W jakie narzędzia i technologie warto zainwestować w zakresie cybersecurity? 

W Polsce działa ok. 2,26 mln małych i średnich firm. Ze świecą szukać takich, które nie korzystają z żadnych systemów informatycznych. Zatem niemal wszyscy, niezależnie od branży i skali działania firmy, są narażeni na cyberbezagrożenia. Każda sieć lokalna, aplikacja biurowa czy biznesowa, każdy dokument lub baza danych, może być przedmiotem ataku, próby kradzieży, modyfikacji, szyfrowania lub usunięcia danych. Typów zagrożeń i technik stosowanych przez cyberprzestępców jest mnóstwo, wciąż ich przybywa i stają się coraz bardziej wyrafinowane.

W konsekwencji właściciele mikroprzedsiębiorstw i małych firm muszą sami rozwijać kompetencje w dziedzinie cyberbezpieczeństwa. Wszytsko po to, aby podejmować prawidłowe decyzje o wyborze narzędzi, technologii i dostawców usług IT. Dysponując ograniczonymi środkami finansowymi, tym bardziej muszą znać wady i zalety każdego proponowanego rozwiązania. Do podstawowych sposobów i technik obrony przed atakami na zasoby IT należą: 

1. firewalle 
2. programy antywirusowe i antymalware do wykrywania, blokowania i usuwania złośliwego oprogramowania, 
3. bezpieczne menedżery haseł 
4. systemy uwierzytelniania wieloskładnikowego, 
5. szyfrowanie połączeń SSL/TLS.  

Firewall – zapora sieciowa na drodze nieuprawnionego dostępu

Firewall to często niedoceniany, ale za to fundamentalny element systemu bezpieczeństwa. Najczęściej jest to rodzaj oprogramowania lub sprzętu używanego do kontrolowania ruchu sieciowego między firmową siecią wewnętrzną a sieciami zewnętrznymi takim, jak Internet. Firewall działa na poziomie sieci lub systemu operacyjnego. Analizuje dane przepływające przez sieć i decyduje, które połączenia lub transmisje są dozwolone, a które należy zablokować. Wraz z innymi środkami bezpieczeństwa, takimi jak programy antywirusowe, systemy wykrywania intruzów (IDS/IPS), czy aktualizacje oprogramowania, firewall to ważny element w budowie bezpiecznej infrastruktury sieciowej. 

Podstawowe funkcje firewalla to: 

• Filtrowanie pakietów danych – na bazie nagłówków pakietów danych i ustalonych reguł, firewall decyduje, czy dany pakiet powinien być przekierowany, czy odrzucony. Reguły mogą być zbudowane na adresach IP źródłowych i docelowych, numerach portów, protokołach itp. Dzięki temu można ograniczyć ilość spamu napływającego do wewnętrznej sieci firmy. 
• Kontrola dostępu, czyli zezwalanie na dostęp z zewnątrz do wybranych usług i zasobów sieciowych, np. serwerów, czy drukarek albo ograniczanie takiego dostępu wyłącznie dla wewnętrznych użytkowników. 
• Skanowanie ruchu sieciowego w poszukiwaniu podejrzanych aktywności, takich jak próby ataków typu DDos (Distributed Denial of Service), czy próby włamania. 
• Działanie jako serwer proxy, który pośredniczy w komunikacji między użytkownikami a zewnętrznymi zasobami. Pozwala to na częściową anonimizację i przyśpieszenie wydajności przy przeglądaniu zasobów Internetu. Dodatkowo pozwala na inspekcję ruchu szyfrowanego https.  

Niektóre zaawansowane firewalle mogą mieć wbudowaną funkcję obsługi VPN (Virtual Private Network). Pozwala to na używanie tuneli VPN bez konieczności korzystania z oddzielnego oprogramowania lub sprzętu do obsługi VPN. W takim przypadku firewall może zarządzać połączeniami VPN i kontrolować dostęp użytkowników zdalnych do zasobów sieciowych. Połączenie jest oczywiście bezpieczne i poufne. 

Oprogramowanie antywirusowe 

Oprogramowanie antywirusowe ma za zadanie wykrywać, blokować i usuwać różnego rodzaju złośliwe oprogramowanie, zwłaszcza wirusy komputerowe, trojany, robaki, ransomware, adware i inne rodzaje malware. Do najważniejszych funkcji oprogramowanie tego typu należy: 

• Skanowanie plików na dysku twardym, pamięci RAM i innych obszarów systemu operacyjnego w celu wykrycia obecności złośliwego oprogramowania. 
• Identyfikacja zagrożeń na podstawie rozbudowanego i zróżnicowanego zestawu technik takich, jak badanie sygnatur wirusów, heurystyki, analiza behawioralna. Wszystko w celu rozpoznawania nie tylko znanych zagrożeń, alei i tych nieznanych. 
• Usuwanie lub izolowanie złośliwego oprogramowania tak, aby zapobiec jego dalszemu rozprzestrzenianiu się i uszkadzaniu posiadanych zasobów. 
• Zapobieganie infekcjom dzięki stałemu, w czasie rzeczywistym, monitorowaniu aktywności systemu i blokowaniu potencjalnie złośliwego kodu, zanim zostanie on uruchomiony.  
• Ochrona poczty elektronicznej i przeglądarek internetowych poprzez identyfikację i blokowanie potencjalnie niebezpiecznych załączników i linków. 

