Choć każda z większych firm stosuje różne modele zabezpieczeń, co jakiś czas słyszymy o atakach hakerskich na najbardziej znane i największe marki. Jak się bronić? Najskuteczniejszą metodą na to, by zadbać o bezpieczeństwo danych w firmie jest strategia Defense in Depth. Na czym polega?

  • Defense in Depth (ang. obrona w głąb) to ochrona na każdym poziomie systemów informatycznych, która w sposób kompleksowy zapewnia bezpieczeństwo zasobów informatycznych firmy.
  • By zapewnić ochronę danych na najwyższym poziomie, należy przewidzieć wszelkie możliwe zagrożenia dla integralności zasobów informacyjnych firmy, nie wyłączając z tego błędów pracowników.
  • Nieodzownym elementem bezpieczeństwa informatycznego firmy jest stworzenie kopii zapasowych danych, konfiguracji oraz systemów operacyjnych. Dzięki nim w przypadku awarii będziemy w stanie szybko przywrócić system do stanu sprzed incydentu.
  • Taktyka Defense in Depth została uznana przez NSA za najbardziej optymalny sposób ochrony organizacji przed atakami oraz nieprzewidzianymi incydentami, które mogłyby zagrozić integralności zasobów informacyjnych firmy.

Defense In Depth: bezpieczeństwo Twojego biznesu

By zapewnić bezpieczeństwo danych w firmie nie wystarczy zainstalowanie jednego z popularnych programów antywirusowych i dbałość o silne hasła dostępu do firmowych aplikacji. Prawdziwa ochrona opiera się na eliminowaniu wszelkich potencjalnych zagrożeń, które mogą pojawić się na różnych poziomach zabezpieczeń. Defense in Depth (ang. obrona w głąb) polega na koordynacji wielu niezależnych zabezpieczeń w celu ochrony integralności zasobów informacyjnych firmy. By ją zapewnić należy stworzyć odpowiednią politykę zabezpieczeń, zainstalować firewalle, szyfrowanie itd. Te i dodatkowe środki, takie jak zarządzanie dostępem czy szkolenia pracowników zapewniają kompleksową ochronę przed różnego rodzaju zagrożeniami.

Systemy informatyczne oparte o niezależne warstwy zabezpieczeń

System zabezpieczeń Defense in Depth zapewnia ochronę integralności zasobów informacyjnych firmy na wielu różnych poziomach. Dopiero po wdrożeniu każdego z tych rozwiązań możemy mieć pewność, że dane przechowywane w naszej organizacji oraz jej systemy są w pełni bezpieczne. Na jakich elementach powinniśmy oprzeć bezpieczeństwo firmy?

  • U podstaw bezpieczeństwa systemów informatycznych leży opracowanie procedur oraz polityki bezpieczeństwa. Klasyfikacja danych, stworzenie polityki nadawania haseł i ochrony danych to jednak odrobinę za mało. Nawet najlepsze zabezpieczenia nie wystarczą, gdy ich użytkownik popełni błąd. Jaki? Cyberprzestępcy biegle opanowali socjotechniki, których celem jest nakłonienie Twoich pracowników do kliknięcia określonych linków. Rozwiązaniem mogą być szkolenia zespołu oraz stały dostęp do materiałów edukacyjnych.
  • Kolejnym poziomem naszego systemu są zabezpieczenia fizyczne, takie jak kontrola dostępu, klucze, drzwi i tak dalej.
  • Czwarty poziom to zabezpieczenia na poziomie sieci. Zapory (firewall) nowej generacji łączą tradycyjną ochronę z nowymi funkcjami filtrowania urządzeń sieciowych. Dodatkowe usługi pozwalają też na wykrycie nowych zagrożeń, które dopiero pojawiły się w sieci (tzw. Zero Day). Nie wolno też zapominać o zabezpieczeniu warstwy transportowej, czyli o szyfrowaniu i ochronie tożsamości.
  • Następnym elementem układanki, jaką jest ochrona w głąb (Defense in Depth) są programy antywirusowe, aktualizacje systemu oraz szeroko pojęta ochrona systemu operacyjnego. Programy antywirusowe, których celem jest ochrona komputerów przed złośliwym oprogramowaniem powinny być zainstalowane na wszystkich komputerach, laptopach oraz telefonach komórkowych pracowników – to jest oczywiste niemal dla wszystkich. Równie istotną kwestią jest założenie filtrów antyspamowych, które wychwycą niechciane lub fałszywe maile i są pierwszą obroną przed błędem ludzkim polegającym na kliknięciu w nieodpowiedni link. Co jednak ma aktualizacja oprogramowania do bezpieczeństwa firmy? Dostawcy oprogramowania publikują aktualizacje, których celem jest załatanie znanych luk. I tu mamy szansę natrafić na pewną barierę, jaką może stanowić przestarzały sprzęt. Może on nie być w stanie obsługiwać kolejnych ulepszeń i zabezpieczeń, co samo w sobie jest zagrożeniem dla bezpieczeństwa informatycznego firmy.
  • Niemal u szczytu budowanej przez nas piramidy zabezpieczeń, której celem jest zapewnienie bezpieczeństwa systemu informatycznego firmy na różnych poziomach jest ochrona aplikacji. Więcej na ten temat opowiada Marek Nadstawny:

