Novo vreme i bezbednosni izazovi traže nove pristupe i rešenja zasnovana na savremenim tehnologijama. Potrebno je delovati na različitim frontovima, od ivice mreže, preko njene unutrašnjosti i data- centra, sve do krajnjih uređaja i korisnika, gde god da se oni nalaze.
Na počecima razvoja IT infrastrukture u kompanijama i dobu koje je prethodilo internetu, mehanizmi za brzo širenje softverskih zaraza praktično nisu postojali, a jedina prava opasnost mogla je doći iznutra, od zlonamernih zaposlenih ili nekoga ko je stekao fizički pristup mreži ili data-centru. Zato je i razumljivo što tzv. sajber bezbednost često nije bila visoko na listi prioriteta ili čak uopšte na radaru IT osoblja.
Povezivanjem na internet izolovana ostrva infrastrukture prestala su da postoje. Kompanije su se potencijalno našle na udaru bilo koga ko je povezan na globalnu mrežu, pa je i bezbednost polako došla u fokus zaposlenih u IT-ju, ali i vendora. Strategija u prvoj fazi razvoja korporativne IT bezbednosti može se uporediti sa merama korišćenim u srednjovekovnim zamkovima, gde se najviše truda ulagalo u sprečavanje prodora napadača od spolja, kroz ojačavanje vrata ili kopanje dubljeg šanca. Tako se i u IT-ju najviše pažnje posvećivalo zaštiti ivice mreže, uglavnom investiranjem u firewall uređaje i formiranjem DmZ segmenta mreže, a svoje mesto u kompanijama u ovom periodu našla su i antivirusna i antispam rešenja.
Taktike i ciljevi napadača menjali su se vremenom. Dok je zlonamerni softver u početku bio usmeren ka što bržem širenju i uništavanju podataka, u novije vreme u fokusu napadača je da što duže ostane neotkriven unutar korporativne mreže, kako bi stekao što širi pristup, ali i uklonio tragove ulaska. Dok su hakeri nekada bili klinci koji su probijali zaštite zbog dokazivanja i slave, danas se praktično radi o visokoprofitabilnom biznisu. Napadi su sofisticirani i dobro planirani, uglavnom sa ciljevima političke ili finansijske prirode, kao što su krađa poverljivih podataka za potrebe konkurencije ili iznudjivanje novca od kompanije.
Poslednja decenija donela je pravu eksploziju u korišćenju mobilnih uredjaja i aplikacija, praćenu ekspanzijom cloud tehnologija i rešenja koja su izmestila aplikacije iz korporativne infrastrukture. Danas se često ni korisnici ni njihovi podaci više ne nalaze unutar „zamka”, odnosno kompanijske mreže, a Windows PC računari, koji su doskora bili dominantni poslovni uredjaji, u firmama često ustupaju mesto mobilnim telefonima i tabletima. Neophodna je potpuna promena pristupa IT bezbednosti, u skladu sa izazovima novog vremena.
Zadržavanje kontrole u eri mobilnosti
Striktna bezbednosna pravila obično ne idu ruku pod ruku sa zadovoljstvom krajnjih korisnika, koji, naviknuti na brzinu i udobnost korišćenja aplikacija na privatnim mobilnim uredjajima, očekuju slično iskustvo u radu i u korporativnom okruženju. Pred IT osoblje se zato danas postavlja naizgled nemoguć zadatak – obezbediti korisnicima pristup kompanijskim IT servisima na način koji je istovremeno jed- nostavan i bezbedan, bez obzira na to gde se korisnik nalazi i koji uređaj koristi.
Odgovor na ovaj izazov je virtuelizacija desktopa i aplikacija u cilju njihove unificirane isporuke na različite mobilne platforme, ali i pomeranja korisničkih podataka u data-centar, gde je njima moguće mnogo jednostavnije upravljati u smislu dostupnosti (visoka raspoloživost, bekap, DR) i bezbednosti. Ovim se omogućava pretvaranje krajnjih uređaja u jednostavne pristupne terminale, koji na sebi ne sadrže osetljive podatke (npr. tanki klijent kance- larijskog radnika) ili skladište minimum podataka potrebnih za rad (npr. tablet prodavca na terenu kome je potreban pristup elektronskoj pošti i dokumentima).
