Technologická ochrana údajov je iba súčasťou veľkej skladačky kybernetickej bezpečnosti.
Rozhodne si pamätajte mantru dátovej bezpečnosti DPL, Data Leak Prevention, čiže prevenciu úniku dát. Je to obvykle kus softvéru na pracovnej stanici alebo na vstupnej bráne. Pozerá sa do dát a na základe klasifikácie či iných pravidiel bráni skopírovaniu alebo prenosu citlivých súborov kamkoľvek inam, než je dovolené.
Tradičné špecializované kyberbezpečnostné firmy nastupujú, keď „je upratané“, čiže neriešia klasifikáciu a správu dát podľa tagov. Organizácia, identifikácia, označovanie a správa dát na základe ich citlivosti a významu je doménou účtovníckeho alebo manažérskeho softvéru. Kyberbezpečnostné riešenia potom dokážu adekvátne chrániť aj komplexné dátové typy podľa normatívnych bezpečností, akými sú nariadenie GDPR či štandardy bezpečnosti údajov v platobných kartách a ochrane zdravotných informácií.
Šikovné sety na správu
Správcovia bezpečnosti v organizácii tak majú obvykle celý technologický set na to, aby nastavili bezpečnostné politiky podľa interných pravidiel aj legislatívy.
Pre dáta v pohybe je základným pravidlom, že nesmie dôjsť k nemonitorovanému úniku. Cieľom je teda všetko monitorovať a logovať. Na to slúžia prostriedky na ochranu koncových zariadení. Rovnaké bezpečnostné opatrenia platia aj na vstupných bránach, či už pri e-mailovej komunikácii, alebo v prehliadačoch. Problémom na týchto bránach je však fakt, že dáta prenášané cez internet sú šifrované. Protokol HTTPS tak síce zvyšuje bezpečnosť komunikácie, ale zároveň môže sťažiť detekciu škodlivého obsahu.
Preto potrebujeme zároveň aj analyzovať a kontrolovať šifrované prenosy, aby sme sa uistili, že neobsahujú škodlivý obsah alebo neporušujú bezpečnostné politiky organizácie. Jednoducho vykonávať HTTPS inšpekciu – a tú nikto väčšinou nemá nasadenú.
Takže základným stavebným kameňom bezpečnosti zostáva najmä ochrana koncových zariadení. Výhodou je, že už netreba riešiť šifrovacie kanály, keďže sme na konci „šifrovacej trubky“.
Tu sa na zvýšenie úrovne ochrany, monitorovania a správy systémov inštalujú agenti. Na počítačoch, laptopoch, či mobilných zariadeniach slúžia na monitorovanie, detekciu a reakciu na hrozby v reálnom čase. Rovnako na zariadeniach a sieťových bránach sú agenti na monitorovanie a kontrolu pohybu citlivých dát, aby sa predišlo ich úniku.
Sem patria aj antivírusový a antimalvérový softvér, šifrovacie zariadenia a automatizácia aktualizácií a záplat.
Agenti na zariadeniach na vzdialenú správu a monitorovanie umožňujú IT tímom sledovať a spravovať zariadenia z centrálnej konzoly. Vyššia úroveň je zber a odosielanie bezpečnostných udalostí a logov do centrálneho SIEM systému na analýzu a koreláciu.
Zariadeniami na kontrolu prístupu privilegovaných používateľov sa minimalizuje riziko zneužitia privilégií. Na sieťových zariadeniach a koncových bodoch sa monitoruje sieťová prevádzka, detegujú sa anomálie a hrozby.
Behaviorálna analýza sa využíva pri monitorovaní správania používateľov a systémov, čím sa identifikuje, a reaguje na neobvyklé a potenciálne škodlivé aktivity.
Takýchto agentov však môže byť na pracovnej stanici až príliš, pretože správcovia IKT obvykle hľadajú riešenia na ucelenú ochranu a chcú minimalizovať správu a zložitosť prostredia.
Daň za pohodlie
Ucelené kyberbezpečnostné produkty obvykle neponúkajú hlbokú granularitu. To je doména špecialistov. Na druhej strane, ak kvalifikovaný bezpečák využije celý potenciál komplexných riešení, dokáže získať „veľa muziky za menej peňazí“. Vždy sú tam však kompromisy.
A ak by pri ransomvérovom útoku zlyhali agenti, vždy tam ešte máte na bráne DLP ochranu a tá minimalizuje stratu dát.
Pre dáta v pokoji je nutné, aby boli na všetkých úložiskách, USB zariadeniach a na pevnom disku pracovnej stanice chránené pred nechceným čítaním napríklad šifrovaním.
Ďalšou kapitolou je ochrana webových aplikácií, kde sú uložené citlivé údaje ako e-maily, čísla platobných kariet, transakcie či rodné čísla.
Tu je nutné ošetriť ochranu dát už na programátorskej úrovni a penetračnými testmi. Iba samotné šifrovanie neposkytuje stopercentnú ochranu. Hacknutá aplikácia má totiž prístup k údajom, aj keď sú zašifrované.
Takéto varovanie platí aj pre cloud, kde pri používaní aplikácií software-as-a-service často vôbec netušíme, kto a na akej úrovni má prístup k našim dátam. Výrazne to zvyšuje riziko kyberútokov v dodávateľských reťazcoch a extorzie dát. Lebo aj keď nie ste priamo napadnutí vy, vaše údaje sú ohrozené. Stačí, že cieľom útoku bol váš dodávateľ alebo softvér, ktorý používate.
Tomáš Vobruba, bezpečnostný špecialista Check Point Software Technologies