Strona główna Infrastruktura krytyczna Najlepsza polityka: zero zaufania

Najlepsza polityka: zero zaufania

Monika Mamakis, a&s Polska

Liczba różnego rodzaju cyberataków z roku na rok rośnie. To konsekwencja szybko postępującej digitalizacji naszego życia i rozrastającego się Internetu rzeczy. Świat realny coraz bardziej przenika się z wirtualnym, a skutkiem tego jest większa podatność na wirusy. Jak się przed nimi bronić? Przedstawiamy najlepsze praktyki dotyczące cyberbezpieczeństwa.

Czy istnieje Święty Graal adminów, który pozwala im spać spokojnie? A może wystarczy wdrożyć jedno, ale doskonałe rozwiązanie? Na pytanie o najlepsze praktyki dotyczące ochrony firmowej infrastruktury IT i zgromadzonych w niej danych odpowiadają czterej specjaliści do spraw bezpieczeństwa pracujący na zlecenie firm różnej wielkości.

Każdy z naszych rozmówców pragnie zachować anonimowość. Jeden z nich mówi wprost: „Im o nas mniej wiedzą (oni, czyli hakerzy – przyp. red.), tym lepiej”. Są zgodni też w dwóch innych kwestiach. Po pierwsze, każda firma, która chce zminimalizować ryzyko utraty danych, musi wdrożyć zestaw dobrych praktyk dotyczących zarówno sprzętów, jak i warstwy programistycznej infrastruktury IT. Po drugie, najczęstszym źródłem problemów jest… człowiek –  jego błąd czy świadome działanie. To ludzie są najsłabszym ogniwem, jeśli chodzi o zachowanie cyberbezpieczeństwa. Padło nawet określenie „użyszkodnik” w stosunku do użytkownika. Przyznano też, że „gdyby adminom na to pozwolić, zabraliby użyszkodnikom wszystkie uprawnienia”. Niestety, wówczas wrócilibyśmy w firmach do czasów kołonotatników, maszyn do pisania i liczydeł.

Człowiek – najsłabsze ogniwo

O tym, że za firmowymi cyberproblemami najczęściej stoją ludzie, napisano w ostatnim raporcie IBM Security The Cost of a Data Breach Report przygotowanym we współpracy z Ponemon Institute. Jego autorzy przeanalizowali m.in. dane dotyczące najpopularniejszych wektorów ataków i związany z nimi koszt naruszeń. W roku 2022 najczęstsze przypadki naruszeń dotyczyły: nie dość dobrze strzeżonych danych uwierzytelniających – 19%, phishingu – 16%, niewłaściwej konfiguracji chmury – 15% oraz luki w oprogramowaniu stron trzecich – 13%. Tymczasem błąd systemu spowodował jedynie niecałe 7% naruszeń.

Autorzy raportu Verizon 2022 Data Breach Investigations Report podają, że 82% incydentów związanych z utratą lub wyciekiem danych wynikało z powodu działania lub zaniechania użytkowników. Podobnego zdania jest Iwona Prószyńska z CERT Polska, specjalistka ds. komunikacji, która przyznaje, że doświadczenia CERT są zbieżne z tym, co podają autorzy wspomnianych wcześniej raportów i podkreśla: „Najważniejsza jest edukacja użytkowników” (więcej w wywiadzie “Edukacja”, na końcu artykułu).

Tylko edukowanie użytkowników w zakresie zagrożeń i sposobów ataków, polegających często na manipulacjach socjotechnicznych, w połączeniu z typowymi narzędziami cyberochrony, daje nadzieję na panowanie nad bezpieczeństwem firmowego IT.

Tylko edukowanie użytkowników w zakresie zagrożeń i sposobów ataków, polegających często na manipulacjach socjotechnicznych, w połączeniu z typowymi narzędziami cyberochrony, daje nadzieję na panowanie nad bezpieczeństwem firmowego IT. Słowo „nadzieja” zostało użyte nie bez powodu. Nic nie zapewnia stuprocentowej ochrony, ale zawsze można ograniczyć ryzyko i zadbać o zminimalizowanie ewentualnych szkód.

Zero trust – nie ufaj nikomu

Pytani przez nas eksperci przyznają, że stosują się przede wszystkim do najnowszego paradygmatu bezpieczeństwa, jakim jest zero trust – nie ufaj nikomu i niczemu, przede wszystkim nie ufaj użytkownikom.

