego VPN-a bądź z technologii SSL VPN. Przy podłączeniu oddziałów możemy korzystać z rozwiązania typu IPSEC, SD-WAN, możemy korzystać też z dedykowanych tuneli. Natomiast w warstwie security mamy po pierwsze możliwość korzystania z wszystkich narzędzi typowych dla firewalli next generation, czyli możliwość monitowania ruchu pod kątem zagrożeń, które się w tym ruchu pojawiają, możliwość filtrowania URL-i, możliwość korzystania z systemu sandboxowego, możliwość detekcji aplikacji i kontroli tożsamości użytkowników. Niezależnie od tego możemy również z tej warstwy serwować ochronę urządzeń końcowych przy pomocy Cortex XDR, to jest nowa nazwa Palo Alto TRAPS, jak również mamy do dyspozycji moduł Prisma SaaS, który służy do zabezpieczenia ruchu do aplikacji typu SaaS, jak też kontroli danych, które przetwarzamy w aplikacjach typu SaaS. Jeżeli chodzi o schematy wykorzystania Prisma Access, to w przypadku użytkowników mobilnych, każdy z użytkowników ma standardowego agenta, przy pomocy którego łączymy się do huba komunikacyjnego w chmurze Palo Alto i przy podłączeniu naszej centrali do tego huba, użytkownicy otrzymują dostęp zarówno do naszej centrali, jak też do aplikacji w chmurze publicznej (aplikacji typu SaaS lub internetowej), oczywiście z zachowaniem możliwości inspekcyjnych tego huba. Daje nam to tę zaletę, że po pierwsze mamy jednego standardowego agenta dla urządzeń mobilnych, mamy te same funkcje bezpieczeństwa, które są nam znane chociażby z platformy Next Generation. Również w hubie Palo Alto mamy tzw. ‘data lake’, czyli miejsce, w którym są zbierane logi, więc mamy tutaj możliwość stosowania jednolitej technologii do monitorowania aktywności użytkowników.
18:11
Podobnie przy połączeniach między lokalizacjami. W sytuacji, w której do tego huba podłączamy biura oddziałowe, to pracownicy tych biur otrzymują dostęp zarówno do naszej centrali, jak i do miejsc w chmurze, w Internecie czy aplikacji typu SaaS, również z zachowaniem wszystkich funkcji bezpieczeństwa. Istotnym elementem tego systemu jest to, że system ten jest skalowalny, w związku z tym nie mamy ograniczenia, że musimy zwiększać wydajność platformy, tak jak w przypadku naszej centrali. Nie mamy najczęściej możliwości zmniejszenia naszej platformy, natomiast tutaj, przy pomocy tego rozwiązania, możemy sobie bardzo dynamicznie sterować liczbą użytkowników, którzy korzystają z tych aplikacji, ale również kwestie niezawodnościowe nie są dla nas tutaj problemem, ponieważ za utrzymanie systemu odpowiada producent, także tutaj jest zachowana wysoka dostępność, bez ponoszenia specjalnych nakładów. Oczywiście zgodnie z obowiązującym modelem „zero trust”, nie ufamy nikomu, staramy się poddać, czy monitorujemy ruch sieciowy i dane we wszystkich możliwych kierunkach. Nie przyjmujemy tutaj żadnych kompromisów. Wszystko jedno czy wychodzimy, czy korzystamy z aplikacji w Internecie, w chmurze publicznej, w naszym data center czy aplikacji typu SaaS – cały ten ruch jest poddawany kontroli. 