Na polju mobilnosti je verovatno najdalje otišla kompanija Vmware, koja je svojim Workspace ONE rešenjem objedinila upravljanje mobilnim uređajima sa isporukom kompletnog korisničkog radnog okruženja. Za krajnjeg korisnika Workspace ONE predstavlja katalog svih njegovih kompanijskih IT resursa (desktopova, aplikacija i podataka) koji- ma može pristupiti preko web čitača ili mobilne aplikacije.
Korisniku se pruža tzv. single-sign-on iskustvo u radu, međusobnim povezivanjem svih njegovih digitalnih identiteta, kako internih kompanijskih naloga, poput AD-a i SAP-a, tako i naloga na eksternim servisima, recimo Office 365 ili e-banking portala. Na ovaj način korisniku se omogućava da samo jednim logovanjem na portal pristupi svim svojim aplikacijama i podacima, a administratorima da preuzmu potpunu kontrolu nad upravljanjem različitim korisničkim nalozima, posebno kompleksnošću i rotacijom šifara.
Mobilnost je donela promene i u segment autentifikacije korisnika, uvodjenjem potrebe za analizom različitih parametara pristupa, npr. uređaja i „lokacije“ korisnika. Tako Workspace ONE omogućava primenu različitih bezbednosnih polisa, u zavisnosti od toga da li korisnik pokušava da pristupi aplikaciji sa kompanijskog uređaja lociranog unutar korporativne mreže ili korišćenjem privatnog uredjaja preko interneta, kada se od njega može tražiti npr. dvofaktorska autentifikacija ili mu se čak potpuno zabraniti pristup.
Zaštita mobilnih uredjaja
Mobilnost zahteva pristup aplikacijama i podacima nezavisno od lokacije, što za rezultat ima da Windows PC računari odavno nisu jedini uredjaji za obavljanje posla. mobilni uređaji i platforme poput Android-a i iOS-a našli su svoj put iz privatnog u korporativni IT, donoseći sa sobom nove izazove – kako osigurati kompanijske podatke koji sada praktično putuju svuda sa zaposlenima.
Deo odgovora na ovo pitanje nude rešenja za upravljanje mobilnošću, medju kojima je Vmware AirWatch jedan od lidera. Ovi alati su evoluirali od svojih početaka, kada su praktično bili inventarski alat i zaštita protiv gubitka uredjaja, pružajući mogućnost udaljenog brisanja, do sveobuhvatnih rešenja za upravljanje, ne samo uredjajima već i isporukom i kontrolom aplikacija i sadržaja na njima.
Drugi deo slagalice predstavljaju specijalizovana rešenja za zaštitu mobilnih uredjaja, kakvo je Check Point SandBlast mobile. U pitanju je rešenje koje se oslanja na Check Point cloud tehnologije za prikupljanje i korelaciju podataka o pretnjama u realnom vremenu, obezbedjujući zaštitu od zlonamernih aplikacija, ali i specifičnih mobilnih napada, kao što su SmS prevare i presretanje Wi-Fi saobraćaja.
Integracijom pomenutih alata može se u potpunosti uspostaviti kontrola nad bezbednošću mobilnih uređaja i najvažnije, korporativnih podataka na njima. Tako je moguće osigurati da se uređaj ne može koristiti u poslovne svrhe ako nije adekvatno zaštićen, kao i da se uređaju koji je detektovan kao potencijalno kompromitovan automatski zabrani pristup kompanijskim resursima ili uklone svi osetljivi podaci.
Sudbina tradicionalnog antivirusa
Šta sa korisničkim radnim stanicama koje su oduvek bile tradicionalna platforma za antiviruse? Prema podacima kompanije Symantec, oko 1,5 miliona različitog, ranije nepoznatog zlonamernog softvera otkriva se na dnevnom nivou.
