Video
EXATEL TAMA anty-DDoS
Autorski system anty-DDoS TAMA to dowód, że własne rozwiązania cyberbezpieczeństwa można i trzeba opracowywać samodzieln...
Webinar: Zostaliśmy zaatakowani! Przegląd mechanizmów i narzędzi dla sektora publicznego
Minimalizuj skutki cyberataku. Poznaj narzędzia do integracji i wizualizacji kluczowych zdarzeń. Zapis webinaru: Zostaliśmy zaatakowani! Przegląd mechanizmów i narzędzi dla sektora publicznego.
Zostaliśmy zaatakowani! Przegląd mechanizmów i narzędzi dla sektora publicznego
(16.06.2020)
— Rafał Broda —
Na wcześniejszych webinarach była mowa o klasycznych narzędziach i mechanizmach dotyczących budowy bezpiecznego brzegu sieci. Dzisiaj będziemy dzielić się z Państwem wiedzą dotyczącą całościowego podejścia i doskonalenia potrzeb biznesowych czy statutowych organizacji. Na dzisiejszym webinarze jest z nami nasz partner technologiczny – firma Fortinet.
— Paweł Wojciechowski —
Firma Fortinet obchodzi w tym roku dwudziestolecie działalności. Od samego początku bezpieczeństwo było dla nas bardzo wysokim priorytetem i w ciągu tych kilkunastu lat staliśmy się największą firmą cybersecurity. Większość z Państwa może nas znać jako producentów firewalli (co trzeci firewall pochodzi od nas), natomiast w tej chwili mamy w swojej ofercie ponad trzydzieści linii produktowych. To nie tylko firewalle. Mało tego, dzięki temu, że Fortinet strategicznie, od samego początku skupił się na rozwoju organicznym, to mamy w tym momencie dostępną platformę Fortinet Security Fabric. Jest to spójna platforma bezpieczeństwa w której wspomniane trzydzieści linii produktowych są ze sobą zintegrowane i dzięki temu dają Państwu spójny obraz infrastruktury i powierzchni ataku. Dostają Państwo narzędzia, które w efektywny sposób można wykorzystać do zarządzania bezpieczeństwem i ryzykiem.
03:13
— Rafał Broda —
Minął już kwartał od momentu ogłoszenia pandemii w Polsce, zatem pojawiły się już pierwsze badania związane z tym wyjątkowym okresem. W naszych dzisiejszych rozważaniach będziemy bazować na wnioskach z trzech dużych badań: Kaspersky, Fortinet i IDC. W okołocovidowych raportach wszystkich trzech firm, możemy zauważyć, że elementem powtarzającym się, jest to, że w pierwszym etapie warunkiem było zapewnienie elastycznego modelu pracy. Powstały też pewne niuanse, które firmy te postanowiły zbadać. My wypunktowaliśmy te najważniejsze, które wydają się nam najbardziej istotne. Idąc po kolei: pracownicy i pracodawcy przyznali, że połowa z nich została w pełni wyposażona przez pracodawcę w sprzęt IT potrzebny do pracy. Rodzi się pytanie co z tą drugą połową, na jakim sprzęcie ci ludzie pracują, czy mu do końca ufamy. Co więcej – 3/4 pracowników potwierdza, że po dziś dzień nie odbyło żadnego szkolenia uświadamiającego z bezpieczeństwa IT. Moim zdaniem daje to olbrzymią przestrzeń do ataków socjotechnicznych i phishingowych. Oczywiście firmy starają się sobie jakoś z tym radzić, ale są to rozwiązania robione na szybko, które na pewno nie zastąpią w pełni szkoleń uświadamiających. 1/4 pracowników przyznała, że otrzymała niechciane maile z Covidem jako motywem przewodnim. Co ciekawe mówimy tu o mailach po odfiltrowaniu spamu, czyli wiadomościach, które dotarły na konto pracownika. To pokazuje jak masowa musiała być to akcja ze strony cyberprzestępców. Ciekawą statystyką podzielił się FortiGuard – dziennie odnajdowano około 600 kampanii phishingowych z Covidem jako motywem powracającym. Oczywiście mówimy tu o skali światowej. Zderzając tę statystykę ze statystyką znaną już od lat, że ponad 90% prób dostarczenia złośliwego oprogramowania odbywa się mailowo (ta tendencja jest niezmienna od lat i w czasie pandemii również się utrzymuje), otrzymujemy ciekawą zbitkę – z jednej strony mnóstwo niechcianych maili, z drugiej strony przychodzące próby złośliwego oprogramowania. Inna statystyka, którą chcielibyśmy się podzielić, to, że 1/3 firm przyznała, że aby zachować jakąkolwiek ciągłość działania, musiała przejść przyspieszoną transformację, czyli zacząć korzystać z narzędzi, które do tej pory nie były przez nich certyfikowane w jakikolwiek sposób. Grupując te najciekawsze statystyki, które dla Państwa wybraliśmy, można powiedzieć, że pierwsze dwa punkty dotykają przestrzeni, którą my nazwalibyśmy na potrzeby dzisiejszego webinara „bezpieczeństwem hosta/terminala/końcówki”. I to jest jedna przestrzeń do zagospodarowania. Motywem przewodnim kolejnej przestrzeni, jest bezpieczeństwo maila. Trzecia przestrzeń, to wszelkiego rodzaju dostępy do chmur – chmur publicznych, usług SaaS. Na tych trzech kategoriach chcielibyśmy się dzisiaj skupić. Nim to jednak nastąpi, przypomnimy to o czym mówiliśmy na poprzednich webinarach, czyli ekosystem bezpieczeństwa.
