Baza wiedzy
Liczba incydentów związanych z bezpieczeństwem IT rośnie i rosnąć będzie. To nieustający wyścig pomiędzy służbami bezpieczeństwa IT organizacji a cyberprzestępcami usiłującymi te zabezpieczenia złamać. Poznajmy więc trendy na 2019 oraz zastanówmy się nad prognozami na nadchodzący 2020 rok.
Gartner specjalizujący się w badaniu i definiowaniu trendów, w tym kierunków z zakresu zarządzania i wykorzystania technologii, zdefiniował 7 najważniejszych trendów w zakresie bezpieczeństwa i zarządzania ryzykiem na 2019 rok:
- Kwestie związane z podejmowaniem ryzykownych decyzji mają przełożenie na wyniki biznesowe.
- Wdrażane są centra operacji bezpieczeństwa kładące nacisk na wykrywanie i reagowanie na zagrożenia.
- Założenia dotyczące polityk bezpieczeństwa danych prioretetyzują nakłady na inwestycje organizacji w bezpieczeństwo danych.
- Autentykacja bez użycia hasła może przełożyć się na nieuprawniony wyciek informacji.
- Dostawcy produktów zabezpieczających coraz częściej oferują wysokiej jakości umiejętności/kompetencje i usługi szkoleniowe.
- Inwestycje w kompetencje w zakresie bezpieczeństwa w chmurze jako główny nurt platformy obliczeniowej.
- Zwiększenie obecności CARTA firmy Gartner na tradycyjnych rynkach bezpieczeństwa.
Z kolei Forbes Technology Council definiuje 5 trendów cyberbezpieczeństwa, na które należy zwrócić uwagę w 2019 roku. A są to:
- Ukierunkowane ataki phishingowe.
- Operacjonalizacja RODO.
- Zarządzanie urządzeniami zarządzanymi i niezarządzanymi.
- Świadomość użytkownika.
- Kontrola nad nieuprawnionym korzystaniem z niezatwierdzonego w organizacji oprogramowania.
To są trendy globalne, którym organizacje i firmy specjalizujące się w bezpieczeństwie IT powinny szczególnie się przyglądać. Prawdopodobnie w nadchodzącym 2020 roku trendy te, co do zasady, nie powinny ulec drastycznej zmianie.
Techniki przełamywania zabezpieczeń.
Wstrzyknięcie kodu (code injection) - kod malware jest wstrzykiwany do legalnego procesu (np. explorer.exe) w celu ukrycia się przed zabezpieczeniami.
Pakowanie (packing) - kod malware jest zaciemniany lub szyfrowany za pomocą programów pakujących i szyfrujących, aby analiza statyczna kodu była bezużyteczna.
Obchodzenie sandbox (sandbox evasion) - techniki omijania dynamicznej analizy kodu, np. opóźnione wykonania złośliwych działań, wyszukanie znanych nazw procesów, sprawdzenie czasu potrzebnego do zakończenia operacji w celu zidentyfikowania zwirtualizowanych systemów.
Wielofazowe droppery (multiphase droppers) - początkowy dropper najpierw sprawdza system, a następnie pobiera prawdziwy malware z serwera command/control (C2). Części payload mogą być zaszyfrowane i otrzymywać dynamicznie kod deszyfrowania z serwera C2.
Zmiany sposobu działania (breaking execution flow) - techniki służące do zmiany sposobu działania złośliwego oprogramowania znane dla zabezpieczeń, np. złośliwe oprogramowanie współdziała z przeglądarką (IExplorer.exe) i klientem poczty (Outlook.exe) za pomocą interfejsów Microsoft COM (component object model), których używanie jest trudne do monitorowania.
Bez dotykania dysku (living off the land) - złośliwe oprogramowanie wykorzystuje PowerShell do uruchamiania kodu w pamięci bez dotykania dysku i innych działań w celu ominięcia zabezpieczeń skanujących pobrane pliki.
Omijanie przechwytów OS (OS hooks evasion) - techniki pozwalające ominąć zabezpieczenia, które umieszczają wiele przechwytów nad interfejsami API, przechwytują niektóre wywołania interfejsu Windows API i alarmują o złośliwej aktywności, np. używanie nieudokumentowanych interfejsów API.
