ISSN WYDANIE SPECJALNE maj 2017 OCHRONA SIECI ANTYMALWARE MONITORING ZASILANIE PRAWO BEZPIECZEŃSTWO. infrastruktury IT w firmach

maj 2017

ISSN 1640-9183

WYDANIE SPECJALNE

BEZPIECZEŃSTWO

infrastruktury IT w fi rmach

MONITORING ANTYMALWARE OCHRONA SIECI

ZASILANIE

PRAWO

Redefining IT Distribution

Cyber Security Mobility

Advanced Networking 9RMǻIH(SQQYRMGEXMSRW

&TTPMGEXMSR4TXMQMWEXMSR

SJX[EVI)IǻRIH.RJVEWXVYGXYVI Cloud

Nasi Producenci

TM ®

Nuvias Practices

www. .com

'RZLHG]VLÛZLÛFHM

KWWSSO]\FNRFRP

SPIS TREŚCI

ROZMOWA Z...

6 Richardem Marko, Chief Executive Officerem ESET-u BEZPIECZEŃSTWO FIRMOWYCH SIECI

10 Ochrona coraz bardziej automatyczna

15 WatchGuard chroni przed nieznanym (Bakotech) 16 Sprzedaż systemów ochronnych wymaga kompetencji

(ABC Data Value+) 18 Synchronizacja zapewni bezpieczeństwo (Sophos) 19 Kerio: UTM może być prosty w obsłudze (Sun Capital) OCHRONA PRZED ATAKAMI 20 Gotowi na najgorsze 24 Ransomware: ochrona w 9 krokach (Ivanti) 26 Backup na serwer QNAP ochroni dane

przed ransomware 27 Co warto wiedzieć o atakach DDoS

na aplikacje (F5 Networks) OCHRONA PRZED ZŁOŚLIWYM OPROGRAMOWANIEM

28 Powiew świeżości w świecie antywirusów

31 ESET przygotuje firmę na atak (Dagma) 32 Antywirusy dla biznesu i...

centrów danych (G Data) SYSTEMY AUTENTYKACJI 34 Skuteczne uwierzytelnianie:

pochwała inwencji 37 Systemy kontroli dostępu do zasobów IT w firmie (Avnet) 38 Aruba ułatwi panowanie nad Internetem rzeczy

Vademecum 2/2017

ZABEZPIECZANIE ŚRODOWISK MOBILNYCH 40 Sprzęt przenośny pod ścisłą kontrolą

44 Zarządzanie urządzeniami mobilnymi po polsku (Versim) ZASILANIE GWARANTOWANE I KLIMATYZACJA PRECYZYJNA 46 Efektywność energetyczna i bezpieczny chłód 49 Nowoczesne zasilacze jednofazowe Legrand 50 Co mają wspólnego kuchnia i centrum danych?

(Schneider Electric) 52 Gwarantowane zasilanie bez zakłóceń (Eaton) 53 UPS-y Ever Sinline – polska innowacyjność MONITORING WIZYJNY I FIZYCZNA OCHRONA 54 Serwerownie: dane pod kluczem

58 Innowacje i bezpieczeństwo w wideomonitoringu (Axis Communications) 60 Fizyczny wymiar ochrony danych (Nedap) 61 Bezcenne dane z monitoringu (Seagate) POLITYKA BEZPIECZEŃSTWA 62 Reagowanie kryzysowe coraz bardziej w cenie BEZPIECZEŃSTWO A PRAWO 66 Cyberbezpieczeństwo:

obowiązują nie tylko przepisy ZDANIEM BRANŻY

68 Producenci, dystrybutorzy i integratorzy o sytuacji na rynku 70 Indeks firm

Fot. © iconimage ,© beebright ,© weerapat1003 – Fotolia.com

EDYTORIAL

Za 

ujawnione w ubiegłym roku włamanie do firmy Yahoo i kradzież danych ponad miliarda klien- tów odpowiada m.in. haker, którego persona- lia oraz stanowisko idealnie obrazują obecną sytuację na rynku bezpieczeństwa – jest rosyjskim szpiegiem i nazywa się Dmitrij…

Dokuczajew. Cytowani przez New York Times przedstawiciele amerykańskiego wymiaru sprawiedliwości

twierdzą, że zrobił to na żądanie rosyjskie- go rządu. Z kolei strona rosyjska oskarżyła go o bycie podwójnym szpiegiem na rzecz USA i aresztowała za zdradę.

Elektroniczni przestępcy już ponad 15 lat temu odkryli, że cyberprzestrzeń to obszar, w którym bardzo łatwo mani- pulować ludzką psychiką, ale także szko- dzić portfelowi. Od paru lat odkrywają to również politycy. Wojskowi stratedzy podkreślają, że w  czasie kolejnej woj-

ny światowej nikt nie będzie do nikogo strzelał. Ten sposób neutralizacji przeciwnika jest bowiem o wiele bardziej pro- blematyczny niż możliwości stwarzane przez nowoczesne technologie teleinformatyczne.

Podczas kolejnej wojny nagle obudzimy się bez dostępu do Internetu, pieniędzy w banku, prądu i wody. Systemy dostępo- we do wszystkich wymienionych zasobów bazują na rozwią- zaniach IT, które – po zadaniu sobie odrobiny trudu – można zdalnie wyłączyć, zniszczyć lub przeprogramować. Mieliśmy już do czynienia z pierwszymi jaskółkami w postaci cyberataków na systemy infrastruktury krytycznej, chociażby na Ukrainie.

Pod ciągłym obstrzałem (czasem skutecznym) jest większość wojskowych i rządowych instytucji w USA – z Białym Domem, NASA i NSA na czele.

A  jeżeli nie można siłowo wpłynąć na funkcjonowanie pewnych struktur, to można zrobić to przez odpowiednie ukształtowanie sytuacji politycznej. Nie udowodniono jesz- cze przypadku bezpośredniego wpływania na przebieg głoso-

wania i liczenia głosów, ale na przebieg kampanii wyborczej – jak najbardziej tak. Z opublikowanego właśnie przez Trend Micro raportu wynika, że sztab wyborczy Emmanuela Macrona, wybranego na prezydenta Francji, mógł być celem tych samych cyberprzestępców, którzy podczas amerykańskich wyborów włamali się do serwerów Partii Demokratycznej. Eksperci zna-

leźli fałszywe domeny internetowe wzo- rowane na oficjalnych stronach kampanii – przypuszczalnie intencją hakerów było zdobycie haseł dostępowych osób kieru- jących kampanią.

Ta bezprecedensowa sytuacja wpłynęła także na decyzje NATO, które zaleca po- szczególnym krajom członkowskim stwo- rzenie odpowiednich struktur obronnych.

5 kwietnia 2017 r. w Niemczech zdecydo- wano o  utworzeniu specjalnej formacji – Dowództwa Przestrzeni Cybernetyczno- -Informacyjnej (Das Kommando Cyber- und Informationsraum, w skrócie KdoCIR). Podobna struktura ma powstać w Polsce – MON planuje przeznaczyć na ten cel nawet 2 mld zł.

Co wspólnego z sytuacją militarno-polityczną mają reselle- rzy i integratorzy? Paradoksalnie bardzo dużo. Pojawianie się w mediach coraz większej ilości informacji o cyberzagrożeniach powoli, ale skutecznie, wpływa na świadomość zwykłych użyt- kowników. To znakomite przedpole do pokazania, że cyber- bezpieczeństwo to nie tylko walka z globalnymi zagrożeniami, lecz także konieczność dbania o porządek na własnym podwór- ku, przede wszystkim w kontekście takich zjawisk jak ransom- ware i nonszalancja przy zabezpieczaniu różnego typu urzą- dzeń podłączanych do Internetu. Tradycyjnie to od swojego za- ufanego dostawcy klienci będą oczekiwali porad, jak nie stać się kolejną ofiarą.

K

^RZYSZTOF

J

^AKUBIK

redaktor prowadzący

Dokuczliwa cyberpolityka

Fot. Marek Zawadzki

Cyberbezpieczeństwo to nie tylko duże

pieniądze i wielka

polityka.

Zupełnie nowe podejście do ochrony przed ransomware. ERCE odejście do ejście d ejście d d d d d d do d d d d d d d d d do o o o o o o o o o o o o o

Sophos Intercept X zapewnia ochronę nowej generacji dla stacji roboczych i jest w stanie zatrzymać ransomware i eksploity typu zero-day oraz

zgromadzić szczegółowe informacje dotyczące próby ataku.

• Zatrzymuje ransomware zanim pliki zostaną zaszyfrowane

• Blokuje ataki typu zero-day za pomocą technologii bezsygnaturowej

• Umożliwia zrozumienie przyczyn ataku i analizę sposobu w jaki do niego doszło

• W sposób automatyczny usuwa malware i wprowadzone przez niego zmiany

Dowiedz się więcej:

www.sophos.com/intercept-X

NA TEMAT

R

ICHARD

M

ARKO

, C

HIEF

E

XECUTIVE

O

FFICER

ESET-

U

o przyszłości rynku

cyberbezpieczeństwa, w tym rozwiązań chroniących sprzęt mobilny i systemy IoT, a także o wpływie globalnej polityki na działania producentów.

spodziewam się Nie

apokalipsy

CRN Branża cyberbezpieczeństwa znajduje się w paradok- salnie trudnej sytuacji. Przybywa jej pracy ze względu na ilość i jakość zagrożeń, coraz trudniej też skutecznie chronić klientów. Ale jednocześnie rosną przychody dostawców. Czy to sprawia, że kierujący firmami tworzącymi rozwiązania ochronne raczej się martwią, czy też może są zadowoleni?

