Spremljanje dogajanja, smiselno zbiranje podatkov ter njihovo spreminjanje v uporabne informacije so mantra varnostnih inženirjev, ko govorijo o zagotavljanju temeljnih postulatov informacijske varnosti. V boju zoper grožnje, mesto, kjer so shranjeni podatki, ne igra bistvene vloge. Naj si bo zaseben ali javni oblak ali morda s hibridnim pristopom, izkoriščamo prednosti enega in drugega – uporabniki informacijskih platform pričakujejo hitro in primerno ukrepanje.
In ker je postalo očitno, da varnosti ni mogoče zagotavljati zgolj z varovanjem posameznih gradnikov informacijskega sistema oziroma z uporabo tehnologij izbranih partnerjev Cisco, PaloAlto, Darktrace, Microsoft, VMware, Microfocus, HPE, v informacijski infrastrukturi sistemski integratorji oblikujemo lastne storitve. Kakopak, obstaja več pristopov, skupno vsem je uvesti nekaj prepotrebne metodologije, ki vse te gradnike poveže v celoto. V podjetju SRC se razpršenih varnostnih groženj lotevamo v sklopu blagovne SRC SMART™. Nova storitev nosi ime SRC SECURE™, z idejo razpršeno varovanje sistema ujeti v tehnološki proces in temu primerno smo razvili rešitev z razdelanimi koraki: od analize ranljivosti, preko identifikacije kibernetskih groženj, do sistematične priprave protiukrepov za odpravo groženj (ref: članek SRCinfo marec 2021 – S SRC Secure metodologijo do višje ravni varnosti)
SRC Build
Razvoj rešitev in izvedba
SRC Manage
Prevzem celotne infrastrukture v upravljanje
SRC Operate
Podpora/vzdrževanje, odprava napak v predvidenem času
SRC Orchestrate
Avtomatizacija upravljanja IT
SRC Secure
Celovit pristop k varovanju IT
SRC SOC
Spremljanje in analiza varnostnih incidentov
Če smo v zadnjem obdobju zaradi vsakodnevnega izpostavljanja nevarnosti v informacijskih sistemih zaznali premik v smeri nujnosti bolj usklajenega odziva, to še ne pomeni, da znamo te namere tudi udejanjiti. Zavedanje o potrebi ukrepati se je ob epidemičnemu načina dela od doma samo okrepilo. Podobno velja za razumevanje, kajti ne ščitimo izključno informacijskih sistemov, temveč pomembnejše – podatke v lasti podjetij, strank, uporabnikov.
Artikulacija ponudbe skozi vzpostavitev storitvenih blagovnih znamk je ena od možnih poti, ki jo ubiramo sistemski integratorji v IT infrastrukturi. Povod je zmožnost zagotavljanja višje ravni storitev z večjo obvladljivostjo. Iztrošena krilatica, da se »s programsko vodenimi napadi lahko kosamo samo s programskimi rešitvami«, še naprej drži. Resnici na ljubo smo doslej dokaj uspešno prebrodili obdobje dvomov, čemu je potrebno v infrastrukturi programsko podpreti poslovno-tehnološke procese – čemur pravimo tudi digitalizacija. Zakaj uvajati upravljanje sistemov z vpogledom v dogajanje in s tem dvigovati raven odzivnosti, razpoložljivosti, varnosti. Kako, v oblaku ali na hibridni način, krmiliti sisteme z elementi avtomatizacije. Tudi to, da mora tehnologija reševati problem, vpeljevati storitev, izboljševati poslovni proces, v nasprotnem nima uporabne vrednosti. Svetovalne hiše temu pravijo digitalna spretnost in (tokrat) imajo prav. Obenem pa poudarjajo, kar radi preslišimo, da učinek praviloma izzveni brez izdelanega načrta (t.j. metodologije), kako zaobjeti spekter branjenja ter ga uskladiti s procesnimi zahtevami siceršnjih standardov (ISO 9000/27001, ITIL, GDPR). Zoper organizirano poseganje v podatke se torej branimo na organiziran način.
SRC Secure elementi varovanja
Obvladovanje groženj praviloma obsega: spletne napade, zlonamerno kodo, napade na spletne aplikacije, zvabljanje, neželeno elektronsko pošto, onemogočanje storitve, izsiljevalsko programje, »botnet-e«, grožnje od znotraj, fizične poškodbe/kraje/izgube, neželeno razkritje podatkov. Varnostno poročilo posledično obravnava precejšen nabor (možnih) zaznanih dogodkov. In tu se skriva srž storitve SRC Secure z namero uvajanja procesne (ne izključno tehnične) obravnave varnosti. Bralec morebiti upravičeno podvomi o tehtnosti naslavljanja varnosti v širšem razumevanju, saj lahko samo podjetje Cisco, ob standardni opremi, ponudi še zgleden nabor oblačnih aplikacij z množico funkcionalnosti, ki lahko zadostijo tudi novejšim potrebam (SecureX analytics, DNS-Secure, Web Gateway, Cloud Access Security Broker, Cloud Firewall, Threat Intelligance, Secure Email, Anti-Spam/Malware …). Pa temu ni tako, še vedno potrebujemo dogovor, kako se dolgoročno spoprijemati z rastjo zahtev. Kot primer je v nadaljevanju prikazan način razmejevanja glede na varovane elemente.
