W jakie narzędzia i technologie warto zainwestować w zakresie cybersecurity? 

Jak pokazują najświeższe raporty, tylko w pierwszej połowie 2023 roku liczba ataków związanych z wyłudzaniem informacji przez wiadomości e-mail wzrosła o 464 % w porównaniu z 2022 rokiem. W tym samym okresie liczba ataków na organizacje wzrosła o 24 %. Wyłudzanie informacji stało się najpopularniejszą formą kradzieży danych uwierzytelniających i stanowi 73 % wszystkich ataków. Na drugim miejscu są włamania do firmowej poczty e-mail, które odpowiadają za 15 % ataków.  

Nic zatem dziwnego, że krajobraz w świecie bezpieczeństwa IT wciąż się zmienia. Na  dodatek cyberprzestępcy zaczęli wykorzystywać błyskawicznie rozwijające się metody sztucznej inteligencji do tworzenia, automatyzacji, skalowania i ulepszania nowych ataków przez aktywne uczenie się. Oznacza to, że w praktyce każda organizacja musi stosować coraz bardziej zaawanasowane narzędzia i systemy do ochrony własny zasobów IT i wzmocnienia poziomu cyberbezpieczeństwa.

W praktyce warto rozważyć takie narzędzia i technologie, jak: 

1. Systemy wykrywania intruzów IDS – Intrusion Detection Systems i systemy zapobiegania intruzom IPS – Intrusion Prevention Systems  

2. Programy do analizy zachowania użytkowników UBA – User Behavior Analytics  

3. Systemy do wykrywania zaawansowanych zagrożeń APT – Advanced Persistent Threats 

4. Systemy Threat Intelligence 

5. Aplikacje do wczesnego wykrywania naruszeń EDR – Endpoint Detection and Response 

6. Systemy do zarządzania podatnościami VMS – Vulnerability Management Systems 

7. Rozwiązania klasy SIEM – Security Information and Event Management 

8. Systemy bezpieczeństwa na platformach CDN – Content Delivery Network  

Systemy IDS i IPS

Podstawowym zadaniem systemów IDS jest monitorowanie ruchu sieciowego w czasie rzeczywistym oraz śledzenie transakcji i komunikacji pomiędzy urządzeniami w sieci w celu wykrywania nieprawidłowych lub podejrzanych aktywności. System powinien umieć wykryć wszelkie anomalie i odstępstwa od prawidłowych wzorców zachowania użytkowników, które wskazywałyby na obecność intruzów lub ataki w sieci. Środkiem do realizacji tych zadań jest przede wszystkim analiza logów systemowych i zdarzeń sieciowych. To w nich się poszukuje wszelkich nietypowych aktywności. Trzeba pamiętać o tym, że systemy IDS działają w trybie pasywnym, czyli tylko raportują wykryte zagrożenia, ale nie podejmuje aktywnych działań w celu zablokowania ataku.

Odmiennie działają systemy IPS, które w czasie rzeczywistym generują alerty i powiadomienia dla personelu odpowiedzialnego za bezpieczeństwo IT oraz podejmują aktywne działania mające na celu zablokowanie lub ograniczenie ataku. Jednocześnie mogą one uruchamiać także inne mechanizmy obronne. Zaletą systemów IPS jest ich bardzo krótki czas reakcji, tak bardzo ważny w razie ataku. Organizacja zyskuje nieco swobody na przygotowanie adekwatnej odpowiedzi na incydent bezpieczeństwa. Dodatkowo systemy IPS stanowią zaporę przeciwko wykorzystywaniu znanych podatności i luk w zabezpieczeniach, blokując ataki typu Zero-Day. Z reguły są one zintegrowane z innymi rozwiązaniami z zakresu cyberbezpieczeństwa takimi, jak firewalle, czy systemy antywirusowe tworząc bardziej lub mniej kompleksową ochronę firmowej infrastruktury IT. 

Systemy do analizy zachowania użytkowników UBA. 

Systemy UBA są zaawansowanymi narzędziami do analizowania i monitorowania zachowania użytkowników w sieci w czasie rzeczywistym. Zajmują się one takimi aspektami, jak nawyki pracy, typowe godziny logowania, urządzenia, z których korzystają pracownicy, style pisania, lokalizacje itp. Jeśli pojawią się jakieś anomalie i odstępstwa od typowych wzorców, na przykład nieautoryzowana próba logowania lub dostępu do poufnych danych, system może uznać je za potencjalne zagrożenie.  