R^ICHARD M^ARKO Mimo że dzięki obecnej sytuacji kondycja fi- nansowa firm działających w branży ochrony systemów IT jest bardzo dobra, trudno mówić o zadowoleniu, bo z roku na rok sy- tuacja komplikuje się coraz bardziej. Generalnie smutne jest to, że coraz więcej osób postrzega cyberprzestępczość jak szansę na zarobienie łatwych pieniędzy kosztem innych. I nie tylko skala ataków staje się problemem, ale także ich skuteczność. Natomiast na pewno mamy poczucie satysfakcji, że udaje nam się stawić czoła temu wyzwaniu. Przez wiele lat byłem członkiem ekipy w dziale badań i rozwoju, więc wiem, że nie jest to proste zada- nie i że w najbliższym czasie na pewno nie będziemy się nudzić.

CRN Czy obawiacie się, że pewnego dnia powstanie takie za- grożenie, na które nie będziecie w stanie znaleźć lekarstwa?

R^ICHARD M^ARKOMyślę, że mamy do czynienia z naturalną równo- wagą, na którą wpływa zachowanie wszystkich trzech stron. Gdy klienci orientują się, że są bardziej zagrożeni, inwestują w roz- wiązania ochronne, dzięki czemu ich twórcy zyskują więcej pieniędzy na rozwój i możliwość zwalczania bardziej skompliko- wanych zagrożeń. Z kolei trzeba pamiętać, że przestępcy zarabia- ją na użytkownikach, więc nie będzie im się opłacało stworzenie zagrożenia, przez które przestaną oni korzystać z komputerów lub innych urządzeń. Zapewne będzie jeszcze wiele trudnych sy- tuacji, ale wierzę, że ze wszystkim sobie poradzimy. W tej dzie- dzinie nie spodziewam się jakiejś totalnej apokalipsy.

CRN Tymczasem mniej doświadczeni użytkownicy kom- puterów, ale czasami nawet resellerzy, przyznają, że ma- ją trudności z  porównaniem funkcjonalności rozwiązań

ochronnych. Narzekają, że producenci w swoich przekazach marketingowych deklarują dokładnie to samo. Tymczasem zapewne diabeł tkwi, jak to zwykle bywa, w szczegółach. Czy jesteście świadomi tego problemu?

R^ICHARD M^ARKOOczywiście, jesteśmy świadomi i muszę przy- znać, że dla nas samych to też czasem wyzwanie. Żyjemy w glo- balnym świecie, gdzie wszyscy mogą „podglądać” wszystkich, co siłą rzeczy wpływa także na komunikację marketingową.

W branży ochrony systemów IT wszyscy producenci mają taką samą misję, dlatego występuje pewna zbieżność komunikatów wysyłanych w świat. Przeciwdziałamy temu w ten sposób, że wspólnie z dystrybutorem i resellerami staramy się użytkow- ników edukować, ucząc ich m.in. właśnie tego, na co powinni zwracać uwagę.

CRN A na co powinni?

R^ICHARD M^ARKOZacznijmy od tego, że nie ma nic lepszego niż własne doświadczenie. Wiedzą o tym producenci. Dlatego chy- ba każdy udostępnia wersje demonstracyjne swoich produk- tów, aby użytkownicy mogli zapoznać się przede wszystkim z interfejsem oraz tym, czy i jak bardzo antywirus spowalnia pracę komputera. Warto też zwrócić uwagę na niezawodność danego oprogramowania. Z definicji są to rozwiązania bardzo skomplikowane, które na różnych poziomach ingerują w struk- turę systemu operacyjnego, co przy niewystarczająco przete- stowanym oprogramowaniu może negatywnie wpłynąć na jego pracę. Oczywiście niezawodność nie ma większego związku ze skutecznością, więc jej oceną muszą zająć się profesjonaliści.

Jest kilka instytucji, które publikują swoje raporty wraz z meto- dologią badania. Jest wyjątkowo ważna, bo wykonywanie spra- wiedliwych pomiarów jest bardzo trudne, nawet dla nas samych.

CRN No właśnie, podobno codziennie powstaje kilkaset pró- bek złośliwego kodu. Jak więc „sprawiedliwie” wybrać te do pomiarów ich wykrywania?

R^ICHARD M^ARKOPotwierdzam, że jest ich bardzo wie- le, w związku z czym dziś nie ma możliwości przy- gotowania zabezpieczeń przeciwko konkretnym próbkom. Naszym zadaniem jest więc obserwowa- nie zachowania złośliwego kodu, wyszukiwanie po- dobieństw i tworzenie uniwersalnych szczepionek, działających przeciwko całym grupom próbek. Ko- nieczne jest zastosowanie automatyzacji, maszynowo uczących się mechanizmów, m.in. w postaci heurysty- ki. I to te dziedziny powinny być weryfikowane przez niezależne instytucje.

CRN A  jak ważne jest pochodzenie producen- ta oprogramowania antywirusowego? Kiedyś, przed erą Internetu, lokalne produkty antywiru- sowe były skuteczniejsze, bo ich twórcy po prostu mieli łatwiejszy dostęp do popularnych w danym kraju próbek złośliwego kodu. Wraz z Internetem przyszła konieczność stosowania antywirusów od globalnych dostawców, którzy mają swoje labora- toria na całym świecie. Natomiast dziś mamy do czynienia np. z trudnym do odróżnienia od orygi- nału phishingiem, napisanym bardzo poprawnie w lokalnym języku. Dla producenta wskazane jest więc skorzystanie ze wsparcia osoby, dla której jest to język ojczysty. Czy to oznacza, że historia zatoczyła koło i ze względu na czas reakcji oraz znajomość języka znów lokalni producenci anty- wirusów mogą okazać się tymi, których produkty będą skuteczniejsze?

R^ICHARD M^ARKOTo ciekawa obserwacja i absolutnie poprawny tok rozumowania. Potwierdzam, że do zro- zumienia istoty zagrożenia przy zwalczaniu cyber- przestępczości coraz częściej potrzebny jest kontekst lokalny, wiedza o tym, jakie aplikacje i portale inter- netowe są w danym kraju popularne. To rzeczywiście mogłoby przechylić szalę na stronę lokalnych dostaw- ców. Ale myślę, że tak się nie stanie, ponieważ nie bę- dą oni w stanie poradzić sobie z zagrożeniami z innych regionów świata, które przez Internet w ciągu paru sekund mogą trafić na drugą półkulę. Rozwiązaniem jest model hybrydowy. Producenci, którzy mają swoje – najczęściej handlowe – przedstawicielstwa na całym świecie, powinni zadbać o to, aby w każdym regionie mieć do dyspozycji ekspertów, z których wiedzy w każ- dej chwili najbliższe laboratorium będzie mogło sko- rzystać. W czasach Internetu, mimo powszechności zagrożeń bazujących na inżynierii społecznej, środo- wisko pracy twórców rozwiązań ochronnych powinno pozostać międzynarodowe.

CRN Ostatnio większość dostawców oprogramo- wania zabezpieczającego wprowadza na rynek bezpłatne produkty z myślą o przeciwdziałaniu atakom ransomware. Oczywiście jest to zabieg

NA TEMAT

marketingowy, ale czy w ten sposób nie „znieczula” się użyt- kowników, którzy mogą pomyśleć, że inne, uniwersalne roz- wiązania nie są im już potrzebne?

R^ICHARD M^ARKOTo byłby bardzo niepożądany efekt. Ale uważam, że tego typu narzędzia są użyteczne z dwóch powodów. Nawet jeżeli ktoś nie chce korzystać z oprogramowania o pełnej funk- cjonalności, dzięki takim narzędziom może w jakimś stopniu po- radzić sobie z niektórymi, najbardziej złośliwym i zagrożeniami, a do takich niewątpliwie należy ransomware. Takie narzędzia cza- sami są wykorzystywane też przez producentów do testowania konkretnej funkcji, która finalnie może pojawić się w zintegro- wanym, uniwersalnym rozwiązaniu.

CRN Większość kłopotów użytkownicy komputerów ściąga- ją na siebie sami, przede wszystkim przez nierozważne ko- rzystanie z zasobów Internetu. Mimo podejmowanych przez 20 lat działań edukacyjnych, nadal daleko

nam – dostawcom i mediom – do sukce- su. Czy istnieje możliwość, aby oprogra- mowanie ochronne automatycznie wykrywało niezbyt inteligentne decy- zje użytkowników i ostrzegało ich, zanim pobiorą złośliwy kod na swój komputer?

R^ICHARD M^ARKO Istnieją już mechanizmy analizujące nie tylko kod, ale całą „otocz- kę” tego, co dzieje się na komputerze, w ce- lu wykrycia działań klasyfikowanych jako inżynieria społeczna. Natomiast do końca zwalczyć tego problemu się nie da. I dopóki ludzie będą mieli moc podejmowania decy- zji, dopóty bardzo często będą najsłabszym ogniwem w kontekście bezpieczeństwa.