Jedan od razloga za ovako visok broj detekcija je to što softver stalno menja svoju formu kroz tehnike maskiranja i kriptovanja (danas dostupne kao online usluge), pa tako statistike pokazuju da je preko 80% malvera aktivno samo u toku jednog sata nakon otkrivanja.Imajući u vidu ove podatke, kao i vreme koje je potrebno za kreiranje odgovarajućeg „protivotrova“, očigledno je da tradicionalni pristup antivirusnog softvera, baziran na detektovanju odranije poznatog ponašanja, nije dovoljan za borbu sa savremenim pretnjama.
Antivirusna rešenja nastoje da se prilagode novim okolnostima. Od svojih početaka, baziranih na virusnim signaturama, do toga da danas npr. dolaze sa modulima za zaštitu online plaćanja i poseduju mehanizme za ispravljanje propusta u operativnom sistemu i instaliranim aplikacijama, antivirusi su prešli dalek put. međutim, sami više nisu dovoljni da bi obezbedili miran san administratorima bezbednosti, već su samo jedno od neophodnih oružja u njihovom arsenalu.
Detekcija naprednih pretnji
Danas su antivirusna rešenja praktično samo prvi nivo odbrane koji administratorima omogućava da se fokusiraju na borbu sa naprednim pretnjama, među kojima svakako jedan od najvećih izazova predstavljaju tzv. zero day napadi, koji zloupotrebljavaju ranije nepoznate propuste u računarskom softveru. Samim tim, nije ih moguće detektovati i zaustaviti tradicionalnim metodama, pa u pomoć sve češće dolaze napredne tehnologije bazirane na analizi ponašanja.
Jedna od šire rasprostranjenih tehnologija za detekciju zero-day napada su sandbox rešenja. Radi se o fizičkom uredjaju ili cloud usluzi koji svaki od fajlova koji im je prosledjen izvršavaju u izolovanoj virtuelnoj mašini i analiziraju njegov uticaj na sistem, kako bi detektovali potencijalne loše namere. U medjuvremenu, krajnjem korisniku kome je fajl bio namenjen može se isporučiti njegova funkcionalna kopija iz koje su uklonjeni svi aktivni elementi koji bi potencijalno mogli sadržati zlonamerni kod.
Kako bi sandbox rešenja bila efikasna, neophodno je da kroz njih prolaze svi fajlovi koji ulaze u organizaciju. Zato ona obično poseduju integraciju sa ivičnim uređajima kao što su firewall i mail gateway, dok kompanija Check Point nudi i posebne agente za krajnje uredjaje. Na ovaj način se upotpunjuju tradicio- nalna antivirusna rešenja i obezbeđuju sandbox analiza i sanitizacija fajlova bez obzira na njihov izvor.
Kako protiv ransomware-a?
Sandbox rešenja, takodje, predstavljaju jednu od metoda za borbu protiv ransomware napada, koji od 2013. godine i pojave čuvenog CryptoLocker-a predstavljaju verovatno najveću pretnju po dostupnost privatnih i kompanijskih podataka. Radi se o posebnoj vrsti zlonamernog softvera koji neopaženo enkriptuje boot zapis zaraženog računara ili podatke na njemu i svim njemu dostupnim mrežnim diskovima, a zatim za oporavak podataka zahteva novac, obično putem bitcoin uplate na račun napadača. Od pojave ransomware-a, prosečna cena otkupa stalno raste i danas iznosi nešto više od 1.000$ po zaraženom računaru, mada statistike pokazuju da u jednoj petini slučajeva korisnici ne dobiju pristup podacima čak i nakon plaćanja.
Ransomware je danas dominantna forma zlonamernog softvera, a jedan od razloga za takvu situaciju su široko dostupni ransomware-as-a-service alati, koji napadaču sa minimalnim tehničkim znanjem omogućavaju jednostavno kreiranje i isporuku sopstvene sorte zaraze. Danas ne postoji rešenje koje nudi stoprocentnu zaštitu od ransomware-a, pa je, uz ranije pomenute alate i edukaciju korisnika, jedini efikasan način borbe primena najboljih bezbednosnih praksi. Jedna od njih je i redovno patch-ovanje OS-a i aplikacija – skorašnja WannaCry epidemija bila je zasnovana upravo na iskorišćavanju propusta u SmB protokolu Windows operativnog sistema, koji je inače ispravljen dva meseca pre pojave zlonamernog softvera.