Oczywiście działanie systemów UBA jest dużo bardziej wyrafinowane i precyzyjne niż IDS, czy IPS. Potrafią one modelować i uwzględniać kontekst zdarzenia, co pozwala lepiej rozumieć całą sytuację i unikać generowania fałszywych alarmów. Z tego powodu wykorzystują one zaawansowane techniki analizy Big Data do przetwarzania i analizowania dużych ilości danych z różnych źródeł w celu tworzenie wzorców, jak i wykrywania zagrożeń. 

Systemy UBA bardzo często są zintegrowane z rozwiązaniami klasy SIEM – Security Information and Event Management. Pozwala to na znaczące zautomatyzowanie reakcji na incydenty oraz eliminację lub przynajmniej znaczną redukcję udziału człowieka w rozwiązywaniu problemów. 

Co ciekawe, systemy UBA są bardzo pomocne w identyfikacji naruszeń wewnętrznych. Mogą one skutecznie wykrywać wewnętrzne zagrożenia wywołane działaniem nieuczciwych pracowników lub infiltracji przez złośliwe oprogramowanie. 

Zastosowanie zaawansowanych algorytmów uczenia maszynowego w systemach UBA pozwala na redukcję liczby fałszywych alarmów. W praktyce biznesowej oznacza to mniejsze wymagania w stosunku do liczebności zespołów ds. bezpieczeństwa IT, a to przekłada się na oszczędności finansowe. Dodatkowo mniej liczny zespół może się skoncentrować na rzeczywistych zagrożeniach i lepiej chronić zasoby firmy.  

Systemy do wykrywania zaawansowanych zagrożeń APT 

Systemy przeciwdziałające APT to specjalnie zaprojektowane narzędzia do wykrywania i  identyfikacji zaawansowanych i długotrwałych ataków na sieci i infrastrukturę informatyczną organizacji. Analizują one ruch sieciowy, logi, aktywność użytkowników i inne dane w celu wykrywania nieprawidłowych lub podejrzanych wzorców zachowania, czyli działają podobnie, jak systemy UBA. Różnica pomiędzy nimi sprowadza się do tego, że systemy przeciwdziałające APT są zaprojektowane do wykrywania zaawansowanych i ukrytych zagrożeń takich, jak ataki Zero-Day, czy Spear-Phishing, które wymykają się tradycyjnym zabezpieczeniom. Analizują one ruch sieciowy na głębszym poziomie, co pozwala im na wykrywanie bardziej skomplikowanych i ukrytych technik ataków, chociażby poprzez stałe śledzenie i analizę najnowszych sygnatur i znanych wzorców ataków. 

Threat Intelligence 

Aplikacje klasy Threat Intelligence służą do gromadzenia, analizy i wykorzystywania informacji o zagrożeniach cybernetycznych. Ich zadaniem jest pomaganie użytkownikom w zrozumieniu sytuacji i kontekstu incydentów cyberbezpieczeństwa oraz skuteczne przeciwdziałanie różnym rodzajom ataków na systemy informatyczne i infrastrukturę sieciową.  

Działanie systemów Threat Intelligence rozpoczyna się od zbierania danych na temat zagrożeń z bardzo zróżnicowanych źródeł, takich jak dostawcy usług cyberbezpieczeństwa, portale i fora poświęcone bezpieczeństwu, raporty branżowe, publiczne bazy danych o zagrożeniach itp. Zgormadzone dane są analizowane pod kątem charakterystyki i taktyk używanych przez atakujących, ich celów, metod i technik ataków oraz potencjalnych konsekwencji dla organizacji. Na podstawie wyników takiej analizy system generuje bazę wiedzy o zagrożeniach, która jest nazywana inteligencją zagrożeń. Może ona zawierać informacje o nowych typach ataków, wykrywanych lukach w zabezpieczeniach, aktualnych trendach zagrożeń itp. Na podstawie tak zgromadzonej wiedzy, systemy Threat Intelligence mogą wytwarzać rekomendacje i ostrzeżenia dla organizacji, pomagając tym samym w podejmowaniu odpowiednich decyzji i działań zwiększających cyberbezpieczeństwo. 