Problemem jest też to, że nawet przy tak

zaawansowanych rozwiązaniach IT, jakie są obecnie dostępne, nie ma możliwości wyeliminowania procesu podejmowania de- cyzji przez użytkowników. Poza tym cyberprzestępcy doskonale wiedzą, że ludzie czasami wyłączają antywirus, aby zainstalować jakieś oprogramowanie lub obejrzeć film. Nie możemy im tego za- bronić ani utrudniać, możemy tylko edukować i uświadamiać.

CRN Wyzwanie związane jest też z zabezpieczaniem urzą- dzeń mobilnych. Ich użytkownicy konsekwentnie ignorują ten temat, ale trzeba przyznać, że do dziś nie wydarzyło się nic tak spektakularnego, co skuteczne skłoniłoby ich do sto- sowania takiej ochrony. Kiedyś szybko rosła popularność wirusów rozsyłanych przez Bluetooth, ale poradzono sobie z nimi. Czy urządzenia mobilne rzeczywiście są w dużym stopniu zagrożone i każdy z nas wkrótce będzie musiał in- stalować na nich antywirusa?

R^ICHARD M^ARKOOczywiście zagrożenia dla urządzeń mobilnych istnieją, szczególnie dla systemu Android, ale faktycznie, na razie nie są tak powszechne jak na komputerach. Nie ma też takiej sytu- acji, jaka od czasu do czasu następowała w erze popularyzowania się systemu Windows. Wtedy falami przychodziły informacje o ko- lejnych zagrożeniach i budowana była świadomość użytkowników

dotycząca konieczności ochrony. To ryzyko jest też mniejsze dla- tego, że systemy operacyjne urządzeń mobilnych są zwykle lepiej zabezpieczone, bo są bardziej zamknięte niż systemy komputerów stacjonarnych i trudniej w nie ingerować z technicznego punktu widzenia. Regularna „komputerowa” cyberprzestępczość po pro- stu w tej chwili przynosi więcej zysków przestępcom, więc na razie w mniejszym stopniu skupiają uwagę na urządzeniach mobilnych.

Ale czas intensywnych ataków mobilnych zapewne też przyjdzie.

CRN Może zatem, zanim mleko się rozleje, warto nakłaniać producentów systemów operacyjnych do urządzeń mobil- nych, aby zrobili to, co od pewnego czasu robi Microsoft w Windowsach, czyli rekomendowali instalację oprogra- mowania antywirusowego?

R^ICHARD M^ARKOTo byłoby mądre działanie z ich strony. Tym bar- dziej, że czasami znajdujemy poważne luki w najbardziej popular- nych mobilnych systemach operacyjnych – niektóre mogą przyczynić się do poważ- nej światowej epidemii. Życzyłbym sobie też, żeby aktywniej współpracowali z do- stawcami oprogramowania ochronnego.

Szczególnie trudna jest sytuacja z syste- mem iOS, bo jego producent wprowadził wiele ograniczeń, przez które nie możemy ingerować w jego strukturę, a musi to ro- bić każde oprogramowanie antywirusowe.

To może spowodować problemy w przy- szłości. Rozmawiamy z  producentami, ale także z firmami telekomunikacyjnymi i z nimi współpraca często przebiega bar- dzo sprawnie. Na pewno kwestii zabez- pieczeń urządzeń mobilnych będziemy przyglądać się w przyszłości.

CRN Mniej świadomi użytkownicy komputerów czasem podkreślają, że oczekiwaliby od dostawców usług „czystego sygnału”, tak jak mają gwarantowaną czystą wodę w kranie i elektryczność bez zakłóceń. Czy dostarczanie usług inter- netowych oczyszczonych z zagrożeń przez firmy telekomu- nikacyjne jest w ogóle możliwe?

R^ICHARD M^ARKOW pewnym stopniu tak. Dzieje się tak chociażby z pocztą elektroniczną, w przypadku której właściciel serwera często „wycina” większość spamu. Warto też zauważyć, że istnie- je pewien rodzaj negatywnej korelacji między bezpieczeństwem i rozrywką. Jeśli użytkownik chce mieć dostęp do wszystkiego, oglądać filmy z podejrzanych stron, to ryzyko zarażenia jego kom- putera oczywiście rośnie. Poza tym, tak jak w przypadku pocz- ty, oczyszczanie ruchu internetowego wiązałoby się z ingerencją w przesyłaną treść, a to już jest forma cenzury. Być może wkrót- ce problem zostanie rozwiązany w ten sposób, że to użytkownik będzie wybierał poziom bezpieczeństwa zapewnianego przez dostawcę Internetu, a w związku z tym godził się na pewną in- gerencję w dane, które otrzymuje. Będzie musiał jednak wziąć pod uwagę fakt, że dany usługodawca non-stop będzie śledził je- go poczynania w sieci.

CRN Kolejnym etapem cyfrowej rewolucji niewątpliwie bę- dzie Internet rzeczy. Mimo że dopiero raczkuje, było wiele przykładów całkowicie niezabezpieczonych urządzeń prze- twarzających wrażliwe dane, np. elektroniczne nianie. Dość często pojawia się pytanie, kto powinien być odpowiedzialny za ochronę tych wszystkich połączonych ze sobą urządzeń?

R^ICHARD M^ARKO Teoretycznie odpowiedzialność spoczywa na producentach. Ale tak samo jest w przypadku oprogramowania do komputerów i wszyscy wiemy, jak wygląda rzeczywistość. Gdy- by było one opracowane idealnie, nie byłoby potrzeby stosowania antywirusów. Natomiast w przypadku urządzeń IoT sytuacja jest trudniejsza. Po pierwsze, w dzisiejszych czasach wszyscy mamy ogromną presję czasową, więc producenci chcą jak najszybciej wprowadzić produkt na rynek, aby zdążyć przed konkurencją.

W takiej sytuacji aspekty związane z bezpieczeństwem automa- tycznie schodzą na drugi plan, bo nie jest to funkcja zapewniają- ca na pierwszy rzut oka jakąś korzyść użytkownikom, a refleksja przychodzi dopiero potem, gdy coś się wy-

darzy. Po drugie, w większości przypadków są to rozwiązania zamknięte, więc nawet nie ma możliwości, aby o ich bezpieczeń- stwo w sposób bezpośredni dbały firmy trzecie. Mam nadzieję, że w pewnym mo- mencie powstaną prawne regulacje, które nałożą na wszystkich producentów roz- wiązań IoT obowiązek spełniania podsta- wowych norm bezpieczeństwa. Bo jeżeli nadal będzie to zależało od ich dobrej wo- li, to w coraz tańszych i szybciej dostęp- nych urządzeniach na pewno nie będzie zaawansowanej ochrony.

CRN Czy to oznacza, że branża antywirusowa zupełnie umy- wa ręce od IoT? Co z urządzeniami, na które można pobierać aplikacje, np. inteligentnymi telewizorami?

R^ICHARD M^ARKOProducenci systemów ochronnych mogą zaanga- żować się we współpracę z dostawcami rozwiązań Internetu rzeczy jako konsultanci i dostawcy wiedzy pomagający w ich zabezpie- czeniu. I podobnie jest w przypadku wspomnianych telewizorów, które na pewno wkrótce staną się popularnym celem cyberprze- stępców. Wiele z nich jest bardzo słabo zabezpieczonych, ale ich oprogramowanie jest zamknięte, więc dopóki nie stanie się bardziej ustandaryzowane, dopóty niewiele możemy zrobić. Natomiast nie wykluczam, że być może w przyszłości pojawi się coś takiego jak oprogramowanie ochronne dla telewizorów, podobnie jak dla urzą- dzeń mobilnych, bo z technicznego punktu widzenia oba te rodzaje produktów są bardziej do siebie podobne niż na przykład do kom- puterów. Ale widzę też inne możliwości rozwiązania tego proble- mu – przez wprowadzenie urządzeń ochronnych, filtrujących cały ruch, z i do takich urządzeń IoT w danej sieci.

CRN Jeśli już mówimy o przyszłości, to nie sposób nie wspo- mnieć o kryptowalutach. Dziś niewiele mówi się o nich w kon- tekście bezpieczeństwa, a przecież gdy ich właściciele zostaną okradzeni, nawet nie bardzo mają komu ten fakt zgłosić...

R^ICHARD M^ARKOMamy do czynienia z tym tematem coraz czę- ściej. Ponieważ kryptowaluty zapewniają anonimowość, są wyko- rzystywane przez cyberprzestępców do dokonywania płatności za ich usługi lub okupu za odszyfrowanie danych. Ale jesteśmy dopiero na początku drogi związanej z tą formą płatności. Taka waluta bazuje na obliczeniach matematycznych, więc w swoich podstawach jest związana z IT. Do kradzieży może jednak docho- dzić na wielu różnych poziomach, np. przez wykradzenie kodów dostępowych do portfela cyberwaluty lub przez atak na platformy handlowe. Uważnie przyglądamy się temu zjawisku i obserwuje- my mechanizmy z nim związane. Ja jestem dość konserwatywny i nie korzystam z cyberwalut.

CRN Oczywiście nie możecie ingerować w sam mechanizm funkcjonowania cyberwalut, ale możecie pomóc np. w za- bezpieczeniu giełd walut oraz ich użytkowników. Może w oprogramowaniu antywirusowym powinna pojawić się funkcja nazwana umownie „Bitcoin Protector”?

