Podniková bezpečnost stojí odnepaměti na čtyřech základních kamenech spočívajících v legislativních, organizačních a technických opatřeních, které doplňuje zcela zásadní oblast, na kterou je potřeba se soustředit, a tou je lidský faktor. Z mnoha studií a bezpečnostních auditů totiž dlouhodobě vyplývá, že právě lidský faktor je nejslabším článkem jakékoli strategie firemní kybernetické bezpečnosti. Dle reportu „The Human Factor in IT Security... ” společnosti Kaspersky Lab vyplynulo, že více než polovina firem se obává právě narušení bezpečnosti přicházející zevnitř. Dle reportu stáli zaměstnanci v uplynulém roce u 46 % všech incidentů kybernetické bezpečnosti, kterým byly firmy nuceny čelit. Proto se bez detailního přehledu o tom, co se děje uvnitř perimetru do budoucna prakticky neobejdeme.

V rámci legislativních opatření je pro vybrané firmy situace poměrně čitelná. Zákon o kybernetické bezpečnosti jasně udává, jaké zákonné požadavky musím jako firma spadající do některé z vyjmenovaných kategorií přijmout (§3, 181/2014 Sb.), i jaké odpovídající kroky budu muset řešit, abych zabránil bezpečnostním rizikům (viz vyhláška č. 82/2018 Sb.).
„Pokud chceme v jakékoli organizaci implementovat kybernetickou bezpečnost, musíme si nejprve ujasnit, co chceme chránit a proč to chceme chránit. Až poté následují kroky ke snížení rizik přijetím adekvátních opatření,“ upřesňuje Jiří Sedláček, CEO v Network Security Monitoring Clusteru.
Pro firmy pracující s informacemi, jako je například státní správa, IT služby, softwarové firmy nebo telekomunikační operátoři je vhodné, aby přesně definovaly rozsah a hranice systému managementu bezpečnosti informací a aplikovaly standard ISO 27001, který je zaměřen na řízení bezpečnosti důvěry informací pro zaměstnance, procesy, IT systémy, ale dotýká se i firemní strategie. Firmy v rámci legislativních opatření nejčastěji chybují v obyčejném nakládání s citlivými informacemi.

Typickým příkladem jsou například dokumenty citlivé povahy ponechané na stole a v dosahu všech, co jdou okolo, případně dokumenty zapomenuté jinde, třeba na vyměnitelných médiích typu USB flash apod. S příchodem GDPR se mezi nejčastější prohřešky dostalo také nedostatečné zabezpečení a nakládání s informacemi a osobními údaji v kybernetickém prostoru.

Víte, kdo zodpovídá za kybernetickou bezpečnost?

Pokud chceme čelit novým bezpečnostním výzvám, je potřeba se zbavit nejčastějšího prohřešku z pohledu organizačních opatření – na otázku, kdo ve firmě odpovídá za bezpečnost IT, se od vedení často dozvíme, že přece IT oddělení. Je chybou, že se to implicitně předpokládá, bez toho, aby to bylo explicitně řečené. Pokud to má být IT oddělení, je potřeba aby se tam bezpečnosti IT věnoval někdo na plný úvazek a s dostatečnými pravomocemi.
Stejně tak se často podceňuje význam dalších organizačních opatření v podobě firemních směrnic, postupů nebo metodik. Je dobré zmínit také potřebu analýzy rizik, krizových scénářů nebo pravidelného testování zálohy apod. Vyhláška 82/2018 sb. dává jasnou představu, jaká organizační opatření by měla firma přijmout.   
„Mnoho organizací zálohuje data, ale už ne operační systémy. O testu obnovy nemluvě. Když pak nastane krizový okamžik, není na co (neexistuje záloha OS) aplikovat zálohu a dochází ke zdržení a narušení kontinuity byznysu,“ doplnil Jiří Sedláček.

