Webinar: Cyberbezpieczeństwo sektora publicznego. Co musi wiedzieć każdy kierownik IT w administracji?

 

Budowanie bezpiecznych systemów IT dla obywateli to jedno z ważniejszych zadań administracji. W EXATEL chronimy sektor publiczny i zapewniamy cyberbezpieczeństwo krytycznych systemów od dekad. Budujemy bezpieczną cyberprzestrzeń dla państwa i obywateli. Dlatego zorganizowaliśmy webinarium poświęcone nowym technologiom bezpieczeństwa IT.

Cyberbezpieczeństwo sektora publicznego. Co musi wiedzieć każdy kierownik IT w administracji?

Dawid Piec, Key Account MAnager, EXATEL

Paweł Deyk, Michał Sobotka – Zespół Wsparcia Sprzedaży, EXATEL

 

Dawid Piec:

Dzień dobry Państwu. Witam serdecznie na webinarium poświęconym bezpiecznej administracji. Nazywam się Dawid Piec i zajmuję się w EXATEL Klientami z administracji centralnej i samorządowej. Razem ze mną te webinarium poprowadzą Michał Sobotka i Paweł Deyk z Zespołu Wsparcia Sprzedaży. Na dzisiejszym panelu będziemy zajmowali się kwestią cyberbezpieczeństwa sektora publicznego i postaramy się obalić kilka mitów dotyczących bezpieczeństwa cyberprzestrzeni. Pokażemy, że cyberbezpieczeństwo jest kluczowe dla działania urzędów i opowiemy o ewentualnych zagrożeniach. Nie ma tak naprawdę podmiotów które są nieatakowane. Każdy podmiot może być zaatakowany i tym mitem zajmiemy się na sam początek.

Na tym slajdzie widzą Państwo przykładowe newsy prasowe. Takie sytuacje dzieją się każdego dnia i każdy podmiot może zostać zaatakowany. Mogą to być różnego rodzaju ataki. Nie możemy tutaj powiedzieć, że jeżeli jesteśmy jakąś małą gminą, to nikt nas nie zaatakuje i są tego typu przykłady: „Złodzieje okradli gminę na pół miliona złotych”. To się dzieje i trzeba się przed tym zabezpieczać, gdyż jest to coraz bardziej realne zagrożenie w obecnym świecie i obecnej sieci, gdzie coraz więcej aplikacji jest połączonych. Które przepisy trzeba znać? Czym jest Krajowy System Cyberbezpieczeństwa? Co z pozostałymi uwarunkowaniami prawnymi? Na te pytania odpowie nam Michał.

 

Michał Sobotka:

Witam Państwa. Trzeba sobie uczciwie powiedzieć, że w ostatnim czasie dużo się zmieniło w otoczeniu prawnym w zakresie regulacji dotyczących dbania o nasze bezpieczeństwo i dane. Ostatnimi czasy weszła Ustawa o Krajowym Systemie Cyberbezpieczeństwa. Jest to tak naprawdę regulacja, która implementuje nasz system prawny w dyrektywę NIS, która standaryzuje na terenie całej Unii Europejskiej kwestie dotyczące dbania o cyberbezpieczeństwo i zarządzania incydentami związanymi z bezpieczeństwem danych. W przypadku Polski jest to wspomniana przeze mnie ustawa oraz akt wykonawczy.

 

Dawid:

Jakie są najważniejsze pojęcia dotyczące ustawy KSC?

 

Michał:

Przede wszystkim trzeba sobie powiedzieć czym jest cyberbezpieczeństwo. Instynktownie wiemy o czym mówimy, natomiast nasz ustawodawca definiuje to w ten sposób, że jest to odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych oraz usług z nimi związanymi. Ważnym pojęciem jest jeszcze incydent krytyczny, incydent poważny, incydent istotny. Warto jest zapamiętać kim jest operator usługi kluczowej oraz dostawca usługi cyfrowej. W przypadku operatora usługi kluczowej jest to osoba, która została wyznaczona jako operator usługi kluczowej przez właściwy organ i ma w związku z tym pewne obowiązki zdefiniowane w tej ustawie. Jeżeli chodzi o dostawcę usługi cyfrowej, to jest to dostawca usług dla szeroko pojętego społeczeństwa, i nie tylko. Są to przede wszystkim dostawcy platform handlowych, wyszukiwarek internetowych, jak również firmy, które specjalizują się w dostarczaniu usług obliczeniowych w chmurze.

 

Dawid:

Jak to wygląda w praktyce, komu raportujemy, gdzie?

 

Michał:

Zostały powołane zespoły cyberbezpieczeństwa CSIRT (Computer Security Incident Response Team), które zostały w Polsce podzielone na trzy obszary – CSIRT MON, CSIRT GOV i CSIRT NASK – którymi zarządzają właściwi ministrowie i do których raportują odpowiednie merytorycznie instytucje im podległe. W przypadku CSIRT MON chodzi o szeroko pojęte służby obrony RP, CSIRT GOV instytucje z obszaru administracji rządowej i CSIRT NASK, który zajmuje się pozostałymi obszarami.