— Paweł Wojciechowski —
Zacznę od krótkiego przypomnienia naszego cyklu webinarów. Zaczęliśmy od tego, w jaki sposób zapewnić bezpieczny zdalny dostęp. W tym aspekcie mówiliśmy o bramie VPN, którą można uruchomić na FortiGate i FortiCliencie, który jest dostępny w wersji darmowej FortiClient VPN, czyli takiej która jest okrojona ze wszystkich funkcjonalności, ale daje możliwość podłączenia do VPN. Naszym pierwszym krokiem było kwestia jak bezpiecznie połączyć się zdalnie. Następnie powiedzieliśmy, że ponieważ te komputery pracują zdalnie i są one bardziej
narażone na inne ataki (ponieważ zabezpieczenia w domu mogą być słabsze niż w firmie), to warto by było ten komputer chronić. I tu polecaliśmy FortiClienta w wersji płatnej, który to oprócz zapewnienia VPN, daje nam również skaner podatności, filtracje URL-i i ochronę przed złośliwym oprogramowaniem. Jest to w pełni zarządzany klient za pomocą konsoli EMS. W kolejnym kroku powiedzieliśmy, że pracując zdalnie, warto wzmocnić bezpieczeństwo poprzez uwierzytelnianie dwuskładnikowe. Do tego służyło nam rozwiązanie składające się z FortiAuthenticatora i tokenów. Później pokazaliśmy Państwu, że mając większe środowisko, warto zainwestować w narzędzia, które w spójny i jednolity sposób będą tym środowiskiem zarządzały – tu mówiliśmy o FortiAnalyzerze i FortiManagerze. I tak powstała nasza architektura rozwiązania do tej pory. Oferta FortiNeta jest jednak dużo szersza i ten obrazek po prawej stronie pokazuje Państwu inne wybrane rozwiązania z naszej oferty. My skupimy się dzisiaj tylko na trzech: FortiEDR, czyli narzędziu do zabezpieczenia końcówek (hostów), FortiMailu (ochronie poczty) i FortiCASB (ochrona usług czasowych w chmurze).
10:27
— Rafał Broda —
Przechodząc do pierwszej kategorii. Praca zdalna trwa nadal, wyposażyliśmy pracowników w laptopy, zapewniliśmy dostęp VPN, ale jak pamiętam ze szkoleń z bezpieczeństwa czy ksiąg dobrych praktyk, każdy wyniesiony komputer jest pewnego rodzaju migrującym problemem, będącym poza naszym zasięgiem, a jednocześnie z dostępem do naszej sieci. I to są problemy dnia codziennego, np. aktualizacje – jak szybko na zdalnym komputerze administrator sieci IT jest w stanie wdrożyć aktualizacje? Drugi problem to media, do których podłączają się użytkownicy. Sieci Wi-Fi też nie zawsze ze swojej natury są bezpieczne. Reasumując: wiele hostów jest poza zasięgiem naszego lokalnego bezpieczeństwa. W jaki sposób można by zarządzać ich podatnościami?
— Paweł Wojciechowski —
Podatnościami i nie tylko. Być może jest to czas, gdzie dla większych środowisk warto zastanowić się nad takim rozwiązaniem, które daje również możliwość protection response, czyli reakcji na ataki w czasie rzeczywistym. W zeszłym roku zrobiliśmy akwizycję firmy enSilo, której rozwiązanie umożliwia nam, prócz ochrony, wykrywanie ataków i reagowanie na nie w czasie rzeczywistym. Nie wiem, czy wiecie, ale wiele raportów mówi o tym, że część ataków jest niewidoczna i średni czas wykrycia, że ktoś zaatakował firmę i siedzi w środku, wynosi od 3 do 6 miesięcy. To bardzo długo. Warto więc mieć rozwiązanie, które pomoże w wykryciu i analizie tego typu ataków. Co robi FortiEDR? FortiEDR ma funkcjonalności ochrony przed infekcją (Discover & Predict i Prevent) i pomocy, gdy ta infekcja nastąpiła. Przed infekcją funkcjonalność działa reaktywnie, wykrywa podatności i chroni przez mechanizm virtual patching. Po drugie uniemożliwia zainstalowanie złośliwego oprogramowania na końcówce użytkownika. Oprogramowanie to ma lekkiego agenta działającego na poziomie kernela, jest bezsygnaturowe oraz ma mechanizmy machine learning, kontroli aplikacji i kilka innych zaawansowanych technik, które umożliwiają bardzo efektywną ochronę. Z drugiej strony wiemy o tym, że żaden system nie będzie chronił nas w 100% i do włamania dojdzie prędzej czy później. Wtedy trzeba umieć to wykryć. Mamy dużo różnych mechanizmów, żeby wykryć włamanie (faza Detect). Następnie mamy dosyć unikalną fazę, która nazywa się Defuse i działa jak pewnego rodzaju opóźnienie. Wiele systemów, gdy następuje atak, odcina hosta, jeżeli atak zostanie wykryty i użytkownik pracujący na tym hoście nie może pracować. Technologia Defuse potrafi zamrozić nam tylko proces, kawałek hosta i nadal umożliwiać pracę temu hostowi, dopóki nie podejmiemy decyzji co z tym włamaniem zrobić. Decyzja ta może być manualna lub automatyczna. Możemy np. w ten sposób chronić przed wyciekiem danych, gdy widzimy, że coś dziwnego się dzieje i ktoś komunikuje się z command & control. Blokujemy wtedy jeden proces, a niekoniecznie cały komputer. Tak samo, gdy widzimy, że ktoś próbuje zainstalować ransomware, zaszyfrować dyski – wtedy też z automatu możemy zadziałać i zamrozić proces, żeby do tego nie doszło. Gdy już przejdziemy fazę Defuse, mamy dwie inne kategorie, mianowicie Respond & Investigate. Odpowiedź może być manualna i automatyczna. Jak nastąpiło włamanie, to bardzo ważne jest, żeby tak naprawdę zdiagnozować, jak doszło do niego i następnie podjąć kroki, żeby drugi raz do tego włamania w ten sam sposób nie doszło. Dostarczamy narzędzia razem z oprogramowaniem, żeby taką analizę forensicową móc robić. Punkt czwarty: Remediate & Roll back. Są to już narzędzia do tego, by przywrócić sytuację do momentu przed włamaniem. To wszystko umożliwia rozwiązanie FortiEDR.