Začnimo z omrežjem v vlogi tarče in senzorja hkrati. Komunikacijska oprema skupaj z varnostnimi napravami informacijske sisteme povezuje v celoto in posledično predstavlja najbolj dragocen vir informacij o dogajanju v informacijskem okolju. Zaradi tega je najbolj zaželena tarča napadov, zato je z varnostnega vidika deležna posebne pozornosti. Hkrati pa so komunikacijske in namenske naprave varnostna tipala. Zbrati pomembne informacije, hkrati pa zagotoviti ustrezno zaščito sta osnovni nalogi načrtovanja. Prvi korak je torej vzpostavitev delovanja nabora namenskih varnostnih naprav na ravni omrežja:
- požarne pregrade za podatkovne centre,
- aplikacijske požarne pregrade,
- sistemi za preprečevanje vdorov,
- centralizirana kontrola dostopa,
- napredne rešitve za upravljanje aplikativnega prometa,
- varna raba mobilnih naprav.
Končne točke so pogosto omenjane kot najšibkejši člen. Uporabniki informacijskih sistemov se s svojimi odjemalci povezujejo tudi v domene z nižjo ravnijo varovanja, kar še posebej velja za mobilne uporabnike. Varovanje teh naprav, še bolj pa varovanje informacijskega sistema pred nevarnostmi, ki jih te naprave lahko predstavljajo, je naslednji, nujno potreben korak pri pristopu k informacijski varnosti:
- zaščita znanih vektorjev napada (pošta, splet, končne naprave, prenosni mediji),
- preverjanje in čiščenje okuženih datotek, programja na končnih napravah, strežnikih platformah,
- kontrola dostopa,
- upravljanje mobilnih naprav,
- PKI (Public Key Infrastructure) in digitalna potrdila,
- varnostno spremljanje administratorskih sej.
Uporaba javnih storitev iz oblaka je v zavesti uporabnikov, mestoma neupravičeno, privzeta grožnja. Učinkovito varovanje mora vključevati množico gradnikov in aktivnosti, saj so storitve, do katerih uporabniki dostopajo, zelo različne: od informacijske infrastrukture (IaaS), platforme (PaaS), do programske opreme (SaaS). Pri načrtovanju varovanja iz oblaka je posledično v nabor tehnologij smotrno vključiti rešitve na vseh ključnih področjih:
- varno dostopanje do storitev v oblaku,
- upravljanje z varnostjo v oblačnem okolju (Security-as-a-Service) za avtomatizirano izvajanje varnostnih politik,
- varovanje elektronske pošte v oblaku (Office 365 …).
Četudi so aplikacije jedro informacijskih sistemov, se za zagotavljanje njihove neoporečnosti običajno stori premalo. Naj gre za uporabo ranljivih komponent, nezakrpanih platform, ali pa za neposredne ranljivosti samih aplikacij, je obseg potencialnih vektorjev napada širok. Pri zagotavljanju delovanja informacijskega sistema ne gre zaobiti tehnologij za:
- uporabo virtualizacijskih tehnologij in vsebnikov za izolacijo,
- segmentacijo aplikacij v okviru definiranih varnostnih politik,
- periodično iskanje ranljivosti v aplikacijskih kontejnerjih, slikah, platformi, sistemu,
- upravljanje s popravki,
- upravljanje in varovanje aplikativnega prometa,
- avtomatizirano upravljanje življenjske dobe javnih ključev (PKI),
- orkestracijo okolja, avtomatizirano uveljavitev novih različic.
V točki, ko imamo tehnološko znanje, s katerim zagotavljamo varnost posameznih elementov, metodologijo (načrt), razdelane varnostne produkte, preostaja še nenaslovljen manjkajoči člen, kako se spopasti s končnim ciljem zagotavljanja neprekinjene varnosti. Zaenkrat ni druge poti, kot s stalnim spremljanjem in odzivom na dogajanja širokega spektra navedenih gradnikov. Zato poleg vseh naštetih varnostnih rešitev za posamezna področja informacijske tehnologije ne gre spregledati analitska orodja (SIEM), ker omogočajo inteligentno obdelavo zbranih informacij za primerno sklepanje o dogajanju oziroma morebitnih nevarnostih ter pripravo ukrepov. Pri analitiki na pomoč prihajajo produkti z vgrajenim strojnim učenjem in elementi umetne inteligence. Vsebinsko se tovrstna dejavnost lahko odvija na učinkovit način le znotraj varnostno-operativnih centrov (SOC – Security Operations Center) s pridruženimi storitvami avtomatizirane analitike na podlagi spremljanja dogodkov in prometnih tokov, priprave odzivov ter natančno določenimi obveznostmi (SLA) (»Managed Detection & Response – MDR«, »Threat Intelligence & Response«).
S tem se krog sklene. Kadar je izziv (pre)obsežen, odgovore nosi sistematičen pristop in v opisanem primeru to pomeni: metodologija, vsebina, neprekinjeno spremljanje s pripravljenimi odzivi zoper grožnje v sklopu rešitev SRC Secure in SRC SOC.