 

Dawid:

Omówiliśmy oczywiście tylko jedną z tych ustaw. Czy jeżeli jestem kierownikiem, to obowiązują mnie jeszcze dodatkowe ustawy? Czy coś istotnego powinienem jeszcze wiedzieć?

 

Michał:

Przede wszystkim trzeba pamiętać, że ustawa o cyberbezpieczeństwie nie jest jedyną ustawą, którą musimy stosować przetwarzając dane, a w szczególności dane osobowe. Od kilku lat funkcjonuje Ustawa o Ochronie Danych Osobowych, nie tak dawno weszło RODO oraz nowelizacja dostosowująca przepisy krajowe do rozporządzenia.

 

Dawid:

RODO było tematem bardzo aktualnym i bardzo medialnym jakiś czas temu, ale co tak naprawdę z tego rozporządzenia wynika dla nas, dla kierowników IT?

 

Michał:

Dla kierowników IT wynika przede wszystkim to, że musimy baczniej zwrócić uwagę na to w jaki sposób przetwarzamy dane. Prawdę mówiąc sama mobilizacja w zakresie przetwarzania danych niewiele wniosła, bo cały czas osoby które przetwarzają te dane, muszą je chronić. Trzeba jednak pamiętać, że w obecnej regulacji ochrona tych danych, jest już ściślej zdefiniowana i konsekwencje nieprzestrzegania tych wytycznych są dosyć dotkliwe.

Co kryje się pod pojęciem kontroli przetwarzania danych? Jest to nic więcej jak stosowanie proporcjonalnych systemów zabezpieczeń do kategorii przetwarzanych danych. Mamy też pewne obowiązki, jak chociażby zgłoszenie w ciągu 72 godzin stwierdzenia incydentu związanego z przetwarzaniem danych osobowych. Jest to też bardzo istotne, ponieważ stwierdzenie incydentu musi się opierać na wiedzy o tym incydencie, a bez odpowiednich urządzeń, możemy tego w obecnych czasach nie wiedzieć.

 

Dawid:

Co nam grozi za nieprzestrzeganie tej ustawy? Od czego to zależy?

 

Michał:

Konsekwencje nieprzestrzegania ustawy zależą od kilku czynników. Przede wszystkim od stopnia zawinienia, czyli czy wdrożyliśmy odpowiednie systemy odpowiedzialne za ochronę tych danych. Mam tu na myśli nie tylko procedury i wewnętrzny obieg dokumentów, kategorii osób które mogą do tych dokumentów mieć dostęp, ale również zabezpieczenia techniczne systemów informatycznych, bo obecnie jak doskonale wiemy, większość dokumentacji ma jednak charakter cyfrowy i o tę część dokumentacji musimy zadbać szczególnie. Następnym takim parametrem, który może się przyczynić do zwiększenia lub zmniejszenia potencjalnej kary, jest charakter i czas naruszenia. Jakie dane i o jakim charakterze zostały skradzione, jak długo o tym nie wiedzieliśmy i były one w obiegu? Czyli wracamy do tych 72 godzin o których wcześniej mówiłem. Jest również coś takiego jak stopień współpracy z organem nadzorczym, czyli w jaki sposób po wykryciu incydentu współpracujemy z odpowiednimi organami w celu usunięcia efektów incydentu. Jest to temat rzeka, o którym można by bardzo długo mówić, ale najważniejsze jest to żebyśmy w sposób odpowiedni zabezpieczyli te dane, również od strony technicznej i w przypadku wykrycia incydentu, wyciągali z tego konsekwencje we własnej sieci, wdrażając również odpowiednie zabezpieczenia.

 

Dawid:

No właśnie, o tym mówi bodajże Art. 25 RODO.

 

Michał:

Dokładnie tak. Wracamy tutaj do proporcjonalności, ponieważ wszyscy doskonale wiemy, że cyberbezpieczeństwo nie jest za darmo w dzisiejszych czasach, ale z drugiej strony musimy też pamiętać że dzięki nowym regulacjom incydenty też nie są tanie. W związku z powyższym musimy rozważyć tak naprawdę czy środki techniczne które chcemy zastosować albo stosujemy, są odpowiednie do kategorii danych, które przetwarzamy. Tutaj istotna uwaga dla instytucji takich jak szpitale, które przetwarzają bardzo istotne dane osobowe. Naruszenie i wyciek danych o pacjentach i ich chorobach, może być bardzo poważnym incydentem wiążącym się z dużą dolegliwością finansową. Wiemy że Urząd Ochrony Danych Osobowych potrafi nałożyć kary, bo w ostatnim czasie jeden z podmiotów przetwarzających dane osobowe dostał karę w wysokości niemalże miliona złotych, a powodem było po prostu niewypełnienie obowiązku informacyjnego, czyli jakby „matki” wszystkich obowiązków związanych z przetwarzaniem danych osobowych.

