Ochrona infrastruktury IT przed zewnętrznymi i wewnętrznymi zagrożeniami staje się coraz trudniejsza z powodu ciągle ewoluującego krajobrazu cyberzagrożeń. Dodatkowo trend przenoszenia lub rozbudowywania infrastruktury do chmury publicznej jak Microsoft Azure, GCP lub AWS dodaję dodatkową warstwę złożoności.
Jak możemy bronić naszą nowoczesną infrastrukturę hybrydową, gdy składa się ona z wielu lokalizacji oraz centrów danych rozrzuconych po całym świecie? Odpowiedzią jest wielowarstwowe podejście do bezpieczeństwa IT.
Model “Cebuli Bezpieczeństwa” (eng. security onion model)
Najlepszą analogią do cyberbezpieczeństwa infrastruktury IT jest porównanie jej do cebuli. Ma ona wiele warstw i należy obrać każdą z nich aby dostać się do jej środka, czyli w tym przypadku danych na których zależy cyberprzestępcom. Musimy upewnić się, że w każdej warstwie zostały zastosowane odpowiednie środki bezpieczeństwa, tak aby jak najbardziej zabezpieczyć i utrudnić atakującemu dostanie się do centrum naszej cebuli. Biorąc pod uwagę szerokie spektrum wektorów ataków, których mogą użyć przestępcy, takie warstwowe podejście do bezpieczeństwa jest kluczowe.
W tej serii artykułów przyjrzymy się poszczególnym warstwą naszej cebuli dla typowej firmy i obierzemy je jedna po drugiej. Podczas naszej drogi do “rdzenia” omówimy każdą warstwę, postaram się podać procedury, technologie i narzędzia, które pomogą wam w jej zabezpieczaniu.
W tym artykule skupimy się na pierwszej warstwie czyli politykach firmy, procedurach, a także świadomości pracowników odnośnie cyberbezpieczeństwa.
Polityki i procedury bezpieczeństwa
To pierwsza warstwa cebuli cyberbezpieczeństwa naszej firmy, która odnosi się do procedur i polityk bezpieczeństwa, a także naszych pracowników.
Polityki to ogólnie wytyczne, które określają plany organizacji (lub działu w mniejszej skali) dotyczące rozwiązywania konkretnego problemu, a procedury wyjaśniają dokładny plan działania w celu realizacji tychże polityk.
Bardzo ważne jest, aby firma miała wdrożone polityki i procedury związane z cyberbezpieczeństwem. Nie muszą one być tworzone tylko na potrzeby dużych, pilnych spraw, takich jak atak ransomware.
Mogą one opisywać, jak postępować z gośćmi na terenie firmy, kto i kiedy może uzyskać dostęp do serwerowni, jak bezpiecznie konfigurować serwery lub komputery końcowych użytkowników, jak konfigurować konta użytkowników podczas procesu onboardingu czy jak upewnić się, że wszystkie dostępy są wyłączone podczas offboardingu.
Niezależnie od skali organizacji, opracowanie polityk i procedur może pomóc nie tylko w bardziej efektywnym działaniu organizacji, ale także utworzeniu standardów i zabezpieczenie się przed ludzkimi błędami, takimi jak źle skonfigurowane serwery, użytkownicy uzyskujący dostęp do zasobów bez formalnego akceptu od przełożonego czy bardziej fizycznych zagrożeń, takich jak nieautoryzowane osoby uzyskujące dostęp do budynku firmy.
Jeżeli twoja firma nie posiada żadnych formalnych polityk bezpieczeństwa i nie wie od czego zacząć (lub chce zweryfikować czy aktualne polityki są odpowiednie), warto zapoznać się z normą ISO 27001, która jest aktualnie standardem dotyczącym prawidłowego budowania systemu zarządzania bezpieczeństwem informacji w organizacjach na całym świecie. W dokumentacji ISO 27001 możesz znaleźć wytyczne, które pomogą Ci zbudować własne polityki bezpieczeństwa i procedury odpowiednio dobrane dla twojej organizacji.
Istnieje też wiele dokumentów online, które mogą pomóc w tworzeniu własnej polityki bezpieczeństwa, takie jak:
- Inne normy ISO
- Szablony polityk bezpieczeństwa SANS Institute
- Szablony polityk bezpieczeństwa PurpleSec
- NIST Cybersecurity Framework
Możesz także czerpać inspirację z wielu istniejących polityk bezpieczeństwa, które są publicznie dostępne, takich jak polityka bezpieczeństwa firmy Oracle, ale muszą być one dostosowane i zmodyfikowane zgodnie z potrzebami twojej firmy, a nie tylko skopiowane i wklejone!
Dobrym podejściem jest skorzystanie z wytycznych ISO 27001 i przeprowadzenie analizy ryzyka. Pozwoli to zidentyfikować ryzyka i opracować metody ich minimalizacji, które często mogą być opisane jako polityki i procedury (lub po prostu ogólna dokumentacja).