Polityka zero trust to strategia zabezpieczeń, wg której każdy użytkownik, urządzenie, aplikacja oraz adres IP mogą stanowić potencjalne zagrożenie. Z tego powodu polityka zero trust zakłada, iż należy stosować kontrolę dostępu, uwierzytelnianie i autoryzację na każdym poziomie systemu, a nie polegać na założeniu, że zaufanie można przypisać na podstawie lokalizacji użytkownika, źródła pliku lub adresu IP.

Polityka zero trust to strategia zabezpieczeń, wg której każdy użytkownik, urządzenie, aplikacja oraz adres IP mogą stanowić potencjalne zagrożenie.

W praktyce oznacza to, że w ramach polityki zero trust każdy użytkownik, urządzenie lub aplikacja musi przejść przez proces uwierzytelniania, autoryzacji i weryfikacji, zanim uzyska dostęp do zasobów systemu. W przypadku, gdy te warunki nie zostaną spełnione, dostęp jest blokowany lub ograniczany.

Polityka zero trust wykracza poza tradycyjne podejścia do bezpieczeństwa opierające się na założeniu, że zaufane urządzenia lub sieci wewnętrzne nie stanowią zagrożenia. W erze, gdy ataki cybernetyczne stają się coraz bardziej zaawansowane i nieprzewidywalne, zero trust staje się jednym z najskuteczniejszych sposobów ochrony systemów i danych przed cyberzagrożeniami.

Dobre praktyki funkcjonujące w ramach polityki zero trust polegają zatem na wprowadzeniu:

  1. Autentykacji każdej osoby, urządzenia i aplikacji, które chcą uzyskać dostęp do sieci, niezależnie od miejsca, z którego się łączą.
  2. Uwierzytelnianiu każdej akcji, jaką podejmuje dana osoba, urządzenie lub aplikacja obecna w firmowej sieci.
  3. Nadaniu odpowiednich uprawnień każdej osobie, urządzeniu i aplikacji w zależności od roli, którą odgrywają.
  4. Ciągłej weryfikacji i oceny poziomu ryzyka dla każdego użytkownika, urządzenia i aplikacji w sieci, a następnie dostosowywaniu odpowiednich zabezpieczeń.
  5. Monitorowaniu aktywności w sieci, aby wykryć nieprawidłowości i zagrożenia oraz szybko na nie reagować.
  6. Izolowaniu lub ograniczaniu dostępu do zasobów sieciowych tylko do tych użytkowników, aplikacji i adresów, które faktycznie potrzebują do nich dostępu.
  7. Szyfrowaniu komunikacji między urządzeniami i aplikacjami w sieci, aby uniemożliwić przechwytywanie i odczytywanie danych.
  8. Korzystaniu z narzędzi do wykrywania i zapobiegania zagrożeniom, takich jak złośliwe oprogramowanie i ataki typu phishing.

Zero trust jest coraz bardziej popularnym podejściem do cyberbezpieczeństwa, promowanym m.in. przez dużych dostawców usług chmurowych, takich jak Microsoft czy AWS, ponieważ przeciwdziała zagrożeniom związanym z rosnącą liczbą połączeń między różnymi urządzeniami i sieciami. Ten model bezpieczeństwa zapewnia dostęp do prywatnych aplikacji z najniższymi uprawnieniami w oparciu na kontroli kontekstowej (użytkownik, urządzenie, aplikacje itp.). Aby to umożliwić, wiele zespołów IT wdraża nowoczesne technologie bazujące na chmurze, które mogą zastąpić tradycyjną infrastrukturę, taką jak VPN i strefy DMZ (Demilitarized zone, strefa zdemilitaryzowana bądź ograniczonego zaufania – to wydzielany na zaporze sieciowej obszar sieci komputerowej nienależący ani do sieci wewnętrznej, ani do sieci zewnętrznej).