 

Dawid:

Rozmawiamy o karach, możliwościach technicznych, kosztach, ale tak naprawdę jakie mogą być koszty nieprzestrzegania RODO? O jakich kwotach mówimy?

 

Michał:

Koszty mogą być naprawdę wysokie. W przypadku Ustawy o Ochronie Danych Osobowych oraz Rozporządzenia Rady Europejskiej mamy tak naprawdę dwa progi kar – pierwszy to 10 milionów euro albo 2% rocznego obrotu przedsiębiorstwa, a drugi to 20 milionów euro lub 4% rocznego obrotu przedsiębiorstwa. Jak już wspomniałem wcześniej, wysokość tej kary może być uzależniona od stopnia zawinienia i innych okoliczności związanych właśnie z przestrzeganiem integralności danych osobowych, bo jeżeli przykładowo wdrożymy zaawansowane systemy bezpieczeństwa i procedury i mimo to nie uda nam się uniknąć incydentu, to wiadomo że nasz stopień zawinienia będzie znikomy, ponieważ przeciwko nieuprawnionemu działaniu nigdy się w 100% nie zabezpieczymy, ale możemy zrobić wszystko by do tego nie dopuścić. Na to organ, który będzie nakładał karę, będzie na pewno zwracał uwagę. W przypadku polskiej regulacji, a w szczególności w przypadku jednostek sektora finansów publicznych, te kary mogą być niższe. Podkreślam słowo „mogą”, bo wcale nie muszą.

 

Dawid:

Czyli mamy kilka regulacji. Czy mógłbyś w kilku słowach podsumować te regulacje? Czy warto w ogóle się zabezpieczać?

 

Michał:

Regulacje te mówią przede wszystkim o tym, że trzeba się zabezpieczać i że na proces bezpieczeństwa należy spojrzeć nie jako na czynność jednorazową, np. zakup urządzeń i licencji na jakieś oprogramowanie, tylko jako na ciągłe procesy. Z samej ustawy KSC wynika cykliczność pewnych działań. Chociażby sprawy związane z przeprowadzaniem audytów. Jednostki, które są operatorami usług kluczowych, muszą przeprowadzić audyty regularnie co dwa lata, a pierwszy audyt musi odbyć się w ciągu roku od otrzymania decyzji o tym, że jest się operatorem usługi kluczowej. Zachęcam więc do tego, by spojrzeć na bezpieczeństwo nie tylko jako jednorazowy zakup, a jako na pewien proces w Państwa przedsiębiorstwie. Polecam się też zastanowić czy dobrym pomysłem jest np. przerzucanie tego typu konsekwencji do zespołów IT, bo nie zawsze dobrą sytuacją jest, kiedy kontrolowany jest osobą kontrolującą.

 

Dawid:

Jak sprawdzić jak wygląda nasza sieć i czy jesteśmy teraz dobrze zabezpieczeni?

 

Michał:

Może się często wydawać, że poziom bezpieczeństwa sieci jest dobry, bo pozornie nic się nie dzieje, ale żeby tak naprawdę odpowiedzieć sobie na to pytanie, trzeba wykonać kilka czynności. Nasza spółka świadcząc swoje usługi, wykonuje wiele z tych czynności, które są tak naprawdę niezbędne by odpowiedzieć na pytanie czy jesteśmy bezpieczni czy też nie. Są to testy penetracyjne, skanowanie sieciowe czy audyty informatyczne.

 

Dawid:

Jakie są rodzaje testów penetracyjnych, co możemy o nich powiedzieć?

 

Michał:

Jeżeli chodzi o testy, to scenariusze są naprawdę różne. Wszystko tak naprawdę sprowadza się do znajomości infrastruktury, którą pentester ma zbadać. Może to być scenariusz który polega na tym, że pentester absolutnie nic nie wie o infrastrukturze, a może być scenariusz kiedy wie wszystko o infrastrukturze i systemie który sprawdza. Są też oczywiście wszystkie możliwe scenariusze mieszane.

 

Dawid:

Co tak naprawdę z tych pentestów wynika na koniec? Co możemy o nich powiedzieć? Jakie są efekty?

 

Michał:

Efekty są najczęściej zaskakujące dla osób, które są testowane. Muszę tu znów odwołać się do doświadczenia naszej spółki. Mając na względzie to, że prowadzimy tego typu działania, wiemy z doświadczenia, że wychodzą takie rzeczy jak błędy w konfiguracji protokołów, nieaktualne wersje oprogramowania, problemy z poprawnie skonfigurowanymi usługami świadczonymi na zewnątrz w formie usług cyfrowych. Mamy problemy z kwestią konfiguracji naszych urządzeń ochronnych, mamy możliwości sprawdzenia czy nie występuje w naszej sieci jakiś niepożądany ruch. Bardzo często zdarza się, że dowiadujemy się o obecności nieautoryzowanych urządzeń, czyli np. jakichś Access Pointów, zapomnianych routerów i serwerów. Zdarza się też znaleźć zapomniany oddział.