To jest przykładowy screen z kawałka oprogramowania, które umożliwia analizę i wykrywanie tych ataków. Widzą Państwo komunikat, jego opis, który można rozwinąć i tam również widać, dlaczego ten proces został np. zablokowany, a na dole widać poszczególne kroki, które zostały wykonane przez proces i w którym momencie (to czerwone na końcu) został zablokowany. O ile wiecie został odpalony power shell, który próbował się kontaktować z command & control, czyli serwerem botów na zewnątrz i ta komunikacja została zablokowana. Dzieje się to automatycznie. Analiza ataków może być wielowymiarowa i można prosić o historię tego co działo się na hoście, żeby przeanalizować te ataki. Tutaj widzą Państwo listę bibliotek używanych przez program, można prosić o kolejne działania na procesorze i można (jeżeli są takie bezplikowe ataki, które siedzą w pamięci) też zrobić zrzut pamięci do pełnej analizy. Możliwości tej analizy są naprawdę bardzo szerokie, a tutaj w szczególności, jeżeli widzą Państwo, że mamy program działający i jest on podejrzany, można go sprawdzić spod prawego klawisza myszy z VirusTotal. Drugą opcją jest threat hunting i mogą Państwo wyświetlić inne hosty, które zostały zainfekowane w ten sam sposób w Państwa środowisku.
Te narzędzie daje więc Państwu dużą widoczność i bardzo efektywny sposób analizy, ale też reakcji na atak. W reakcji na atak pomagają playbooki (pewne automaty, które reagują na zdarzenia), które mogą Państwo dosyć granularnie definiować, w zależności od grupy, od statusu, od wielu różnych rzeczy. Upraszczając nieco, playbooki są automatyczną akcją, która zostanie wykonana na konkretną działalność, która się dzieje na zarządzanej końcówce.
Po lewej stronie slajdu są punkty, które podkreślają skuteczną ochronę, więc to jest narzędzie analityczne, ale też pozwalające wykryć i szybko zareagować na zaistniałe zdarzenie. To co jest jeszcze warte podkreślenia (po prawej stronie), to efektywność operacyjna. Wspomniałem, że ten agent jest bardzo lekki, zajmuje niewiele czasu procesora i pamięci – jest to proces działający na poziomie kernela, więc bardzo dużo widzi i jest w stanie reagować bardzo szybko. Druga rzecz, która jest warta zaznaczenia, to są to platformy, które są wspierane. Jeżeli mają Państwo platformy, które nie są już wspierane przez producentów oprogramowania (takie jak Windows XP czy Windows Server 2003), to te oprogramowanie nadal może chronić tego typu platformy.
21:02
— Rafał Broda —
Brzmi zachęcająco. Wykrywanie, analityka, automatyka, ale wraca pytanie o koszt. Nie rozmawiamy tutaj o pojedynczym rozwiązaniu, pojedynczej instalacji, tylko jeśli chcemy zachować spójność bezpieczeństwa naszej organizacji, musimy zabezpieczyć laptopy wszystkich naszych pracowników. Wiadomo, że efekt skali robi swoje i od razu rodzi się pytanie: jak skosztorysować te rozwiązanie? Co jest tam licencjonowane?
— Paweł Wojciechowski —
Jest to licencjonowane tak jak inne rozwiązania na rynku, mianowicie licencjonujemy zarządzany komputer, czyli ilość zainstalowanych agentów. Licencje są dostępne w paczkach, natomiast to co jest warunkiem koniecznym, to minimalna ilość zarządzanych urządzeń końcowych, która równa jest 500. Pierwsza licencja, którą trzeba kupić, jest na 500 stanowisk. Jest to rozwiązanie z sektora premium i dla większych środowisk. Oczywiście mamy mniejsze kwanty licencji, np. paczka 25, natomiast dokupuje się je dopiero powyżej 500. Np. gdy ktoś potrzebuje 550 licencji, to kupuje jedną paczkę 500 i dwie paczki po 25.
W tabelce widzą Państwo funkcje o których mówiłem. Funkcja Discovery umożliwia zmniejszenie powierzchni ataku poprzez skaner podatności i wirtualne patchowanie. Funkcja Pre & Post Infection Protection posiada mechanizmy ochrony zarówno przed infekcją jak i po zainfekowaniu. Funkcja Forensic and Threat Hunting to funkcja analityczna. Można sobie kupić odpowiedni pakiet, w zależności od potrzeb. Jest oczywiście pakiet Full suite. Pakiet EPP/EDR suite, który, jeżeli mają Państwo jakieś rozwiązanie do ochrony końcówki, to ten pakiet dawałby możliwości analityczne i ochrony przed zaawansowanymi atakami.