20:04 Co możemy przy pomocy Prismy SaaS robić? Po pierwsze możemy śledzić aktywność użytkowników. Widzimy w tym momencie z takiej warstwy dostępowej, z jakich aplikacji użytkownicy korzystają. Aplikacje te możemy skategoryzować jako sanctioned, czyli takie, które dopuszczamy do użycia w naszej organizacji. Możemy aplikacje skonfigurować też jako niepożądane, z których nie chcemy, aby nasi pracownicy korzystali. One są w tym momencie oznaczone flagą jako unsanctioned. Możemy również zdefiniować aplikacje tzw. tolerate, które tolerujemy, ale być może ograniczamy pewne funkcjonalności, z których użytkownicy mogą korzystać. Oczywiście możemy zrobić drill down, zobaczyć którzy użytkownicy, w jakim czasie, z jakich lokalizacji, z jakich organizacji z tych aplikacji korzystają. Oczywiście mamy możliwość śledzenia konfiguracji dostępu do aplikacji typu SaaS. Możemy to zrobić na zasadzie whitelistingu i w tym momencie zezwalamy naszym użytkownikom na korzystanie z pewnych aplikacji. Możemy aplikacje blacklistować, czyli zabraniać aplikacje, które są niepożądane. Możemy również na aplikacjach tolerowanych zezwalać np. na korzystanie z aplikacji do pobierania danych przez użytkowników, natomiast możemy im nie zezwalać na to, żeby jakiekolwiek dane były wysyłane. Wspomniałem, że Prisma Access daje standardowe funkcje next generation firewalla. Jedną z takich dosyć istotnych funkcji jest dekrypcja SSL. Ruch, który wychodzi do Internetu od użytkownika, możemy poddać dekrypcji SSL, co oczywiście w znaczący sposób zwiększa widzialność i możliwość monitorowania zachowań użytkowników. Wspomniałem również o tym, że jest możliwość nakładania polityk na podstawie tożsamości osób, które korzystają z aplikacji chmurowych, czy też dostępu przez Prisma Access. Istotne jest to, że taki dostęp możemy zintegrować z usługami LDAP czy Active Directory, które mamy u siebie w data center. Mamy tutaj możliwość bezpośredniego sprzęgu z naszym LDAP i w tym momencie polityki, które nakładamy, będą już przykładane bezpośrednio, stosownie do zaszeregowania danego użytkownika do grupy.
23:06
Przed chwilą omówiłem Prisma Access, który daje nam kontrolę dostępu i śledzenie aktywności użytkowników, którzy z aplikacji SaaS korzystają, natomiast komponent Prisma SaaS daje nam możliwość zarządzania kontroli danych, które są używane w aplikacjach SaaSowych. Moduł ten jest podłączony do naszych aplikacji chmurowych bezpośrednio przez API. Dzięki temu mamy możliwość skanowania danych, które są przechowywane w naszych aplikacjach chmurowych. Mamy w związku z tym chociażby możliwość identyfikacji szkodliwego oprogramowania, które zostanie do tych aplikacji chmurowych uploadowane. Mamy również możliwość kontroli, śledzenia danych, które są w tych aplikacjach zawarte. Co możemy zrobić? Możemy przy pomocy Prismy SaaS sprawdzić, kto ma dostęp do danych (z domeny publicznej, z naszej lub innych organizacji). Oczywiście możemy przy pomocy Prismy SaaS sprawdzić jakie mamy dane, jaki jest charakter tych danych, czy zawierają one np. dane pozwalające zidentyfikować danego użytkownika, czy zawierają dane poufne dla naszej firmy. Mamy tutaj także cały szereg filtrów czy też mechanizmów, które pozwalają nam na identyfikację, jakie dane w chmurze są przechowywane. Oczywiście mamy możliwość sprawdzenia kto i jak korzysta z tych danych. Możemy nałożyć odpowiednie polityki bezpieczeństwa na to kto, w jaki sposób, przy pomocy jakiego dostępu, z jakich danych może korzystać i oczywiście dostajemy w tym momencie wyniki działania tych polityk w postaci rejestru naruszeń, który jest zintegrowany z modułem obsługi incydentów. Jeśli zdarzy się sytuacja, w której dany użytkownik przekroczy swoje uprawnienia bądź jest błędna konfiguracja dostępu do zasobów w aplikacjach chmurowych, system w tym momencie wygeneruje nam incydent i ten incydent może być przez