W obecnych czasach, gdy duża część aktywności gospodarczych i społecznych została przeniesiona do sfery online, ochrona sieci i centrów danych zyskała najwyższy priorytet. Zapotrzebowanie na inwestycje i doskonalenie technologii bezpieczeństwa teleinformatycznego w bieżącym roku, jak i w kolejnych latach będzie stale rosło.

Pandemia od ponad dwóch lat testuje wytrzymałość niemal wszystkich. Zarówno dla osób fizycznych, jak i dla przedsiębiorstw na całym świecie jest to trudny i destrukcyjny czas. Dla wielu firm warunkiem przetrwania było i nadal jest przyspieszenie wdrożeń rozwiązań teleinformatycznych. Transformacja cyfrowa pozwala dostosować się do funkcjonowania w rzeczywistości pandemicznej i umożliwia wprowadzanie hybrydowych modeli pracy. To wywołuje widoczne zmiany tektoniczne w sektorze ICT, wzmacnia dotychczasowe trendy technologiczne, a także kreuje nowe.

> Zwiększanie bezpieczeństwa

Inwestycje w bezpieczeństwo zależą od wielu czynników. Wygląda na to, że światowa gospodarka po latach niepewności COVID-owej będzie nastawiona na trwałe ożywienie. Powszechnie uznaje się, że inwestycje w ICT są kluczowym czynnikiem umożliwiającym przyszły rozwój, ale tylko wtedy, gdy można je wdrożyć bezpiecznie i będą odpowiednio chronione.

Wydaje się mocno prawdopodobne, że ewolucyjne zmiany w zakresie miejsca pracy będą również stymulować zapotrzebowanie na większe cyberbezpieczeństwo. Hybrydowy model pracy znacząco zyskuje na znaczeniu i popularności. W czasach przed pandemią pracownicy funkcjonowali głównie w biurach i oddziałach firm. W przyszłości będą wykonywać swoje obowiązki zarówno w dotychczasowych miejscach pracy, jak i w trybie zdalnym, korzystając z wielu różnych urządzeń. Aby mogło się to odbywać bezpiecznie, potrzebne są inwestycje i odpowiednie technologie, a także umiejętność rozpoznawania nowych zagrożeń.

Można się również spodziewać kontynuacji już przyspieszonego procesu transformacji cyfrowej oraz wymiany lub modernizacji starszych rozwiązań teleinformatycznych. To z kolei wymaga nowej generacji oprogramowania i urządzeń do ochrony danych i sieci. W ramach cyfrowej migracji wdrażane będą modele wielochmurowe (ang. multicloud) i hybrydowe IT, co będzie wymagało zastosowania odpowiednich zabezpieczeń na poziomie sieci i centrum danych. Zapotrzebowaniu na dużą przepustowość i małe opóźnienia w sieci będą prawdopodobnie towarzyszyć również odpowiednie aktualizacje zabezpieczeń.

O najważniejszych wyzwaniach w zakresie cyberbezpieczeństwa dyskutowali eksperci branżowi uczestniczący w panelu zorganizowanym online przez firmę NetEvents. Konieczność wprowadzania pracy zdalnej wymusza migrację do chmury oraz przyspieszenie cyfryzacji przedsiębiorstw. Prowadzący debatę ekspercką Mauricio Sanchez – dyrektor ds. badań w Dell'Oro Group, specjalista w zakresie bezpieczeństwa sieci i urządzeń centrów danych oraz badań rynku SASE – przypomniał, że nawet firmy, które niekoniecznie były szczególnie przychylne wprowadzaniu cyfryzacji (jeśli chodzi o swoich klientów i pracowników), nagle musiały to zmienić. W dalszej części dyskutowano na temat cyfrowych doświadczeń online związanych z bezpieczeństwem. Jednym z wniosków było stwierdzenie, że pandemia nie tylko nie spowolniła rozwoju zagrożeń cybernetycznych, ale w rzeczywistości prawdopodobnie zwiększyła ich zakres pod wieloma względami.

> SASE, czyli konwergencja sieci i cyberbezpieczeństwa

Zmiany w modelach pracy w połączeniu z rosnącą falą cyberzagrożeń zmusiły wiele przedsiębiorstw do zastanowienia się, czy warto nadal polegać na starszej architekturze sieciowej. Według eksperta Dell’Oro tradycyjny model typu hub-and-spoke (topologia gwiazdy), który działał bez zarzutów przez wiele dziesięcioleci, teraz zaczął budzić wątpliwości. Ten wypróbowany i zaufany model dobrze chronił wewnętrzną sieć korporacyjną wraz ze wszystkim, co było przekierowywane do centrum danych. Wiele przedsiębiorstw zaczęło jednak rozumieć, że ta architektura przestaje już pasować do obecnych potrzeb, co doprowadziło do powstania nowej klasy rozwiązań architektonicznych i nowych technologii je wspomagających.

