Przywykliśmy wszyscy do informacji, że wszelkiego rodzaju trudne operacje przeprowadza się zespołowo. To zespoły zdobywają puchary piłki nożnej, to zespoły nagrywają nasze ulubione płyty, to zespoły przeprowadzają skomplikowane operacje i w końcu to zespoły odbijają zakładników. Gra w życie to również gra zespołowa, a podstawą udanego zespołu jest podkreślana zawsze płynna, dwukierunkowa komunikacja.
Jako odpowiedzialni za bezpieczeństwo IT i OT firmy, aplikacji czy procesu – odpowiadamy z reguły za wszystko co się z tym wiąże. Natomiast bezpieczeństwo to bardzo asymetryczne zagadnienie – atakującemu wystarczy bowiem znalezienie jednej luki w naszej linii obrony – i najprawdopodobniej dopnie swego. Co więcej, często nie zaatakuje nas bezpośrednio, jeśli wykonujemy dobrze swoje obowiązki. Atakujący coraz częściej wykorzystują relację zaufania i bardziej pobieżną kontrolę kogoś, komu ufamy. Taka prosta sztuczka pozwoli zwykle prościej dostać się do naszych danych lub gorzej – zadomowić się w naszej firmie na dłużej i korzystać z bieżącego dostępu do danych (zagrożenie nazywane z angielskiego APT – Advanced Persistent Threat).
Można zatem pomyśleć, że strategia powinna opierać się w tym przypadku na najlepszych narzędziach jakie stworzono rozmieszczonych strategicznie w środowisku firmy. To teoretycznie doskonałe podejście nie przechodzi jednak testu praktycznego. Bezpieczeństwo cybernetyczne to nie tylko szalenie skomplikowany temat, to również ogromnie sfragmentowany rynek rozwiązań. Rozwiązań, które ze soba nie współpracują – a jak podkreśliliśmy na początku, dobra dwukierunkowa komunikacja jest kluczowa dla efektywności zespołu. Oczywiście potoki danych z “najlepszych w swojej kategorii” narzędzi można agregować i następnie wróżyć z nich co też takiego przydarzyło się lub przydarzy nam dzisiaj – ale to w najlepszym przypadku działanie reaktywne. Jako broniący musimy stale starać się przesunąć granicę wykrycia jak najbliżej momentu ataku.
Oczywiście jednym z dużych sukcesów społeczności bezpieczeństwa było przyjęcie jako de facto standardu sposobu oceny ryzyka luki bezpieczeństwa w ramach punktacji CVSS zespołu FIRST. Drugim, zyskującym popularność standardem przyjmowanym szerzej niż tylko poza paroma firmami jest standard STIX, który pozwala dzielić się wiedzą o zagrożeniach i incydentach. Brakuje nadal jednak przyjętego ogólnie, otwartego standardu pozwalającego reagować a nie tylko informować się na dużą skalę. Nie tylko wymienić informacje o zagrożeniach, ale również instrukcje jak i gdzie je zatrzymać. Dzisiejsze rozwiązanie problemu to zwykle składanka wielu różnych systemów integrowanych mniej lub bardziej chałupniczymi sposobami z modułami specyficznymi do domeny, którą mają się zająć – sieci, aplikacji, systemów wirtualizacji. Takich rozwiązań nie da się wyskalować ani wdrożyć na szerszą skalę, żeby efektywnie odciążyć ludzi.
Uniwersalna szyna wymiany informacji i reagowania na zagrożenia
W Cisco od dłuższego czasu używamy szyny wymiany informacji pxGrid – Platform eXchange Grid. Jest ona otwartą, gotową na integrację (mamy dzisiaj ponad 160 partnerów z gotowymi integracjami) efektywną platformą wymiany informacji i poleceń opartą o system Cisco ISE (Identity Services Engine). PxGrid pozwala zautomatyzować nie tylko wykrywanie ale i przeciwdziałanie atakom.