R^ICHARD M^ARKO To jest dobry pomysł, warto się nad nim zastanowić. Większość mechanizmów obronnych ma charak- ter ogólny i jest w stanie ochronić przed mechanizmami zakłócającymi funkcjo- nowanie cyberwalut, ale wprowadzenie dodatkowych specjalnych funkcji, w po- dobny sposób, jak czynimy to w przypadku ransomware, może mieć sens. Nie wyklu- czam, że temat ochrony cybertransakcji już niedługo stanie się bardzo popularny.

CRN Do branży IT z butami wchodzi globalna polityka. Ży- jemy w niespokojnych czasach i widzimy, że niektóre rzą- dy skłaniają się do używania przeciwko innym krajom, a czasem własnym obywatelom, narzędzi – nazywając je po imieniu – cyberprzestępczych. Czy ta dziedzina w jakimkol- wiek stopniu znajduje się także w obszarze zainteresowania twórców rozwiązań ochronnych?

R^ICHARD M^ARKOAbsolutnie tak. Natomiast muszę podkreślić, że my w swoich działaniach jesteśmy niezależni, nie angażuje- my się w działalność polityczną i jeśli wykryjemy zagrożenie, to je blokujemy i chronimy użytkowników. Czasami ataki te, ini- cjowane na szczeblach rządowych, są bardzo proste, niemalże amatorskie, ale czasami ogromnie skomplikowane i wskazujące na wiedzę ekspercką wysokiej jakości. Wierzę, że niezależność firm tworzących oprogramowanie ochronne zostanie zacho- wana. Prawie każda z nich, mimo że pochodzi z konkretnego kraju i tam ma swoją centralę, to jednak ma też oddziały i cen- tra badawcze na całym świecie. Moim zdaniem to jest w dużym stopniu gwarantem bezpieczeństwa. Gdyby cokolwiek stało się w macierzystym kraju i centrala padłaby ofiarą nacisków, sto- sunkowo łatwo byłoby przenieść ją do innego kraju, gdzie takich nacisków by nie było.

R^OZMAWIAŁ

K

^RZYSZTOF

J

^AKUBIK

Globalna polityka?

Wierzę, że niezależność firm tworzących

oprogramowanie

ochronne zostanie

zachowana.

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Ochrona

coraz bardziej automatyczna

W reakcji na zmieniający się charakter zagrożeń, branża zabezpieczeń IT

ewoluuje w tak szybkim tempie, że klientom trudno nadążyć za zmianami. To sprawia, że resellerzy mogą (i powinni) pełnić rolę cennych, zaufanych doradców.

T

^OMASZ

J

^ANOŚ

T

rwa wojna, podczas której cy- berprzestępcy inwestują w nowe techniki ataków, starają się obejść tradycyjne zabezpieczenia, czyli firewal- le, IPS-y i platformy antywirusowe. Choć wymienione rozwiązania przez lata były standardem bezpieczeństwa, dziś nie sta- nowią już skutecznej obrony. Zdają sobie z tego sprawę ich użytkownicy. Badanie Ponemon Institute z marca br., które ob- jęło 4268 menedżerów IT z całego świa- ta, ujawniło, że ponad 2/3 z nich (69 proc.) uznaje wykorzystywane w  ich firmach środki bezpieczeństwa za nieodpowied-

nie lub przestarzałe (w całości lub części).

To powinien być sygnał do działania dla dostawców z branży security. Rozmowy z klientami, którzy są świadomi ograni- czeń ich własnej infrastruktury IT, nie po- winny być zbyt trudne.

Oczywiście, najłatwiej dotrzeć do już poszkodowanych. Gdy dochodzi do strat spowodowanych cyberatakiem, to – jak pokazuje najnowszy Cisco Annual Cy- bersecurity Report –  ogromna więk- szość zaatakowanych firm decyduje się na modernizację procesów biznesowych i wdrożenie nowych rozwiązań ochron-

nych. Zwiększają też liczbę szkoleń z za- kresu bezpieczeństwa dla pracowników i wdrażają narzędzia oraz techniki ogra- niczające ryzyko zagrożeń.

Z tego i wielu innych raportów wynika jednak, że na co dzień osoby odpowiedzial- ne za bezpieczeństwo w  przedsiębior- stwach zmagają się z poważnymi barie- rami: ograniczonym budżetem, proble- mami z kompatybilnością systemów i bra- kiem odpowiednio wykwalifikowanej kadry. Istotnym problemem przedsta- wionym w raporcie Cisco jest też rosnący poziom złożoności systemów bezpieczeń-

Fot. © iconimage – Fotolia.com

stwa. Aż 65 proc. ankietowanych fi rm przy- znało, że wykorzystuje od 6 do ponad 50 różnych produktów ochronnych. Zwiększa to ryzyko pojawienia się luk w systemach zabezpieczeń i kłopotów z efektywnością owych systemów.

Znający potrzeby klientów integratorzy muszą orientować się w zmianach, jakie w ostatnim czasie zachodzą w podejściu do ochrony przed cyberprzestępcami.

Wyposażeni w taką wiedzę mogą stwo- rzyć ofertę skutecznego, czyli odpowiada- jącego dzisiejszym zagrożeniom, systemu ochrony fi rmowej sieci.

Składają się na to różne elementy, któ- rych zadaniem jest obrona przed ataka- mi nowego typu. Oprócz głównej bariery, jaką jest wydajna zapora sieciowa nowej generacji (NGFW), przydatne będą tak- że rozwiązania przeznaczone do ochro- ny konkretnych warstw i obszarów sieci.

– Chodzi na przykład o fi rewalle aplika- cyjne (WAF) i systemy do ochrony przed atakami DDoS. Współczesne zabezpie- czenia coraz częściej wykorzystują także rozwiązania typu sandbox, umożliwiają- ce zneutralizowanie nowych, nierozpozna- nych dotychczas próbek złośliwego kodu – tłumaczy Sebastian Krystyniecki, Prin- cipal System Engineer w Fortinet.

N

IEPUNKTOWO

,

LECZ

SYSTEMOWOI AUTOMATYCZNIE Wzrasta liczba zagrożeń i sposobów ataku, nośników danych i aplikacji, coraz więk- sze są też zależności między poszczególny- mi elementami systemu informatycznego.

W rezultacie klienci, którzy decydują się na zakup różnych punktowo działających na- rzędzi, mających neutralizować konkretne ataki, za moment są zmuszeni do nabycia kolejnych rozwiązań, przeciwdziałających nowym zagrożeniom.

Dlatego –  jak przekonuje Mariusz Baczyński, odpowiedzialny za sprze- daż rozwiązań Cisco w regionie Europy Wschodniej –  właściwym kierunkiem jest odejście od rozwiązań punktowych i zbudowanie jednej kompleksowej ar- chitektury ochronnej. System zabez- pieczeń powinien być prosty, otwarty i zautomatyzowany, aby chronić zaso- by fi rmowe przed atakiem, w trakcie i po nim. Kluczowe staje się holistyczne po-

Bezpieczne zyski

Z punktu widzenia integratora i resellera bezpieczeństwo IT od dawna stanowi obszar dający szansę na spore zyski. Rośnie grono klientów, dla których to już nie tylko ochrona przed zagro- żeniami, ale niezwykle istotne narzędzie rozwoju biznesu. Coraz mniejsza robi się natomiast grupa tych, dla których inwestowanie w systemy zabezpieczeń są formą ubezpieczenia, więc – jak w przypadku polisy – próbują jak najwięcej zaoszczędzić, bo a nuż nic się nie wydarzy.

Szefowie fi rm, w tym dyrektorzy fi nansowi, są coraz bardziej świadomi wagi zarządzania ryzykiem. Coraz częściej też chcą mieć klarowny obraz zagrożeń, z jakimi mogą mieć do czynienia ich przedsiębiorstwa. Zdając sobie sprawę, jaki wpływ udane ataki mogą mieć na ich pozycję w fi rmie, szukają pomocy w znalezieniu sposobu, by im przeciwdziałać.

Dlatego integratorzy powinni wesprzeć działy IT w zapewnieniu monitoringu fi rmowego systemu informatycznego i dostarczeniu raportów, które w prosty sposób wyjaśniałyby zarządowi, jakie warianty ochrony będą w przypadku ich przedsiębiorstwa najbardziej ko- rzystne, a jednocześnie najbardziej efektywne kosztowo.

dejście do bezpieczeństwa, które obej- muje ludzi, procesy, dane i technologie.

Wszystkie te elementy powinny zostać uwzględnione w projektowaniu lub mo- dernizowaniu fi rmowej infrastruktury IT. Takie podejście do zagadnień bez- pieczeństwa umożliwia bowiem lepsze wykorzystanie dotychczas istniejących systemów ochronnych, zwiększenie ich efektywności i  zmniejszenie  złożono- ści. Priorytetem powinna być integracja i automatyzacja, które ułatwią współpra- cę między poszczególnymi elementami infrastruktury.

– Dla cyberprzestępców kalkulacja jest prosta: im więcej połączeń i danych, tym więcej możliwości czerpania zysków z dzia- łalności przestępczej. Reakcją na rosnącą wraz z rozwojem techniki skalę zagrożeń jest połączenie automatyzacji rozwiązań

ochronnych i algorytmów uczenia maszy- nowego – twierdzi przedstawiciel Cisco.