Jedną z nich jest SASE (ang. Secure Access Service Edge), czyli bezpieczny dostęp do usług brzegowych. Jest to koncepcja cyfrowego bezpieczeństwa, w ramach której sieci i usługi bezpieczeństwa sieci przenikają się, a wedle definicji Mauricio Sancheza jest to konwergencja rozwiązań sieciowych i bezpieczeństwa. SASE obejmuje następujące technologie: SD-WAN (ang. Software Defined Wide Area Network), SWG (ang. Secure Web Gateway), CASB (ang. Cloud Access Security Broker), ZTNA (ang. Zero Trust Network Access) oraz FWaaS (ang. Firewall as a Service). Technologia SASE zapewnia identyfikację wrażliwych danych lub złośliwego oprogramowania, możliwość szybkiego odszyfrowywania treści oraz stały monitoring sesji pod kątem ryzyka i poziomu zaufania.

> Największe cyberzagrożenia

Uczestnicy panelu dyskutowali o największych cyberzagrożeniach, z jakimi obecnie borykają się przedsiębiorstwa. Gail Coury – wiceprezes i dyrektor ds. bezpieczeństwa informacji w firmie F5 Networks – postrzega to wyzwanie w wielu aspektach: zaznaczyła, że F5 przeniosło wiele aplikacji poza własne centra danych i zamierza kontynuować te działania. Pracownicy z jej organizacji wykonują dzisiaj pracę głównie zdalnie, ze swoich domowych biur i bardzo rzadko korzystają z VPN.

Podkreśliła jednak, że z drugiej strony oznacza to rozszerzenie pola ataku – część aplikacji nadal znajduje się w lokalnym centrum danych F5 Networks, niektóre są chronione przez SASE, a wiele z nich znajduje się w różnych chmurach na całym świecie, by ułatwić zarządzanie pracownikami i wspierać klientów firmy. Wiceprezes Coury wymieniła też dające się wyodrębnić zagrożenia: dla aplikacji, dla użytkownika końcowego oraz dla urządzeń, z którymi użytkownicy się łączą.

Jordan LaRose – dyrektor ds. doradztwa i reagowania na incydenty w firmie F-Secure – zauważył, że atakujący przystosowują swoje narzędzia przeprowadzania cyberataków do nowych środków obronnych, które wszyscy stosują. Mowa tu o nowych technologiach powstrzymujących „klasyczne ataki”, takie jak oprogramowanie ransomware. Dodał też, że atakujący z użyciem ransomware wybierają już nie tylko pojedyncze komputery, ale także biorą na cel kluczowe serwery i kluczowych użytkowników w sieci, przejmując ich własność intelektualną lub szantażując publicznym ujawnieniem wykradzionych informacji. To ogromne wyzwanie dla branży, ponieważ ochrona musi teraz dotyczyć całej sieci. Ekspert F-Secure podkreślał też, że istnieje potrzeba, aby branża technologiczna jeszcze bardziej zwiększyła poziom cyberbezpieczeństwa, uwzględniając przy tym nie tylko wrażliwe dane przedsiębiorstw, ale wszystkie zasoby. Mowa więc nie tylko o kluczowych bazach danych przedsiębiorstwa, ale również np. o laptopie znajdującym się na biurku dyrektora finansowego będącego na home offisie.

Vivek Bhandari – starszy dyrektor działu marketingu produktów, sieci i bezpieczeństwa w firmie VMware – zwrócił uwagę, że charakter dzisiejszych, wysoce rozproszonych organizacji znacznie utrudnia zadanie zapewnienia bezpieczeństwa, podobnie jak mnogość i wszechobecność aplikacji, użytkowników i różnego rodzaju urządzeń. Dodał też, że w przypadku aplikacji kontenerowych oraz tak licznych komponentów rozmieszczonych w wielu chmurach, architektury podległy fundamentalnym zmianom, co z kolei stworzyło większą przestrzeń dla przestępców, ponieważ teraz obszar możliwego ataku wzrósł wykładniczo.

Bhandari ostrzegł, że obecnie napastnikom o wiele łatwiej jest znaleźć ścieżkę wejścia do systemu. Wskazał też na obszar exploitów Zero-day jako kolejne źródło zmartwień, przypominając też, że w porównaniu z ostatnimi dwoma latami w samym tylko 2021 r. zaobserwowaliśmy ponad dwa razy więcej przypadków ich użycia. Podkreślił, że jest to zjawisko, na które wiele tradycyjnych metod ochrony opierających się na sygnaturach lub znanych zachowaniach nie potrafi zareagować. Ten sam ekspert z VMware wyznał, że w obliczu tych wszystkich szybko zmieniających się cyberzagrożeń jako paradygmat wyznaje zasadę Zero Trust oraz że dostrzega wśród organizacji zmianę sposobu myślenia o zabezpieczaniu ruchu użytkowników końcowych za pomocą rozwiązań takich jak SASE i ZTNA. Poradził też, by przyglądać się wszystkiemu, co dzieje się w przestrzeni chmur i pomiędzy nimi, ponieważ wiele organizacji decyduje się na strategię multi-cloud i w jej ramach hostuje swoje aplikacje. Wspomniał również o konieczności zabezpieczania dostępu do zasobów i nie chodzi tylko o dostęp użytkowników.

