Complexitatea şi volumul ameninţărilor survenite spaţiului cibernetic evoluează constant, astfel lupta împotriva acestora presupune răspândirea protecţiei la toate sistemele din reţeaua administrată:
- servere
- baze de date servicii
- software instalat
Mai mult trebuie acordată atenţie ca angajaţii companiei să înțeleagă şi să respecte principiile de baza a securităţii cibernetice astfel încât să nu compromită (ne)intenţionat securitatea reţelei utilizate, fie corporative (IT) fie industrială (OT).
Măsurile de securitate cibernetică necesare a fi aplicate în cadrul unei organizaţii pot diferi în funcţie de mărimea companiei, de capacitatea financiară a acesteia, de industria în care operează sau de tipul informaţiilor pe care le gestionează.
Cu toate acestea am reuşit sa definim 3 “nivele” de protecţie care pot fi implementate la nivelul unei companii, fie prin resursele proprii (în cazul existenţei unui departament IT) fie prin contractarea unui furnizor de servicii de securitate cibernetică.
Nivelul 1 – Protecţie de bază
Punctul cheie al securităţii cibernetice de nivel 1 este asigurarea protecţiei reţelei IT împotriva celor mai frecvente ameninţări, precum atacurile de phishing demarate prin intermediul E-mail-ului sau mesageriei instante.
Protecţia cibernetică de bază se poate atinge prin instalarea unui firewall configurat corespunzător şi un software antivirus actualizat regulat (zilnic). Firewall-ul va scana traficul de reţea pentru a detecta pachete suspecte, în timp ce antivirusul asigura protecţia împotriva aplicaţiilor malware, scanând în timp real fiecare fişier pe care îl accesează angajaţii.
Pentru asigurarea protecţiei de bază în cadrul unei companii nu este nevoie de un departament dedicat de securitate cibernetică, departamentul de IT existent poate fi responsabilizat cu implementarea şi configurarea corespunzătoare a protecţiei firewall şi a softului antivirus.
Protecţia de bază este suficientă unei societăţi mici care deţine puţine date de interes pentru hackeri. Dar dacă compania dumneavoastră gestionează o baza de date consistentă care cuprinde datele personale ale clienţilor (nume, cnp, cărţi de credit, credenţiale de acces) puteţi deveni ţinta unor atacuri mai sofisticate precum DDoS sau spear phishing şi recomandăm implementarea unui nivel superior de protecţie cibernetică.
Nivelul 2 – Protecţie avansată
Nivelul 2 asigură protecţia reţelei împotriva atacurilor cu ţintă largă, de exemplu malware trimis către o serie de adrese de E-mail, spam maliţios sau scanare generală de IP-uri. Hackeri obişnuiesc să scaneze în masă adrese IP pentru vulnerabilităţi uşor de exploatat.
Probabilitatea ca o societate să cadă victimă a unui atac care nu a vizat-o creşte cu cât deţine o infrastructura IT mai dezvoltată sau operează cu un număr ridicat de angajaţi.
Pentru asigurarea unei protecţii cibernetice avansate pe lângă elementele de protecţie de bază (antivirus actualizat la zi şi firewall) trebuie implementate şi următoarele componente:
Asigurarea securităţii serviciului de E-mail, poate fi realizată printr-o varietate de tehnici precum scanarea e-mailurilor pentru malware, filtrarea spamului, implementarea unui blacklist/whitelist.
Este esenţială segmentarea reţelei, de exemplu segmentarea pe departamente interconectate prin firewall-uri care nu permit unei aplicaţii maliţioase să se deplaseze lateral prin reţea. Mai mult segmentarea reţelei impune implicit separarea resurselor de stocare ale unei societăţi, astfel în cazul unei pierderi de date (rezultate în urma unui atac ransomware) recuperarea/restorarea acestora se realizează mult mai rapid, deoarece atacul va afecta doar datele stocate în segmentul respectiv.
La acest nivel de protecţie se recomandă utilizarea sistemelor de detecţie a intruziunilor (IDS) şi de prevenire a intruziunilor (IPS) pentru identificarea şi logarea potenţialelor ameninţări de securitate. Astfel de sisteme pot fi configurate să monitorizeze permanent traficul gestionat de reţea şi să “înveţe” comportamentele normale ale acesteia pentru a identifica şi notifica excepţiile de la normal.
Pentru menţinerea acestui nivel de securitate o companie are nevoie de specialişti în securitate cibernetică, responsabili de cercetarea notificărilor sistemelor de securitate şi gestionarea riscurilor de securitate cibernetică.
Pentru a menţine un nivel de protecţie uniform la nivelul companiei, acest departament trebuie să elaboreze proceduri şi politici de securitate care se adresează tuturor angajaţilor companiei.
Organizarea unui astfel de departament implică costuri ridicate, atât pentru angajarea unei echipe specializate cu experienţă cât pentru achiziţia echipamentelor şi aplicaţiilor necesare. Costurile ridicate pot fi reduse prin externalizarea acestui serviciu, dar cu toate acestea compania va avea în continuare nevoie de o echipă de securitate internă pentru coordonarea activităţii cu societatea contractată.