 

Dawid:

Co tak naprawdę po takich pentestach, jeżeli przeprowadzimy je prawidłowo? Co powinniśmy otrzymać my, jako zamawiający tego typu rozwiązanie?

 

Michał:

Standardem po takich pentestach musi być raport, który będzie kompendium wiedzy na temat tego z czym tak naprawdę się mierzymy. W przypadku naszej spółki, dajemy również pewne rekomendacje co do konfiguracji urządzeń w sieci, konfiguracji samej sieci, konfiguracji serwisów i systemów usługowych. Dajemy również zalecenia w przypadku kiedy jakiś incydent już się wydarzył i stwierdziliśmy naruszenie integralności danych. Oferujemy również takie usługi jak inżynieria wsteczna oprogramowania – mam tu na myśli oczywiście oprogramowanie złośliwe, które dostało się do naszej sieci – czy też informatykę śledczą, która doprowadzi do tego, że cały proces penetracji naszej sieci przez złośliwe oprogramowanie, zostanie przez nas odkryty i będziemy mogli stwierdzić zakres incydentu – co jest szczególnie ważne w kontekście ustawy KSC – i sposób w jaki do niego doszło.

 

Dawid:

Czyli omówiliśmy już podstawowe parametry. Wiemy co nas obowiązuje i jak sprawdzić sieć, jak ta sieć powinna wyglądać. Otrzymujemy raport i rekomendację i pojawia się pytanie: jakie rozwiązania cyberbezpieczeństwa możemy zastosować? Które z nich są dla nas efektywne, a które nie? Co możemy wybrać z tych rozwiązań?

 

Paweł Deyk:

Jak Państwo wiecie, na rynku cyberbezpieczeństwa panuje bardzo duża ilość producentów i rozwiązań. Ciężko jest się w tym wszystkim odnaleźć, które spełniają najlepiej swoje zadania. Część z nich również pokrywa się w swoich funkcjach i swoich zadaniach. Jest to trudne z punktu widzenia zamawiającego i z tego powodu warto wesprzeć się kompetencjami na zewnątrz. EXATEL, który jako operator rozwija od kilku lat mocno swoje kompetencje w tym zakresie, przetestował wiele różnych platform po to, by wybrać liderów w swoich obszarach i dla swoich klas rozwiązań. Współpracujemy z dostawcami rozwiązań zarówno ochrony DDoS, przez Next-generation firewalle, narzędzia do monitorowania sieci, po Web Application Firewalle. Jesteśmy mocno zorientowani w tym co się dzieje na rynku i staramy się zawsze proponować klientom te rozwiązania, które sami sprawdziliśmy, jak i świadczyć usługi na tych platformach, które sami mamy u siebie i które wykorzystujemy i sprzedajemy również w formie usług.

 

Dawid:

Opowiedzmy o kilku konkretnych rozwiązaniach, które my jako EXATEL byśmy rekomendowali.

 

Paweł:

Zaczynając od brzegu sieci, czyli punktu styku z Internetem, proponujemy m.in. platformę ochrony przed atakami DDoS. Bardzo atrakcyjne dla atakujących są duże łącza, a z takimi często mamy do czynienia w sektorze publicznym. Ataki te polegają na zablokowaniu działania systemów bądź też całej sieci. Ich ochrona przed atakami opiera się w zasadzie na dwóch elementach: na Sondzie CP, która analizuje ruch i wykrywa wszelkie anomalia sugerujące że może być to atak DDoS, a następnie przekierowuje z użyciem protokołu BGP ruch do jednostki czyszczącej TMS. W naszym przypadku jest to rozwiązanie firmy Arbor Networks. Po oczyszczeniu takiego ruchu z niechcianego, prawidłowy ruch zostaje skierowany z powrotem do urządzeń klienta i dzięki temu nie paraliżuje on działania organizacji. To co jest ważne, to że ochrona ta pozwala na obronę przed takimi atakami jak ataki wolumetryczne czy na fragmentację IP, a także związane z wyczerpaniem zasobów. EXATEL w tym momencie pracuje również nad własnym rozwiązaniem TAMA, które już w tym roku będzie testowane z klientami.

 

Dawid:

Jest to jedno z rozwiązań, które stosujemy na brzegu sieci. Co jeszcze moglibyśmy tutaj zarekomendować naszym klientom?