Automatyzacja zapewnia szybsze re- agowanie na zagrożenia i  jest jedynym rozwiązaniem, które ma szansę sprostać rosnącej ilości danych związanej z rozwo- jem Internetu rzeczy. Jednak to za mało.

Dopiero połączenie automatyzacji z roz- wiązaniami wykorzystującymi uczenie maszynowe pozwala skutecznie neutra- lizować ataki oraz umożliwia systemowi bezpieczeństwa uczenie się wczesnego wykrywana zagrożeń. Przykładem są roz- wiązania, które wykorzystują sieć jako sensor wykrywający podejrzane zachowa- nia i uczą się na nie reagować. Niezwykle ważne jest również korzystanie z narzędzi analitycznych, aby móc wyciągać wnioski z incydentów i optymalizować system bez- pieczeństwa w przyszłości.

Starając się zabezpieczyć sieć klienta przed współczesnymi zagrożenia- mi, trzeba ją dobrze poznać, zanim dokona się wyboru rozwiązania. Na- leży wyszukać najbardziej podatne na ataki elementy, oszacować ryzyko w różnych obszarach sieci i ustalić priorytety inwestycji. Podczas dobierania zabezpieczeń sieciowych warto zwrócić uwagę na zunifi kowane platformy bezpieczeństwa w zakresie monitorowania oraz analizy ruchu i zdarzeń sieciowych, które pomogą uzyskać odpowiedni poziom informacji o środowisku i skuteczniej oraz szybciej zabezpieczać zagrożone obszary.

Klientowi zainteresowanemu rozwiązaniami do ochrony urządzeń (serwerów, baz danych, hostów, środowisk wirtualnych, urządzeń mobilnych) warto zaproponować przetestowanie nowoczesnych narzędzi chroniących zasoby nie na podstawie sygnatur, ale innych mechani- zmów, które o wiele skuteczniej przeciwdziałają zagrożeniom dnia zerowego.

Krzysztof Hałgas prezes zarządu Bakotechu

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Sebastian Zamora, Channel Account Executive w polskim oddziale Sophosu, zauważa, że bez automatyzacji – wobec coraz większej złożoności środowiska IT – działy bezpieczeństwa ( jeśli w ogóle istnieją, bo w wielu przedsiębiorstwach nie ma takiej wydzielonej struktury) mo- gą nie poradzić sobie z zapewnieniem je- go właściwej ochrony. Dlatego wszystko zmierza w kierunku samouczących się i automatycznie reagujących rozwiązań.

– Chodzi o to, by na przykład firewall ko- rzystał z informacji dostępnej na punkcie końcowym. Żeby po wykryciu zagrożenia zadziałały procedury, które automatycznie zablokują i zneutralizują zagrożenie, a na- stępnie przywrócą system do pierwotnego stanu. Niełatwo to osiągnąć, ale taka au-

Zdaniem integratora

‰

 

Tomasz Stachowicz, Sales Specialist, AB Systems

Budżety klientów przeznaczone na ochro- nę wzrastają, ale wciąż istnieją dwa od- mienne podejścia: planowane i reaktywne.

Ci klienci, którzy planują swoje budżety, traktują zwiększanie bezpieczeństwa ja- ko ciągły cykl. Natomiast w przypadku postawy reaktywnej dopóki nie dojdzie do utraty danych dopóty budżetu nie ma.

Pieniądze znajdują się dopiero, gdy cała firma stoi po ataku. Na szczęście już od lat obserwuję, jak wzrasta udział budżetów planowanych, a maleje reaktywnych.

Jeśli chodzi o stosunek klientów do no- wych rozwiązań ochronnych, również mamy do czynienia z dwoma rodzaja- mi zachowań. Są tacy, którzy są otwarci na wszelkiego typu nowości, bo wiedzą, że – gdy chodzi o zagrożenia i ochronę przed nimi – zmiany dokonują się bardzo szybko. Ci klienci są zainteresowani po- jawiającymi się technologiami i – jeśli pozwala im na to budżet – są skłonni, by je wypróbować. Nie brakuje jednak i ta- kich, dla których antywirus jest niezmien- nie wystarczającym zabezpieczeniem.

Generalnie wiedza klientów jednak rośnie, na co wpływ mają kolejne pojawiające się medialne doniesienia o atakach i wycie- kach danych, takich chociażby jak przy- padek Sony Pictures.

tomatyzacja rodzi się właśnie na naszych oczach – zauważa szef kanału sprzedaży w Sophosie.

Z

^{POMOCĄPRZYCHODZI}

SZTUCZNAINTELIGENCJA

Wciąż jednym z największych problemów w walce z cyberzagrożeniami jest zbyt późne identyfikowanie ataków. Dlatego tak ważna staje się możliwość szybkiego wykrywania incydentów i reagowania na nie. To zadanie dla zoptymalizowanej do pracy w konkretnym środowisku platfor- my Security Information and Event Ma- nagement, zapewniającej szeroki wgląd w system IT oraz funkcje monitorowania i analizy zdarzeń w czasie rzeczywistym.

Jednak dr inż. Mariusz Stawow- ski, odpowiedzialny za rozwój strategii biznesowej oraz zarządzanie działem technicznym Clico, zwraca uwagę, że tra- dycyjne narzędzia zarządzania bezpie- czeństwem, w tym także SIEM, mogą nie wykrywać na czas incydentów i w prak- tyce są używane dopiero, gdy dojdzie do naruszenia bezpieczeństwa –  wycieku danych lub zakłócenia procesów bizne- sowych. Dlatego na rynku pojawili się no- wi gracze, którzy wykorzystują w swoich rozwiązaniach metody matematyczne.

– Nowa technika, o nazwie User Beha- vior Analytics, wykorzystuje modelowa- nie statystyczne i probabilistyczne, analizę behawioralną oraz uczenie maszynowe.

Z punktu widzenia klientów UBA to inte- ligentny SIEM, do utrzymania którego nie trzeba zatrudniać wielkiego zespołu eks- pertów. Złożone i czasochłonne prace wy- konuje za niego analityka UBA – wyjaśnia Mariusz Stawowski.

Specjaliści są też przekonani, że może- my się spodziewać rozwoju metod ucze- nia maszynowego, które usprawniają proces wykrywania incydentów. Wśród niech jest deep learning, czyli zaawanso- wana forma sztucznej inteligencji, któ- rej zasada działania przypomina sposób, w jaki mózg człowieka uczy się rozpozna- wać obiekty. Metoda ta może wywrzeć duży wpływ na cyberbezpieczeństwo, szczególnie jeśli chodzi o  wykrywanie oprogramowania typu zero-day, nowych odmian malware’u oraz wyrafinowanych ataków APT.

P

^{OTRZEBNA WIEDZAO TYM}

,

COI JAKCHRONIĆ

Na etapie projektowania zabezpieczeń bardzo istotne jest zdefiniowanie me- tod pomiaru parametrów określających poziom bezpieczeństwa. Umożliwia to ocenę obecnego stanu zabezpieczeń fir- my i  ulepszanie stosowanych praktyk w przyszłości.

Dlatego wśród najważniejszych zmian w zakresie cyberbezpieczeństwa wyróż- nia się wzrost zainteresowania klientów dotychczas niedocenianym aspektem IT, jakim jest audyt. Badanie podatności i  szacowanie ryzyka związanego z  po-

siadanymi rozwiązaniami, strukturą czy zasobami przedsiębiorstwa zapewnia lepsze poznanie ich słabych stron oraz w sposób planowy i efektywny kosztowo zabezpieczenie tych obszarów, które wy- magają największej uwagi.

Obecnie trwają równoległe prace wie- lu międzynarodowych przedsiębiorstw nad modelami ilościowymi szacowania poziomu cyberbezpieczeństwa. Po prze- prowadzeniu audytu uniwersalnymi metodami i narzędziami ma być możli- we poznanie poziomu podatności posia- danych zasobów na ataki i skali ryzyka –  zarówno związanych bezpośrednio z IT (sprzętem, aplikacjami, sieciami), jak i z samym przedsiębiorstwem ( jego strukturą, zasobami ludzkimi, stosowa- nymi procedurami, regulaminami itp.).

Takie szacowanie ryzyka staje się dla klientów ważne również z powodu wzra- stających kosztów zabezpieczeń.

Widoczne są także próby stworzenia przez dostawców uniwersalnej platfor- my ochronnej. Integrowałaby w sobie na- rzędzia do audytu i badania podatności systemowych (nie tylko sieciowych), mo- duły do zbierania logów systemowych, informacji o ruchu w sieci i przepływie danych na wszystkich urządzeniach,

Firmy ukraińskie

miały wdrożone firewalle

i nie ochroniło ich to

przed atakami.