nas przypisany do odpowiedniej osoby i w odpowiedni sposób obsłużony, np. poprzez zmianę uprawnień dostępowych do danego kliku, bądź też przeniesienie do kwarantanny danego pliku, bądź też alert do właściciela danych. Oczywiście mamy też możliwość raportowania w Prismie. Możemy się z takich raportów dowiedzieć z jakich aplikacji typu SaaS nasza firma korzysta, ile plików przechowujemy w aplikacjach chmurowych, ile tych plików jest udostępnionych konkretnym grupom użytkowników, ile plików zawiera dane wrażliwe. Przy pomocy Prismy SaaS sterujemy dostępem użytkownika do aplikacji chmurowych, mając do dyspozycji standardowe metody kontroli dostępu, jak również monitorowanie pod kątem szkodliwego oprogramowania oraz Prismę SaaS, która dzięki bezpośredniemu podłączeniu do aplikacji chmurowych, jest w stanie monitorować dane, operacje na danych, sposób ich udostępniania przez aplikacje chmurowe. Oczywiście w obydwu przypadkach, zarówno Prisma SaaS jak i Prisma Access, korzystają z funkcji sandboxowych. Oba systemy odwołują się do rozwiązania sandboxowego i poprzez to mamy bardziej precyzyjną kontrolę szkodliwego oprogramowania.
— Gabriel Kujawski —
28:31
Ostatnie kilka minut chciałem poświęcić na pokazanie jak od strony praktycznej funkcjonuje Prisma SaaS i czego możecie się Państwo spodziewać przy konfiguracji tego rozwiązania. Sławek opowiadał o hubie z aplikacjami od Palo Alto Networks. Od mniej więcej trzech lat Palo Alto Networks dostarcza aplikacje bezpieczeństwa w formie sklepu, w którym możemy kupować różne aplikacje bezpieczeństwa. Na tej liście jest m.in. Prisma SaaS i Prisma Access. W związku z tym, że hub z aplikacjami jest skonstruowany w otwarty sposób, to również firmy trzecie są w stanie dostarczać różnorodne aplikacje. Ma to tę zaletę, że możemy jakąś aplikację bezpieczeństwa (dającą pewną funkcjonalność) włączyć na miesiąc, sprawdzić, czy działa, a potem łatwo możemy z niej zrezygnować, a żadna z tych czynności nie jest związana z deployowaniem, instalowaniem, uruchamianiem i utrzymywaniem takiej aplikacji u siebie lokalnie. Tak jak z resztą każda aplikacja typu SaaS. Prisma SaaS, jak sama nazwa wskazuje, oprócz tego, że służy do zabezpieczania aplikacji SaaSowych takich jak np. Dropbox, czyli aplikacji, która służy do wymiany plików w wygodny sposób, z wykorzystaniem pewnej przestrzeni dyskowej umieszczonej na serwerach dostawcy tej usługi, tak samo Prisma SaaS sama w sobie jest również aplikacją, która jest dostarczana jako aplikacja utrzymywana przez Palo Alto Networks. Testując i wdrażając Prisma SaaS, nie musimy nic u siebie lokalnie instalować, myśleć o bazie danych, aktualizacji systemu – to wszystko będzie wykonywało dla Państwa Palo Alto Networks.
30:45
Jak wygląda system, zobaczymy po tym jak uda mi się do niego zalogować. Loguję się więc do niego przez panel webowy przez przeglądarkę i po podaniu poświadczeń udaje się dostać do systemu. Jest to system demonstracyjny, wypełniony pewnymi sztucznymi danymi, żeby można było pewne aspekty działania tego systemu pokazać. Po zalogowaniu, w zależności od tego w jakiej roli jesteśmy czy mamy pełny dostęp administracyjny czy bardziej ograniczony, widzimy pewien układ ekranu. Pierwszy układ ekranu, jaki w większości ról istniejących w tym oprogramowaniu widzimy, to dashboard (kokpit). Ten kokpit pokazuje nam pewne podstawowe informacje, które Prisma SaaS zebrał na temat aplikacji, które zabezpiecza.