 

Paweł:

To z czym najczęściej spotykamy się w administracji publicznej, to wdrożone rozwiązania typu firewall czy UTM, które częściowo oczywiście spełniają swoją rolę i blokują przed niechcianym ruchem sieciowym, natomiast mają one swoje wady. W dzisiejszych czasach bardzo dużo aplikacji korzysta z tych samych portów i ciężko jest je rozróżnić na poziomie takich urządzeń. Część z nich również korzysta z ruchu szyfrowanego, więc mamy tutaj problem z prawidłowym blokowaniem niechcianego ruchu. Dlatego też zalecamy rozwiązania typu Next-generation firewall. Różnią się one m.in. tym, że pracują na wyższych warstwach, nie tylko od 2. do 4., ale też do warstwy 7. i mają zwiększoną wydajność przy dodatkowych funkcjach o których więcej zaraz powiem. To co wyróżnia też te rozwiązania – w tym przypadku mówimy o Palo Alto Networks – to możliwość trzech ważnych identyfikacji. Możemy identyfikować aplikacje których używają użytkownicy. Możemy również identyfikować samych użytkowników, nie tylko po tym z jakich adresów się łączą, czy jaki adres IP/MAC ma urządzenie, a także analizę zawartości, czyli możemy tutaj zastosować np. mechanizmy web filteringu lub identyfikacji konkretnych plików. To jest coś, czego nie dostaniemy w klasycznych rozwiązaniach typu firewall czy UTM.

 

Dawid:

Czyli kupujemy urządzenie i daje nam to pełną możliwość bezpieczeństwa. Możemy czuć się bezpieczni?

 

Paweł:

Częściowo. To co jest bardzo ważne w przypadku utrzymywania systemu bezpieczeństwa, to w jaki sposób czuwamy nad aktualizacjami reguł i polityk na urządzeniach i jak dostosowujemy rozwiązania do tego, jak zmienia się nasza sieć, bo jest to środowisko dynamiczne. To co EXATEL oferuje, to usługa Managed Firewall, czyli tak naprawdę przejmujemy cały ciężar utrzymania, wdrożenia i zarządzania tym rozwiązaniem na siebie. Działamy w dwóch modelach – albo instalujemy lokalne urządzenie w środowisku klienta i nim zarządzamy, albo możemy przekierować cały ruch na naszą centralna platformę, dzięki czemu nawet nie będzie potrzebny zakup urządzenia do własnej sieci. Oczywiście gwarantujemy do tej usługi odpowiednie SLA i aktualizacje baz sygnatur.

 

Dawid:

Czyli tak chronimy sieć wewnętrzną. A jak możemy chronić usługi, bo jest to kolejna dość istotna rzecz w obecnych czasach.

 

Paweł:

Tutaj m.in. odpowiadają na to rozwiązania klasy Web Application Firewall, które pozwalają na ochronę serwisów na wielu poziomach i na wielu etapach korzystania z aplikacji przez użytkownika. W naszym środowisku promujemy platformę F5 Networks, która zajmuje się właśnie ruchem w aplikacjach webowych. Platforma, która jest zainstalowana na wiele modułów, które możemy uruchamiać w zależności od tego jakie są nasze potrzeby. Patrząc na kilka najciekawszych, które są tutaj dostępne na slajdzie, to jest to np. WebSafe, czyli ochrona przed phishingiem już przy samym użytkowniku, ochrona APM, która zajmuje się kontrolą dostępu do zasobów za pomocą zdalnych połączeń (czy SSL VPN, SSO),  a także uwierzytelnionym do usług chmurowych np. do Office 365. Kolejnym modułem jest np. AFM czyli firewall warstwy 3. i 4., który filtruje ruch przychodzący do aplikacji. Dodatkowo mamy również do czynienia z takimi modułami jak LTM, czyli load balancer na poziomie aplikacji, który pozwala dobrać najlepsze zasoby dostępne w tym momencie w środowisku oprogramowania, a także ASM czyli główny moduł, który zajmuje się ochroną przed atakami warstwy 7. Ataki na podatności często nie są blokowane w sposób prawidłowy na klasycznych rozwiązaniach firewallowych. Chodzi o to, że często ataki podszywają się pod prawidłowy ruch i wygląda to na działanie prawidłowe i ciężko znaleźć regułę, która będzie blokować atak. W tym wypadku są zaawansowane mechanizmy do tego, by takie rozwiązanie mogło nauczyć się prawidłowego ruchu.

 

Dawid:

Czy my jako EXATEL świadczymy tego typu usługi dla klientów?

 

Paweł:

To jest rozwiązanie idealne dla takich platform, e-usług, które część z Państwa zapewne posiada w swoich środowiskach. My akurat mamy wdrożone takie rozwiązanie do ochrony jednej z ogólnopolskich platform e-usług dla jednego z ministerstw. Działamy właśnie w formie usługi i jest to bardzo wygodne w utrzymaniu i łatwe w płatnościach. To co zyskuje klient, który korzysta z naszej usługi, to ochronę przed atakami, która spoczywa na doświadczonym partnerze na zewnątrz. Ataki te mogą być zarówno atakami na podatności typu Zero-day, mogą to być ataki z listy najbardziej popularnych zagrożeń czyli OWASP TOP10, a także ataki typu bruteforce na panele logowania lub po prostu próby podmiany stron na złośliwe bądź kompromitujące. Dzięki zakupowi takiego rozwiązania, chronimy swój wizerunek i reputację oraz pozwalamy na prawidłowe działanie aplikacji, która ogranicza pewne nadużycia. Możemy również zaproponować usługę testów penetracyjnych aplikacji, w celu znalezienia podatności, a także analizę kodu źródłowego w celu weryfikacji, czy da się ją wykorzystać w złośliwy sposób.

