Tradicionalno ne znači sigurno - nego zastarjelo! Provjerite kako se o sigurnosti brine u vašoj tvrtki

Tradicionalno ne znači sigurno – nego zastarjelo! Provjerite kako se o sigurnosti brine u vašoj tvrtki

Nebriga o infrastrukturi može vas skupo koštati, još više ako je vaš tim protekle godine počeo raditi remote, a sigurnosno se uopće niste prilagodili tome. Kako možete brzo provjeriti status "brige o sigurnosti" u vašoj organizaciji i koji su prvi koraci da ju poboljšate ako je potrebno, otkrivamo u zadnjem nastavku serijala "Sigurnost rada na udaljeno".

U ovom tekstu opisat ćemo principe “zero trust” modela (o tome zašto je bitan pisali smo već u prvom tekstu serijala pa svakako i njega proučite). Također, opisat ćemo mehanizme za zaštitu radnih stanica kao i zašto je briga o infrastrukturi jedan od najvažnijih aspekta sigurnosti kompanija. Na kraju teksta osvrnut ćemo se na to kako bi sigurnost trebala biti organizirana u kompanijama i zašto.

Nebitno je pristupa li određenom digitalnom resursu tvrtke vaš CEO ili vaš portir

Zero trust model razvio se iz premise da “svako povjerenje predstavlja ujedno i ranjivost vaše kompanije”. Osnovni princip zero trust modela je da se nikome ne treba vjerovati kada pristupa resursu tvrtke, već da se svakoga treba verificirati i kontrolirati prije nego li mu se dopusti pristup na određeni resurs (ovdje se vidi razlika od tradicionalnog modela gdje se svima u kompaniji vjerovalo).

Tvrtke često padnu u istu zabludu. Smatraju da će – kada jednom uštimaju i podese svoju infrastrukturu – biti vječno zaštićeni i da više ne trebaju ništa raditi na postojećoj i podešenoj infrastrukturi.

Brojne kompanije smatraju da njihovi zaposlenici ne bi nikada napravili ništa štetno, ali problem nije u tome što bi korisnici napravili sami koliko u tome da krajnji korisnici često nisu ni svjesni da imaju maliciozni program na svome računalu ili rade nešto što ne bi smjeli.

U praksi to znači da apsolutno sve zaposlenike treba provjeriti i kontrolirati kada pristupanju resursima. Nebitno je pristupa li određenom resursu vaš CEO ili vaš portir, jer kompromitacijom bilo kojega računa u vašoj organizaciji napadač može nanijeti veliku štetu – treba ih provjeravati sve.

Kako postaviti zero trust model?

Zero trust funkcionira na sljedećem principu:

Prvo je potrebno odrediti sve važne resurse u vašoj organizaciji (npr. podaci o korisnicima, podaci o zaposlenicima, poslovne tajne itd.), ti resursi nazivaju se još i „protect surface“. Nakon određivanja tih resursa potrebno je identificirati kako se promet kreće prema tim resursima tj. potrebno je odrediti koji korisnici, s kojim aplikacijama te s koje lokacije i kada pristupaju tim resursima (praksa je pokazala da većina korisnika zapne na ovom koraku). Nakon toga potrebno je sve resurse postaviti u zasebne zone. Izolirati ih u posebna mjesta te napraviti kontrole koje će kontrolirati tko, kako i sa čime smije pristupati tim resursima.

Konkretno, zero trust se preporučuje implementirati po ovim koracima:

  1. Identificirati – imovinu koja se štiti.
  2. Mapirati – promet i tokove prema toj imovini.
  3. Isplanirati zero trust arhitekturu.
  4. Kreirati – politike koje će štititi imovinu.
  5. Nadzirati – i raditi promjene po potrebi.

Krajnji cilj: želite izolirati najbitnije resurse i ograničiti im pristup

Najčešća metoda ostvarivanja zero trusta je korištenje vatrozida nove generacije na kojem se zasebno izdvajaju svi važni resursi (ograničava se pristup resursima i izvana, ali i iz same organizacije). Korištenje vatrozida nove generacije je dobra početna točka za postizanje zero trusta, ali je važno naglasiti da radi dinamičnosti i kompleksnosti zero trust nije moguće staviti na jedno mjesto ili jedan uređaj i mehanizam zaštite već on mora biti dinamičan i uključivati više mehanizama zaštite koji skladno djeluju tj. mora se širiti na cijelu organizaciju.

Cilj zero trusta je da pravi korisnici imaju pristup pravim podacima korištenjem pravih aplikacija u pravo vrijeme, a svi ostali koji ne trebaju imati pristup da ga ni nemaju. Zero trust predstavlja model tj. arhitekturu i kao takvu ju treba gledati. To znači da se ono ne može odnositi samo na jedan uređaj ili jednog korisnika već je potrebno koristiti prave uređaje i kontrole na pravim mjestima na razini čitave organizacije.