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Współczesne zabezpieczenia techniczne są „ślepe” na aspekty bizne- sowe, najważniejsze dla przedsiębiorstw. Dlatego potrzebna jest nowa strategia bezpieczeństwa. Tworząc ją dla klienta, należy, po pierwsze, przygotować go na występowanie incydentów naruszających bezpieczeństwo i szybką re- akcję na nie, gdyż nie uda się uniknąć wszystkich. Po drugie, trzeba skoncentrować uwagę na systemach IT pełniących najważniejszą rolę w fi rmie, bo nie ma możliwości zapewnienia całej infrastrukturze ochrony na wysokim poziomie. Po trzecie, konieczne będzie zautoma- tyzowanie procedur reakcji na incydenty w najważniejszych systemach IT, aby móc reago- wać przed naruszeniem bezpieczeństwa. Administratorzy powinni umieć zareagować na przełamanie zabezpieczeń, zanim dojdzie do wycieku danych i zakłócenia ważnych proce- sów przedsiębiorstwa.

Dr inż. Mariusz Stawowski

odpowiedzialny za rozwój strategii biznesowej oraz zarządzanie działem technicznym Clico a zarazem wykrywała aktywnie wszelkie

podejrzane incydenty oraz umożliwiała automatyczną integrację z różnorakimi narzędziami, często zewnętrznymi, które zasilałyby system informacjami i sygna- turami wykrytych wcześniej incydentów.

Coraz więcej przedsiębiorstw poszuku- je tego rodzaju systemu, który mógłby zastąpić punktowe rozwiązania do ska- nowania podatności, narzędzia do korela- cji logów i zdarzeń (SIEM), IDS-y, IPS-y, rozwiązania do wykrywania APT i wiele innych produktów.

– Platform tego typu będzie się pojawiać coraz więcej, a producenci rozwiązań punk- towych zaczną z czasem integrować w swo- ich produktach coraz więcej modułów, które łącznie będą chronić znacznie większy ob- szar sieci – ocenia Krzysztof Hałgas.

B

EZPIECZEŃSTWO W PRZEMYŚLEI

I

^O

T

Integratorzy powinni zwrócić uwagę na jeszcze jeden ważny, a do tej pory często pomijany obszar zabezpieczeń, wymaga- jący dużych zmian. To ochrona przed ata- kami na infrastrukturę krytyczną kraju.

– Konsekwencje incydentów w tym ob- szarze mogą być bardzo poważne, jak cho- ciażby wyłączenie dostaw energii, wody czy gazu, utrata ciągłości pracy fabryk, bądź katastrofa ekologiczna – przestrzega Ma- riusz Stawowski z Clico.

W większości przedsiębiorstw w Pol- sce systemy automatyki przemysłowej przez całe lata nie podlegały nadzoro- wi IT. W efekcie specjaliści od automa-

tyki nie znają natury zagrożeń z obszaru IT, a informatycy mają niewielką wiedzę o świecie Operational Technology.

Główny problem polega na tym, że nie wiadomo, co trzeba chronić. Ponieważ za ten obszar przez wiele lat odpowia- dały fi rmy zewnętrzne, specjalizujące się w automatyce przemysłowej, brakuje wiedzy i dokumentacji mówiącej o tym, jak systemy automatyki przemysłowej są połączone z Internetem i środowiskiem informatycznym. Dlatego wdrażanie na ślepo fi rewalli i  innych zabezpieczeń technicznych nie prowadzi do zwięk- szenia poziomu bezpieczeństwa, lecz generuje niepotrzebne koszty. Mariusz Stawowski daje przykład ataku cyberne- tycznego na ukraińską sieć energetyczną w grudniu 2015 r., który doprowadził do pozbawienia prądu tysięcy ludzi.

– Firmy ukraińskie miały wdrożone fi - rewalle i nie ochroniło ich to przed ataka-

mi. W przypadku infrastruktury krytycznej potrzebne jest podejście znane z  ochro- ny kluczowych systemów IT, oparte na dokładnym rozpoznaniu ryzyka i  odpo- wiednim zarządzaniu nim – wyjaśnia przedstawiciel dystrybutora.

Pierwszym etapem działań, mających na celu ulepszenie ochrony infrastruktu- ry fi rm z branży energetycznej czy prze- mysłowej, powinno być zatem stworzenie dokumentacji, a następnie rozszerzenie polityki bezpieczeństwa IT przedsiębior- stwa o obszar OT i w ślad za tym wdroże- nie adekwatnych rozwiązań.

Automatyka w przemyśle to tylko je- den z  wielu aspektów rosnącego In- ternetu rzeczy. Wraz z jego rozwojem przed cyberprzestępcami otwierają się duże możliwości manipulowania ru- chem danych płynących do i  z  milio- nów urządzeń końcowych oraz ataków z wykorzystaniem połączonych w IoT

„rzeczy”. Może to prowadzić do kra- dzieży wrażliwych danych, zakłócania procesów biznesowych, szkód i awarii w podstawowej infrastrukturze oraz blo- kowania działania Internetu przez ataki DDoS o wielkiej skali. Przykładem jest atak na serwery fi rmy Dyn, wykorzystu- jący botnet Mira, przeprowadzony z uży- ciem urządzeń IoT – kamer IP, czujników i innego rodzaju sprzętu. Przez kilka go- dzin blokował dostęp do takich serwi- sów jak Netfl ix, Amazon i Twitter. Przed podobnymi incydentami tym trudniej się bronić, że urządzenia dołączane do Internetu rzeczy najczęściej nie są pro- jektowane w sposób umożliwiający ich łatwą i szybką aktualizację.

Współczesny skuteczny system ochrony sieci powinien obejmować dwa obszary: warstwę zabezpieczającą, m.in. fi rewall, IPS, antywirus, antyspam czy sandbox oraz warstwę raportującą. Ważne, żeby wybra- ny system integrował różne moduły ochrony i możliwa była wymiana i korelacja informa- cji między nimi. Jej efektem będzie np. określanie reputacji hostów w sieci na podstawie danych uzyskanych z IPS-a, antywirusa oraz sandboxa. Raportowanie natomiast powin- no umożliwiać gromadzenie i porządkowanie logów generowanych przez system ochrony i przedstawianie ich w bardziej czytelnej grafi cznej postaci. Ułatwi to nie tylko bieżący mo- nitoring bezpieczeństwa sieci, ale także wprowadzanie proaktywnych działań mających na celu zwiększenie jego poziomu.

Paweł Śmigielski Sales Manager, Stormshield

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMAMI WATCHGUARD I BAKOTECH.

WatchGuard

chroni przed nieznanym

Zabezpieczenie sieci przed nowymi zagrożeniami stanowi coraz większe wyzwanie dla administratorów. Rozwiązania fi rmy WatchGuard Technologies są w stanie zapewnić im widoczność tego,

co się dzieje w sieci i na urządzeniach końcowych.

W

edług Coreya Nachreinera, CTO firmy WatchGuard Technologies, w 2017 r. mo- gą rozpowszechnić się hybrydowe roba- ki typu ransom-worm. Zatem pojedyncza infekcja jednego komputera będzie się szybko rozprzestrzeniać na pozostałe w fi rmowej sieci i zwiększać ryzyko ko- nieczności płacenia okupu za odszyfro- wanie danych. Już pojawiły się pierwsze ataki tego typu, np. ZCryptor, który infe- kuje pamięci USB i za ich pomocą przeno- si się na kolejne komputery.

Zagrożone są przede wszystkim małe i średnie fi rmy, których zabezpieczenia sieciowe często nie są wystarczające, aby

Składowe systemu Threat Detection

and Response

– Konto TDR – zapewnia scentralizowa- ne zarządzanie i usuwanie zagrożeń dla urządzeń końcowych.

– ThreatSync – główny mechanizm anali- tyki TDR, który analizuje, koreluje i klasyfi - kuje wykryte zagrożenia.

– Firebox – rodzina urządzeń UTM, które identyfi kują i przesyłają informacje o zda- rzeniach sieciowych do TDR.

– Host Sensor – agenty zainstalowane na urządzeniach końcowych w celu monito- rowania plików i procesów, raportowania zdarzeń do TDR oraz ochrony przed zło- śliwym oprogramowaniem.

– AD Helper – oprogramowanie umożli- wiające synchronizację hostów i domen z usługi Active Directory na koncie TDR oraz zdalne instalowanie agentów.

W zapewnieniu bez- pieczeństwa małym

i średnim fi rmom kluczową rolę odgrywa- ją partnerzy. Zazwyczaj w przedsiębior- stwach MŚP nie ma administratorów ani analityków zajmujących się ochroną da- nych. Tymczasem ich systemy IT powinny być monitorowane w trybie 24/7 w celu zapewnienia bezzwłocznej reakcji na wy- kryte zagrożenie, nawet jeśli zostało sku- tecznie zablokowane.

Jerzy Trzepla Territory Sales Manager, WatchGuard wykryć i zablokować infekcję. To przede

wszystkim w takich przedsiębiorstwach konieczne jest zapewnienie ochrony kom- pleksowej, funkcjonującej zarówno w sie- ci, jak i na stanowiskach roboczych czy serwerach.

W

^{YKRYWANIEIOBRONA}

W UTM-ach WatchGuard Firebox w wersji Total Security Suite zapewnio- na została kompleksowa ochrona dzięki połączeniu w jednym pakiecie zabezpie- czeń sieciowych oraz niesygnaturowego systemu ochrony urządzeń końcowych, wyposażonego w  mechanizm korela- cji zdarzeń. W ten sposób powstała osa- dzona w chmurze usługa subskrypcyjna Threat Detection and Response, która gwarantuje podjęcie natychmiastowego działania przeciw nowym i ukrytym za- grożeniom przez korelację danych z róż- nych źródeł.