Trzeba jednak pamiętać, że skuteczność oprogramowania antywirusowego jest uzależniona od stałego i regularnego aktualizowania bazy definicji wirusów. Bez tego nie jest możliwe rozpoznawanie najnowszych zagrożeń.  

Nowoczesne programy antywirusowe potrafią chronić przed ransomware, czyli szyfrowaniem danych w celu wymuszenia okupu, adware i spyware, które wyświetla niechciane reklamy, gromadzi dane o użytkownikach lub zmienia ustawienia przeglądarki. 

Systemów i producentów oprogramowania antywirusowego jest dużo. Optymalny wybór nie jest prosty, a rankingi zmieniają się z roku na rok. Podjęcie trafnej decyzji wymaga także przeanalizowanie kosztów zakupu licencji i aktualizacji takich programów.  

Gdyby trzeba było wskazać liderów rynku oprogramowania antywirusowego, to na krótkiej liście z pewnością znalazłyby się: 

• NortonLifeLock z oprogramowaniem Norton 360 Premium, 
• BitDefender z BitDefender Total Security & VPN,  
• Avast Software z narzędziem Avast One, 
• Avira Operations z programem Avira Prime, 
• G Data CyberDefence i oprogramowanie G Data Total Security 
• Microsoft z programem Defender dołączonym do system operacyjnego Windows, 
• McAfee i jego narzędzia z pakietu Total Protection, 
• Eset z programem Smart Security Premium ⁱⁱⁱ. 

Bezpieczne menedżery haseł 

Menedżery haseł to specjalne aplikacje lub usługi online, które pozwalają na bezpieczne i wygodne przechowywanie, generowanie i zarządzanie hasłami. Powstały one, ponieważ wielu użytkowników komputerów i systemów informatycznych używa łatwe do odgadnięcia hasła, na dodatek te same na różnych kontach. Takie działanie wprost zwiększa na ryzyko przeprowadzenia skutecznego cyberataku i włamania do firmowych zasobów IT. 

Dobry menedżer haseł musi umożliwiać przechowywanie wszystkich haseł użytkownika w jednym bezpiecznym miejscu, tworząc swoisty cyfrowy sejf. Jego zawartość powinna być zaszyfrowana i chroniona za pomocą jednego głównego hasła. Jest to jedyne hasło, które użytkownik musi pamiętać lub do którego dostęp mogą zapewnić urządzenia biometryczne takie, jak np. czytnik linii papilarnych lub siatkówki oka.  

Menedżery haseł muszą generować silne, losowe hasła, które są trudne lub niemożliwe do złamania lub odgadnięcia. To pozwala na używanie unikalnych haseł dla różnych kont online bez konieczności ręcznego wymyślania ich. W połączeniu z funkcją autouzupełniania hasła na stronach internetowych i w aplikacjach, użytkownik otrzymuje naprawdę wygodne narzędzie wspomagające bezpieczne logowanie.  

Bardzo przydatną funkcją dobrego menedżera haseł jest możliwość synchronizacji jego zasobów pomiędzy różnymi urządzeniami, z których korzysta użytkownik. Hasła stają się dostępne, bez względu na to, czy korzysta się z laptopa, tabletu, czy telefonu, o ile zainstalowano na nich tego samego menedżera haseł.  

Niektóre systemy tej klasy poprawiają cyberbezpieczeństwo, oferując autoryzację dwuskładnikową, która dodatkowo zabezpiecza konto menedżera haseł. Cenne jest także informowanie użytkownika o sile hasła – zbyt słabe lub zbyt często używane może zmniejszyć odporność całego systemu bezpieczeństwa na ataki i włamania.  

Godny zaufania menedżer haseł nie może się obejść bez mechanizmu tworzenia kopii zapasowych na wypadek awarii sprzętu, maskowania hasła podczas prezentacji oraz bezpiecznego korzystania ze schowka systemowego, który także jest miejscem podatnym na cyberataki. 

Systemy uwierzytelniania wieloskładnikowego 

Uwierzytelnianie wieloskładnikowe MFA (Multi-Factor Authentication) to metoda zabezpieczania kont i systemów. Wymaga ona od użytkowników podania więcej niż jednego rodzaju informacji w celu potwierdzenia ich tożsamości. Ta dodatkowa warstwa bezpieczeństwa ma na celu znaczne ograniczenie ryzyka włamań i utraty poufnych danych, ponieważ wymaga od atakujących przejścia przez więcej niż jedną barierę bezpieczeństwa. 