/Zakłócenia/ (31:54 – 31:57)
informacje dotyczącą assetów. Assety rozumiemy tutaj jako pliki, informacje przechowywane wewnątrz zabezpieczanych aplikacji. Na pierwszy rzut oka widzimy, że ze wszystkich 150 tysięcy plików jakie udało nam się tutaj zaobserwować, 120 tysięcy jest np. wystawionych do zewnętrznych firm i można się do nich dostać w sposób bezpośredni, bez żadnego dodatkowego uwierzytelniania, co w pewnych przypadkach może być niezbyt przyjemne w konsekwencjach. Ten dashboard pokazuje nam ewentualnie drugi widok, który przecina nam zgromadzone tu dane, poprzez typ danych i widzimy tu informacje o rodzajach plików, jakie udało się Prismie SaaS, co do zasadniczo rozszerzenia częściowo przekłada się na zawartość, której możemy się tu spodziewać. Mamy tu m.in. pliki z kodem w języku C, pliki nagłówkowe, mamy dokumenty, pliki PDF, więc tak wygląda struktura tych danych, do których w tej chwili Prisma Access ma dostęp. Ale patrzenie na rozszerzenie niespecjalnie jest rzeczą przydatną z punktu widzenia zabezpieczenia danych. Bardziej interesuje nas to co jest w środku. Prisma SaaS ma zaszyte algorytmy, których rolą jest zajrzenie do takiego pliku, a zasadniczo do zawartości tego pliku i określenie jakiego rodzaju dane są tam przechowywane. Te informacje reprezentuje dashboard Data Profiles i widzimy, że z tych zgromadzonych informacji, które zostały przetworzone, duża część plików zawiera dane, które są danymi osobowymi i mogą służyć do zidentyfikowania jakiejś osoby. Mamy dane powiązane z danymi zdrowotnymi. Mamy też pliki, które są bezpośrednio plikami złośliwymi, bo jak Państwo prawdopodobnie wiecie, aplikacje typu Dropbox mogą służyć przestępcom do tego, by rozsyłać złośliwe oprogramowanie i łatwo zdobywać dostęp do sieci przedsiębiorstwa poprzez pobranie jakiegoś złośliwego pliku na dysk sieciowy. Sławek wspominał również w trakcie opowiadania o Prismie SaaS, że istnieje pewien zestaw reguł opisujących co jest dozwolone, co nie, co chcemy monitorować i ten zestaw reguł prowadzi do generowania incydentu.
34:47
Mamy tutaj listę przykładowych incydentów. Ja skupię się na jednym incydencie – Tax ID – i zacznę od wyjaśnienia tego incydentu. Incydent ten jak widać dotyczy grupy plików, które leżą w aplikacji Box, która jest odpowiednikiem Dropboxa i wewnątrz niej znaleziono identyfikatory podatników. Reguła TaxID bazuje akurat na identyfikatorach podatników z USA, nie mniej mamy opcję, która potrafi wykrywać numery identyfikacyjne dla Polski. Zajrzymy natomiast do tego pliku google_taxid.txt. Możemy się dowiedzieć czy ten plik jest współdzielony, a jeżeli tak, to w jaki sposób i dlaczego. Administrator dostaje bezpośrednio informacje, że ten plik jest publicznie dostępny z tego powodu, że katalog, do którego został wgrany, jest dostępny publicznie. Być może nie do końca o to chodziło, ktoś może popełnił błąd wgrywając ten plik do katalogu, nie wiedząc, że jest on publicznie dostępny i każdy kto taki link zdobędzie, będzie mógł ów plik pobrać. Dostajemy też informacje o tym jakie sygnatury zadziałały i które wykryły właśnie numery podatników. W tym przypadku były to kody podatnika z USA i Austrii, ale tak jak wspomniałem wcześniej, mamy też dostęp w ramach Prismy SaaS do opcji wykrywania polskich identyfikatorów. Więc mamy tutaj wzorce również dla Polski i listę pięciu wzorców danych, które w naszym polskim środowisku mogą się przydać i w ten sposób, wokół takiego wzorca, możemy stworzyć własną politykę i pilnować czy tego typu dane nie pojawiają się w serwisach na dyskach sieciowych, czy nie są wymieniane np. przy pomocy usług takich jak Gmail, Exchange czy Office 365.