Bude stále důležitější vědět, co se děje v síti

Velké množství prostředků na bezpečnost je stále věnováno technickému zabezpečení proti útokům zvenčí, přičemž se často opomíjí hrozby přicházející zevnitř organizace. "Firmy investují 90 % svého rozpočtu na bezpečnost do ochrany perimetru, ačkoli tam směřuje pouze 25 % útoků," potvrzuje Gary Newe, director of systems engineering ve společnosti F5 Networks.
Je proto velmi důležité vědět, co se děje uvnitř v sítě. K tomu dnes nejlépe poslouží analýza datových toků tzv. flow dat. Tato technologie pro moderní monitoring síťového provozu poskytuje detailní statistiku o síťové komunikaci, tedy o tom, kdo komunikuje s kým, kdy, jak dlouho a často, kolik dat bylo přeneseno, na jakých portech komunikace probíhá, jaké protokoly využívá a další informace TCP/IP komunikace z vrstev L3 – L4.

Pomocí analýzy síťové komunikace získáme kompletní viditelnost do monitorované IT infrastruktury, takže dokážeme automaticky identifikovat infikované stanice, nežádoucí síťový provoz nebo aktivity uživatelů, útoky a obecně anomálie provozu datové sítě. Tato behaviorální analýza sítě je schopna, na rozdíl od systémů založených na signaturách jako jsou systémy IDS/IPS, odhalit i nové nebo dosud neznámé hrozby a útoky, což s nástupem cloudu, šifrované komunikace a napojení průmyslových systémů na tradiční IT je a bude stále více aktuálnější.

Pozor na hrozby využívající šifrovanou komunikací

Rostoucí objem šifrované komunikace dnes představuje pro podnikovou bezpečnost paradoxně další bezpečnostní výzvu. Šifrování totiž vytvořilo šedou zónu s neomezeným prostorem pro útočníky. Nebezpečný malware zde může úspěšně skrývat své aktivity. Ať už v rámci počáteční fáze, kdy potřebuje stáhnout další škodlivý kód nebo při následné komunikaci s řídícím serverem. Společnost Gartner předpovídá, že polovina malwarových útoků v roce 2019 bude zneužívat právě krytí v šifrované komunikaci a zároveň dodává, že 60 % firem tento malware nedokáže odhalit.

Poroste proto význam nástrojů, které dokáží analyzovat šifrovanou komunikaci. Vhodné jsou zejména ty, které situaci řeší neinvazivním a z pohledu sítě pasivním způsobem. Analýzou metadat z vrstev L2, L3 a L4, a pomocí sond dokáží vytáhnout další potřebné informace k SSL/TLS provozu z aplikační vrstvy L7. Pomohou tak například i se správou certifikátů, upozorní na bezpečnostní rizika spojená s krátkým šifrovacím klíčem a další. Oproti staršímu přístupům s SSL/TLS proxy, které každou komunikaci musí dešifrovat, analyzovat a opět zašifrovat, je tento přístup méně nákladný, nezasahuje do soukromí a umožňuje real-time monitoring.

Cloud je největší výzvou budoucností

Počet společností, kteří se rozhodují přejít se svou firemní infrastrukturou do cloudu každoročně stoupá. Cloudové prostředí zpravidla přináší firmám optimalizaci nákladů, větší flexibilitu, škálovatelnost a také nové možnosti přístupu. Pravdou však je, že migrace do cloudu s sebou přináší i zcela nové výzvy na monitorování a diagnostiku sítě a aplikací, protože stávající nástroje, na které jsme byli zvyklí, toho jednoduše nejsou schopny zajistit. Je proto potřeba zvážit nový přístup i metody, které nám i v hybridním cloudovém prostředí pomůžou navrátit ztracenou jistotu a viditelnost.

Důvodem, proč selhávají tradiční přístupy k monitoringu jsou zřejmé. Hlavním problémem je chybějící přístup k informacím ze síťové vrstvy L2 v prostředí public cloudu. Nefungují zde tradiční neinvazivní přístupy využívající SPAN port a chybí i statistiky z aktivních síťových prvků. Mohlo by se proto zdát, že tato slepá místa v cloudu znemožňují analýzu kritických dat, které řeší bezpečnostní hrozby a problémy s výkonem. Ve světě je zatím jen málo společností, které se dokáží s tímto omezením poprat a nabídnout centrální pohled na všechna data o síťovém provozu konsolidovaná napříč infrastrukturou. Využívají k tomu hlavně flexibilní síťové sondy, které umožňují různé způsoby nasazení napříč prostředími typu on-premise, private cloud nebo public cloud, a zároveň poskytují identická data z těchto rozdílných prostředí. Bez ohledu na různý typ enkapsulace (tunelování) dokáží změřit skutečně přenášená data.