Jednak istnieją metody, aby oszukać intruzów w sieciach wewnętrznych organizacji. Można to nazwać oszukiwaniem oszusta.Służby Security IT mogą zastosować:
- wabik (ang. decoy) - imitacja prawdziwego systemu, np. stacji roboczej, serwera, serwera bazy danych, drukarki, itp. W chwili gdy intruz dotrze do wabika, zainstalowany wcześniej system Fidelis Cybersecurity podnosi alarm,
- okruszek (ang. breadcrumb) - informacja umieszczana w rzeczywistym systemie, która w razie gdy dostanie się tam intruz ma za zadanie przekierować go do wabika, np. wpis w rejestrze, wpis w AD, plik cookie, które prowadzą do wabika (tzn. okłamują włamywacza, że znalazł coś wartościowego).
Bardzo ważną technologią, nad którą pracuje między innymi firma Forcepoint jest analiza zachowań użytkownika i zrozumienie/nauka przez system sposobu jego działania. Technologia ta nosi nazwę UEBA (User and Entity Behavior Analitics).Nietypowe dla pojedynczego użytkownika działanie np. nagłe logowanie się z Nigerii jeśli użytkownik 2 godziny wcześniej logował się z Polski, czy bardzo nietypowe dla niego godziny logowania się do systemu powodują alert.
Zarządzanie bezpieczeństwem, automatyzacja i reagowanie (SOAR - Security Orchestration, Automation and Response) to rozwiązanie umożliwiające zespołom bezpieczeństwa IT na sprawne i szybkie identyfikowanie incydentów oraz ustalenie ścieżki priorytetów.
Wykrywanie punktu końcowego i odpowiedź (EDR - Endpoint Detection and Response) to szybko rozwijająca się dziedzina cyberbezpieczeństwa, która uzupełnia standardowe produkty służące zabezpieczeniu użytkowników (punktów) końcowych. Umożliwia skuteczniejszą ochronę przed wyrafinowanymi atakami a służbom bezpieczeństwa IT ich skuteczniejszym zarządzaniem.
Coraz więcej danych, często kluczowych dla organizacji, znajduje się w chmurze. CASB (Cloud Access Security Broker) to rozwiązanie umożliwiające:
- monitorowanie działań użytkowników w chmurze SaaS,
- wbudowane DLP lub integracja z zewnętrznymi DLP (ICAP),
- kontrola współdzielenia danych w chmurze,
- wykrywanie incydentów (User Behavior Analysis),
- wymuszanie MFA,
- API aplikacji SaaS,
- Forward Proxy: endpoint agent, przekierowanie DNS,
- Reverse Proxy: SSO w Identity-as-a-Service (przekierowanie SAML),
- analiza logów FW i Proxy.
Widoczność i kontrola urządzenia (DVC - Device Visibility and Control) to rozwiązanie Forescout, które między innymi:
- odpytuje przełączniki sieciowe, koncentratory VPN, punkty dostępowe i kontrolery WiFi ,
- odbiera SNMP Traps z przełączników i kontrolerów,
- monitoruje zapytania 802.1X na wbudowanym lub zewnętrznym serwerze RADIUS,
- monitoruje zapytania DHCP, aby wykryć kiedy nowy host prosi o adres IP,
- opcjonalnie monitoruje ruch sieciowy, taki jak ruch HTTP i banery,
- uruchamia skanowanie Network Mapper (Nmap),
- używa poświadczeń, aby uruchomić skanowanie na urządzeniu,
- odbiera NetFlow,
- importuje zewnętrzną klasyfikację adresów Media Access Control lub odpytuje LDAP,
- monitoruje maszyny wirtualne w chmurze publicznej/prywatnej,
- klasyfikuje urządzenia za pomocą protokołu Power over Ethernet with SNMP,
- używa opcjonalnego agenta.
Warto zwrócić uwagę na monitorowanie bezpieczeństwa sieci OT. Umożliwia ono między innymi:
- wykrywanie anomalii w sieci przemysłowej oparte na analizie zachowania i dopasowywaniu wzorców szkodliwej aktywności,
- automatycznie wykrywanie zasobów, wizualizuje ścieżki komunikacyjne aż do najniższych poziomów sieci OT gdzie kontrolowane są procesy technologiczne,
- pasywny system monitorowania - nie wywiera żadnego wpływu na sieć OT, nie jest wymagane aktywne skanowanie, nie ma potrzeby instalowania oprogramowania na urządzeniach końcowych,
- wysyła alarmy bezpieczeństwa do systemu zarządzania i SOC.