Ekspertka F5 Networks – Gail Coury – postulowała zwiększenie integracji zabezpieczeń, a konkretnie bezpieczeństwo interfejsu API oraz sposób, w jaki mikrousługi łączą się ze sobą. Zwróciła uwagę na to, że same dane powinny być chronione niezależnie, a sposób zabezpieczania użytkownika i jego tożsamości oraz uwierzytelniania urządzenia muszą wiązać się z pewnością, że to drugie jest zabezpieczone i to zanim pozwolimy na nawiązanie przez nie połączenia. Stwierdziła też, że obecnie nie mamy już wyznaczonego perymetru ochrony i dlatego musimy zmienić sposób, w jaki myślimy o bezpieczeństwie.

Podsumowując panel, Jordan LaRose z F-Secure zaznaczył, że zawsze uświadamia klientów, którzy są w trakcie cyberataku lub dochodzą po nim do siebie, o braku cudownego środka gwarantującego pełne bezpieczeństwo, jak i o nieistnieniu jednego oprogramowania, które rozwiąże wszystkie problemy. Dodał też, że wszystko sprowadza się do zrozumienia istnienia różnych poziomów technologii, różnych poziomów ryzyka i zidentyfikowania właściwego rozwiązania dla każdego z tych elementów.

> Cyberbezpieczeństwo 2022

Krajobraz cyberzagrożeń w 2021 r. nie zmienił się znacząco. Można było natomiast zaobserwować większe zaangażowanie rządów w działania na rzecz walki z cyberprzestępcami. Przykładowo w Stanach Zjednoczonych cyberataki typu ransomware zyskały taki sam priorytet jak zagrożenia terrorystyczne, a dochodzenia prowadzone w tym zakresie mają być koordynowane na poziomie centralnym. Zdaniem specjalistów z zespołu reagowania Cisco Talos sprawi to, że łamiący prawo staną się jeszcze bardziej ostrożni.

Powszechność niektórych narzędzi IT sprawia, że cyberprzestępcy mogą obecnie przeprowadzać ataki na znacznie większą skalę. Nie trzeba już obierać za cel konkretnego przedsiębiorstwa. Gdy obiektem ataku staje się dostawca usług zarządzanych (ang. managed service provider) lub oprogramowanie typu open source, wówczas zagrożone są wszystkie organizacje, które z nich korzystają.

W związku z rosnącą liczbą odbywających się każdego dnia telekonferencji cyberprzestępcy wzięli na celownik także popularne platformy do wideokonferencji. Szef zespołu inżynierów Fortinet w Polsce – Robert Dąbrowski – wyjaśnia, że tego rodzaju próby wyłudzenia informacji polegają np. na wysyłaniu wiadomości e-mail, które zawierają fałszywe linki, zachęcające użytkowników do pobrania nowej wersji oprogramowania, kierując ofiary na stronę internetową, z której można pobrać rzekomy plik instalacyjny. Zaznacza też, że w niektórych przypadkach program rzeczywiście instaluje oprogramowanie do wideokonferencji, ale niezależnie od tego instaluje także złośliwe oprogramowanie, jak np. trojan zdalnego dostępu. Ekspert wyjaśnia, że taki program daje oszustom dostęp do poufnych danych i informacji o użytkowniku, które następnie mogą zostać wykradzione i sprzedane na czarnym rynku lub wykorzystane do kradzieży tożsamości.

Masowe przechodzenie na pracę zdalną z dowolnego miejsca wymusiło konieczność położenia szczególnego nacisku na objęcie tym modelem także sieci poprzez wprowadzanie rozwiązań ZTNA (ang. Zero Trust Network Access). Wynika to z konieczności ochrony ważnych zasobów, w trakcie gdy pracownicy łączą się z firmową infrastrukturą za pośrednictwem, najczęściej słabo chronionych, sieci domowych. Dlatego też metody stworzone dla ochrony sieci, takie jak SASE i Zero Trust, zyskiwały zwolenników, a wiele organizacji zaczęło je wdrażać.

[...]

Autor współpracuje z pismami oraz serwisami internetowymi poświęconymi technologiom teleinformatycznym, prowadzi autorski blog B2B ICT.