Organizacja Cybersecurity Insiders opracowała Zero Trust Adoption Report 2019, według którego zero trust ułatwia firmom zachowanie bezpieczeństwa podczas przenoszenia aplikacji do chmury publicznej i sprawdza się szczególnie w tych firmach, które przeszły na pracę zdalną lub hybrydową. Według autorów raportu 78% zespołów ds. bezpieczeństwa IT zamierza w przyszłości korzystać z dostępu do sieci o zerowym zaufaniu, 19% aktywnie wdraża politykę zero trust, a 15% już ją stosuje. Jednocześnie około połowy zespołów zajmujących się bezpieczeństwem IT w przedsiębiorstwach (47%) nie ma pewności, czy ich obecna technologia zabezpieczeń jest w stanie zapewnić zerowe zaufanie. Jednocześnie najwyższym priorytetem bezpieczeństwa dostępu do aplikacji jest uprzywilejowane zarządzanie kontami użytkowników oraz uwierzytelnianie wieloskładnikowe (68%). Kolejne miejsca zajmują wykrywanie i reagowanie na nietypowe działania (61%) oraz zabezpieczanie dostępu z osobistych, niezarządzanych urządzeń (57%).

Reguły są znane

Niezależnie od tego, z jakiej wielkości firmą mamy do czynienia, reguły dotyczące skutecznej cyberochrony są podobne. Poza polityką zero trust nasi rozmówcy polecają stosowanie poniższych dobrych praktyk:

Firewall – to nie nowość, to solidna tradycja

Zastosowanie ochrony firewall dla sieci firmowej jest najlepszym sposobem zapobiegania cyberatakom. Zapora uniemożliwia nieautoryzowanym użytkownikom dostęp do stron internetowych, poczty elektronicznej i innych źródeł informacji, do których można uzyskać dostęp za pośrednictwem sieci. Ważne jest również, aby uzyskać oprogramowanie firewalla dla pracownika, który pracuje z firmową stroną internetową.

Aktualizacja oprogramowania bez odkładania na później

Oprogramowanie antywirusowe, serwer WWW i system operacyjny muszą być regularnie aktualizowane do najnowszych wersji. Konieczne jest instalowanie zaktualizowanego oprogramowania zabezpieczającego na wszystkich urządzeniach i w sieci, aby pomóc w ochronie przed najnowszymi cyberzagrożeniami. Niezbędne jest też aktualizowanie firmware’u sprzętu używanego w firmie.

Hasło – silne, czyli bardzo długie

Ważne, aby stosowane hasła były unikatowe, złożone i bardzo długie. Organizacje takie jak CERT zachęcają jednak do tego, by osoby odpowiedzialne za bezpieczeństwo IT odchodziły od wymuszania na użytkownikach częstej zmiany haseł.
Więcej na ten temat w wywiadzie z Iwoną Prószyńską reprezentującą CERT.

Uwierzytelnianie wieloskładnikowe

Pomaga chronić dane poprzez wprowadzenie dodatkowej warstwy bezpieczeństwa do danych. Nawet jeśli haker pozna hasło towarzyszące loginowi, to zaporę będzie stanowić drugi lub trzeci czynnik uwierzytelnienia, taki jak kod bezpieczeństwa, OTP, odcisk palca, rozpoznawanie głosu itp.

Regularne tworzenie kopii zapasowych

Tworzenie kopii zapasowych danych należy do kategorii działań podstawowych. Ważne, aby backup był robiony tak często jak tylko to możliwe ze względu na specyfikę pracy firmy, a także by był regularnie sprawdzany pod kątem możliwości odzyskania danych w razie udanego ataku. Dobrą praktyką jest wykonywanie backupu wg reguły 3-2-1. To znaczy, że powinny być tworzone co najmniej trzy kopie danych na dwóch różnych urządzeniach, a jedna z tych kopii powinna być przechowywana na zewnątrz, w innej lokalizacji.

Monitorowanie użytkowników uprzywilejowanych

Użytkownicy uprzywilejowani mogą być jednym z największych zagrożeń bezpieczeństwa danych. Szczególnie niebezpiecznym zjawiskiem, wiążącym się czasami z nadmiernymi uprawnieniami niektórych pracowników lub brakiem kontroli nad nimi, jest tzw. shadow IT. Shadow IT to termin określający nieautoryzowane i niekontrolowane przez dział IT korzystanie z aplikacji i usług przez pracowników w celu ułatwienia pracy. Może to stanowić zagrożenie bezpieczeństwa danych i utrudnić zarządzanie infrastrukturą IT. Czasami jest to wynik braku reakcji działu IT na realną potrzebę użytkowników, więc ci biorą sprawy w swoje ręce. Czasami to skutek braku koordynacji między działami. Niezależnie od powodu – zjawisko jest potencjalnie groźne.

