Rozšírený priestor na útok: Prečo musia firmy prehodnotiť kybernetickú bezpečnosť v novom prostredí hrozieb

Autor: Mark Harrison, riaditeľ pre kybernetickú bezpečnosť, Ricoh Europe

Pre mnohých je celotýždňová práca v kancelárii vzdialenou spomienkou. V skutočnosti náš nedávny prieskum zistil, že 44 % zamestnancov v Európe delí svoj čas medzi kanceláriu a domov. Je to spôsob práce, ktorý tu zostane. 

Prechod na hybridnú prácu však so sebou prináša potrebu komplexnejších požiadaviek na IT a kybernetickú bezpečnosť. Ak sa teraz práca vykonáva v kombinácii domácich a firemných sietí, ako aj vo verejných sieťach poskytovaných letiskami, vo vlakoch, kaviarňach a iných podobných zariadeniach, musíme to zohľadniť pri hodnotení rizík kybernetickej bezpečnosti. Najzjavnejšou hrozbou je dnes umožnenie rozsiahleho prístupu zo zariadení a koncových bodov nachádzajúcich sa kdekoľvek na svete. Tým sa kladie obrovská dôvera na používateľa, ktorý sa prihlasuje, že je legitímnym zamestnancom a že jeho zariadenie je plne zabezpečené.

Z technického hľadiska je útočným priestorom súhrn všetkých možných bodov vstupu do vašej spoločnosti alebo bodov, z ktorých je možné získať prístup k dátam - môže to byť cloud, dátové centrum, kancelária alebo domov. Čím menší je priestor na útok, tým jednoduchšie je ho chrániť. Spoločnosť Gartner označila rozširovanie útočného priestoru za bezpečnostné riziko číslo jeden pre rok 2022, ktoré rozoberieme nižšie.

Pochopenie novej hrozby

Spoločnosť Ricoh, ako globálny poskytovateľ kybernetickej bezpečnosti, každý deň hovorí so zákazníkmi o ich potrebách v oblasti kybernetickej bezpečnosti. Prevažná väčšina spoločností sa stále spolieha na predpandemické hodnotenia rizík a databázy hrozieb. V skutočnosti plne nerozumejú vplyvu, ktorý môžu mať zmeny v správaní zamestnancov na ich technické možnosti pri zavedení hybridného pracovného prístupu.

Položte si otázku: Má každý zamestnanec, ktorý sedí doma alebo pracuje na cestách, plne monitorovanú a chránenú sieť, e-mail a koncové zariadenie? Ďalej si položte otázku: Je chránená aj ich identita - to znamená, že osoba, ktorá sa prihlasuje pomocou svojich prihlasovacích údajov, je skutočne legitímnym zamestnancom?

Zmena prístupu 

V minulosti bolo obranou proti kybernetickým útokom uzavretie všetkých údajov a zariadení v rámci kontrolovaného perimetra - nasadenie firewallov, antivírusov, filtrovania pošty a webového filtrovania - a zároveň zabezpečenie, aby všetci zamestnanci zostali prevažne v kancelárii a aby bol všetok softvér aktualizovaný a chránený. Toto sa stalo základným profilom riadenia rizík vo väčšine spoločností, pričom rozpočty a veľkosti IT tímov boli nastavené v súlade s týmto profilom. S rastúcim počtom útokov sa rozšíril phishing. To znamenalo, že základným prvkom plánu kybernetickej bezpečnosti sa stalo školenie o informovanosti používateľov, často zadávané automatizovanému riešeniu.

Nasledoval cloud, pričom ďalšou horúcou témou na zabezpečenie prístupu k aplikáciám SaaS a problémov s tieňovým IT boli Cloud Access Security Brokers (CASB). Následne sa z toho vyvinula technológia Cloud Security Posture Management a Cloud Workload Protection na zabezpečenie toho, čo máte vo vlastnom verejnom alebo súkromnom cloude.

Problémom je, že tieto zabezpečenia vychádzajú z predpokladu, že väčšina zamestnancov pracuje v kancelárii (alebo v sieti VPN) a používa koncové body a zariadenia vlastnené spoločnosťou. Poďme rýchlo do roku 2022 - všetci zamestnanci teraz môžu byť teoreticky kdekoľvek na svete a môžu byť pripojení alebo nepripojení k firemnej sieti VPN. Keďže môžu potenciálne používať svoje poverenia na svojich osobných zariadeniach, otázka znie: sú všetky predtým uvedené zabezpečenia stále rovnako účinné? 

Pre väčšinu spoločností znie odpoveď asi takto: "No, v minulosti fungovali a doteraz sme nemali kybernetický útok." 