U kontekstu udaljenog spajanja preporuka je razvoditi korisnike na grupe prema njihovim potrebama i omogućiti im pristup samo onim resursima koji su im stvarno potrebni za rad (postavite si pitanje treba li vaš programer imati pristup na vašu HR aplikaciju). Također, bitno je naglasiti da se radi dinamičnosti organizacija ovaj model ne može implementirati po principu copy paste već svaka organizacija ima svoje zahtjeve ovisno o njenoj imovini.

Zaštita i kontrola radnih stanica

Zaposlenici radom od kuće postaju ranjiviji na brojne napade zbog nedostatka dodatne zaštite koju bi imali da su u uredu. U današnjem svijetu sama zaštita radnih stanica zaposlenika postaje ključna u vašoj kompaniji jer je potrebno imati rješenje koje može spriječiti i detektirati različite metode napada.

Nije uvijek slučaj da se virus treba „instalirati“ da bi bili zaraženi, već je npr. dovoljno otići na web stranicu koja ima reklamu s malicioznim sadržajem i biti zaražen. Tradicionalna antivirusna rješenja radila su tako što su imala bazu poznatih virusa i svaku datoteku na vašem računalu uspoređivali su s tom bazom, međutim to danas nije dovoljno.

Moderna antivirusna rješenja moraju braniti korisnike iz svih ulaznih točaka napada (mreža, USB, mail) i u svim fazama te zadovoljiti sljedeće kriterije:

  • Raditi zaštitu na ulaznoj točki – prije nego se određena datoteka preuzme.
  • Raditi zaštitu nakon preuzimanja datoteke.
  • Raditi zaštitu nakon pokretanja datoteka.
  • Raditi zaštitu u izlaznoj točki tj. interakciji datoteke s ostalim sustavima.
Bez posjedovanja EDR rješenja gotovo je nemoguće otkriti tko je napravio određen napad i na koji način.

U slučaju da se dogodi uspješni napad brojne kompanije samo zakrpaju rupe i poprave što je nužno, ali ne otkriju tko je točno izvršio napad i na koji način. Problem ovoga pristupa je da napadači ostaju u vašim sustavima i nakon nekog vremena bez problema ponovo izvrše napad. Da se napad ne bi ponovo dogodio nužno je posjedovati i Endpoint Detection & Response rješenja. EDP predstavlja alat za nadzor radne stanice kao i za vršenje forenzike na radnoj stanici.

EDR alat nadzire kompletan rad radne stanice – sve što korisnik radi, ali i sve što se događa “u pozadini”: od instalacije programa, kopiranja podataka do toga koji program radi koji sistemski poziv ili promjenu registriyja. Također, uz pomoć EDR rješenja radi se forenzika nad radnim stanicama. Važno je naglasiti da je bez posjedovanja EDR rješenja gotovo nemoguće otkriti tko je napravio određen napad i na koji način.

Uz korištenje naprednog antivirusa apsolutno je nužno imati i EDR rješenje na radnim stanicama, pogotovo u slučajevima gdje zaposlenici rade od doma te kompanije imaju ograničenu kontrolu nad njima. Bitno je naglasiti da je uz posjedovanje EDR-a ključno imati sigurnosne stručnjake koji aktivno nadziru EDR rješenje i u slučaju napada znaju napraviti istragu i donijeti zaključke o napadu. Brojne kompanije posjeduju EDR rješenja, ali nemaju stručnjake za rad s EDR-om.

Provjerite status brige o sigurnosti u vašoj kompaniji

Potrebna je konstantna briga o puno različitih faktora i s puno različitih pogleda da bi se postigla zadovoljavajuća razina cyber zaštite.

Lako je primijetiti kako se mnoge kompanije prema svojoj infrastrukturi odnose nemarno, posebno zbog nedostatka IT kadra, ali i zato što se nalaze u specifičnoj zabludi. Smatraju da će – kada jednom uštimaju i podese svoju infrastrukturu (uređaje, servere, mrežnu opremu, aplikacije itd.) – biti vječno zaštićeni i da više ne trebaju ništa raditi na već postojećoj i podešenoj infrastrukturi.

Glavnina današnjih napada događa se zbog nebrige o infrastrukturi tj. napadači iskorištavaju već poznate i dokumentirane ranjivosti koje se mogu spriječiti boljom brigom o infrastrukturi.