Pentru a controla eficienţa măsurilor implementate şi timpi de răspuns la incidente de securitate, este necesară proiectarea unei strategii de securitate care să prevadă o evaluare periodică a vulnerabilităţilor reţelei şi testări de securitate (pentesting) pentru a identifica şi gestiona potenţialele riscuri de securitate cibernetică.
Nivelul 3 – Protecţie complexă
Protecţia complexă este elaborată pentru a proteja societatea de campaniile de atacuri derulate țintit asupra victimei şi de a diminua suprafaţa de atac care poate fi exploatată de un hacker sau o organizaţie rivală.
Prima măsura implementată este securitatea endpoint, mai exact securizarea fiecărui dispozitiv (smartphone, laptop, etc.) care se conectează la reţea, deoarece orice dispozitiv poate fi un vector iniţial de compromitere.
De obicei securitate end point include instalarea unui software specializat de securitate pe un server de management împreună cu softurile de client instalate pe dispozitivele conectate la reţea.
Această măsura permite monitorizarea activităţilor desfăşurate în reţea indiferent dacă utilizatorul este unul local sau se conectează la reţea de la distanţă de pe o gamă largă de dispozitive. Prin urmare departamentul de securitate are o vizibilitate mai bună şi în timp real pe întreaga gama de ameninţări de securitate pe care trebuie să le gestioneze.
Informaţii de securitate şi gestionarea evenimentelor (SIEM), soluţiile de acest tip jurnalizează, analizează şi raportează toate evenimentele din mediul IT, ceea ce permite evitarea scenariului în care “nimeni nu știe ce sa întâmplat” în cazul în care reţeaua a fost compromisă.
O trasabilitate amănunțită a evenimentelor din reţea ajuta şi la prevenirea pierderii de date (Data loss prevention sau DPL). DPL este o măsura extrem de importantă în cazul unor companii care operează în sectoarele financiare, sănătate sau gestionează date sensibile, personale sau confidenţiale.
Măsura trebuie implementată printr-o serie de configurări a softurilor de protecţie dar şi prin proceduri clare care stipulează ce fel de date pot părăsi compania.
Tendințele actuale sunt de a completa soluțiile clasice de prevenție anterior prezentate cu soluții de tip Artificial Intelligente (AI) și Machine Learning (ML) care dezvoltă capabilități de analiză comportamentală asupra traficului normalizat din rețea și semnalează evenimentele care exced pattern-ului învățat în etapa de learning.
Sistemele sunt utilizate de regulă la procesarea unor cantităţi masive de date şi analiza comportamentală a dispozitivelor dintr-o reţea extinsă. Cea mai importantă caracteristică a acestora este că devin mai eficiente în timp şi creşte productivitatea specialiștilor de securitate prin filtrarea evenimentelor din reţea, reducerea notificărilor false pozitiv şi clasificarea evenimentelor în funcţie de criticitate.
În cazul unui atac cibernetic sistemele AI realizează analiza impactului potenţial şi pot manipula reţeaua ca disponibilitatea acestea să fie doar parţial afectată.
Pentru a implementa corespunzător soluțiile de securitate menţionate este necesar un departament dedicat condus de o echipă cu experienţă. În general companiile mari care gestionează infrastructuri IT la acest nivel externalizează o parte din serviciile de securitate. Dar oferirea accesului total şi monitorizarea constantă a reţelei de către o societatea externă poate fi considerat un risc în multe cazuri mai ales dacă sunt gestionate informaţii sensibile sau confidenţiale.
Departamentul de securitate cibernetică trebuie să dezvolte şi să menţină o strategie de securitate şi să efectueze teste de securitate (penetration testing) pentru a identifica vulnerabilităţile reţelei. Totodată acest departament trebuie să fie la curent cu tendințele noi de pe piaţa malware şi să compare comportamentele noi identificate cu traficul înregistrat în reţeaua proprie. Nu în ultimul rând trebuie să emită și să mențină actualizate politicile de securitate și să se ocupe de conștientizarea utilizatorilor.
Indiferent de numărul măsurilor de securitate cibernetică implementate la nivelul infrastructurii IT, societatea rămâne vulnerabilă la atacuri cibernetice şi există probabilitatea ca reţeaua să fie compromisă, astfel este nevoie de o echipă de răspuns la incidente de securitate cibernetică, capabilă să detecteze evenimentele în timp real, să identifice indicatorii de compromitere şi să răspundă la incidentul de securitate, toate acestea într-o perioada minimă de timp. O echipă de răspuns la incidente bună împiedică transformarea unor probleme minore într-un incident de securitate.
Concluzii
Securitatea reţelei nu poate fi organizată după un model universal potrivit în orice situaţie. Alegerea măsurilor de securitate trebuie să depindă de mărimea reţelei gestionate, bugetul companiei şi zona în care îşi desfășoară activitatea.
Instalarea unui firewall şi un antivirus poate fi suficient pentru o societate mică în timp ce o companie care ocupă o cota de piaţă semnificativă într-un anumit domeniu poate deveni cu uşurinţă o ţintă a atacurilor informatice şi are nevoie de o protecţie mai ridicată.
Sistemele SIEM, DLP şi echipele de răspuns la incidente de securitate pot fi greu de implementat datorită costurilor ridicate, dar totodată sunt obligatorii pentru societăţile din anumite domenii precum energie, sănătate, transporturi, ş.a. conform Legii nr 362/2018, transpusă din Directiva UE 2016/1148.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.