Jeden cyfrowy incydent może przesądzić o dalszych losach przedsiębiorstwa. Według opublikowanego przez IBM raportu Cost of a Data Breach, średni koszt naruszenia danych w 2024 roku wyniósł 4,88 mln dolarów – o 10 proc. więcej niż w roku 2023. Cyberbezpieczeństwo, ze względu na rosnący poziom zagrożenia, staje się priorytetem w coraz większej liczbie firm. Z tego powodu nie tylko informatycy, ale także kadry zarządzające muszą nieustannie zwiększać swoją wiedzę w tym zakresie, aby skutecznie uwzględniać cyfrową ochronę w swoich strategiach i planach działania.
Cyberbezpieczeństwo zyskuje kluczowe znaczenie w kontekście stabilnego funkcjonowania przedsiębiorstw. I chociaż za ich cyfrową ochronę odpowiedzialne są zazwyczaj zespoły IT, to osoby na stanowiskach kierowniczych powinny aktywnie włączać się w dyskusje dotyczące tej tematyki. Koniecznym jest, aby rozumiały one praktyczne aspekty dotyczące tego jak działają najpopularniejsze narzędzia ochronne.
Klasyczne metody monitorowania środowisk IT w dużej mierze polegają na wykorzystaniu baz antywirusowych zawierających tzw. sygnatury, czyli próbki złośliwego kodu. Dzięki temu oprogramowanie ochronne potrafi wykrywać na urządzeniach końcowych wiele rodzajów typowych zagrożeń, nie jest jednak wystarczająco skuteczne w zwalczaniu tych bardziej zaawansowanych. Wynika to z faktu, że cyberprzestępcy wciąż odkrywają kolejne luki w zabezpieczeniach i tworzą nowe warianty ataków, których wykrycie jest niemożliwe za pomocą technik sygnaturowych. Dlatego konieczne stało się stosowanie rozwiązań ochronnych, które w zakresie swojego działania wychodzą poza kontrolowane urządzenie końcowe i potrafią korelować informacje zbierane w całym środowisku IT.
Na skróty:
Wykrywanie zagrożeń w urządzeniach końcowych i reagowanie na nie (EDR)
W dobie pracy zdalnej ilość podłączonego do firmowej sieci sprzętu znacznie wzrosła. Zdarza się, że pracownicy korzystają nawet z czterech lub więcej różnych urządzeń końcowych. W dużych przedsiębiorstwach może się to przyczynić do powstania tysięcy potencjalnych punktów ataku. W celu zwiększenia poziomu bezpieczeństwa takiego sprzętu niezbędne okazuje się oprogramowanie typu EDR (Endpoint Detection and Response), które instalowane jest w postaci agentów na urządzeniach łączących się z siecią. Rozwiązanie to komunikuje się z centralnym serwerem, odpowiedzialnym za identyfikowanie podejrzanych zdarzeń za pomocą sygnatur, ale też poprzez analizowanie danych o aktywności użytkownika i porównywanie z zaobserwowanymi wcześniej wzorcami zachowań. Systemy te w przypadku wykrycia zagrożenia mogą odizolować urządzenie końcowe od sieci oraz przeprowadzić szczegółową analizę natury zagrożenia.
Rozszerzone wykrywanie zagrożeń i reagowanie na nie (XDR)
W środowisku IT istnieje wiele potencjalnych punktów narażonych na atak: urządzenia końcowe, infrastruktura sieciowa, serwery, zasoby chmurowe, systemy zabezpieczeń fizycznych i inne. Każdy z nich może stać się celem cyberataku. Dlatego kluczowym jest zadbanie o odpowiednią widzialność tych zasobów za pomocą rozwiązania typu XDR (Extended Detection and Response). Działa ono podobnie jak monitoring CCTV, który pozwala obserwować wszystkie wejścia do budynku. System XDR agreguje dane ze wszystkich potencjalnych źródeł ataku i analizuje je. Dzięki temu zapewnia specjalistom całościowy widok sieci oraz ułatwia monitorowanie na bieżąco, czy potencjalny napastnik nie przemieszcza się pomiędzy punktami w sieci. XDR eliminuje odizolowane od siebie silosy informacyjne, których obecność utrudnia szybkie wykrywanie ataków i reagowanie na nie.