Przykładem ryzyka może być nieautoryzowany dostęp do budynku firmy. Podczas analizy ryzyka będziemy musieli opracować formy bronienia się przed nim, mogą to być: weryfikacja personelu przez ochronę lub prosta kontrola gościa przez jednego z pracowników podczas jego wizyty. To forma obrony może zostać później rozbudowane i “ubrana” w formalne wytyczne i procedury, które pomogą zabezpieczyć naszą firmę.
Świadomość cyberbezpieczeństwa naszych pracowników (eng. cybersecurity awareness)
„Łańcuch jest tak silny, jak jego najsłabsze ogniwo”, dlatego tak ważne jest edukowanie pracowników w zakresie higieny cyberbezpieczeństwa i popularnych metod ataków, takich jak phishing. Możemy mieć wdrożone najbardziej zaawansowane środki bezpieczeństwa dostępne aktualnie na rynku, ale czasami wystarczy, że jeden pracownik kliknie przycisk „resetuj hasło” w phishingowym e-mailu i wszystkie nasze środki bezpieczeństwa idą na marne.
Twoi pracownicy muszą być świadomi, jak rozpoznać niebezpieczeństwo w Internecie i jak się przed nim bronić.
Najlepszą metodą edukacji jest organizowanie szkoleń i spotkań dla pracowników na temat cyberbezpieczeństwa. Powinieneś skupić się na tematach i zagrożeniach, z którymi pracownik może się spotkać w codziennej pracy lub życiu, takich jak phishing, bezpieczeństwo podczas korzystania z otwartych hotspotów Wi-Fi czy cyberhigiena (silne hasła i zarządzanie nimi).
Jeżeli dysponujesz większym budżetem i czasem, możesz przeprowadzić kontrolowaną kampanię phishingową, w której dział IT (podszywając się pod zewnętrznego atakującego) wysyła phishingowe e-maile do pracowników, a następnie wykorzystać uzyskane statystyki do dalszego planowania podnoszenia świadomości cyberbezpieczeństwa pracowników.
Oczywiście, świadomość to nie wszystko. Oprócz szkoleń i podnoszenia świadomości twoich pracowników, musisz mieć wdrożone techniczne środki bezpieczeństwa dla ich komputerów, które często stanowią punkt wejścia do wewnętrznej sieci.
Te środki bezpieczeństwa to:
- oprogramowanie antywirusowe (np. Windows Defender lub oprogramowanie firm trzecich), które pomoże wykrywać wirusy i podejrzane oprogramowanie,
- oprogramowanie do audytu i inwentaryzacji (np. eAuditor lub Microsoft Intune), które pomoże katalogować i monitorować komputery osobiste użytkowników, a także ograniczać aplikacje, które mogą być instalowane na komputerach,
- firewalle, które mogą zwiększyć bezpieczeństwo komputerów w sieciach publicznych, są one kluczowe i nigdy nie powinny być wyłączane!
Aby zminimalizować ryzyko, powinieneś także stosować zasadę „zerowego zaufania” (eng. zero trust), która jest strategią bezpieczeństwa zakładającą, że osoby, urządzenia i usługi działające w twojej sieci, powinny dostawać minimalną ilość uprawnień, wymaganą do wykonywania ich pracy.
W odniesieniu do komputerów pracowników, ta zasada dotyczy kont użytkowników. Użytkownik nigdy nie powinien mieć pełnego dostępu administracyjnego do swojego komputera lub przynajmniej powinien być zawsze zapytany przez system, czy chce uruchomić coś jako administrator (z koniecznością podania hasła). Sprawi to, że złośliwe oprogramowanie które dostanie się na komputer pracownika, będzie mogło uruchomić się tylko jako standardowy użytkownik i nie będzie mieć uprawnień administracyjnych, co za tym idzie nie będzie mogło wyrządzić poważnych szkód czy rozprzestrzenić się, zanim zostanie wykryte i zablokowane.
Podsumowanie
Mam nadzieję, że ten artykuł pomógł ci zrozumieć, dlaczego pierwsza warstwa naszej cebuli bezpieczeństwa jest taka ważna. Bezpieczeństwo IT nie zawsze leży tylko i wyłącznie po stronie technologii, ważne jest aby również ludzie pracujący w firmie dbali o nie i byli świadomi zagrożeń. Tylko łącząc te dwie strony medalu, ludzi i technologie, możemy faktycznie zabezpieczyć naszą infrastrukturę IT.
W następnym artykule skupimy się na dwóch kolejnych warstwach, którymi są fizyczne bezpieczeństwo i bezpieczeństwo sieci brzegowej. Stay tuned!
Ten artykuł jest przetłumaczoną wersją artykułu, który napisałem dla Macrix Technology Group.