TDR zbiera informacje o zdarzeniach, które mogą mieć wpływ na bezpieczeń- stwo, z UTM-ów Firebox oraz agentów zainstalowanych na urządzeniach koń- cowych. Następnie analizuje je, koreluje z innymi wydarzeniami, dokonuje oceny i przypisuje „punkty”, które posłużą do klasyfi kacji zagrożeń. W efekcie TDR mo- że polecić agentowi na urządzeniu końco- wym, aby poddał dany plik kwarantannie, zakończył jakiś proces lub usunął dokona- ne przez złośliwe oprogramowanie wpisy do rejestru.

Inteligencję usługi TDR zapewnia me- chanizm ThreatSync, który jest odpo- wiedzialny za korelację otrzymywanych danych. Uwzględnia on konkretny kon- tekst środowiskowy i czasowy, a następ- nie prezentuje informacje o zdarzeniach sklasyfi kowanych jako incydenty, co zna-

komicie ułatwia zrozumienie ich natury.

ThreatSync korzysta także z danych po- chodzących z baz wiedzy o zagrożeniach (Threat Intelligence), dzięki czemu sta- nowi wygodne, skuteczne i efektywne na- rzędzie wspierania decyzji dotyczących reakcji na wykryte niebezpieczeństwa.

Taki mechanizm gwarantuje aktyw- ną ochronę przed nieznanym złośliwym kodem, zagrożeniami dnia zerowe- go, wykrywanie i blokowanie botnetów oraz komunikacji z centrami sterowa- nia (C&C Center) i dystrybucji złośliwe- go oprogramowania, a także ze stronami o złej reputacji.

Dodatkowe informacje: JERZY TRZEPLA, TERRITORY SALES MANAGER, WATCHGUARD,

WATCHGUARD@^BAKOTECH.^PL

BEZPIECZEŃSTWO FIRMOWYCH SIECI

Sprzedaż

systemów ochronnych wymaga kompetencji

Dział ABC Data Value+ już od kilku lat wspomaga resellerów i integratorów w oferowaniu, sprzedaży i utrzymaniu zaawansowanych rozwiązań IT.

Jednym z filarów oferty dystrybutora są zaawansowane systemy bezpieczeństwa.

W

prowadzenie i  utrzyma- nie w  portfolio rozwiązań ochronnych to wyzwanie, któremu stara się sprostać coraz więk- sza liczba firm działających na rynku IT.

Jest ono związane przede wszystkim z ko- niecznością nabycia odpowiednich kom- petencji – zarówno sprzedażowych, jak i technicznych. Ponieważ każdy klient ma swoje własne, indywidualne potrzeby, ko- nieczne jest zdobycie wiedzy dotyczącej nie tylko produktów, lecz także najlep- szych praktyk w zakresie bezpieczeństwa, tym bardziej że zagrożenia nieustannie ewoluują. Dlatego podstawą powinno być systematyczne podnoszenie umiejętno- ści, m.in. przez dogłębne zapoznawanie się z opisami najciekawszych realizowa- nych w Polsce i na świecie wdrożeń.

ABC Data Value+ ma w ofercie kom- plet rozwiązań ochronnych, dzięki któ- rym można zabezpieczyć firmę każdej wielkości zarówno przed znanymi, jak i  dopiero powstającymi zagrożeniami.

Co więcej, dystrybutor zapewnia kom- pleksowe szkolenia techniczne w zakre- sie oferowanych rozwiązań, a także usługi wdrożeniowe i wsparcia technicznego.

O

^{CHRONASIECI I POCZTY}

Z

C

^ISCO

Rozwiązania firmy Cisco do ochrony korporacyjnych sieci stosowane są od lat przez dziesiątki tysięcy klientów na ca- łym świecie. Ich ogromna skuteczność w  zwalczaniu zagrożeń wzrosła jesz-

cze bardziej po przejęciu w 2013 r. firmy Sourcefire, produkującej urządzenia za- bezpieczające bazujące na oprogramowa- niu do wykrywania włamań Snort.

Funkcje tych rozwiązań zostały zaim- plementowane w firewallach kolejnej ge- neracji z rodziny Cisco ASA 5500-X oraz w urządzeniach ISR. Występują także w postaci samodzielnych platform Fire- power. Narzędzia te zapewniają aktywną obronę przed zagrożeniami na każdym etapie – przed, w trakcie i po ataku.

– Ze względu na bardzo zaawansowa- ne funkcje sprzęt ten sprawdza się zarów- no w małych i średnich firmach, jak też w dużych centrach danych. Zapewnia bar- dzo wysoki poziom ochrony, a także prze- ciwdziałania atakom ukierunkowanym, które nastąpiły w wielu obszarach jed- nocześnie – przekonuje Wojciech Kot- kiewicz, Systems Engineer Manager w ABC Data Value+.

Coraz większą popularność zysku- je przeznaczony dla przedsiębiorstw

z dużą liczbą rozproszonych oddziałów produkt Cisco Meraki MX Security Appliance. Zarządzanie nim bazuje na chmurze, dzięki czemu konfiguracja i zdalna administracja są bardzo proste.

Meraki MX funkcjonuje jako UTM i za- pewnia m.in.: firewall aplikacyjny war- stwy 7. z możliwością ustawienia reguł polityki bezpieczeństwa dla konkretnych aplikacji, filtr treści, filtr wyszukiwania internetowego, antywirus i  antyphi- shing. Kolejne funkcje to: ochrona przed włamaniami bazująca na mechanizmie Snort, cache ruchu sieci web i  moduł równoważenia obciążenia. Sprzęt jest też w stanie wykrywać problemy z ko- munikacją internetową i automatycznie przełączać się na łącze zapasowe 3G/4G zapewniane przez modemy USB.

Bardzo ważnym obszarem wymaga- jącym ochrony jest korporacyjna pocz- ta elektroniczna. Rozwiązanie Cisco Email Security Appliance w  formie bramy gwarantuje profesjonalne zabez- pieczenie, niezależnie od rodzaju serwe- rów e-mail –  fizycznych, wirtualnych, chmurowych i hybrydowych, oraz opro- gramowania pocztowego, które na nich działa. Rozwiązanie Cisco zapewnia ochronę poczty przychodzącej, korzy- stając m.in. z technologii antywirusowej i antyspamowej. Warto zwrócić uwagę, że zaimplementowano w nim narzędzie Firepower w postaci Advance Malware Protection. Poczta wychodząca wyma- ga innego rodzaju zabezpieczeń, które mogą zapewnić moduły DLP oraz szy-

ABC Data Value+

zapewnia partnerom

grupę wyspecjalizowanych

inżynierów pełniących

rolę pierwszej linii

wsparcia.

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ ABC DATA.

CRN Czy resellerzy i inte- gratorzy są dziś gotowi do oferowania i wdrażania rozwią- zań ochronnych?

D^AMIAN P^RZYGODZKI Bardzo duża grupa polskich integratorów ma rozbudowa- ne kompetencje inżynierskie. Potrafi ą optymalnie dobrać rozwiązania do po- trzeb klientów i bez problemu je wdro- żyć. Oczywiście część fi rm skupia się w swojej działalności raczej na kwe- stiach handlowych. Dzięki temu mają bardzo dobre relacje z klientem i są je- go preferowanym dostawcą. Jako dys- trybutor jesteśmy w stanie zaoferować takim resellerom kompleksową pomoc – od etapu rozmów z klientem i oceny jego potrzeb, przez dobór właściwe- go rozwiązania, aż po jego wdrożenie.

Dość często dochodzi też do współpra- cy mniejszych partnerów z wyspecjali- zowanymi integratorami. Taka sytuacja ma miejsce nawet przy co trzecim bar- dziej skomplikowanym wdrożeniu re- alizowanym z naszą pomocą.

CRN Jakie kategorie produktów ochronnych bywają obecnie najbar- dziej problematyczne?

D^AMIAN P^RZYGODZKIPrzede wszystkim trzeba mieć dużą wiedzę i  doświad- czenie we wdrażaniu rozwiązań typu SIEM, dzięki którym można np. wykry- wać ataki APT. Skomplikowane bywa- ją także rozwiązania DLP. Wyzwaniem jest zwłaszcza dobór odpowiednie- go produktu i  analiza oferowanych przez niego funkcji. Partnerzy czę-

sto potrzebują też pomocy we wdrażaniu fi rewalli kolejnej ge- neracji oraz innych produktów, które trzeba zintegrować z już funkcjonują- cymi w przedsiębiorstwie rozwiązania- mi. Najczęściej pomagamy w doborze i konfi guracji właśnie w takich przypad- kach. Najmniej kłopotliwe są rozwiąza- nia antywirusowe. Ale w tym obszarze też zdarzają się wyjątki, bo np. wdraża- jąc bardziej zaawansowane oprogramo- wanie tego typu, trzeba je odpowiednio skonfi gurować, aby skutecznie chroniło chociażby przed ransomware’em.

CRN Sprzedaż zaawansowanych produktów związana jest z koniecz- nością zapewnienia wsparcia po- wdrożeniowego. Najczęściej jest świadczone odpłatnie przez produ- centów, ale czasem też przez part- nerów. W jakim stopniu w tej dziedzi- nie możecie pomóc resellerom oraz integratorom?