Wykrywanie zagrożeń w sieci i reagowanie na nie (NDR)
Do ochrony infrastruktury sieciowej przed zagrożeniami przeznaczone są systemy NDR (Network Detection and Response). Rozwiązania te nieustannie skanują sieć w poszukiwaniu nietypowej aktywności, która może świadczyć o próbie przeprowadzenia ataku. Funkcja ta realizowana jest z wykorzystywaniem mechanizmów uczenia maszynowego, za pomocą którego przeprowadzana jest analiza behawioralna, aby ustalić wzorzec standardowej aktywności w obrębie danej sieci. Dzięki takiemu podejściu możliwe jest wykrywanie późniejszych anomalii, nawet jeżeli są one rezultatem zaawansowanych ataków, wykorzystujących kod nieodnotowany w sygnaturach w bazach antywirusowych. NDR znajduje również zastosowanie przeciwko wewnętrznym incydentom bezpieczeństwa – zagrożeniom, których nie są w stanie wykryć rozwiązania służące do ochrony brzegu sieci. Takie proaktywne podejście umożliwia szybsze reagowanie na incydenty oraz – tym samym – ograniczenie potencjalnych szkód.
Zarządzane wykrywanie zagrożeń i reagowanie na nie (MDR)
Zaawansowane rozwiązania ochronne, chociaż niezbędne w walce z cyberatakami, nie są wystarczające. Często bowiem konieczne jest dokonanie oceny sytuacji przez wykwalifikowanych specjalistów. Tymczasem ich znalezienie może okazać się wyzwaniem – globalna luka kompetencyjna w branży cyberbezpieczeństwa nieustannie zwiększa się (obecnie brakuje ponad 4 mln specjalistów ds. cyfrowej ochrony). Zatem, ponieważ nie każde przedsiębiorstwo będzie w stanie stworzyć wewnętrzny zespół ds. cyberbezpieczeństwa, warto rozważyć skorzystanie z oferowanych przez specjalizujące się w cyfrowej ochronie firmy zarządzanych usług MDR (Managed Detection and Response). Ich dostawcy zapewniają wykrywanie zagrożeń i reagowanie na nie – zarówno na urządzeniach końcowych, jak też w infrastrukturze sieciowej. W obliczu powiększającej się luki kompetencyjnej, takie podejście coraz bardziej zyskuje na znaczeniu.
Zarządzanie informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM)
SIEM to kolejne narzędzie zapewniające dogłębną widzialność cyfrowych systemów. Obejmuje ono całe środowisko IT oraz analizuje dane zebrane w poszukiwaniu wzorców zachowań użytkowników, a także anomalii wskazujących na potencjalne włamanie. Chociaż może wydawać się, że funkcjonalność tych narzędzi w całości pokrywa się, każde z nich zapewnia unikalne możliwości ochrony oraz gwarantuje firmom najwyższą skuteczność walki z cyberzagrożeniami.
Orkiestracja, automatyzacja i reagowanie w zakresie bezpieczeństwa (SOAR)
Aby przedstawione wcześniej narzędzia mogły działać prawidłowo, konieczna jest ich odpowiednia integracja. Firma zainteresowana ich wdrożeniem musi posiadać nadrzędny plan bezpieczeństwa, obejmujący kwestię zarządzania mnogością drobnych zadań, które składają się na codzienną pracę w obszarze cyfrowej ochrony. W realizacji tego celu przydatne okaże się rozwiązanie SOAR (Security Orchestration, Automation and Response). System ten integruje różne mechanizmy bezpieczeństwa, a także tworzy dostosowane do potrzeb firmy plany reagowania na incydenty. Dzięki temu czasochłonne i powtarzalne zadania mogą zostać zautomatyzowane, co pozwala przedsiębiorstwom na obniżenie kosztów funkcjonowania infrastruktury, bez uszczerbku dla poziomu jej ochrony.
Fundamentalną cechą cyberbezpieczeństwa jest jego dynamiczny charakter. Przedstawione rozwiązania są wystarczające w obecnych czasach, aby zapewnić jak najwyższy poziom ochrony cyfrowej infrastruktury w przedsiębiorstwach, ale należy zakładać, że z powodu ewolucji zagrożeń lista ta ulegnie zmianom i za 5-10 lat może wyglądać zupełnie inaczej. Jednak dla kadry zarządzającej, odpowiedzialnej w całościowej skali za bezpieczeństwo firmy, praktyczna znajomość tych zagadnień jest niezbędna. Nawet jeśli codzienna realizacja zadań z tego obszaru spoczywa na barkach specjalistów, zrozumienie przez zarząd istoty funkcjonowania podstawowych narzędzi, którymi się posługują, może znacząco wpłynąć na ogólną strategię przedsiębiorstwa i uczynić je jeszcze bardziej odpornym na cyberataki.
Petr Springl, Senior Director, Software Engineering, Progress