Jeszcze dwa słowa o FortiClient i FortiEDR. Jak Państwo wiedzą, do ochrony końcówek mówiliśmy o FortiCliencie. Jeżeli mają Państwo mniejsze środowisko, poniżej 500, to zdecydowanie z tego punktu widzenia zalecamy FortiClient. Te dwa rozwiązania mają minimalną ilość tych samych funkcjonalności, ale też mają zdecydowanie różne funkcjonalności. FortiClient dostarcza Państwu możliwość zdalnego dostępu (Secure Remote Access) i jest to akurat część, którą można dostać w darmowej wersji FortiClient, natomiast to co się pokrywa, to skaner podatności i inwentaryzacja aplikacji. Jeżeli mają Państwo mniejsze środowisko, chcą mieć po prostu ochronę endpointa, FortiClient jest w zupełności wystarczający. Jeżeli chcą Państwo mieć zaawansowane funkcjonalności ochrony przed ransomware, ale również narzędzia analityczne, to zdecydowanie FortiEDR. Można mieć oba te rozwiązania, które będą ze sobą współgrać, a można się zdecydować na jedno z nich.
25:05
— Rafał Broda —
Kolejnym aspektem, który wynikał ze statystyk covidowych, był mail. Mail jest krytyczny, jeżeli chodzi o bezpieczeństwo i ten trend utrzymuje się od lat. Z tego co mi wiadomo, w wielu instytucjach mail pełni dodatkowe funkcje, jak np. zastępuje systemy cyfrowego obiegu dokumentów. Chciałbym go zabezpieczyć adekwatnie do moich potrzeb i wymagań bezpieczeństwa. Co można tutaj dodatkowo dodać. Jak to zmienić i zaprojektować. Jak to zrobić?
— Paweł Wojciechowski —
Mail jest podstawowym wektorem ataku na przedsiębiorstwa. Statystyki covidowe i to co my również wiemy, to, że procentowa ilość ataków phishingowych urosła trzycyfrowo. Ale niezależnie od Covida, należy przykładać dużą uwagę do ochrony poczty elektronicznej. To jest w tej chwili również podstawowe narzędzie pracy.Mogą mieć Państwo pocztę on-prem i wtedy jest to typowe rozwiązanie gateway, które będzie chroniło Państwa pocztę. Mogą mieć Państwo Office 365 i tam korzystać z poczty elektronicznej w chmurze. I teraz jeżeli chodzi o on-prem, to gateway jest nieodzowny i tam trzeba go zainstalować. Jeżeli chodzi o rozwiązania w chmurze, to z tego co mi wiadomo, w dowolnym abonamencie mają Państwo podstawową ochronę przed spamem i złośliwym oprogramowaniem. Natomiast jeżeli chcą Państwo pójść w kierunku zaawansowanej ochrony, to w kontekście Office 365 muszą Państwo dokupić pakiety Advanced Threat Protection 1 lub Advanced Threat Protection 2. Są to pakiety oddzielnie licencjonowane i licencjonowane na skrzynkę mailową. Te zaawansowane funkcjonalności jesteśmy w stanie Państwu dostarczyć na pewno dużo bardziej efektywnie kosztowo. Jeżeli mają Państwo inne elementy FortiNeta, to będzie to jeszcze zintegrowane w ramach Security Fabric.
I jeszcze kilka słów o zaawansowanych funkcjonalnościach, które warto, a wręcz należy mieć w rozwiązaniu ochrony poczty, żeby ta ochrona była efektywna. Po pierwsze trzeba mieć narzędzie, które umożliwia ochronę przed złośliwymi załącznikami. FortiMail ma oczywiście antywirus na wejściu (klasyczny silnik do odszukiwania znanych złośliwych oprogramowań). Następnie ma rozwiązanie, które nazywa się Content Disarm & Reconstruction. Polega ono na wycięciu aktywnych części z dokumentów office’owych i PDF-ów, więc jeżeli załącznik dotrze do użytkownika, który go nawet kliknie, to komputer nie zostanie zainfekowany – po prostu nie ma tam aktywnych treści. Po trzecie Sandboxing, który może być oddzielnym rozwiązaniem, a mogą Państwo potencjalnie korzystać z niego w chmurze. Sandboxing, jeżeli coś jest nieznanej reputacji, wysyła załącznik, Sandbox odpala go i przesyła raport czy jest to złośliwe czy nie.
29:46
Drugi ważny aspekt, który należy wziąć pod uwagę, to ochrona przed linkami, które mogą okazać się złośliwe i za pomocą których cyberprzestępcy mogą dostać się do naszego przedsiębiorstwa. I tu FortiMail (ale nie tylko) dostarcza kilka rozwiązań. Pierwszym jest URL Filtering, czyli baza danych FortiGuarda. Jeżeli wiemy, że coś jest botnetem lub jest niskiej reputacji, to po prostu nie zostanie wpuszczone. Po drugie Time-of-Click Protection, które jest funkcjonalnością FortiMaila. Gdy link jest sprawdzany na wejściu do poczty elektronicznej, może on okazać się linkiem dobrej reputacji. Następnie mail ląduje w skrzynce i jej użytkownik może otworzyć tę wiadomość w dowolnym czasie, np. trzy tygodnie później. W tym czasie strona może się „uzłośliwić”, czyli ze strony o dobrej reputacji, może stać się stroną złej reputacji. Time-of-Click, jak sama nazwa wskazuje, będzie sprawdzał reputacje tej strony zawsze, kiedy użytkownik kliknie na link w mailu, niezależnie od tego, kiedy to zrobi. Sandbox, jako zewnętrzne rozwiązanie, też oczywiście może sprawdzać linki i patrzeć, czy okazują się złośliwe.