Problém je v tom, že priestor na útok už nie je obmedzený na to, čo ste sa rozhodli povoliť cez firewall permitter a čo využívate v cloude. Teraz sa rozšíril na každé jedno firemné zariadenie v domácnostiach zamestnancov a na každé nefiremné zariadenie, z ktorého sa zamestnanec rozhodne prihlásiť, a následne na každé používateľské meno a heslo (alebo identitu) používané v celej vašej spoločnosti. A to okrem všetkých nástrojov, ktoré sa už používajú v rámci cloudu, dátových centier a všetkých webových aplikácií pripojených na internet - a v poslednom čase aj všetkých trás dodávateľského reťazca.

Ak to zohľadníme, často sa už samotné pochopenie priestoru na útok stáva významnou výzvou - a to ešte pred stanovením spôsobu jeho zníženia a zabezpečenia.

Obmedzenie priestoru na útok

Základom obmedzenia priestoru na útok je najprv zistiť, aké zariadenia sa používajú a kde sa nachádzajú. Keď to pochopíme, ďalšou prioritou sa stane lokalizácia všetkých zraniteľností na týchto zariadeniach a potom odstraňovanie nedostatkov (spolu s redukciou aktív) prispeje k obmedzeniu priestoru pre útoky.

Je možné vykonať všetky tri činnosti pomocou:

- nepretržitého (neustáleho) skenovania zraniteľností (ktoré zahŕňa identifikáciu a klasifikáciu aktív)

- konzoly na odstraňovanie nedostatkov, ktorá zoskupuje aktíva a zobrazuje všetky zraniteľnosti vrátane:

• vyhľadávania nových zraniteľností v reálnom čase
• priraďovania nápravných opatrení jednotlivým osobám
• stanovenia priorít nápravy na základe najväčšieho rizika
• sledovania úspešnosti nápravy

- opakovaného testovania/overovania nápravných opatrení v reálnom čase 

- analýzy trendov, kde vzniká najviac zraniteľností a aké sú ich hlavné príčiny

Posledný bod je najdôležitejší. Bez pochopenia toho, čo je hlavnou príčinou zraniteľnosti, nie je možné zabrániť jej opakovanému výskytu - to vedie k nekonečnej slučke hľadania problému a jeho odstraňovania. Je nevyhnutné analyzovať trendy zraniteľností, aby ste mohli riešiť ich hlavnú príčinu. Môže to byť nedostatok zručností v tíme IT, nedopatrenie v centrálnom riešení záplat, alebo možno len určitý dodávateľ vyrába veľmi nekvalitný softvér. Nech už je to čokoľvek, bez vyriešenia základnej príčiny sa priestor na útok v skutočnosti nezmenší, ale dočasne sa spevní, kým sa neobjaví iná zraniteľnosť.

Po odhalení všetkých zdrojov zraniteľností a ich pochopení je potom možné prijať opatrenia na ich zníženie. Patrí sem konsolidácia technológií, odstránenie nepotrebného softvéru a služieb, aktualizácia softvéru a operačných systémov a priebežná identifikácia a správa zraniteľností. Od týchto informácií sa odvíja všetko: rozsah ďalšieho penetračného testu, rozsah ďalšieho auditu ISO, čo musí pokrývať riešenie bezpečnostných záplat, aké technológie je potrebné nahradiť a kto potrebuje dodatočné školenie - zoznam je dlhý.

V konečnom dôsledku, ak chcú mať spoločnosti náskok pred útočníkmi, musia byť schopné presne monitorovať svoj priestor na útoky, udržiavať plne aktualizované záznamy o aktívach a skutočne posúdiť, ktoré zraniteľnosti treba opraviť, aby sa čo najviac znížilo riziko. Riešenie, ako je Ricoh Remediation, dokáže splniť tieto požiadavky a mnohé ďalšie, aby sa zásadným spôsobom zabezpečilo precízne pochopenie a čo najväčšie zníženie priestoru na útok.

Prehodnotenie kybernetickej bezpečnosti 

Niet pochýb o tom, že prechod na hybridnú prácu prináša spoločnostiam významné výhody. Firmy si však musia byť vedomé meniace sa požiadavky na kybernetickú bezpečnosť, ktoré idú ruka v ruke s rozširovaním pracovných miest. 

Na primeranú obranu pred nákladným kybernetickým útokom musia spoločnosti zohľadniť, že potenciálne miesta útoku sú rovnako premenlivé ako nespočetné množstvo pracovných miest, ktoré ich zamestnanci využívajú. Zavedenie správnej bezpečnostnej politiky a technológie na pokrytie oblastí, v ktorých nie je možné obmedziť priestor na útok, je nevyhnutné. V stávke je príliš veľa na to, aby sme nekonali - najmä keď sú ohrozené dáta, reputácia a pozícia na trhu.

Zdroj: Mark Harrison, riaditeľ pre kybernetickú bezpečnosť, web Ricoh Europe