Poziom ochrony aplikacji, to między innymi ochrona tożsamości. Pilnowanie, czy dana osoba wykonuje wyłącznie te zadania, które może wykonywać i czy używa do tego najmniejszych koniecznych uprawnień. W wielu firmach nadal istnieje – o zgrozo – nawyk pracowania na kontach administracyjnych. Jeśli użytkownik takiego konta pobierze  przez przypadek złośliwe oprogramowanie, to będzie ono działać również z użyciem wysokich uprawnień. Oznacza to, że będzie mieć dostęp do całego systemu, danych, dysków sieciowych, rejestru, ustawień systemowych. W skrócie – może nam np. zaszyfrować wszystkie dane, także na serwerach i innych komputerach w sieci. Wystarczy infekcja jednej stacji, na której ktoś pracuje z uprawnieniami administratora. O kompromitacji domeny Active Directory  i możliwości wyciągnięcia haseł użytkowników (w tym administratorów) nie wspomnę. Istnieją oczywiście mechanizmy, które przed tym bronią – np. uwierzytelnianie wieloskładnikowe, dobrze skonfigurowana domena Active Directory lub Azure AD, mechanizmy typu Privileged Access Management, Azure Identity Protection, Conditional Access, lasy administracyjne Active Directory czy Device Guard/App Locker. Większość tych rozwiązań jest dość droga w implementacji, jednak musimy sobie zdawać sprawę z tego, że bezpieczeństwo kosztuje. Dobrze pokazuje to taka krzywa:

Zwróćmy uwagę na fakt, że poziom bezpieczeństwa wprawdzie dąży do 100%, ale nigdy go nie osiąga. Nie istnieje coś takiego, jak stuprocentowe bezpieczeństwo. Gdyby istniało – na pewno największe korporacje i instytucje rządowe miałyby taki poziom – a przecież ciągle słyszymy o włamaniach, wyciekach informacji czy utracie danych w największych firmach.  

  • Nawet najlepsze zabezpieczenia czasami nie wystarczą. I to również powinniśmy przewidzieć! Stosując ochronę systemów informatycznych opartą o niezależne warstwy zabezpieczeń Defense in Depth musimy dbać o regularne tworzenie kopii zapasowych danych. To właśnie te kopie pozwalają administratorom przywrócić system do stanu sprzed incydentu, który zagroził jego bezpieczeństwu.

 Defense in Depth

Defense in Depth

Wiele warstw kontroli bezpieczeństwa sprawia, że nawet jeśli jedno z wdrożonych w firmie rozwiązań zawiedzie, ochronę przed atakiem zapewnią nam kolejne mechanizmy obronne. W przypadku gdy złośliwe oprogramowanie pokona wszystkie postawione przez nas bariery, będziemy potrzebować aktualnej kopii danych, konfiguracji oraz systemów operacyjnych, dzięki której będziemy w stanie je odzyskać lub przywrócić do stanu sprzed awarii. Najbardziej optymalnym rozwiązaniem jest kopia zapasowa oparta na obrazach, która polega na tworzeniu migawek systemu w określonych momentach. Samo wdrożenie takiego rozwiązania to za mało – obsługa IT firmy powinna przetestować kopie zapasowe, by upewnić się, że na ich podstawie w stosunkowo krótkim czasie jest w stanie odzyskać dane.

Pamiętajmy jednak, że w bezpieczeństwie IT nie istnieje coś takiego, jak 100%.

Jak widać program antywirusowy lub wdrożenie domeny Active Directory to za mało, aby móc powiedzieć “jesteśmy bezpieczni”. Wiele rozwiązań bezpieczeństwa dostarcza nam Office365 i Azure AD, dlatego dobrze pomyśleć o wdrożeniu tych rozwiązań w swojej firmie.