 

Dawid:

Omówiliśmy rozwiązanie DDoS, Next-generation firewall, rozwiązanie WAF, ale jak można sprawdzić co złego dzieje się w mojej sieci? W jaki sposób to sprawdzić najrozsądniej?

 

Paweł:

Często mamy do czynienia z sytuacjami kiedy wiemy, że coś złego się dzieje, widać że wydajność tej sieci jest nieodpowiednia, ale ciężko jest zdiagnozować problem. Do takich sytuacji najlepiej sprawdzają się urządzenia, które monitorują ruch sieciowy i tym sugerowanym przez nas, jest rozwiązanie Flowmon Networks, które bada przepływy (flow) w oparciu o metadane. Wykorzystywane są tutaj sondy, które są pasywnymi źródłami metadanych, pobierają kopie ruchu i przekazują wszystkie informacje do kolektora, czyli takiego serca tego systemu, które zbiera, analizuje i agreguje wszystkie statystyki i pozwala na wgląd administratorowi w to, co tak naprawdę dzieje się w jego sieci. Jedną z najważniejszych funkcji, które posiada platforma Flowmon Networks, jest Anomaly Detection System, który pozwala na analizę behawioralną ruchu, dzięki czemu możemy sprawdzić czy ruch działa tak jak zwykle – czy jest on nietypowy, a może łączą się urządzenia, które zazwyczaj ze sobą nie „rozmawiają” – po to by zostało to zasygnalizowane administratorowi. Dodatkowo może podjąć pewne akcje poza wyświetleniem alertu i np. uruchomić automatycznie moduł Traffic Recorder, który pozwala na pełne przechwytywanie pakietów, co jest nieocenioną pomocą przy szukaniu źródła ataku, bądź też przy pewnych działaniach audytorów. Dodatkowo jest jeszcze moduł Application Performance Monitoring, który umożliwia identyfikację czy opóźnienia w jakiejś aplikacji lub jakimś zasobie, są związane z opóźnieniami w sieci, czy są np. z nieprawidłowym skonfigurowaniem baz danych. Z takich narzędzi można skorzystać na tej platformie.

 

Dawid:

Jest to jedna z takich platform. Jakie jeszcze możemy mieć rozwiązania? Jakie platformy możemy wykorzystywać do tego?

 

Paweł:

Kolejne z rozwiązań, które proponujemy, przeznaczone jest raczej dla większych organizacji. To platforma Fidelis Networks, a konkretnie Elevate, która składa się z trzech elementów. Mówię tutaj o analizie ruchu sieciowego (Network), analizie aktywności w hostach (Endpoint) oraz Deception. Network przede wszystkim analizuje przez wszystkie protokoły, jak wyglądają sesje ruchu sieciowego. Wykrywa wszelkie działania złośliwe i niepożądane. Potrafi wykryć też wszelkiego rodzaju anomalie i może znaleźć pliki, które podszywają się pod inne rozszerzenia niż faktycznie są. Taka platforma może też służyć dobrze jako źródło tworzenia polityk DLP i ochrony przed wyciekiem danych. Część Endpoint to rozwiązanie, które chroni i pozwala na monitorowanie urządzeń końcowych. Umożliwia przede wszystkim identyfikację i powstrzymanie ataku już w początkowych fazach, kiedy po prostu dzieją się rzeczy, które nie powinny się dziać, ale nie zostały jeszcze wykryte przez systemy. To również umożliwia po analizie powłamaniowej weryfikację tego, która stacja i w jaki sposób została zainfekowana i co dalej działo się z tym złośliwym oprogramowaniem. Deception to najnowszy element, który polega na tym, że generowane są pewne systemy-pułapki, które po pierwsze odzwierciedlają rzeczywistą infrastrukturę u klienta, a po drugie posiadają pewnego rodzaju wabiki, które mają przyciągnąć uwagę atakującego. Tymi wabikami mogą być jakieś fikcyjne dane logowania do panelów lub pliki ze spreparowanymi danymi wrażliwymi, które odwracają uwagę od krytycznych zasobów klienta i prawdziwych systemów. Umożliwiają one także generowanie alertów, że ktoś próbuje za pomocą danych znalezionych w naszej sieci logować się do różnych systemów, czyli umożliwiają wykrycie trwającego już ataku.

 

Dawid:

Powiedziałeś, że jest to rozwiązanie dla dużych organizacji. Czy są także rozwiązania dla mniejszych organizacji, dla mniejszych urzędów? Coś bardziej przystępnego dla nich?