Rozwiązaniem jest wprowadzenie do firm osoby odpowiedzialnej za kompleksowy nadzór nad infrastrukturą IT i gromadzonymi danymi, np. kierownika ds. informatyki, który będzie dbał m.in. o to, by w firmowej sieci nie pojawiły się podejrzane aplikacje czy urządzenia, liczba uprzywilejowanych użytkowników była ograniczona do niezbędnego minimum, a konta uprzywilejowane były dezaktywowane natychmiast po zakończeniu pracy.

Praca zdalna tylko przez VPN

VPN (Virtual Private Network) to technologia umożliwiająca bezpieczne i prywatne połączenie z Internetem poprzez szyfrowanie ruchu sieciowego. Właściwie skonfigurowany VPN pozwala na ukrycie adresu IP użytkownika oraz połączenie z Internetem za pośrednictwem zdalnego serwera VPN, co utrudnia monitorowanie aktywności w sieci i ataki cybernetyczne. VPN stosuje się przede wszystkim ze względu na cyberbezpieczeństwo, ponieważ zwiększa poziom prywatności, chroni dane przed przechwytywaniem i dostępem osób trzecich, a także umożliwia bezpieczne korzystanie z otwartych sieci Wi-Fi w miejscach publicznych.

A gdyby tak zamknąć dane w bunkrze?

Firmy, którym zależy na ochronie swoich danych. powinny przemyśleć inwestycję w cyfrowy bunkier (cyber vault), będący wieloetapową metodą zabezpieczania danych. Rozwiązanie służy do odzyskiwania danych po ataku, zwiększenia bezpieczeństwa dzięki tworzeniu dodatkowych backupów, ograniczenia do minimum dostępu z zewnątrz oraz automatyzacji zapisu przywracania danych. W Polsce jest ono oferowane m.in. przez Dell Technologies i IBM. Składa się z warstwy sprzętowej służącej do przechowywania danych i aplikacji odpowiedzialnej również za bezpieczeństwo końcowego backupu. Najważniejszą jego cechą jest całkowita izolacja od sieci zewnętrznej.

Główna idea cyfrowego bunkra polega na zabezpieczeniu danych poprzez tworzenie kopii z całej sieci pamięci masowych na urządzeniu o bardzo ograniczonym i krótkotrwałym cyklu wymiany danych. Dane ze wszystkich pamięci masowych są przesyłane do kolejnej, która zapisuje je w trybie zgodności (compliance), uniemożliwiając ich modyfikację czy usunięcie.

Najważniejsze jest jednak fizyczne odizolowanie kopii zapasowych od środowiska produkcyjnego. To użytkownik określa, w jakich odstępach czasu ma następować przekazywanie danych, by potem odłączyć urządzenia backupu od jakichkolwiek urządzeń zewnętrznych. Poza krótkimi momentami łączności kopie bezpieczeństwa są nie tylko niedostępne z zewnątrz, lecz także niewidoczne dla hakerów. Kolejna ważna kwestia to sprawdzenie, czy backupy nie zawierają złośliwego oprogramowania z włączonym „opóźnionym zapłonem”.

Istnieją też wersje chmurowe cyfrowego bunkra, ale w ich przypadku należy się liczyć z wyciekiem danych. Za całość operacji i ich bezpieczeństwo odpowiada dostawca chmury.

Ile kosztują cyberataki?

Skutecznie przeprowadzony atak może mieć olbrzymi wpływ na organizację. Koszty przestoju to nie wszystko. Należy doliczyć np. okup, jeśli za atak odpowiedzialny jest ransomware, koszt kary, jeśli dane wyciekną, ale także koszt ewentualnych procesów sądowych, podwyżkę stawek ubezpieczeniowych oraz utratę reputacji. Zgodnie z raportem State of Cybersecurity Resilience 2021 firmy Accenture koszty naruszeń danych wzrosną z 3 bln USD rocznie do ponad 5 bln w 2024 r. Autorzy wspomnianego wcześniej raportu IBM sprawdzili, że choć w porównaniu z ubiegłym rokiem koszty naruszenia będących wynikiem ataku ransomware nieznacznie spadły, z 4,62 mln USD do 4,54 mln, to częstotliwość ataków się zwiększyła. Przyznają jednocześnie, że w badaniu nie uwzględniono kosztu okupu. Jak podała firma SlashNext w raporcie 2022 State of Phishing, liczba ataków phishingowych w roku 2022 wzrosła o 61%. Z kolei Anti-Phishing Working Group (APWG) poinformowała, że ​​w trzecim kwartale 2022 r. zaobserwowała łącznie 3 mln ataków phishingowych, co oznacza, że pod tym względem był to najbardziej intensywny kwartał, od kiedy APWG zaczęła gromadzić dane na ten temat.

