SRC Secure elementi varovanja

 Obvladovanje groženj praviloma obsega: spletne napade, zlonamerno kodo, napade na spletne aplikacije, zvabljanje, neželeno elektronsko pošto, onemogočanje storitve, izsiljevalsko programje, »botnet-e«, grožnje od znotraj, fizične poškodbe/kraje/izgube, neželeno razkritje podatkov. Varnostno poročilo posledično obravnava precejšen nabor (možnih) zaznanih dogodkov. In tu se skriva srž storitve SRC Secure z namero uvajanja procesne (ne izključno tehnične)   obravnave varnosti. Bralec morebiti upravičeno podvomi o tehtnosti naslavljanja varnosti v širšem razumevanju, saj lahko samo podjetje Cisco,  ob standardni opremi,  ponudi še zgleden nabor oblačnih aplikacij z množico funkcionalnosti, ki lahko zadostijo tudi novejšim potrebam (SecureX analytics, DNS-Secure, Web Gateway, Cloud Access Security Broker, Cloud Firewall, Threat Intelligance, Secure Email, Anti-Spam/Malware …). Pa temu ni tako, še vedno potrebujemo dogovor, kako se dolgoročno spoprijemati z rastjo zahtev. Kot  primer je v nadaljevanju prikazan način razmejevanja glede na varovane elemente.

 Začnimo z omrežjem v vlogi tarče in senzorja hkrati. Komunikacijska oprema skupaj z varnostnimi napravami informacijske sisteme povezuje v celoto in posledično predstavlja najbolj dragocen vir informacij o dogajanju v informacijskem okolju. Zaradi tega je najbolj zaželena tarča napadov, zato je z varnostnega vidika deležna posebne pozornosti. Hkrati pa so komunikacijske in namenske naprave varnostna tipala. Zbrati pomembne informacije, hkrati  pa zagotoviti ustrezno zaščito sta osnovni nalogi načrtovanja. Prvi korak je torej vzpostavitev delovanja nabora namenskih varnostnih naprav na ravni omrežja:

• požarne pregrade za podatkovne centre,
• aplikacijske požarne pregrade,
• sistemi za preprečevanje vdorov,
• centralizirana kontrola dostopa,
• napredne rešitve za upravljanje aplikativnega prometa,
• varna raba mobilnih naprav.

Končne točke so pogosto omenjane kot najšibkejši člen. Uporabniki informacijskih sistemov se s svojimi odjemalci povezujejo tudi v domene z nižjo ravnijo varovanja, kar še posebej velja za mobilne uporabnike. Varovanje teh naprav, še bolj pa varovanje informacijskega sistema pred nevarnostmi, ki jih te naprave lahko predstavljajo, je naslednji, nujno potreben korak pri pristopu k informacijski varnosti:

• zaščita znanih vektorjev napada (pošta, splet, končne naprave, prenosni mediji),
• preverjanje in čiščenje okuženih datotek, programja na končnih napravah, strežnikih platformah,
• kontrola dostopa,
• upravljanje mobilnih naprav,
• PKI (Public Key Infrastructure) in digitalna potrdila,
• varnostno spremljanje administratorskih sej.

Uporaba javnih storitev iz oblaka je v zavesti uporabnikov, mestoma neupravičeno, privzeta grožnja. Učinkovito varovanje mora vključevati množico gradnikov in aktivnosti, saj so storitve, do katerih uporabniki dostopajo, zelo različne: od informacijske infrastrukture (IaaS), platforme (PaaS), do programske opreme (SaaS). Pri načrtovanju varovanja iz oblaka je posledično v nabor tehnologij smotrno vključiti rešitve na vseh ključnih področjih:

• varno dostopanje do storitev v oblaku,
• upravljanje z varnostjo v oblačnem okolju (Security-as-a-Service) za avtomatizirano izvajanje varnostnih politik,
• varovanje elektronske pošte v oblaku (Office 365 …).

Četudi so aplikacije jedro informacijskih sistemov, se za zagotavljanje njihove neoporečnosti običajno stori premalo. Naj gre za uporabo ranljivih komponent, nezakrpanih platform, ali pa za neposredne ranljivosti samih aplikacij, je obseg potencialnih vektorjev napada širok. Pri zagotavljanju delovanja informacijskega sistema ne gre zaobiti tehnologij za:

• uporabo virtualizacijskih tehnologij in vsebnikov za izolacijo,
• segmentacijo aplikacij v okviru definiranih varnostnih politik,
• periodično iskanje ranljivosti v aplikacijskih kontejnerjih, slikah, platformi, sistemu,
• upravljanje s popravki,
• upravljanje in varovanje aplikativnega prometa,
• avtomatizirano upravljanje življenjske dobe javnih ključev (PKI),
• orkestracijo okolja, avtomatizirano uveljavitev novih različic.

V točki, ko imamo tehnološko znanje, s katerim zagotavljamo varnost posameznih elementov, metodologijo (načrt), razdelane varnostne produkte, preostaja še nenaslovljen manjkajoči člen, kako se spopasti s končnim ciljem zagotavljanja neprekinjene varnosti. Zaenkrat ni druge poti, kot s stalnim spremljanjem in odzivom na dogajanja širokega spektra navedenih gradnikov. Zato poleg vseh naštetih varnostnih rešitev za posamezna področja informacijske tehnologije ne gre spregledati analitska orodja (SIEM), ker omogočajo inteligentno obdelavo zbranih informacij za primerno sklepanje o dogajanju oziroma morebitnih nevarnostih ter pripravo ukrepov. Pri analitiki na pomoč prihajajo produkti z vgrajenim  strojnim učenjem in  elementi umetne inteligence. Vsebinsko se tovrstna dejavnost lahko odvija na učinkovit način le znotraj varnostno-operativnih centrov (SOC –  Security Operations Center) s pridruženimi storitvami avtomatizirane analitike na podlagi spremljanja dogodkov in prometnih tokov, priprave odzivov  ter natančno določenimi obveznostmi (SLA) (»Managed Detection & Response – MDR«, »Threat Intelligence & Response«).

S tem se krog sklene. Kadar je izziv (pre)obsežen, odgovore nosi sistematičen pristop in  v opisanem primeru to pomeni:   metodologija, vsebina, neprekinjeno spremljanje s pripravljenimi odzivi zoper grožnje v sklopu rešitev  SRC Secure in SRC SOC.