37:35
Jak już mówię o aplikacjach, to chcę Państwu pokazać jak łatwe jest uruchomienie testów Prismy SaaS i późniejsze wdrożenie i uruchomienie, bo zasadniczo jedno może przejść w drugie. Mówiliśmy dużo o aplikacjach SaaSowych, które jesteśmy w stanie zabezpieczać. Ja będę chciał teraz Państwu pokazać jak dodać nową aplikację. Założyłem specjalnie na potrzeby dzisiejszego spotkania konto na Dropboxie. Użytkownik Gabriel jest administratorem tego konta Dropboxowego. Po krótkiej weryfikacji, będziemy mogli się zalogować. Pokazuje to z tego powodu, żebyśmy powiązali fakt konta administracyjnego z procesem dodawania aplikacji do Prismy SaaS. Teraz będę chciał z Państwem ten proces przejść. To jest lista aplikacji, z którymi współpracuje Prisma SaaS. Mamy tu Boxa, Google Drive, Office 365 z OneDrive, Gmail, Google Suite. Nas na chwilę obecną interesuje Dropbox. Załóżmy więc, że korzystamy z Dropboxa i jak ten proces podłączania się do niego wygląda. Jest on całkiem prosty, to jest kilka kroków, w ramach których musimy się teraz zalogować na konto administracyjne na Dropboxie. W przypadku innych aplikacji wygląda to identycznie. Musimy się znowu poddać krótkiej weryfikacji, zezwolić Prismie SaaS na dostęp do Dropboxa, klikamy „allow” i od tego momentu Prisma SaaS komunikuje się z Dropboxem przy pomocy API. Ma to taką zaletę, że nie potrzebujemy uruchamiać firewalla, żeby kontrolować co się będzie działo w moim dysku sieciowym. Co więcej, będę kontrolował co się dzieje w moim dysku sieciowym, bez względu na to czy moi użytkownicy są w firmie, czy też poza nią, czy korzystają z urządzeń prywatnych czy publicznych, z tego powodu, że Prisma SaaS rozmawia przy pomocy wywołań programistycznych pomiędzy Prismą, a Dropboxem, tzw. wywołań API. Widzimy, że aplikacja została dodana, zmienię jej nazwę, żeby się nie myliła, mamy też krótką informację jak wrócimy do listy aplikacji i wykrzyknik, który mówi nam, że nie powiązaliśmy żadnych polityk z tą aplikacją i nie wie w jaki sposób chcemy poddawać kontroli informacje, które na tym Dropboxie są przechowywane.