Szyna pxGrid pozwala nam zbudować prawdziwą architekturę bezpieczeństwa, która działa jak dobrze zgrany zespół. Na przykład zagrożenie wykryte przez oprogramowanie klasy EDR na hoście (Cisco AMP), może zostać nie tylko efektywnie zablokowane, ale informacja przesłana przez sieć pxGrid pozwoli zablokować lub poddać kwarantannie hosty, które np. nie posiadają aktualnego oprogramowania antymalware (dzięki wykorzystaniu Cisco DNA Center i mechanizmów autosegmentacji), automatycznie zablokować połączenia realizowane przez wrogi proces do i z internetu (na urządzeniach Cisco FirePower, Cisco ISR oraz Cisco Meraki), a w końcu – da efektywne narzędzie działowi bezpieczeństwa do szybkiej identyfikacji dotkniętych użytkowników (Cisco StealthWatch). Dla kogoś kto do tej pory opierał ochronę swojej sieci o własne skrypty, poprawiane ciągle integracje czy poddał się i wdrożył jedynie ochronę opartą o uwierzytelnienie w ramach 802.1x, tak prosty i efektywny system musi wydawać się czystym science fiction.
Zespół to też ludzie, a nie tylko punktowe produkty
Zgodnie z corocznym raportem bezpieczeństwa Cisco za rok 2018, które przeprowadziliśmy wśród dyrektorów bezpieczeństwa ponad 30,000 firm (w tym ponad tysiąca firm każdej wielkości z Polski), średnia firma używa ponad 10 systemów bezpieczeństwa różnych producentów przyznając, że jednocześnie brakuje jej rąk do pracy, a systemy te pozostają niezintegrowane poza bardzo podstawowymi funkcjami. Jak w tej sytuacji efektywnie dbać o bezpieczeństwo? Nie powinna nas zatem dziwić dosyć szokująca statystyka – w Polsce 46%, a na świecie 36% zdarzeń sklasyfikowanych już nawet jako incydenty bezpieczeństwa sieci pozostaje niezbadane – odizolowane narzędzia są bezużyteczne do efektywnego zwalczania zagrożeń, przechodzimy zatem z czasem do porządku dziennego nad własną niemocą. Jeśli dodamy do tego fakt, że w samej tylko Polsce do końca 2020 brakować będzie około 5000 specjalistów bezpieczeństwa, mierzymy się realnie z zadaniem wydawałoby się niewykonalnym. Nie dziwi również w tej sytuacji dynamiczny rozwój ofert budowy i outsourcingu bezpieczeństwa do dedykowanych zespołów w ramach Security Operations Center. I o ile również w Cisco świadczymy takie zaawansowane usługi w ramach programu Cisco ATA (jedną z lokalizacji jest nasze biuro w Krakowie), usługi tego typu są jedynie uzupełnieniem rozwiązania na poziomie firmy, które musi poradzić sobie z ochroną ale i z odpowiednim raportowaniem zdarzeń.
Oprócz zintegrowanego systemu bezpieczeństwa zbudowanego w oparciu o szynę pxGrid mamy również inną, ogromną i unikalną na skalę światową zaletę – nasz zespół Cisco Talos. Złożony z ponad 300 badaczy, rozsianych po całym świecie, pracuje nieustannie przez dwadzieścia cztery godziny na dobę, siedem dni w tygodniu i cały rok nad badaniem najnowszych zagrożeń i pojawiających się trendów. Korzystacie Państwo z pracy tego zespołu stosując nasze rozwiązania – ponieważ wiedza, automatycznie budowane opisy zagrożeń i wyzwalane w czasie rzeczywistym specjalne akcje w przypadku gwałtownych kampanii – są sercem wszystkich rozwiązań bezpieczeństwa Cisco.
I na tym polega fundamentalnie inne podejście Cisco do bezpieczeństwa sieci, które zresztą docenia rynek – posiadamy obecnie największy udział w rozwiązaniach bezpieczeństwa wyprzedzając daleko rozwiązania i producentów systemów punktowych. Jesteśmy przekonani, że tylko efektywnie zintegrowany system bezpieczeństwa, oparty o zbudowane w oparciu o zaufaną infrastrukturę, transparentne praktyki kodowania i bezpieczeństwa, potrafi nadążyć a czasami nawet wyprzedzić atakujących (wystarczy spojrzeć na dokonania grupy Cisco Talos w kontekście ataków WannaCry, Nyetya, CCleaner, VPNFilter).
Pracujemy zespołowo – i do współpracy zapraszamy!