Ostatnia funkcjonalność, o której chciałem powiedzieć, to platforma izolacyjna FortiIsolator, która jest zupełnie oddzielnym produktem, nie będącym częścią FortiMaila. Na slajdzie widzą Państwo dwie strony internetowe – ta po lewej została otwarta bezpośrednio przez przeglądarkę, po prawej otwarta przez platformę FortiIsolator. Co znaczy poprzez platformę? Jeżeli mieliby Państwo FortiIsolatora, to działanie byłoby następujące: przychodzi mail, link podmieniany jest na naszym gateway’u na FortiMailu na inny link wskazujący na platformę FortiIsolator i teraz jeżeli użytkownik kliknie tego linka, to oczywiście otwierana jest przeglądarka, ale ta przeglądarka niczego nie robi
– ona tylko i wyłącznie prosi FortiIsolatora, żeby ściągnął tę stronę. To co robi FortiIsolator, to na swojej platformie odpalając przeglądarkę, ściąga całą stronę, renderuje ją i wysyła do przeglądarki użytkownika tylko i wyłącznie dynamiczne zdjęcie. Mogą Państwo zobaczyć różnicę w kodzie. Po lewej stronie, jak otworzą Państwo stronę bezpośrednio w przeglądarce, będą mieli Państwo kod źródłowy jak na załączniku, dużo różnych odnośników, aktywnych skryptów, które nie wiadomo co robią itd., więc dużo potencjalnego miejsca na zainfekowanie. Po prawej ta strona jest bardzo prosta i odwołuje się do platformy FortiIsolator na której wszystko się dzieje. Ta strona jak widzą Państwo wygląda tak samo. Gdy kliknie się wybrany link, to ten klik idzie jako polecenie do platformy izolacyjnej, platforma izolacyjna ściąga całą zawartość i następnie przekazuje znowu dynamiczne zdjęcie do użytkownika. Co dzięki temu osiągamy? Osiągamy to, że implementujemy „zero trust”, nie ufamy żadnej stronie, którą otwieramy i jeżeli byłoby jakiekolwiek złośliwe oprogramowanie, które miało być dostarczone tym sposobem, to ono nie zostanie dostarczone, ponieważ zostanie na platformie izolacyjnej. Jak już wcześniej wspomniałem, jest to oddzielne rozwiązanie, oddzielnie licencjonowane.
34:09
Ostatnią rzeczą, na którą warto zwracać uwagę (i to też jest zaawansowana funkcjonalność), jest ochrona przed tzw. Business Email Compromise. Są to takie maile, które nie mają ani złośliwego linku, ani złośliwego załącznika, natomiast używają pewnej socjotechniki. Jesteśmy w nich zazwyczaj proszeni o przelanie dużej ilości pieniędzy bardzo szybko i zazwyczaj cyberprzestępcy w takich wiadomościach podszywają się pod wysokiej rangi urzędnika znanej firmy, np. prezesa. Często po takim mailu następuje telefon do osoby, do której wiadomość została wysłana, aby użyć socjotechniki i wymusić na tej osobie wykonanie tego przelewu. FortiMail pozwala wykrywać takie maile i pozwala też blokować wybranych. Mianowicie za pomocą protokołów DKIM/DMARC/SPF uwierzytelniamy nadawcę, czyli sprawdzamy czy ten nadawca istnieje. Po drugie wykrywamy spoofing (pol. szachrajstwa), czyli podszywanie się pod innego użytkownika (mail wygląda jakby przyszedł od prezesa, ale tak naprawdę nie przyszedł od niego). Trzeci element to wykrywanie tzw. Cousin Domain i są to nazwy domen, które są bardzo podobne, różnią się literą, mają podkreślenie. Na pierwszy rzut oka wyglądają na tę samą domenę, ale tak naprawdę jest inaczej. Technologia zawarta w FortiMailu wykrywa takie rzeczy, część potrafi blokować, a część po prostu ostrzega użytkownika, że to jest prawdopodobnie spoofing albo atak typu Business Email Compromise. I te rzeczy, o których
mówiłem, czyli zaawansowana ochrona przed złośliwymi załącznikami, zaawansowana ochrona przed złośliwymi linkami, to są funkcje, które według mnie należy mieć jako część skutecznej ochrony poczty elektronicznej.
FortiMail ma też dodatkowe funkcjonalności, za pomocą których można filtrować treści, czyli uszczelnić sobie wyciek danych, co wspiera wymagania RODO. FortiMail dostarcza też funkcjonalność Identity Based Encryption, co znowu wpisuje się w RODO, jeżeli mają Państwo kontrahentów albo firmy z którymi współpracują i trzeba szyfrować wybrane maile. FortiMail ma to w sobie. Maile są szyfrowane i dostarczany jest mechanizm ich odczytu przez odbiorców. Na FortiMailu można również archiwizować maile w celach back-upowych, albo w celach forensicowych, jeżeli trzeba będzie wrócić do oryginału maila z różnych przyczyn.
37:28
— Rafał Broda —
Rozwiązanie rzeczywiście wygląda bardzo kompleksowo i odpowiada na nasze największe bolączki, czyli ransomware i udawane URL-e. Po raz kolejny wraca jednak pytanie o budżet. Od czego zależą opłaty? Jeszcze trzy miesiące temu nasze skrzynki mailowe były zwykłymi skrzynkami mailowymi, a dziś załączamy do nich wiele dużych dokumentów. Od czego zależą opłaty w przypadku tego rozwiązania? Od ilości maili, wielkości? Czy poczta wewnętrzna jest tutaj jakoś uwzględniana i osobno wyliczana? Jak to skosztorysować?