Dovoljno je zapitati se nekoliko pitanja kako biste znali kakav je status brige o sigurnosti u vašoj kompaniji:

  • ima li vaša kompanija dediciranu osobu ili tim sigurnosnih stručnjaka
  • radite li redovito patchiranje vaše infrastrukture,
  • pratite li logove s vaših sigurnosnih uređaja,
  • obrađujete li sigurnosne incidente,
  • jeste li pravno usklađeni sa sigurnosnim normama i standardima,
  • kada ste zadnji puta mijenjali određeno sigurnosno pravilo ili radili pravu reviziju?

Ako vaši odgovori na ova pitanja nisu pozitivni i ne radite gore navedene radnje redovito, planski i sistemski morate znati kako postoji velika šansa da postanete žrtvom napada. Cyber sigurnost predstavlja dinamički i kontinuirani proces te je potrebna konstantna briga o puno različitih faktora i s puno različitih pogleda da bi se postigla zadovoljavajuća razina zaštite.

Kako organizirati sigurnosni tim?

Kako smo već rekli (i nadam se, usvojili) Cyber sigurnost predstavlja dinamični proces o kojem voditi računa trebaju svi u kompaniji. Ipak, važno je napomenuti činjenicu da je Uprava posebno odgovorna za sigurnost svake kompanije te u slučaju gubitka podataka ili proboja u organizaciju uprava i odgovara za takve situacije.

Međutim, ako postoji na toj poziciji, glavnu odgovornost za sigurnost u tvrtki snosi CISO (Chief Information Security Officer) – osoba čiji je posao da brine o sigurnosti svih informacija kompanije. On bi trebao analizirati procese i urediti sustav zaštite informacija. Također, njegov posao je izraditi politike i pretvoriti ih u procedure i provesti programe edukacije zaposlenika.

U praksi se vrlo često događaju problemi zato što sigurnosnu infrastrukturu podešavanju timovi kojima to nije primarni posao.

Uz CISO-a svaka kompanija treba imati i dedicirani tehnički tim koji se bavi kompletnom sigurnosnom infrastrukturom. Uloge toga tima su podešavanje i instalacija svake sigurnosne infrastrukture (Firewall, Antivirus, Mail zaštita itd.), redovito praćenje ponašanja infrastrukture i prilagodba te infrastrukture. Taj tim bi trebao i redovito patchirati svu infrastrukturu te gledati logove na njoj.

U praksi se vrlo često događaju problemi zato što sigurnosnu infrastrukturu podešavanju timovi kojima to nije primarni posao. Problem u tome je što svi ostali timovi (koji nisu sigurnosni stručnjaci) razmišljaju samo kako je bitno da nešto radi (gledaju se isključivo performanse sustava, a manje sigurnost), dok sigurnosni stručnjaci razmišljaju kako je prvo bitno da je nešto sigurno, a tek onda kada je sigurno – kako ono radi.

Uz CISO-a i sigurnosni tim apsolutno je nužno posjedovati sigurnosni operativni centar (SOC). On se uspostavlja ugradnjom rješenja za analizu sigurnosnih logova (SIEM), a uz pomoć SIEM-a nužno je imati sigurnosnog analitičara koji će pratiti i nadzirati sve sigurnosne događaje u sustavu te raditi istragu ako uoči sumnjivo ponašanje.

Uz sve to, preporučljivo je raditi sigurnosno testiranje cijele infrastrukture (PENTEST) i skeniranje ranjivosti te prilagođavati i raditi izmjene na osnovu rezultata. Za to je, naravno, potrebno imati sigurnosni tim, odnosno više od jednog stručnjaka i više od jedne uloge dedicirane za sigurnost tvrtke. Ako kompanija nema resursa za to ili nema dovoljno znanja preporuka je outsourcati taj posao tvrtkama koje su se specijalizirale za sigurnost te posjeduju nužna znanja.

Ponovimo: Što znači siguran rad na udaljeno?

U ovome tekstu kao i prošlim tekstovima serijala opisane su najčešće sigurnosne prijetnje i odgovori i mjere koje možemo poduzeti kako bi ih u najboljoj mogućoj mjeri spriječili. U nastavku donosimo rekapitulaciju tih mjera odnosno sve korake koji su bitni kako bi postigli odgovarajuću razinu zaštite za svoju organizaciju i vaše bitne resurse.

  • Definirajte model udaljenog spajanja za vašu tvrtku i ograničite udaljeno spajanje koliko god je to moguće.
  • Koristite dvofaktorsku autentikaciju.
  • Vršite kontrolu pristupa i kontrolu uređaja koji se spajaju na vašu organizaciju.
  • Koristite zero trust model prilikom planiranja kontrole pristupa.
  • Koristite antiviruse i EDR rješenje.
  • Ako ste veća tvrtka i imate mogućnosti, formirajte sigurnosni tim i pomno te pravilno organizirajte sigurnost vaše tvrtke.
  • Vodite kontinuiranu brigu o vašoj infrastrukturi!