Aktuálně se využívají tyto způsoby, jak zajistit viditelnost v public cloudu. Jedním z nich je agentní řešení instalované na monitorované servery - tzv. Virtual taping. Zachytává komunikaci mezi virtuálními stroji a doručuje pakety monitorovacím nástrojům třetích stran. Dalším z nich je zrcadlení portu na úrovni L3 a doručení kopie síťového provozu monitorovacím nástrojům prostřednictvím tzv. GRE tunelu. Některá řešení dokáží zároveň zakončit ERSPAN/GRE tunel a nepotřebují tak žádnou mezivrstvu. Dalším přístupem je schopnost platforem přímo dodat potřebná data z prostředí public cloudu do monitorovacích nástrojů.

Nejpokročilejším způsobem, jak zajistit viditelnost v public cloudu jsou nativní prostředky přístupu k síťovému provozu poskytované přímo danou platformou. Nejdále je v této oblasti nyní Microsoft Azure s technologií označovanou jako vTAP. Umožňuje předat kopii datového provozu mezi virtuálními stroji včetně komunikace uvnitř VM (tzv. east-west traffic) do vybraných monitorovacích nástrojů. Virtuální TAP odstraňuje slepá místa ve virtuální síti a umožňuje analyzovat důležitá data vztahující se k bezpečnostním a výkonnostním problémům.

Internet věcí a SCADA/ICS

Bez analýzy datových toků se do budoucna neobejdou ani operátoři průmyslových sítí a systémů SCADA/ICS a vůbec svět okolo internetu věcí třeba v rámci Průmyslu 4.0. Přechod na tradiční síťovou komunikaci dříve striktně oddělených systémů a jejich propojování s komerčním IT vystavuje toto prostředí velkému bezpečnostnímu riziku a otevírá nové příležitosti pro útočníky. Následky kybernetického útoku na SCADA systémy přitom mohou často být pro společnost zdrcující, což například ukázal malware Industroyer v roce 2016 při útoku na energetickou síť Ukrajiny. SCADA/ICS systémy mají výhodu ve víceméně stabilních datových tocích.

Díky tomu je možné pomocí vhodné monitorovací technologie pracující s datovými toky daty rychle odhalit a reagovat na vzniklé anomálie. Právě zvýšené nároky na bezpečnost jsou důvodem, proč se o toto prostředí zajímají také významní výrobci monitorovacích nástrojů. Například jeden z nejznámějších nabízí ve své poslední verzi svého řešení nativní viditelnost do prostředí IoT a průmyslových systémů, reprezentovaných protokolem CoAP a IEC 104.

Zaměstnanci budou cílem útočníků i nadále

Lidský faktor byl, je a vždy bude zásadní slabinou bezpečnosti firemního IT. Zejména v případě cílených útoků představuje asi nejslabší místo v celkovém kybernetickém zabezpečení firem. Útočníci s oblibou využívají metody phishingu a sociálního inženýrství, což se ani v následujících letech nezmění. Nebezpečí selhání lidského faktoru je nejvyšší zejména u menších firem, kterým chybí odborník na kybernetickou bezpečnost. Většinou to přímo souvisí s nedostatečnou informovaností a proškolením zaměstnanců. V úvodu zmíněná studie společnosti Kaspersky Lab poukázala na to, že jen 12 % zaměstnanců zná pravidla pro kybernetickou bezpečnost firmy. Nové trendy v podobě BYOD a firemních notebooků tuto slabinu jen dále prohlubují. Bez zodpovědných proškolených zaměstnanců a bez detailní viditelnosti ve vlastní hybridní IT infrastruktuře nebude do budoucna možné čelit novým kybernetickým hrozbám.
 

Artur Kane Autor článku je Technology Evangelist ve Flowmon Networks.