— Paweł Wojciechowski —
Skupię się na dwóch modelach. Mamy urządzenia (7 modeli) i maszyny wirtualne. To co się dla nas liczy: FortiMail nie licencjonuje ilości skrzynek pocztowych, jeżeli mówimy o urządzeniach i maszynach wirtualnych. Licencjonujemy rozwiązanie, tzn. muszą Państwo odpowiedzieć na pytanie, ile mają Państwo domen i ile maili (albo dziennie albo na godzinę) przychodzi do Państwa, włączając w to potencjalny spam. Następnie wybierają Państwo rozwiązanie odpowiednie z tych siedmiu modeli, które są dostępne zarówno w maszynie wirtualnej, jak i w urządzeniu i kupują Państwo rozwiązanie, które adresuje Państwa potrzeby. Jest to policzalny koszt. Jeżeli chcą Państwo mieć klaster, to wtedy trzeba kupić drugie pudełko lub drugą maszynę wirtualną i uklastrowić to. Można więc powiedzieć, że mamy nielimitowaną ilość skrzynek. To na co my zwracamy uwagę i co trzeba wiedzieć w momencie, kiedy wybiera się określone urządzenie lub maszynę wirtualną, to ile maili przychodzi do nas i ile domen chcemy obsługiwać. Druga rzecz: mamy bundle podstawowy i zaawansowany. Funkcjonalności zaawansowane są w zaawansowanym bundlu i można do niego dokupywać opcje dodatkowe: Dynamic Adult Image Analysis Service (serwis, który rozpoznaje zdjęcia pornograficzne), FortiIsolator (oddzielna platforma), FortiSanbox on-prem, jak i integracja z Officem 365 poprzez API.
40:28
— Rafał Broda —
Przejdźmy do trzeciego aspektu dzisiejszego webinaru, czyli dostępu do chmury. Widzimy ten trend od kilku lat i raczej od niego nie uciekniemy, ale skorzystanie z chmur pod wszelaką postacią publicznych SaaS, z punktu widzenia bezpieczeństwa, jest wypłynięciem na głębokie wody. Ekspozycja na atak wzrasta. Reasumując: zaufanie mam, ale jednak ograniczone. Jeśli skorzystałbym z tego modelu usług, to jak zapewnić bezpieczeństwo? Dokąd może sięgnąć mój obszar jurysdykcji?
— Paweł Wojciechowski —
Skupię się tutaj na Office 365, ale zanim do tego przejdę, wspomnę jeszcze o modelu współdzielenia odpowiedzialności. Mianowicie, jeżeli migrują Państwo do chmury, albo używają poczty i innych usług w chmurze, to jest to model SaaS-owy. W takim modelu dostawca chmury publicznej albo dostawca usługi, który praktycznie obsługuje Państwa po całości, nie bierze pełnej odpowiedzialności. Nadal odpowiadają Państwo za dane osobowe i kilka innych rzeczy. Migracja do chmury nie zwalnia z odpowiedzialności, nawet w modelu SaaS-owym i o tym trzeba bardzo mocno pamiętać. Co z tego wynika? Wynika tyle, że to Państwo muszą dostarczyć narzędzia, albo muszą dbać o bezpieczeństwo tych danych, również w chmurze. To co my dostarczamy – mówimy o modelu SaaSowym, bo mamy inne narzędzia do modeli IaaS czy BaaS, ale do konsumpcji aplikacji jako usług – jest to FortiCASB. Daje on Państwu zdecydowanie widoczność wykorzystania aplikacji, widoczność danych, które tam Państwo składują i mechanizmy do zabezpieczania informacji, ochrony przed zagrożeniami, czyli skaner, który będzie skanował wybrane dane, które tam się składują i pokazywał czy tam jest jakieś złośliwe oprogramowanie czy nie, ale również będzie dostarczał raportów o zgodności z regulacjami. Tak naprawdę, więc instalując FortiCASB, dostają Państwo widoczność tego co się dzieje w tej aplikacji (np. w Office 365). My robimy to w ten sposób, że nie zmieniamy nic po stronie użytkownika i sieci, po prostu podłączamy się rozwiązaniem FortiCASB po API do aplikacji. Gdy podłączamy się do aplikacji, to widzimy to co robią użytkownicy np. Office 365, jak wykorzystują tę aplikację, jakie dane składują itd. To zapewnia łatwy sposób konfigurowania i daje Państwu pełną widoczność i dużo większe bezpieczeństwo korzystania z aplikacji Office 365 w chmurze. Z punktu widzenia bezpieczeństwa nie wyobrażam sobie, że idąc w kierunku Office 365, nie ma się wglądu i pełnej widoczności, czyli widzę FortiCASB jako część architektury bezpieczeństwa.