Informacje zgromadzone w systemie Threat Intelligence mogą być wykorzystywane przez systemy IDS, IPS, czy SIEM, dzięki temu organizacja może się skuteczniej chronić przed zagrożeniami. Jednak, aby było to możliwe, system Threat Intelligence musi aktualny, precyzyjny i odpowiednio skonfigurowany do specyficznych potrzeb organizacji. Dopiero wtedy można liczyć na realne zmniejszenie ryzyka ataków i zminimalizowanie ewentualnych strat związanych z cyberatakami. 

Wczesne wykrywanie naruszeń EDR 

Rozwiązania do wczesnego wykrywania naruszeń EDR to grupa zaawansowanych narzędzi monitorujących i rejestrujących działania użytkowników na poziomie endpointów, czyli urządzeń końcowych takich, jak komputery stacjonarne, laptopy, czy smartfony. Dają one stały wygląd w to, co dzieje się w firmowej sieci poprzez analizę uruchomionych procesów, usług, czy pojawiających się nowych wpisów w rejestrze i powiązań pomiędzy procesami. 

Systemy EDR nie koncentrują się na identyfikowaniu złośliwego oprogramowania, ale na detekcji nieprawidłowych działań. Po wykryciu nietypowej aktywności EDR generuje alert, po którym można zbadać jego przyczynę, a w razie potrzeby odpowiednio zareagować na powstałą nieprawidłowość. 

Systemy do zarządzania podatnościami  

Systemy VMS to grupa narzędzi i oprogramowania do identyfikacji, analizy, monitorowania oraz zarządzania podatnościami w infrastrukturze informatycznej organizacji. Celem ich działania jest zminimalizowanie ryzyka wystąpienia potencjalnych zagrożeń i ataków poprzez skuteczne zarządzanie podatnościami. Tak to wygląda w teorii. W praktyce systemy VMS zajmują się głównie skanowaniem infrastruktury IT w celu identyfikacji potencjalnych podatności w systemach operacyjnych, aplikacjach, serwerach, urządzeniach sieciowych i innych składnikach sieci. Po skanowaniu i analizie wyników następuje przypisanie odpowiednich priorytetów do wykrytych podatności, uwzględniając stopień krytyczności oraz możliwość wykorzystania przez potencjalnych atakujących. Na koniec systemy VMS generują raporty nie tylko o zidentyfikowanych podatnościach, ale podają także rekomendacje dotyczące ich naprawy i inne wskazówki, które mogą być przydatne dla zespołu ds. cyberbezpieczeństwa. 

Dzięki systemom VMS organizacje mogą regularnie badać swoją infrastrukturę IT w określonych przedziałach czasu oraz automatycznie naprawiać pewne podatności poprzez instalację łatek, zmiany w konfiguracji lub inne zalecane działania. Wszystko to pozwala na racjonalne zarządzanie ryzykiem i skoncentrowanie się na najbardziej krytycznych zagrożeniach.  

Rozwiązania klasy SIEM 

Systemy klasy SIEM to najbardziej zaawansowane i kompleksowe rozwiązania z dziedziny cyberbezpieczeństwa. Służą one do zbierania, analizy, monitorowania i raportowania zdarzeń związanych z bezpieczeństwem w całej infrastrukturze IT organizacji. Ich celem jest dostarczanie na bieżąco kompleksowego wglądu w bezpieczeństwo całej sieci oraz skuteczne i zautomatyzowane podejmowanie reakcji na pojawiające się zagrożenia. 

Systemy SIEM, w ramach jednego spójnego rozwiązania, korzystają z kilku grup narzędzi:  

• Log Management (LMS) używanych do tradycyjnego zbierania i przechowywania logów, 
• Security Information Management (SIM), które koncentrują się na gromadzeniu i zarządzaniu danymi związanymi z bezpieczeństwem z wielu źródeł, takimi jak: zapory, serwery DNS, routery, antywirusy, 
• Security Event Management (SEM) zaprojektowanych do proaktywnego monitorowania, analizy i wizualizacji danych, korelacji zdarzeń i alarmowania. 

Systemy SIEM w czasie rzeczywistym analizują zgromadzone logi, wykrywają anomalie, nieprawidłowości i podejrzane wzorce zachowania wskazujące na potencjalne zagrożenia, badają korelacje zdarzeń pochodzących z różnych źródeł, co umożliwia identyfikację bardziej skomplikowanych ataków i relacji pomiędzy różnymi zdarzeniami.  

