Vzhľadom na to, že identifikovať narušenie bezpečnosti IT dát trvá organizáciám priemerne viac ako pol roka, je pravdepodobné, že o mnohých únikoch osobných údajov, ktoré sa vlani udiali, ešte nevedia ani samotné obete.
Stredobodom pozornosti hackerov pritom nebývajú iba zákaznícke údaje, ale skrátka všetky dáta, ktorú môžu speňažiť – či už predajom tretej strane, alebo vydieraním obetí.
Zmena filozofie
Ochrana dát sa preto popri zrýchľovaní digitalizácie a zintenzívňovaní kybernetických útokov dostáva do centra pozornosti aj v organizáciách, ktoré jej doteraz nevenovali adekvátnu pozornosť.
Jeden z konceptov zabezpečenia dát sa nazýva zero trust. Zjednodušene hovorí o tom, že organizácia by mala apriori nedôverovať všetkým používateľom a zariadeniam, ktoré do jej systémov a sietí vstupujú a ktoré sa v nich „pohybujú“.
Princíp nikomu a ničomu never a všetko preveruj vyzerá zdanlivo jednoducho, ale v praxi ho nie je také ľahké zaviesť. Nejde totiž o žiadnu samostatnú technológiu či riešenie, ale skôr o filozofiu spojenú so starostlivým plánovaním a strategickým prístupom k bezpečnosti technológií a dát.
Piliere zero trust na sieti
Základným stavebným kameňom konceptu zero trust je kontrola všetkých používateľov a zariadení, ktoré do siete pristupujú. Každý používateľ – nielen z radov zamestnancov, ale aj partnerov či zákazníkov – by mal mať pre prístup do systémov vytvorenú vlastnú identitu. Dôležité je pritom prístupy nielen identifikovať, ale tiež zabezpečiť, aby jednotliví používatelia mohli pristupovať iba k dátam, ku ktorým majú oprávnenie.
Pre zabezpečenie riadených prístupov sa používajú systémy Identity Access Management (IAM) a Priviledged Access Management (PAM). Kým IAM zabezpečuje overenie a identifikáciu, PAM rozdeľuje prístupy podľa privilégií a, obrazne povedané, rozhoduje, kam koho pustí. Okrem nich sú to tiež technológie pre viacfaktorovú autentifikáciu či šifrovanie, segmentáciu siete a zabezpečenie vzdialených prístupov cez takzvané Security Access Service Edge (SASE).
Čo sa deje v sieti
Okrem zavedenia riadeného prístupu používateľov a zariadení k systémom a dátam je však pre čo najspoľahlivejšiu ochranu dát kľúčové vedieť, čo sa deje v sieťovej infraštruktúre. Súčasťou konceptu zero trust by preto nevyhnutne mala byť aj schopnosť identifikovať rôzne podozrivé udalosti a anomálie v sieťovej prevádzke, v prípade, že dôjde k prelomeniu popísaných ochrán.
Sústrediť sa na bezpečnosť siete je logické aj preto, že takmer všetky údaje sú dnes prístupné práve cez sieť. Ak teda dokáže organizácia identifikovať a vyhodnotiť podozrivé udalosti v sieti v reálnom čase, a to vrátane zašifrovaných prenosov, výrazne zvyšuje šance zabrániť neoprávneným prístupom k dátam ešte pred tým, ako nastanú.
O kontinuálny monitoring siete v internom, vo virtuálnom aj v cloudovom prostredí sa starajú špeciálne riešenia Network Detection and Response (NDR), ktoré dokážu identifikovať škodlivé aktivity už v zárodku, a to bez ohľadu na to, či prichádzajú zvonku alebo zvnútra organizácie. Bonusom je možnosť monitoringu výkonnosti aplikácií a dostupnosti služieb na sieti.
Automatizované reakcie
V neposlednom rade by dôležitým prvkom v koncepte zero trust mala byť automatizácia. Keďže podozrivých a potenciálne nebezpečných udalostí v sieti je neúrekom, ideálne je spracúvať informácie prichádzajúce zo sieťovej prevádzky s nástrojmi pre automatizovanú odozvu na škodlivé aktivity, napríklad ich zablokovaním v reálnom čase.
Tie by mali zabezpečiť, aby reakcie na incidenty neboli príliš zdĺhavé, alebo dokonca žiadne. Schopnosť rýchlej detekcie a reakcie je vo svete IT bezpečnosti kľúčová, lebo práve pre neskorú odpoveď útočník získava priestor a čas na kroky, ktoré vyúsťujú do vážnych incidentov v podobe úniku či zašifrovania dát. Vtedy už má útočník eso v rukáve, takže môže obeť vydierať a žiadať výkupné, alebo skúšať dáta predať tretej strane.
Roman Čupka, hlavný konzultant spoločnosti Flowmon a CEO Synapsa Networks
(Špeciálny projekt)