— Rafał Broda —
Chciałbym teraz opowiedzieć jak EXATEL mógłby Państwu pomóc w tej nowej rzeczywistości. Z jednej strony można powiedzieć, że wdrożenie tych produktów, które zostały omówione, to spełnienie potrzeb funkcjonalnych, ale z drugiej strony – z punktu widzenia bezpieczeństwa – jest to otworzenie nowych przestrzeni na pola różnego rodzaju ataku, którym może być wyciek danych lub jakaś kontrolowana niedostępność. Tu odwołam się do naszych zasobów osobowych, czyli Security Operations Center, które mogą podzielić się własnymi doświadczeniami w kwestiach bezpieczeństwa. Są to osoby, które stanowią trzon trzeciej linii wsparcia i o tyle o ile SOC kojarzy się z monitoringiem, reagowaniem na incydenty czy też wsparciu reaktywnym dla klienta przy usuwaniu szkód ataku, to dziś chciałbym powiedzieć o innych naszych produktach. Możemy zadziałać proaktywnie z Państwem w tej nowej, covidowej rzeczywistości, przy zwiększonej ekspozycji na atak, poprzez to, że wdrożyliśmy pewne rozwiązania, nowe inicjatywy. Część z nich instalowaliśmy pod wpływem chwili, ponieważ ciągłość działania w marcu była najwyższym priorytetem, natomiast teraz wypadałoby usiąść i wykonać pewien rachunek sumienia. Produkt, o którym chcielibyśmy dzisiaj powiedzieć, to rekonesans bezpieczeństwa. Usługę rekonesansu wykonują ludzie, przy użyciu narzędzi i zgodnie z dobrymi praktykami. Bardzo istotna jest nazwa tej usługi, ponieważ dobraliśmy ją tak, aby stanowiła ona pewne zdroworozsądkowe podejście do szacowania potrzeb, wymagań bezpieczeństwa. Chcieliśmy też bardzo wyraźnie rozgraniczyć ten produkt od audytu bezpieczeństwa. Wykonujemy również audyty bezpieczeństwa, zarówno te cywilne, jak i te wojskowe, czyli pomagamy przy spełnianiu wytycznych wynikających z ustawy o krajowym systemie cyberbezpieczeństwa. Tutaj słowa audyt chciałbym uniknąć, bo audyt wiąże się z podejściem całościowym, holistycznym, analizą formalno-procesową, natomiast rekonesans, o którym mówimy jest zderzeniem praktycznej wykładni bezpieczeństwa z sytuacją zastaną na dzień obecny w Państwa firmie. Ta sytuacja może być trochę rozgrzebana przez działania okołocovidowe, kiedy wszystkie ręce były potrzebne na pokładzie i powstały pewne luki, których nie mamy świadomości, że są, a warto by było je zidentyfikować już dziś.
Sam rekonesans nie jest produktem nowym i nie stworzyliśmy go na fali covidowej. Mamy go w portfolio od jakiegoś czasu, natomiast zauważyliśmy, że bardzo mocno zyskuje on na popularności. Co warte odnotowania, nie dotyczy on samego zabezpieczenia technologicznego, ale też procesowego. Jeśli chodzi o zakres tej usługi, to jest to jednorazowa akcja, choć oczywiście zachęcamy, aby była ona powtarzana w pewnych odstępach czasu. Na starcie jednak jest to jednorazowa akcja, która polega na rozpoznaniu środowiska teleinformatycznego pod kątem potencjalnych zagrożeń. Wytypowanie, na podstawie prowadzonych przez EXATEL działań takich elementów środowiska, są one rozpoznawane pod kątem najbardziej istotnych zagrożeń, podatności. Nie mówimy tylko o aspektach technologicznych, ale również o procesowych, dlatego są tam angażowane osoby z obszaru bezpieczeństwa proceduralnego jak i pentesterzy. Efektem końcowym takiego rekonesansu jest raport, w którym opisujemy najistotniejsze wykryte luki, jak również sugerujemy pewne działania naprawcze, mitygujące, a Państwo na koniec dnia uzyskują uporządkowaną listę priorytetów do zrobienia już dziś, lub w jakimś horyzoncie czasowym.
Model usługi wygląda tak, że na początku przeprowadzamy ankietę składającą się z kilkunastu pytań i jest na ogół godzinna rozmowa, którą możemy odbyć zdalnie. Po naszej stronie, w odniesieniu do wniosków z ankiety, powoływany jest zespół projektowy. Po Państwa stronie jest jeszcze wymóg – musimy mieć choćby jedną dedykowaną osobę współpracującą i z nią wejdziemy na wyższy poziom precyzji (ustalenie szczególnych kierunków zainteresowań, sprawy administracyjne, zapewnienie kont dostępowych dla pentesterów).
Ponieważ będą to testy ofensywne, ważne jest, by klient w swoim interesie zapewnił kopie zapasowe systemów. Z racji tego, że są to testy ofensywne, część danych może ulec jakimś modyfikacjom i, co bardzo istotne z punktu formalno-prawnego, musimy mieć wyrażoną przez klienta zgodę na nieautoryzowany dostęp do systemu informatycznego. Całość prac zależy od wielkości organizacji, ale zazwyczaj zamykamy się w tygodniu. Po kolejnych dwóch-trzech dniach powstaje raport i to jest finał tej usługi.
— Pytania — 51:32
„Ile kosztuje taki rekonesans?”
Rafał Broda: Koszt zależy od wielkości organizacji. Z założenia jest to usługa prosta. Proporcja jest taka, że pentesterzy pracują zazwyczaj dwa razy dłużej niż analitycy procesowo-formalni. Jeśli chodzi o konkretne kwoty to odsyłam Państwa do kontaktu z opiekunami handlowymi. Natomiast w zdecydowanej większości przypadków jest to kilka dni pracy. Nie spotkaliśmy się z rekonesansem trwającym dłużej niż tydzień. Rekonesansu nie należy traktować jako przygotowania organizacji przed audytem ustawy o krajowym systemie cyberbezpieczeństwa. Jest to produkt bardzo prosty, odpowiadający na bieżące potrzeby i wskazujący kierunki. Jest to pewnego rodzaju remedium na obecną sytuację covidową.