Za vas koji ste tu prvi put, ili se želite prisjetiti bitnih lekcija koje smo sad ponovili, sve se nalazi konkretno raspisano u ovom i prethodna dva teksta:

  1. tekst: Ovo su najčešće prijetnje remote i hibridnog načina rada!
  2. tekst: Kako dodatno osigurati udaljeno spajanje za zaposlenike – i zašto je to nužno ako vam tvrtka radi remote?
  3. tekst: Tradicionalno ne znači sigurno – nego zastarjelo! Provjerite kako se o sigurnosti brine u vašoj tvrtki (ovaj)

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome)
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime (Hrvoje Lončar) ili barem ime i inicijala (Hrvoje L.) te pravu email adresu. Kako koristimo podatke koje tamo ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Tehnologija

Brate, trebam li stvarno uzeti Šaomi?

Xiaomi je u relativno kratkom vremenu postao brend koji se daleko najviše preporučuje u Hrvatskoj i regiji. Zašto?

Kolumna

Što će nam uopće kriptovalute?

Iako o kriptovalutama slušamo već godinama, rijetko kad nam je netko dao suvisao odgovor na pitanje, a što će nama kriptovalute zapravo? U vremenima kada se centralizirani sustavi poput banaka igraju s našim povjerenjem, nikada nije bilo jasnije. Evo odgovora...

Izrada web stranica

Kad vam u 2021. padne server, što očekivati od svog hosting poslužitelja?

Po muci se poznaju junaci pa tako i hosting poslužitelji. Kako izgleda posao s druge strane vašeg weba, otkrili smo.

Što ste propustili

Digitalni marketing

Sean Ellis: “Prošlo je vrijeme kad jedan jedini growth hacker može dobiti vrtoglave rezultate”

Skovan kao termin prije više od 10 godina, growth hacking je osigurao strelovit rast mnogim poznatim firmama u tehnološkom svijetu, ali mu je ta popularnost osigurala i dozu notornosti. O kontroverzama i budućnosti ove metodologije imala sam priliku pričati s njenim utemeljiteljem, Seanom Ellisom, koji će uskoro nastupiti i uživo u Zagrebu na konferenciji SuperMinds: Don’t Code What You Don’t Understand.

Digitalni mediji

Što svaki developer treba znati o web analitici

Svaki put kad netko kaže da je web stranica gotova i “sad možemo instalirati analitiku”, analitičaru negdje na svijetu pametni telefon padne na pod, kaže stručnjak za web analitiku Robert Petković.

Startupi i poslovanje

Head of Growth: Ima li takvih superjunaka u Hrvatskoj?

Domaćim tehnološkim tvrtkama ojačanima investicijama na putu prema rastu trebaju iskusni multidiscplinarni stručnjaci koji će taj rast ubrzati. Analiziramo kako Head of Growth razmišlja, što treba znati te gdje ga i kako naći, a svoja razmišljanja dali su i Filip, vlasnik growth agencije te Tana, suosnivačica Bazzara, koji upravo zapošljava jednog.

Sponzorirano

eCommerce nakon pandemije? Najveće okupljanje industrije otkriva nam korijenske promjene

Svjedoci smo povijesnih preokreta u digitalnoj trgovini i promjena koje će imati dalekosežne posljedice. Kako se pripremiti za postpandemijski svijet eCommercea, Neuralab ekipa donosi saznanja sa središnjeg eCommerce događaja - RetailXa u Chicagu.

Startupi i poslovanje

Superology i Sportening: Želimo odgajati vrhunske product managere u Hrvatskoj

Jedan je prošao put od programera preko 'Katice za sve' do voditelja razvoja proizvoda, a drugi je nakon doktorata i akademske karijere u Kaliforniji radio u Googleu u Zürichu pa se vratio u Zagreb biti suosnivač startupa. Otkrili su nam što čini dobrog product managera, što dobri produktni tim i koji je najkraći put do inovacije.

Kultura 2.0

Velimir Grgić: “Ljudski mozak (i sve njegove mane) postao je transparentniji nego ikada, a sve zahvaljujući internetu.”

Velimir je kao novinar, pisac, scenarist i producent prošao zbilja sito i rešeto toga, ali teorije zavjera ostale su mu trajna inspiracija još od ranih dana. Zašto itko promišlja o zemlji koja je ravna ploča, hoće li teoretiziranje o zavjerama ikada prestati te koja teorija je njemu osobno najintrigantnija - saznali smo od autora netom rasprodane knjige "Teorije zavjera 21. stoljeća".