Od počiatku pandémie už ste počuli asi tisíckrát, že v súvislosti s koronavírusom násobne rastie počet kyberbezpečnostných útokov, je potrebné zabezpečiť zamestnancov pracujúcich z domu, že je potrebné ochrániť dáta v SaaS alebo zabezpečiť dostupnosť webových aplikácií. Nechceme sa hrať na chytré radcu, ktorí „nezištne“ navrhujú možné riešenia. Preto sme otvorene popísali, ktoré prípady dokážeme pokryť technológiami nami zastupovaných výrobcov. A na rovinu, väčšina z toho nie sú rýchle a jednorazové riešenia, čo bohužiaľ podľa všetkého nebude ani súčasná situácia.
Ak plošné reštrikcie znamenali pre vašu organizáciu výrazný nárast „práce na diaľku“, teda zamestnancov a externistov, ktorí pristupujú k podnikovým aplikáciám a dátam cez internet, už ste asi zistili, že overiť ich skutočnú totožnosť a dôvody prístupu, a hlavne je zabezpečiť, nie je dvakrát ľahké. Najmä ak sa môžu k niektorým službám pripojiť nielen z podnikového notebooku zo svojej obývačky, ale v podstate z akéhokoľvek zariadenia a miesta na svete.
Ochrana dát v SaaS a web aplikáciách
V prípade webových a cloudových aplikácií z nášho pohľadu situáciu do značnej miery rieši CASB s riadením prístupu na základe kontextu. Ide o automatizované vyhodnocovanie toho, odkiaľ, kedy a ako (z akého zariadenia) sa užívateľ do aplikácie snaží prihlásiť, a následné aplikovanie ďalších nápravných opatrení. Ak je pokus o prihlásenie podozrivý (napr. o 3:00 ráno z nemeckého Frankfurtu, kam sa cez zavreté hranice ťažko môže niekto dostať), môžete pridať ďalší krok overenia identity (ďalší faktor), alebo pre určité skupiny užívateľov prístup rovno zakázať a upozorniť správca.
Bez ohľadu na to, možno medzi existujúce politiky pridať ďalšie pravidlo, kedy napr. od užívateľov pracujúcich na diaľku budete požadovať, aby okrem svojho prihlasovania do IDP použili MFA alebo naopak pridať výnimku pre kategórie zamestnancov, ktorí sa pripájajú z firemných/spravovaných (a aktualizovaných) zariadení.
Rovnako tak môže správca nastaviť kratšie časy vypršania relácie, alebo ho rovno vynútiť a vyžiadať pre určité aplikácie nové prihlásenie. Pokiaľ z akéhokoľvek dôvodu chcete strážiť napr. nadčasy, môžete do niektorých aplikácií povoliť prístup len “od-do”.
Pre odhaľovanie kompromitovaných prístupových údajov môžete tiež automaticky vyhodnocovať, či sa rovnaký užívateľ počas jednej hodiny neprihlásil z geograficky vzdialenejších lokalít – napríklad z Bratislavy aj Košíc.
Nápor na webové aplikácie a portály
Pre niektorých poskytovateľov služieb znamenala práca aj škola z domova pomerne významný nárast prevádzky (len NIX hlásil 25% navýšenie). Pre ISP to síce znamená len predĺženie stavu „upršeného víkendu, kedy nejdeme von“ aj na ďalšie pracovné dni, ale pre niektorých prevádzkovateľov webových služieb a aplikácií môže znamenať pretiahnutie skôr jednodňové špičky na permanentný stav výzvu, napr. čo do zabezpečenia dostupnosti a dostatočne rýchle odozvy. Dotknúť sa to mohlo organizácií poskytujúcich on-line služby v oblasti financií, vzdelávania a technológií.
Otázky sa potom točí okolo toho, či vaše aplikačné služby dokážu uspokojiť novú úroveň dopytu. Zvládnete trvalo udržať zaťaženie „ako v špičke“, alebo je potrebné modernizovať infraštruktúru? Môže cloud pomôcť zmierniť problémy (offloadovat záťaž) spôsobené špičkovými nárasty? Možno rozdeliť prevádzku alebo webovú záťaž, aby bolo možné rýchlo nasadiť nové inštancie virtuálnych Application Delivery služieb na zabezpečenie failover a kontinuity?
A čo nedostatok personálu, ak sú zamestnanci zavretí doma, alebo v horšom prípade ochoria? V týchto scenároch je dôležité, aby vaše infraštruktúra využívala automatizáciu a vy ste do nej mali dostatočný vhľad.
Veľmi neradi by sme niečo prorokovali, ale hoci sa v súvislosti s Covid-19 hovorí dosť o phishingových útokoch a ransomwaru, možno očakávať tiež nárast DDoS útokov na infraštruktúru, ktorá práve teraz potrebuje poskytovať služby nielen vzdialeným pracovníkom, ale aj občanom (weby štátnej správy a zdravotných zariadení) a zákazníkom (e-commerce, internetové bankovníctvo). A čo sa malwaru týka, u neho možno navyše očakávať, že sa pred detekciou bude schovávať v šifrovanej SSL prevádzke. Dokážu vaše NGFW dešifrovať prevádzku bez toho, aby poklesol ich výkon na tretinu?
Neverte nikomu
Súčasná situácia bohužiaľ potvrdzuje potrebu pristupovať k bezpečnosti v štýle „neverte nikomu“ – Zero Trust. Dokážete zabezpečiť, aby žiadny užívateľ nemal prístup k dátam, na ktorých bežne nezávisí jeho každodenná práca? Teraz sa ukazuje, aké dôležité je mať prehľad o všetkých užívateľoch, o prevádzke, dátach a workloadě a ako je potreba zabezpečiť, aby ste vo všetkých lokalitách uplatňovali jednotné bezpečnostné zásady.
Dovolíme si ešte analógiu k výnimočnému stavu, keď vláda zaviedla veľa reštriktívnych opatrení, s ktorými sme sa (prevažne) zmierili za predpokladu, že sú iba dočasné: Aj v prípade kybernetickej bezpečnosti je v tejto dosť neštandardnej situácii namieste „utiahnuť kohútiky“ a čiastočne obmedziť oprávnenia prístupu na úkor užívateľského pohodlia zamestnancov. Pritom ale nesmieme nikdy zabudnúť a neutíchajúci hrozbu „shadow IT“.
Áno, sme v situácii, ktorú v podstate nikto z nás ešte nezažil. Na druhú stranu nám umožňuje, aby sme sa znovu zamysleli nad našou pripravenosťou, revidovali, vybavili sa a nezabúdali postup opakovať.
V čase, keď mnoho organizácií začína riešiť samotné prežitie, to bude znieť ako klišé, ale skutočne je na čase prehodnotiť svoju kritickú infraštruktúru a bezpečnostné postupy a zabezpečiť, aby boli pripravené na sieťovú prevádzku a kybernetické útoky, ktoré s nami budú aj v nasledujúcich mesiacoch a rokoch.
Autor: Jan Mazal, VPGC