 

Paweł:

Dla mniejszych organizacji poza ochroną brzegu sieci, sugerujemy przede wszystkim podstawową kontrolę tego jak wygląda sieć lokalna, czyli jakie urządzenia są podłączane, czy są one bezpieczne, czy nie próbują rozsiać jakiegoś szkodliwego oprogramowania. Możliwe jest to dzięki zastosowaniu Network Access Control. Jednym z przykładów jest tutaj NetShield, który produkuje również takie małe rozwiązania typu Nano do małych biur i zdalnych oddziałów. Dzięki zastosowaniu takiego rozwiązania, chronimy przede wszystkim przed nieautoryzowanym dostępem. Co ciekawe, rozwiązanie to jest bezagentowe i nie wymaga dużych ingerencji w infrastrukturę, dzięki czemu jest niedrogie i łatwe w instalacji.

 

Dawid:

Czyli mamy kilka rozwiązań – firewall, DDoS-a… Zbiera się nam tego coraz więcej. Czy jesteśmy w stanie to wszystko zebrać w jednym miejscu żeby ułatwiało nam to zarządzanie?

 

Paweł:

Jest to na pewno wyzwanie i służą temu systemy typu SIEM, czyli systemy do agregacji i korelacji logów pochodzących z różnych źródeł. Systemy te ewoluowały przez ostatni czas od najprostszych zastosowań, czyli właśnie zbierania logów, agregowania ich w różne paczki, przez bardziej zaawansowane rozwiązania, które analizują zachowanie użytkowników, czyli bazujące na zachowaniu usera (UEBA), aż do trzeciej generacji. Tutaj akurat prezentujemy i sami też korzystamy ze SIEM-a producenta RSA, który podchodzi do tematu bardziej całościowo, ponieważ możemy obserwować zarówno logi systemów, jak i informacje z urządzeń końcowych. Czyli za pomocą modułów endpointowych, oprócz tego wszystkie wcześniej wspomniane moduły, a także zasila swoje silniki informacjami z modułu Threat Intelligence – czyli ze znanych, ale jeszcze szeroko nie publikowanych informacji o podatnościach – i dzięki temu możemy podejść do tematu w sposób całościowy. Takie systemy powinny być sercem naprawdę dojrzałej organizacji, która mocno dba o bezpieczeństwo i być podstawowym narzędziem dla zespołu cyberbezpieczeństwa.

 

Dawid:

Dochodzimy do takiego miejsca, że nabywamy urządzenie. Czy te systemy wymagają nakładów i obsługi? Jak to wygląda w praktyce?

 

Paweł:

Efekty wdrożenia tych systemów zależą w dużej mierze od tego, jak z nich korzystamy. Musimy zastanowić się kto będzie obsługiwał te systemy, dbał o ich aktualność i w jaki sposób będą w ogóle podejmowane takie alerty o incydentach. System SIEM wygeneruje pewną liczbę takich alertów i teraz zadaniem administratorów jest to, by ocenić które z nich są prawidłowymi.

 

Dawid:

Jak sobie z tym poradzić w najprostszy, najmniej inwazyjny i najmniej kosztowy dla firmy sposób?

 

Paweł:

Z naszej strony oferujemy usługę SOC (Security Operations Center). Jest to po prostu outsourcowanie pewnych zadań związanych z obsługą incydentów i monitorowaniem występujących zdarzeń w sieci. Nasz zespół specjalistów SOC pracuje 24 godziny na dobę, 7 dni w tygodniu i 365 dni w roku. Organizacjom, które niekoniecznie chcą w pełni outsourcować tę usługę i stać je na pełen zespół wsparcia, na wykupienie obsługi na trzech liniach, sugerujemy usługę SOC Starter, czyli rozpoczęcie od małych kroków. Uruchamiamy ją analogicznie do usługi SOC, czyli najpierw przeprowadzamy analizę wstępną, gdzie badamy jakie mamy dostępne źródła i następnie wybieramy kilka z takich źródeł, które wniosą najwięcej ciekawych informacji dla zespołu bezpieczeństwa. W przypadku usługi SOC Starter, sugerujemy firewalla oraz cztery inne, np. DNS, Proxy, a następnie przygotowujemy dopięcie standardowych reguł korelacyjnych, które będą generowały takie alerty. Usługa ta działa na bezpiecznym łączu od EXATEL i polega na tym, że w ograniczonej ilości podejmowanych incydentów w ciągu doby, monitorujemy to co się dzieje u naszych klientów. Koszty wejścia nie są tak duże jak w przypadku pełnej usługi SOC, natomiast dają bardzo dużą wiedzę na temat tego, jakie są realne zagrożenia i który z obszarów wymaga poprawy. Gdyby okazało się, że jest to za mało dla organizacji, to mamy oczywiście cały szereg innych modeli współpracy w formie outsourcingu usługi SOC, m.in. możemy outsourcować tylko linię pierwszą lub wsparcie jedynie linii trzeciej, która zajmuje się tylko zaawansowanymi usługami bezpieczeństwa.