D^AMIAN P^RZYGODZKIDzięki temu, że mamy grupę wyspecjalizowanych inżynierów oraz dużą pulę sprzętu i oprogramowania, możemy pełnić rolę pierwszej linii wsparcia, a jeśli zacho- dzi potrzeba, jesteśmy w stanie odtwo- rzyć problem i mu zaradzić. Czasami również wspomagamy się radą produ- centa. Wówczas dzięki doświadczeniu potrafi my precyzyjnie opisać trudną sytuację, np. gdy naszym zdaniem do rozwiązania problemu konieczne jest opracowanie hotfi xa lub łatki dla jakie- goś programu.

>>> Trzy pytania do…

Damiana Przygodzkiego, Senior Systems Engineera w ABC Data Value+

frowanie wiadomości. Oprócz fi zyczne- go urządzenia dostępna jest też wirtualna wersja tego rozwiązania, która może być uruchomiona na hypervisorze VMware ESXi i serwerach Cisco Unifi ed Compu- ting System.

Skuteczna ochrona wszystkich urzą- dzeń Cisco przed nowymi rodzajami ataków zapewniana jest dzięki wspar- ciu jednej z  największych sieci służą- cej do inteligentnej analizy zagrożeń – Cisco Talos.

– Informacje o wszystkich podejrzanych zdarzeniach, mogących świadczyć o zagroże- niu, przekazywane są do chmury Cisco w celu analizy – mówi Wojciech Kotkiewicz.

J

AKSKUTECZNIEWALCZYĆ Z ZAGROŻENIAMI

?

Rozwiązania klasy SIEM (Security Infor- mation and Event Management) umoż- liwiają zbieranie i  analizowanie logów z systemów sieciowych i ochronnych. Po- wstały ponad dekadę temu, aby zapewniać zgodność z przepisami prawa i wewnętrz- nymi regulacjami, ale dziś są używane tak- że do ochrony przed malware’em i innymi cyberatakami.

Bardzo skutecznym rozwiązaniem te- go typu jest McAfee Enterprise Secu- rity Manager. Zapewnia korelowanie spływających informacji na podstawie obszernej bazy danych wzorcowych zda- rzeń. Jest wyposażone w zaawansowane mechanizmy wykrywania ryzyka i  za- grożeń dzięki analizie kontekstu. Prze- chowywanie informacji o  miliardach wydarzeń w całej sieci i szybki dostęp do nich, zapewniają administratorom uzy- skanie kluczowych dla nich informacji w ciągu minut, a nie godzin. Ma to tak- że znaczenie podczas śledzenia ataków przeprowadzanych bardzo wolno, w celu zmniejszenia szansy wykrycia ich przez administratorów.

– Ponieważ na świecie są setki milionów wariantów złośliwego kodu, a użytkownicy zmagają się również z bardzo aktywnymi i dynamicznie rozwijającymi się atakami typu ransomware, nadal konieczne jest ko- rzystanie z oprogramowania ochronnego dla urządzeń końcowych –  przypomina Damian Przygodzki, Senior Systems En- gineer w ABC Data Value+.

Z tym zadaniem świetnie radzi sobie np.

Symantec Endpoint Protection 14, któ- ry umożliwia odparcie ataku dzięki wy- korzystaniu wielu mechanizmów, w tym uczenia maszynowego, analizy reputacji plików, monitoringu zachowania kodu

w czasie rzeczywistym oraz rozbudowa- nego modułu kontroli aplikacji.

– Oprogramowanie to sprawdza m.in.

w jaki sposób aplikacje chcą korzystać z pli- ków i uzyskiwać dostęp do rejestru – dodaje Damian Przygodzki.

Dodatkowe informacje: ABC DATA VALUE+,

UL. DANISZEWSKA 14, 03-230 WARSZAWA, ABCDATA-VALUEPLUS@ABCDATA.EU,

TEL. (22) 676-09-00

BEZPIECZEŃSTWO FIRMOWYCH SIECI

ARTYKUŁ POWSTAŁ WE WSPÓŁPRACY Z FIRMĄ SOPHOS.

Synchronizacja zapewni bezpieczeństwo

Jakość ochrony fi rmowych zasobów IT można znacznie zwiększyć dzięki zapewnieniu komunikacji między osprzętem sieciowym i urządzeniami końcowymi. Taką wymianę informacji gwarantuje Sophos Security Heartbeat.

A

dministratorzy IT codziennie zmagają się z  problemami do- tyczącymi bezpieczeństwa. In- formacje spływające do nich z systemów IT są skomplikowane i  mało przejrzy- ste, co powoduje, że często nie zauwa- żają poszlak, które wskazują na trwający atak lub próbę jego podjęcia. Na efektyw- ność ich pracy negatywnie wpływa tak- że konieczność podejmowania trudnych, czasochłonnych śledztw, dotyczących zaistniałych incydentów, które często nie przynoszą żadnych rezultatów.

Jednym z  największych wyzwań, na które trafi ają zarządzający infrastruk- turą IT, jest skorelowanie pozornie od- izolowanych wydarzeń. Kiedy fi rewall wykrywa podejrzany ruch w urządzeniu końcowym, zwykle podaje jego adres IP.

Administrator musi połączyć ten adres z konkretnym użytkownikiem i kompu- terem, co może wiązać się np. z długo- trwałym przeglądaniem archiwalnych zapisów dziennika DHCP lub dynamicz- nego DNS-u. Czasem udaje się wykryć wciąż aktywny proces, dzięki wykorzy- staniu komend netstat (listy wykorzysty- wanych portów sieciowych) i lsof (listy otwartych plików), co ułatwia określenie poziomu zagrożenia. Ale jeśli proces się zakończył lub został zablokowany przez inny mechanizm ochronny, identyfi kacja rodzaju ewentualnego ataku bardzo się komplikuje.

Dlatego Sophos stworzył rozwiązanie, które zwiększa bezpieczeństwo infra- struktury IT dzięki zsynchronizowanej wymianie szczegółowych informacji mię- dzy osprzętem sieciowym i urządzeniami końcowymi, takimi jak komputery, table- ty czy smartfony. Płynące z tego korzyści można podzielić na dwie grupy. Po pierw- sze, dzięki automatyzacji i koordynacji

sposobu reagowania na wykryte zagro- żenia następuje poprawa ogólnej ochro- ny całego środowiska. Po drugie, zwiększa się efektywność prowadzonych przez ad- ministratorów śledztw, gdyż ułatwia wy- krycie, co, gdzie, kiedy się stało i jakie było źrodło problemu.

B

^{EZPIECZNEBICIESERCA}

Sophos Security Heartbeat to kanał bezpiecznej komunikacji między urzą- dzeniami końcowymi i systemami sieciowymi. Gdy wyposażony w ten me- chanizm fi rewall wykryje podejrzany ruch, powiadamia urządzenie końcowe.

Zainstalowany w nim agent natychmiast reaguje, identyfi kuje podejrzany proces i kontroluje go, a w wielu przypadkach automatycznie blokuje jego wykony- wanie. Informacje o zidentyfi kowanym procesie i podjętych działaniach wraz z nazwą komputera oraz zalogowanego użytkownika są przekazywane do fi re- walla oraz do działu IT.

Z kolei oprogramowanie klienckie w urządzeniach końcowych bez przerwy

wysyła informacje o zachodzących zda- rzeniach fi rewallowi. Gdy wykryty zo- stanie problem, np. próba uruchomienia podejrzanego kodu, fi rewall stosuje odpo- wiednie reguły polityki bezpieczeństwa, aby odizolować zaatakowane urządzenie lub ograniczyć jego wpływ na pracę sieci.

Taka komunikacja wewnątrz sieci zapew- nia efektywność pracy administratorów, szczególnie gdy konieczne jest przepro- wadzenie skrupulatnego dochodzenia.

Analizy zajmujące do tej pory godziny a nawet dni, zostały w pełni zautomaty- zowane, a dzięki temu ich trwanie skró- ciło się do sekund.

Autoryzowanymi dystrybutorami roz- wiązań Sophos w Polsce są AB i Konsor- cjum FEN.

Dodatkowe informacje: SEBASTIAN ZAMORA, CHANNEL ACCOUNT EXECUTIVE, SOPHOS,

SEBASTIAN.^ZAMORA@^SOPHOS.^COM

Promocja Sophos All-in-One Security

Dla małych i średnich fi rm (maks. 100 użytkowników sieci) Sophos ogłosił promocję All-in-One Security, w ramach której za 50 proc. pierwotnej ceny oferuje następujące rozwiązania ochronne zawierające mechanizm Sophos Security Heartbeat:

– XG Appliance + EnterpriseGuard – fi rewall wysokiej wydajności, – Central Endpoint Advanced – zabezpieczenie urządzeń końcowych,

– Central Endpoint Intercept X – ochrona przed exploitami, ransomware’em i analiza przy- czyn występowania problemów,

– Central Device Encryption – centralne administrowanie modułem szyfrowania twardych dysków Windows BitLocker,

– Central Email Standard – fi ltr spamu, phishingu i złośliwego kodu,

– Central Server Protection – zaawansowana ochrona wirtualnych i fi zycznych serwerów, bez negatywnego wpływu na ich wydajność.