Pamiętajmy, że cyberbezpieczeństwo jest obowiązkiem prawnym nałożonym na organizacje, w szczególnym zakresie dotyczącym danych osobowych (RODO) a każde naruszenie musi zostać zgłoszone organowi nadzorczemu. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia musi incydent zgłosić. Podobne wymagania nakłada ustawa o krajowym systemie cyberbezpieczeństwa - incydent poważny wymaga zgłoszenia do właściwego CSIRT niezwłocznie, nie później niż w ciągu 24 godzin od momentu wykrycia. Specjalistyczne narzędzia jak UEBA, EDR i SOAR mogą znacząco pomóc organizacjom w spełnieniu tych wymagań.
Zainteresował Cię ten wpis?
Chcesz dowiedzieć się więcej?
dr inż. Mariusz Stawowski
Odpowiada za rozwój strategii biznesowej oraz zarządzanie działem technicznym CLICO. Posiada 20-letnie doświadczenie w prowadzeniu projektów i audytów bezpieczeństwa. Posiada certyfikaty CISSP, CCISO i PRINCE2 Practitioner.
Zobacz wszystkie artykuły danego autora »Ostatnie:
Najpopularniejsze TAGi:
Tagi
W swoim czasie linia produktowa stacjonarnych komputerów biznesowych Dell OptiPlex dzieliła się na kilka różnych modeli, a te z kolei podzielono na dodatkowe modele w danej linii produktowej opartej na niezbyt jasnej numeracji. Dla osoby nie obeznanej z nazewnictwem był to spory problem aby odnaleźć się w gąszczu dostępnych wersji.
O rozwiązaniach IoT pisze się najczęściej w kontekście przemysłu 4.0, czy inteligentnych miast. Rozwiązanie NetQM for IoT jest z sukcesem wdrażane w jednostkach samorządu terytorialnego jako System Monitorowania i Sterowania Siecią Kanalizacji Ciśnieniowej.
Firma Dell od samego początku charakteryzowała się dużą dbałością w kwestii zakresu gwarancyjnego dla swoich produktów. Nie inaczej wygląda sytuacja dziś i można zaryzykować stwierdzenie, że jest to niejako wyróżnik tej organizacji na tle jej konkurencji.
W ostatnim czasie pojawiło się kilka ciekawych rozwiązań zastosowanych przez producentów notebooków. Większość z nich jest jak najbardziej dostosowana do potrzeb potencjalnych użytkowników i wydaje się, że trafi prosto pod strzechy.
Od dawna mówi się o usługach czy przemyśle 4.0 w kontekście biznesu. Coraz częściej jednak rozmawia się również o usługach 4.0 skierowanych do samorządów... Przykład? System monitorowania i sterowania siecią kanalizacji niskociśnieniowej w oparciu o rozwiązanie NetQM for IoT.
Miniony rok, podobnie jak poprzednie lata, cechował się dużą zmiennością i zawirowaniami w różnych sferach naszego życia, w tym między innymi dotyczącymi cyberbezpieczeństwa. Znana firma analityczno-badawcza jaką jest Gartner, wykazała siedem głównych trendów związanych z bezpieczeństwem IT w roku 2022.
Bezpieczeństwo odmieniane przez wszystkie przypadki jest obecnie jedną z najczęściej podnoszonych kwestii w świecie IT. Dodatkowo w erze postpandemicznej, która spowodowała przejście do pracy zdalnej lub hybrydowej, doszło do decentralizacji ludzi i maszyn, a co za tym idzie, wzmogło konieczność skutecznej kontroli dostępu uprzywilejowanego.
Jeden z naszych klientów zwrócił się do nas w sprawie przedstawienia propozycji zakupu urządzeń, które umożliwiłyby przekształcenie w formę cyfrową jego bardzo dużych zasobów bibliotecznych.
Wzmocnione notebooki czy tez tablety to dosyć specyficzny wycinek rynku IT. Sprzęt ten często charakteryzuje się gorszymi parametrami technicznymi niż topowe produkty (choć to tez powoli ulega zmianie), ale ma coś czego typowo biznesowy sprzęt nie ma i mieć nie będzie.