 

Q&A

 

Dawid: Które z zabezpieczeń według nas są najistotniejsze i od którego należałoby zacząć?

Paweł: Myślę, że warto zacząć przede wszystkim od tego by zadać sobie pytanie czy wiemy co mamy w swojej sieci, czyli czy przeprowadzaliśmy ostatnio pentesty lub audyty naszej infrastruktury. Jeśli tak, to wiemy dobrze jakie rozwiązania potrzebujemy i wtedy możemy spróbować wybrać jedną z platform bądź też skonsultować się ze specjalistami EXATEL, którą platformę możemy w pierwszej kolejności spróbować wdrożyć. Należałoby zacząć od testów Proof of Concept, szczególnie jeśli chodzi o duże platformy, które dość mocno ingerują w nasze środowisko. Zarówno w przypadku pentestów, audytów jak i właśnie przeprowadzania testów konkretnych rozwiązań, służymy tutaj pomocą.

 

Dawid: W jakim zakresie odpowiedzialność ustawową, przejmuje firma outsourcingowa, np. EXATEL? Czy umowa z dostawcą cyberbezpieczeństwa będzie traktowana jako należyta dbałość o bezpieczeństwo?

Michał: Trzeba przede wszystkim stwierdzić, że sama umowa z dostawcą nie może być alibi. Ważne jest, żeby te usługi były realizowane w sposób rzetelny i profesjonalny. Proszę natomiast zwrócić uwagę, że w przypadku KSC odpowiedzialność jest zasadniczo za zaniechanie. Jeżeli Państwo są operatorem usługi kluczowej, a nie wyznaczyliby Państwo osoby do kontaktu, nie obsługiwali incydentów, nie wdrożyli odpowiedniej dokumentacji i nie utrzymywali jej, to grozi Państwu kara. Co prawda nie jest ona wysoka, ale w przypadku uporczywości, może wynieść nawet milion złotych. Odpowiadając wprost na to pytanie – umowa z profesjonalnym dostawcą, który wdroży profesjonalne usługi cyberbezpieczeństwa, pozwoli najprawdopodobniej uniknąć kar związanych ze stosowaniem ustawy KSC. Jeżeli chodzi o RODO, to sytuacja jest troszeczkę inna. W tym wypadku kary są za incydenty związane z naruszeniem, a nie za zaniechanie. W związku z tym praktyką rynkową jest raczej stosowne ubezpieczenie się i wdrożenie stosownych środków bezpieczeństwa, bo pamiętajmy o tym, że każdy system, który ma zapewnić bezpieczeństwo, może zostać kiedyś złamany. I tu też bardzo ważne jest to, żeby stosowali Państwo pewien proces związany z cyberbezpieczeństwem, czyli wdrożenie, sprawdzanie, raportowanie, korekty itd.

 

Dawid: Czy jest możliwość taniego lub darmowego przeglądu cyberbezpieczeństwa dla klientów bez dużego doświadczenia w cyberbezpieczeństwie?

Paweł: W przypadku kiedy organizacja nie zastanawiała się na poważnie nad tym jak zabrać się za cyberbezpieczeństwo albo nie wyszła z żadnymi konstruktywnymi wnioskami, zalecamy przede wszystkim rozmowę ze Specjalistą Wsparcia Sprzedaży EXATEL. Możemy za pomocą pewnej prostej ankiety, zidentyfikować jakie są zasoby w organizacji, co pozwoli nam ocenić które z obszarów są najbardziej zagrożone atakiem. Czyli będziemy w stanie ocenić, czy warto jest np. przeprowadzić testy Proof of Concept rozwiązań typu Network Access Control, czy jest szansa że są u Państwa w sieci jakieś urządzenia, które mogą być zapomniane, albo ktoś w sposób złośliwy chciałby je wykorzystać do ataku. Możemy pomyśleć nad wdrożeniem testów Proof of Concept rozwiązań np. Flowmon Networks, które dość czytelnie pokazują gdzie są problemy w sieci, które urządzenia działają w sposób prawidłowy, a które np. mają problemy z konfiguracją. Z takich mniejszych, prostszych rozwiązań, można również zlecić audyt środowiska IT, który pozwoli na identyfikację tych systemów i za pomocą takiego raportu, będzie można później zaplanować przede wszystkim wydatki na zakup systemów i przekonać osoby decyzyjne do tego, że to nie jest tylko widzimisię administratora że coś nie działa, albo że organizacja jest nieodpowiednio chroniona, ale jest to poparte doświadczeniem partnerów, którzy znają się na bezpieczeństwie i świadczą takie usługi od lat.

Dawid Piec
Kierownik ds. Kluczowych Klientów, EXATEL
Michał Sobotka
EXATEL
Paweł Deyk
EXATEL