Do wykrywania incydentów systemy SIEM wykorzystują zaawansowane algorytmy i mechanizmy sztucznej inteligencji oraz uczenia maszynowego. Dzięki temu mogą bardzo skutecznie wykrywać wszelkie incydenty bezpieczeństwa, w tym najbardziej nietypowe próby nieautoryzowanego dostępu, ataki DDoS, czy próby włamania i kradzieży danych. 

Zaletą systemów SIEM  jest ich szybkość i dokładność. Alerty i powiadomienia są generowane w czasie rzeczywistym, dzięki temu zespoły ds. bezpieczeństwa mogą podejmować prawidłowe decyzje oraz reagować na rzeczywiste i istotne zagrożenia, nawet te potencjalne. O jakości systemów klasy SIEM świadczy minimalna liczba generowanych fałszywych alarmów. Bardzo szczegółowe raporty na temat zdarzeń, aktywności i incydentów, które są generowane przez systemy SIEM znacznie ułatwiają spełnienie wymagań związanych z wszelkiego rodzaju audytami. 

Na rynku istnieje kilka znanych i cenionych firm, które produkują systemy SIEM. Są to: 

• Splunk, który oferuje kompleksowe rozwiązania do monitorowania i analizy logów, wykrywania zagrożeń, zarządzania incydentami oraz raportowania. 
• IBM Security QRadar, zaawansowany system klasy SIEM opracowany przez IBM, który łączy zdolności analizy logów, wykrywania incydentów, zarządzania zabezpieczeniami oraz odpowiedzi na incydenty w jednym centralnym narzędziu. 

Systemy bezpieczeństwa na platformach CDN 

Część firm, szczególnie z branży e-commerce, w swojej praktyce biznesowej skupia się na systemach bezpieczeństwa powiązanych z globalnymi sieciami dystrybucji zawartości CDN. Powstaje wtedy dodatkowa warstwa ochrony przed niektórymi typami ataków, głównie na strony internetowe, aplikacje, API i użytkowników końcowych. Część dostępnych rozwiązań, np. Akamai, zapewnia wyrafinowaną ochronę przed botami internetowymi, atakami DDoS, czy przed atakami polegającymi na wykradaniu danych kart kredytowych. 

Warto jednak dodać, że systemy tego typu nie mogą zastąpić pełnego, wielowarstwowego zestawu zabezpieczeń. Ochrona przed innymi rodzajami zagrożeń takimi, jak ataki na aplikacje, próby włamań czy złośliwe oprogramowanie, wciąż wymaga zastosowania tradycyjnych narzędzi i procedur cyberbezpieczeństwa. Dlatego organizacje powinny stosować zarówno rozwiązania CDN, jak i tradycyjne podejście do bezpieczeństwa cyfrowego tak, aby w pełni i skutecznie chronić swoje zasoby i dane. 

Na koniec warto także wspomnieć o kilku pomniejszych, ale wcale nie mniej przydatnych narzędziach i technologiach z zakresu cyberbezpieczeństwa: 

• Zautomatyzowane testowanie penetracyjne (APT), które wykorzystuje zróżnicowany  zestaw narzędzi i technik do przeprowadzania symulacji ataków w celu identyfikacji słabych punktów w systemach i aplikacjach oraz poprawy zabezpieczeń, 
• Szyfrowanie end-to-end stosujące zaawansowane technologie szyfrowania, jak kwantowe szyfrowanie klucza publicznego (Quantum Key Distribution – QKD) do zabezpieczania komunikacji na wszystkich etapach, od punktu początkowego do końcowego, 
• Systemy do zarządzania uprawnieniami zapewniające tylko niezbędny dostęp do danych i zasobów. 

Bez względu na rodzaj i typ wykorzystywanych narzędzi i systemów do cyebrbezpieczeństwa, w świecie szybko zmieniających się wektorów ataków, ochrona infrastruktury IT powinna być wielowarstwowa i kompleksowa. Nie można polegać tylko na jednej metodzie ochrony. Jeśli organizacja nie ma własnych specjalistów ds. cyberbezpieczeństwa, warto skorzystać z wiedzy i doświadczenia tych, którzy się tym zajmują profesjonalnie.