Uwierzytelnianie wieloskładnikowe składa się z trzech głównych elementów: 

• Czegoś, co użytkownik zna – polega na podawaniu czegoś, co zna tylko użytkownik, np. hasła, PIN-u lub odpowiedzi na pytania bezpieczeństwa. 
• Czegoś, co użytkownik posiada fizycznie, np. token generujący jednorazowe kody OTP (One Time Password), smartfon z aplikacją generującą kody, karta magnetyczna itp. 
• Czegoś, co jest unikalną cechą biometryczną użytkownika, np. odcisk palca, skan twarzy, skan siatkówki oka itp. 

Przykładem uwierzytelniania wieloskładnikowego jest z reguły logowanie do konta bankowego składające się z nazwy użytkownika i hasła, czyli czegoś, co wie oraz wprowadzenia jednorazowego kodu otrzymanego w wiadomości SMS, czyli czegoś, co posiada.  

Uwierzytelnianie wieloskładnikowe zapewnia znacznie wyższy poziom bezpieczeństwa w porównaniu z tradycyjnym uwierzytelnianiem jednoelementowym bazującym np. na samym haśle. Nawet jeśli atakujący zdobyłby hasło, wciąż musiałby przejść przez drugą i trzecią warstwę zabezpieczeń, aby uzyskać dostęp do konta. To znacznie utrudnia nieautoryzowany dostęp i zapewnia większą ochronę danych użytkownika. 

Dla bezpieczeństwa, przy uwierzytelnianiu wieloskładnikowym każdy etap jest realizowany osobnym kanałem lub metodą, np. jako potwierdzenie w aplikacji mobilnej, SMS, link w wiadomości e-mail, czy token sprzętowy. 

Szyfrowanie połączeń SSL/TSL  

Kiedy użytkownik łączy się z witryną internetową za pomocą protokołów SSL/TLS, co można rozpoznać po ikonie kłódki obok adresu lub obecności „https://” przed adresem URL, połączenie jest zabezpieczone, a przeglądarka pokazuje, że witryna jest godna zaufania. To zaufanie bierze się stąd, że przesyłane dane są szyfrowane i chronione, co z kolei minimalizuje ryzyko przechwycenia lub zmiany danych przez atakujących (man in the middle attack). 

Za szyfrowanie odpowiadają dwa najpopularniejsze protokoły SSL (Secure Sockets Layer) i TLS (Transport Layer Security), których zadaniem jest zabezpieczenie połączenia między klientami, czyli np. przeglądarkami internetowymi a serwerami. Jeśli dane przesyłane między urządzeniami są zaszyfrowane, to ​​nie mogą być odczytane przez osoby trzecie, które próbują podsłuchiwać lub przechwycić ruch sieciowy. Współczesne wersje protokołu TLS zastąpiły starsze wersje SSL ze względu na odkryte luki bezpieczeństwa. 

Połączenia szyfrowane SSL/TLS stanowią fundament bezpiecznego internetu i są kluczowym narzędziem w walce z cyberprzestępczością. Gwarantują one, że wrażliwe dane, takie jak dane logowania, informacje finansowe, dane osobowe, są przesyłane przez sieć w sposób bezpieczny i niezrozumiały dla osób trzecich. 

Dlatego też implementacja i wykorzystanie połączeń szyfrowanych SSL/TLS ma kluczowe znaczenie dla zapewnienia wysokiego poziomu cyberbezpieczeństwa w internecie. Wspieranie szyfrowania SSL/TLS jest istotne zarówno dla operatorów witryn i aplikacji internetowych, jak i dla użytkowników, którzy powinni dbać o korzystanie z bezpiecznych połączeń i unikać udostępniania poufnych informacji na niezaszyfrowanych witrynach.  

Brak certyfikatu lub jego wygaśnięcie skutkuje wyświetleniem przez przeglądarkę ostrzeżenia przed wejściem na stronę lub zablokowanie witryny. W praktyce uniemożliwia to obsługę komunikacji z użytkownikami. 

W zależności od tego, jak wiarygodna i bezpieczna ma być w sieci dana strona internetowa, można dobrać odpowiedni poziom bezpieczeństwa, reprezentowany przez różne certyfikaty. Wiąże się to natomiast z różnymi kosztami: 

• DV (Domain Validation) oznaczający wysoki poziom zabezpieczeń poświadczony automatyczną weryfikacją kupującego certyfikat. 
• OV (Organization Validation) z bardzo wysokim poziomem zabezpieczeń, gdzie potwierdzenie tożsamości następuje online.  
• EV (Extended Validation) oznaczający maksymalny stopień zabezpieczeń, gdzie do jego pozyskania przeprowadzana jest mocna weryfikacja z potwierdzeniem tożsamości nabywcy w rozmowie telefonicznej. 

Na polskim rynku z certyfikatów SSL najsilniejszą pozycję ma firma Certum. Natomiast jeśli chodzi o międzynarodowych to: DeoTrust, DigiCert Sectigo i wielu innych. 

Jak widać, zastosowanie już nawet najbardziej podstawowych technik i narzędzi z zakresu cyberbezpieczeństwa może solidnie zabezpieczyć firmowe zasoby IT. Trzeba je tylko stosować.