41:10
Jako ostatni element dzisiejszego demo, będę chciał Państwu pokazać jak taką prostą politykę utworzyć. Będę tworzył politykę dotyczącą zasobów, choć mamy też polityki dotyczące zasad bezpieczeństwa i aktywności użytkowników, które np. mogą służyć do tego by wykrywać logowania do Dropboxa spoza Polski. Jeżeli mamy Polską organizację, która pracuje w Polsce, to takie logowania mogłyby być podejrzane, więc takie rzeczy też możemy wykrywać. Skupmy się na politykach dotyczących zasobów. Pokażę teraz taką prostą regułę i w jaki sposób się ją tworzy. Na początku musimy nazwać regułę, np. „reguła testowa”, następnie dodać opis, określić poziom ważności tego zdarzenia, włączamy regułę, po czym określamy, kiedy będzie działać. Musimy określić najpierw dla jakich aplikacji to Państwo widzicie, że lista aplikacji z którymi Prisma SaaS teraz współpracuje, ta instancja demo jest dosyć długa. Mnie interesuje w tym przypadku Dropbox eth0. Co chciałbym wykrywać? Chciałbym wykrywać numery kart kredytowych, które są współdzielone publicznie. Są różne wzorce danych, więc interesują mnie numery kart kredytowych w momencie, kiedy będą co najmniej dwa takie numery i jeżeli taki plik będzie wystawiony publicznie, czyli bez hasła, bez zabezpieczenia do zewnętrznej firmy, będzie się do niego można dostać. Chcę być w takich sytuacjach co najmniej alarmowany. Ale nie tylko mogę być alarmowany – system może też podjąć pewne akcje, które spowodują, że te zagrożenie zostanie zmitygowane, a plik poddany kwarantannie. Kwarantanna polega na zabraniu pliku z oryginalnego miejsca, w którym leżał i umieszczenia go w takim miejscu, w którym dostęp ma tylko administrator. Możemy też automatycznie wyłączyć ten plik ze współdzielenia i plik ten nie będzie już dostępny publicznie, a jeżeli ktoś kliknie na link, to nie będzie się mógł do niego dostać. Ma to tę zaletę, że automatycznie jesteśmy w stanie te zagrożenie zmitygować, w przeciwieństwie do innej opcji, gdzie możemy wysłać maila z ostrzeżeniem. Takie mamy więc możliwości reakcji systemu. Oprócz tego administrator może otrzymać maila i możemy utworzyć incydent, o którym przed chwilą opowiadałem i przypisać go do bieżącego administratora. W momencie, w którym kliknę „save”, system ma już co najmniej jedną regułę zdefiniowaną, która będzie kontrolowała moją świeżo dodaną aplikację. Jedyne co mi pozostaje, to poprosić o rozpoczęcie skanowania. Potem to skanowanie jest wykonywane periodycznie, na bieżąco, natomiast pierwsze trzeba wykonać.
44:25
Zachęcam więc Państwa do tego, żeby zgłaszać się do EXATEL, bądź bezpośrednio do Palo Alto Networks, jeżeli chcą Państwo na żywo przetestować nasz system. Nie stanowi to żadnego problemu. Widzieliście Państwo jak bardzo łatwo uruchomić, dodać nową aplikację i potem patrzeć, jak wszystko funkcjonuje. Prawdopodobnie mogą istnieć pewne obawy dotyczące poufności danych, ponieważ jest to oczywiście aplikacja chmurowa. Palo Alto Networks ma szerokie portfolio dokumentów dokładnie opisujących w jaki sposób my te dane przetwarzamy, gdzie je przechowujemy oraz mamy też opcję podpisania umowy o powierzeniu danych, więc pewne tutaj obawy udaje nam się bardzo często zmitygować. — Sławomir Pyrek — Gorąco zapraszamy do testów. Jest możliwość również uruchomienia specjalnego laboratorium typu UTD z Prismą Access, także tutaj możemy Państwu przybliżyć w większym zakresie te rozwiązanie. Również w zakresie innych technologii, które proponuje Palo Alto Networks, EXATEL jako partner ma możliwość wsparcia Państwa zarówno od strony projektowej, od strony wdrażania takich rozwiązań, utrzymania ich, wykorzystywania technologii Palo Alto Networks w pracy naszego Security Operations Center. Zapraszam więc do kontaktu. Sławomir Pyrek, Kierownik Projektu, EXATEL S.A. Gabriel Kujawski, Systems Engineer, Palo Alto Networks
Czy wiesz jak działają usługi ochrony anty-DDoS od EXATEL: TAMA i TAMA PRO7?
Co warto wiedzieć o „security blind spots” oraz rozwiązaniach EDR/XDR, SIEM/SOAR.