Nowoczesna firma musi być gotowa na zagrożenia, które mają podłoże ekonomiczne i polityczne – za grupami włamywaczy komputerowych stoją firmy lub rządy.
Aby sprostać zagrożeniom bezpieczeństwa musimy myśleć o kompleksowym systemie zabezpieczeń. W obrębie rozwiązań różnych producentów możemy wyróżnić następujące elementy składowe, które można sklasyfikować następująco:
Separacja stref – Firewall warstwy 7
W dalszym ciągu podstawowe zasady bezpieczeństwa ustanawia firewall. Pozwala on odseparować sieć serwerową od sieci DMZ czy sieci użytkowników czy operatorów systemu. Nowoczesne firewalle potrafią analizować dane przepływające przez sieć w warstwie 7, co pozwala na definiowanie reguł polityki bezpieczeństwa w odniesieniu do konkretnego użytkownika, protokołu aplikacji. Nie jesteśmy związani z adresem IP i portem usługi, tak jak w tradycyjnym firewallu. Wskazane jest zastosowanie polityki „białej listy” czyli na początku blokujemy cały ruch, a potem po kolei odblokowujemy ten ruch sieciowy, który powinien do danego urządzenia sieciowego dotrzeć.
IPS (Intrusion Prevention System)
IPS jest to klasyczny system wykrywania i blokowania zagrożeń. Analizuje on ruch sieciowy pod kątem znanych wektorów ataku i blokuje zachowania podejrzane i próby ataku. W przypadku nowej podatności, na którą nie ma jeszcze łaty, możemy wprowadzić ręcznie regułę do IPS. System będzie wtedy bronił nasze zasoby do czasu wprowadzenia łaty na docelowy system. W systemach IPS możemy wykorzystywać sygnatury definiujące prawidłową komunikację w danym protokole komunikacyjnym. Wszelkie odstępstwa od reguły mogą być traktowane jako atak.
Ochrona punktów końcowych (Antywirus + Hostowy IPS)
Klasyczny system antywirusowy w dzisiejszej dobie zwykle składa się z dwóch części: serwer centralny, który odpowiada za zarządzanie stacjami końcowymi, implementowanie polityki (wysyłanie wymagań do stacji końcowych) i generowanie raportów i monitorowanie aktywnych zabezpieczeń na systemach końcowych (laptopach użytkowników). Drugim elementem dzisiejszego systemu ochrony stacji końcowych są tak zwani agenci instalowani na stacjach końcowych. Agent zwykle musi mieć uruchomione podstawowe funkcjonalności, takie jak program antywirusowy czy hostowy IPS, oraz może mieć opcję włączenia dodatkowych funkcji, takich jak szyfrowanie dysków czy system DLP, czyli ochrona stacji końcowych przed wyciekiem danych.
Kontrola zmiany i kontrola aplikacji
Możemy uniemożliwić dokonywanie zmian w systemach, które nie zmieniają się często. Każda próba zmiany w skonfigurowanym systemie będzie traktowana jako atak. Przy pomocy tych systemów można ochronić rzadko zmieniające się końcówki dużo lepiej niż za pomocą programu antywirusowego.
Sandbox
Rozwiązanie pozwalające na uruchomienie podejrzanego kodu na „czystym” systemie i sprawdzenie, czy i jakich zmian dokonuje on w ustawieniach. Na tej podstawie można wnioskować, czy kod ma funkcje wirusa, czy też nie. System sandboxowy musi być zintegrowany z wszystkimi innymi elementami infrastruktury które, w razie potrzeby, wysyłają w czasie rzeczywistym podejrzany kod do „piaskownicy” do analizy.
Serwer reputacji
Raz wykryty incydent jest odnotowywany i dystrybuowany do serwera reputacji, gdzie wszystkie elementy systemu bezpieczeństwa szukają informacji o zagrożeniach. W ten sposób raz wykryte zagrożenie wywołuje błyskawiczną reakcję na wszystkich systemach. Na przykład jeśli jakiś plik jest niebezpieczny, zostanie on zablokowany we wszystkich kanałach komunikacji.
Skaner podatności
Klasyczny skaner bezpieczeństwa. Definiujemy zadania skanowania i skaner będzie wybraną grupę zasobów badał i w razie wykrycia podatności zgłaszał do administratora systemu. W ten sposób możemy monitorować ryzyko naszych zasobów.
SIEM
Gromadzenie logów z całej infrastruktury (nie tylko z urządzeń sieciowych, ale także serwerów i urządzeń). System taki koreluje zdarzenia i dostarcza w czasie rzeczywistym informacji o incydentach w systemie bezpieczeństwa i jest w stanie podjąć jakąś akcję w przypadku wykrycia zagrożenia. System SIEM pozwala na monitorowanie aktywności poszczególnych użytkowników w obrębie infrastruktury. Aby monitorowanie aktywności użytkowników działało prawidłowo, musimy kierować się zasadą minimalnych uprawnień, to znaczy każdy użytkownik powinien mieć w systemie nadane tylko takie prawa, jakie umożliwiają mu wykonanie jego zadań.
Dzięki zastosowaniu wszystkich powyższych technologii, instalowanych w różnych miejscach na serwerach i stacjach roboczych, jesteśmy w stanie w sposób kompleksowy zabezpieczyć całą infrastrukturę przedsiębiorstwa, która zawiera elementy krytyczne, ważne dla całego przedsiębiorstwa i kraju. Możemy zapewnić wysoki poziom bezpieczeństwa infrastruktury, monitorować ryzyko przypisane do naszych zasobów oraz monitorować i reagować na incydenty, które się w naszej infrastrukturze pojawią.