Nie bez znaczenia jest w tym kontekście kwestia RODO. Każda firma, która gromadzi dane wrażliwe w rozumieniu RODO, niewątpliwie je też przetwarza, czyli zbiera, utrwala, organizuje, porządkuje, przechowuje, pobiera i przegląda. Niedochowanie zasad dotyczących cyberbezpieczeństwa może spowodować wyciek danych, a to bardzo kosztowne.

Gdy Rudy Giuliani został w 1993 r. burmistrzem Nowego Jorku, wprowadził politykę zero tolerancji. W ciągu kilku lat liczba przestępstw – od drobnych po włamania i pobicia – spadła o 52%, morderstw – o 68%. Niestety, cyfrowy świat rządzi się nieco innymi prawami. Wprowadzenie polityki zero trust nie zmniejszy liczby cyberprzestępstw, tak jak polityka zero tolerancji zmniejszyła liczbę napaści fizycznych w Nowym Jorku, ale znacząco ograniczy ich skuteczność.

Edukacja!
„Nie wymuszaj zmiany hasła”

– mówi Iwona Prószyńska z CERT Polska
Działający przy NASK polski CERT (Computer Emergency Response Team), czyli zespół specjalistów zajmujących się zarządzaniem incydentami związanymi z bezpieczeństwem informatycznym, przygotował zestaw rekomendacji dotyczących ochrony danych (informacje na ten temat na stronie cert.pl). Lista zaleceń nie jest wprawdzie długa, ale czy może pani wskazać te najważniejsze?

Zacznę od tego, że to są tylko rekomendacje. Jako CERT nie mamy wpływu na to, co robią osoby prywatne i firmy, by uchronić się przed zagrożeniami płynącymi z sieci. Możemy reagować wyłącznie na przysyłane do nas zgłoszenia. Lecz trzeba pamiętać, że obchodzenie reguł to proszenie się o kłopoty. Przechodząc do pytania, najważniejsze jest, by system kopii zapasowych był odizolowany, zaś same kopie regularnie sprawdzane. Ma to kluczowe znaczenie w wypadku coraz częstszych niestety ataków ransomware.

Kolejną ważną zasadą jest dbałość o aktualizacje systemów, zwłaszcza tych „wystawionych” do Internetu, i urządzeń będących w bezpośrednim posiadaniu pracowników. W tym kontekście bardzo ważne jest także, by dostęp zdalny do zasobów firmowych możliwy był tylko po podwójnym uwierzytelnianiu. Jednak tym, co uważam za fundament bezpieczeństwa, są edukacja pracowników i budowanie świadomości dotyczącej cyberzagrożeń oraz tego, jaki mają wpływ na bezpieczeństwo całej organizacji. W edukacji mieści się także to, by pracownicy wiedzieli, komu zgłaszać incydenty i zagrożenia, i nie bali się tego robić.

Wśród zaleceń znalazłam jedno, które nie ukrywam, bardzo mnie zaskoczyło, skierowane bezpośrednio do firm. Brzmi ono: nie wymuszaj zmiany hasła. To o tyle dziwne, że w wielu firmach polityka bezpieczeństwa wymaga od użytkowników regularnej zmiany hasła, czasami co 21 dni, czasami co trzy miesiące. Jest to kłopotliwe, ale wydaje się rozsądne, tymczasem państwo mówią: nie zmieniaj. Dlaczego?

Zanim wyjaśnię, zapytam, czy pracując, musiała pani zmieniać hasło?

Oczywiście, i to jakoś absurdalnie często.

Jak rozumiem, za każdym razem wybierała pani długie, co najmniej 12-znakowe hasło składające się z ciągu przypadkowych liter i cyfr?