Važan aspekt odbrane je i odgovarajuća bekap strategija, kojom se kreiraju rezervne kopije podataka sa dovoljno dugim periodom čuvanja (ransomware se obično ne aktivira odmah, već nekoliko nedelja nakon infekcije), kao i smeštanje bekapa na offline medijum i udaljenu lokaciju. U ovom segmentu posebno su zanimljiva rešenja za bekap podataka u cloud, poput proizvoda kompanije Veeam koji omogućavaju bekapovanje desktopa i servera na lokaciju izabranog Veeam cloud provajdera, gde su izvan dometa ransomware-a.
Edukacija krajnjih korisnika
Prilikom formulisanja strategije sajber bezbednosti, nije dovoljno fokusiratiEdukacija krajnjih korisnika Prilikom formulisanja strategije sajber bezbednosti, nije dovoljno fokusiratise samo na tehnološka rešenja, već i na uređenje procedura i edukaciju krajnjih korisnika, koji su verovatno najslabija karika u lancu korporativne bezbednosti i najčešća meta napadača. Danas devet od deset sajber napada počinje tzv. phishing mail porukom nekom od zaposlenih, koja za cilj ima obmanu primaoca da izvrši zlonamerni kod ili obavi neku radnju na svoju ili štetu kompanije za koju radi, recimo otkrije svoje kredencijale.
Još opasniji je tzv. spear phishing, u kome se, umesto generičke mail poruke poslate na više adresa, jednom ili nekolicini zaposlenih šalje ciljana poruka u kojoj se napadač lažno predstavlja kao odranije poznati pojedinac ili kompanija sa kojom žrtve saradjuju. Ovakvi napadi nisu neuobičajeni i za naše okruženje, gde su u par slučajeva doveli do preusmeravanja sredstava kompanije na napadačev umesto na račun regularnog dobavljača.
Posebno je poražavajuć podatak da u 12% slučajeva primaoci zaista i nasednu na prevaru i kliknu na link iz mail poruke ili izvrše zaraženi fajl, čime napadaču širom otvaraju vrata kompanijskog zamka. Upravo zato edukacija zaposlenih vezano za najbolje bezbednosne prakse i potencijalne napade sa kojima se mogu susresti predstavlja jednu od ključnih strategija zaštite.
U ovom segmentu značajnu ulogu imaju i alati za praćenje ponašanja krajnjih korisnika, poput rešenja kompanije Teramind. Radi se o softveru koji snima i analizira aktivnost korisnika sa monitorisanog računara ili servera i u realnom vremenu primenjuje polise, poput blokiranja startovanja zabranjenih aplikacija, štampanja poverljivih dokumenata ili slanja određenih podataka putem mail-a. Pored edukacije, rešenja poput ovog predstavljaju i nezamenjiv alat za detekciju i borbu protiv zlonamernih zaposlenih, ali i kontrolu aktivnosti privilegovanih naloga, kao što su administratori sistema i eksterni IT konsultanti.
Umesto zaključka
Vremena u kojima su firewall uredjaji i ažurirani antivirus bili dovoljni da bise ostvario privid sigurnosti odavno su prošla. Novo vreme i bezbednosni izazovi traže nove pristupe i rešenja zasnovana na savremenim tehnologijama, kao što su cloud i mašinsko učenje. Potrebnoje delovati na različitim frontovima, od ivice mreže, preko njene unutrašnjosti i data-centra, sve do krajnjih uredjaja i korisnika, gde god da se oni nalaze.
U sajber bezbednosti ne postoji „zlatni metak“ – jedan proizvod čija nabavka i implementacija garantuje miran san. Jedini uspešan pristup bezbednosti je slojevit, onaj koji polazi od edukacije i procedura a završava konkretnim tehnološkim rešenjima, poželjno raznovrsnim i od različitih vendora. U definisanju strategije bezbednosti ne treba se fokusirati na sprečavanje ulaska loših momaka spolja, već poći od pretpostavke da su oni verovatno već odavno unutra.
Nebojša Ilić
0 komentara