„Co daje więcej EDR od antywirusów i VPN klienta?”
Paweł Wojciechowski: EDR jest zupełnie inną klasą rozwiązań niż same antywirusy. Jeśli był atak, to te narzędzie umożliwia pełną analizę tego ataku i daje możliwość wyciągnięcia wniosków jak ten atak postępował, co zostało zaatakowane, jaki był wektor ataku itd. To jest jakby główna różnica. EDR ma też zaawansowane mechanizmy (FortiClient ma niektóre z tych mechanizmów), ale ponieważ jest to narzędzie zewnętrzne, które kupiliśmy, ma takie bezsygnaturowe mechanizmy do ochrony, które sprawdzają się np. w środowiskach zamkniętych, które nie mają dostępu do Internetu. Co warte podkreślenia, FortiEDR daje wsparcie dla starszych platform windowsowych, które mogą być chronione, co ma znaczenie szczególnie w środowiskach przemysłowych.
„Korzystalibyśmy z chmury, ale mamy ograniczenia RODO i Unii Europejskiej.
Samo zabezpieczenie techniczne to za mało.”
Paweł Wojciechowski: Nie jestem prawnikiem, ani specjalistą od RODO, natomiast patrząc na rynek i rozmawiając z klientami, widzę, że również na rynku publicznym jest wiele podmiotów i to nawet tych bardzo dużych, które przechodzą do chmury, korzystają z niej (na pewno z Office 365), a niektóre idą nawet w platformę IaaS i PaaS. To mi pokazuje, że można. Natomiast coraz częściej najwięksi dostawcy chmurowi deklarują, że wkrótce w Polsce powstaną ich data center, w związku z tym wtedy już w ogóle nie będzie problemu z czymś co się nazywa data residency i będą Państwo mogli wskazać, że te dane mają leżeć w Polsce. Myślę, że zniesie to te ograniczenia. Obserwuję, że wiele nawet dużych podmiotów publicznych korzysta z Office 365, więc w jakiś sposób potrafią sprostać wymaganiom RODO, a z drugiej strony używać tego rozwiązania.
Rafał Broda: Tak naprawdę w przeciągu roku Google i Microsoft „zamieszkają” ze swoimi usługami w Polsce. Chcę natomiast żebyśmy mieli świadomość: samo RODO to nie jest jakby „problem Polski”, tylko jest to interpretacja dyrektywy europejskiej GDPR i ci globalni gracze nie chcą, żeby rynek im uciekał, więc podążają za tymi regulacjami. Na początku firmy te były otwarte rzeczywiście na zachodnioeuropejskie data center, ale widzą też, jak rynek Polski nasiąkł ich usługami i robią to we własnym interesie, a my rzeczywiście jako odbiorcy końcowi, będziemy mieli tę wygodę, że przy audycie będziemy mogli wskazać, że nasze dane nie opuszczają granic Polski. Co ciekawe mamy też swoją polską odpowiedź na te potrzeby, to jest Operator Chmury Krajowej, czyli projekt publiczny. Oni też już dosyć ostro rozmawiają z Google i z Microsoftem. Gdyby była taka potrzeba z Państwa strony, to EXATEL ma też do nich łącza transmisyjne, z resztą nie jest też tajemnicą, że współpracujemy dosyć mocno na poziomie data center.
„Czy obecne tempo zmian pandemicznych utrzyma się i po ustaniu szału nie zniknie?”
Rafał Broda: Ja bym tu nie mówił o szale. Przypomina mi się pewien obrazek humorystyczny mówiący o cyfrowej tranformacji. Na tym obrazku znajduje się ankieta z pytaniem „kto przeprowadzi cyfrową transformację w twojej firmie” i trzy odpowiedzi: prezes finansowy, prezes techniczny czy Covid. Nie mówił bym więc o tempie zmian. Covid zintensyfikował jedynie trendy, które były od lat.
Paweł Wojciechowski: Mam takie samo zdanie. Nie wiem jakie będzie tempo zmian. Pandemia uświadomiła zarządom, że tak abstrakcyjna rzecz jak zamknięcie kraju albo świata jest możliwa, co do tej pory traktowali jako ryzyko, które są w stanie zaakceptować w business impact analysis, które były robione. Więc daje bardzo potężny oręż lokalnemu CSO, czyli w ogóle działu bezpieczeństwa, żeby przewalczyć wybrane rzeczy. Według mnie zmiany, które się teraz zapoczątkowały i świadomość zarządów, że nawet najdziwniejsze ryzyka mogą się kiedyś spełnić, bardzo mocno przyspieszy zmiany. Według mnie proces transformacji cyfrowej przyspieszy. Widziałem też raport poważanej firmy, która robiła np. wywiad z dyrektorami finansowymi globalnych firm i w tym wywiadzie ci dyrektorzy powiedzieli, że rzeczywistość będzie inna po pandemii COVID, np. jeżeli chodzi o zdalną pracę. Bo jak się okazuje, część prac/część stanowisk może być zupełnie zdalna i to nie wpływa na ich efektywność, a wręcz podwyższa efektywność działania osób pracujących na tych stanowiskach. Więc ci dyrektorzy finansowi upatrują, testują w trakcie pandemii modele działania i część prac na pewno będzie zdalna od tej pory. Pytanie tylko ile, co również z jednej strony podniesie efektywność działania tych osób, a z drugiej strony przyniesie pewne oszczędności, jeżeli chodzi chociażby o biura dla tych firm.
Rafał Broda, Kierownik Projektu, EXATEL S.A.
Paweł Wojciechowski, Business Development Manager, Fortinet