Skądże. Przyznam, że hasło było stałe i zmieniała się tylko ostatnia cyfra.

Otóż to. Tak robi większość osób. Logujemy się tak często w różnych serwisach, portalach i na stronach, że najczęściej korzystamy z jednego hasła, które wydaje się nam mocne jak stal, bo ma minimum 8 znaków, w tym jeden specjalny. A jeśli administrator firmowej sieci wymusza na nas zmianę zbyt często, podmieniamy pierwszy lub ostatni znak i śpimy spokojnie. Tymczasem rzecz nie w znakach specjalnych, a w długości hasła. Im dłuższe, tym lepsze.

Długie, czyli…?

Powiedzmy 12–15 znaków. Hasła krótkie 8-znakowe można złamać w kilka minut. Hasło, które będzie mieć kilkanaście znaków, jest, przynajmniej na razie, bardzo trudne do złamania. Nie ma sensu zmuszać użytkowników do zmiany co trzy, cztery tygodnie. Zrobią dokładnie tak jak pani. Lepiej wymóc na nich to, by hasło było naprawdę długie, wówczas jego zmiana będzie konieczna dopiero wtedy, gdy mamy podejrzenie, że ktoś mógł je poznać.

Przy okazji, każdy może sprawdzić, czy jego hasło i inne dane, np. adres e-mail i numer karty kredytowej nie wyciekły do sieci. Jednym z najpopularniejszych narzędzi do tego celu jest serwis Have I Been Pwned. Wystarczy wejść na stronę https://haveibeenpwned.com/Passwords i wpisać własny adres e-mail lub telefon. Jeśli informacje o nas zostały znalezione w bazie danych naruszeń, zalecam jak najszybszą zmianę hasła na nowe i unikatowe. Używanie różnych, i raz jeszcze podkreślę, bardzo długich haseł dla różnych kont jest najlepszym sposobem ochrony przed wyciekiem hasła z jednej usługi.

Jak jednak zapamiętać takie długie i skomplikowane hasło?

Wbrew pozorom to nie jest trudne. Doprawdy nie musi być to ciąg bezsensownych znaków. Z powodzeniem może to być np. fraza mójulubionykottozielonymisiek. Problem pojawia się wtedy, gdy administrator danego serwisu lub strony uniemożliwia wprowadzenie tak długiego hasła, ograniczając użytkowników do tych nieszczęsnych ośmiu znaków. Na szczęście nie dzieje się to często, ale warto się wówczas zastanowić, czy naprawdę musimy z niego korzystać. Dodatkowo w „zapamiętywaniu” haseł bardzo pomocne są menedżery. Jako CERT Polska gorąco je rekomendujemy.

Bill Clinton swoją kampanię wyborczą prowadził pod hasłem „Gospodarka, głupcze”. CERT Polska mówi „Edukacja, głupcze!”.

Edukacja tak, choć bez „głupcze”. Częścią utrzymania wysokiego poziomu bezpieczeństwa jest upewnienie się, że pracownicy niezajmujący się bezpieczeństwem IT wiedzą, w jaki sposób bezpieczeństwo wpływa na ich codzienne czynności. Przygotowanie programu szkoleniowego w zakresie świadomości bezpieczeństwa jest niezbędną częścią strategii bezpieczeństwa każdej firmy. Szczególną uwagę powinny zwracać te przedsiębiorstwa, które mają w swoim środowisku urządzenia mobilne i urządzenia IoT albo wprowadziły politykę bring your own device, umożliwiając pracownikom wykorzystywanie prywatnych sprzętów do pracy. To bywa wygodne dla obu stron, ale jest niebezpieczne, dlatego opracowanie planu reagowania na incydenty jest po prostu koniecznością.

Dobrą praktyką jest też zgłaszanie ich do CERT, do czego zachęcam. Nasi eksperci są do dyspozycji w trybie 24/7, bo niepokojące zjawiska w cyberprzestrzeni pojawiają się stale.

Zobacz inne artykuły tej autorki:
Raport: Infrastruktura krytyczna
Od sztucznej inteligencji przez metawersum do osobliwości
Czym się kończy brak „bezpiecznika” – warsztaty Centrum Kompetencji

POWIĄZANE ARTYKUŁYWIĘCEJ TEGO AUTORA