Tradicionalno ne znači sigurno - nego zastarjelo! Provjerite kako se o sigurnosti brine u vašoj tvrtki

Tradicionalno ne znači sigurno – nego zastarjelo! Provjerite kako se o sigurnosti brine u vašoj tvrtki

Nebriga o infrastrukturi može vas skupo koštati, još više ako je vaš tim protekle godine počeo raditi remote, a sigurnosno se uopće niste prilagodili tome. Kako možete brzo provjeriti status "brige o sigurnosti" u vašoj organizaciji i koji su prvi koraci da ju poboljšate ako je potrebno, otkrivamo u zadnjem nastavku serijala "Sigurnost rada na udaljeno".

U ovom tekstu opisat ćemo principe “zero trust” modela (o tome zašto je bitan pisali smo već u prvom tekstu serijala pa svakako i njega proučite). Također, opisat ćemo mehanizme za zaštitu radnih stanica kao i zašto je briga o infrastrukturi jedan od najvažnijih aspekta sigurnosti kompanija. Na kraju teksta osvrnut ćemo se na to kako bi sigurnost trebala biti organizirana u kompanijama i zašto.

Nebitno je pristupa li određenom digitalnom resursu tvrtke vaš CEO ili vaš portir

Zero trust model razvio se iz premise da “svako povjerenje predstavlja ujedno i ranjivost vaše kompanije”. Osnovni princip zero trust modela je da se nikome ne treba vjerovati kada pristupa resursu tvrtke, već da se svakoga treba verificirati i kontrolirati prije nego li mu se dopusti pristup na određeni resurs (ovdje se vidi razlika od tradicionalnog modela gdje se svima u kompaniji vjerovalo).

Tvrtke često padnu u istu zabludu. Smatraju da će – kada jednom uštimaju i podese svoju infrastrukturu – biti vječno zaštićeni i da više ne trebaju ništa raditi na postojećoj i podešenoj infrastrukturi.

Brojne kompanije smatraju da njihovi zaposlenici ne bi nikada napravili ništa štetno, ali problem nije u tome što bi korisnici napravili sami koliko u tome da krajnji korisnici često nisu ni svjesni da imaju maliciozni program na svome računalu ili rade nešto što ne bi smjeli.

U praksi to znači da apsolutno sve zaposlenike treba provjeriti i kontrolirati kada pristupanju resursima. Nebitno je pristupa li određenom resursu vaš CEO ili vaš portir, jer kompromitacijom bilo kojega računa u vašoj organizaciji napadač može nanijeti veliku štetu – treba ih provjeravati sve.

Kako postaviti zero trust model?

Zero trust funkcionira na sljedećem principu:

Prvo je potrebno odrediti sve važne resurse u vašoj organizaciji (npr. podaci o korisnicima, podaci o zaposlenicima, poslovne tajne itd.), ti resursi nazivaju se još i „protect surface“. Nakon određivanja tih resursa potrebno je identificirati kako se promet kreće prema tim resursima tj. potrebno je odrediti koji korisnici, s kojim aplikacijama te s koje lokacije i kada pristupaju tim resursima (praksa je pokazala da većina korisnika zapne na ovom koraku). Nakon toga potrebno je sve resurse postaviti u zasebne zone. Izolirati ih u posebna mjesta te napraviti kontrole koje će kontrolirati tko, kako i sa čime smije pristupati tim resursima.

Konkretno, zero trust se preporučuje implementirati po ovim koracima:

  1. Identificirati – imovinu koja se štiti.
  2. Mapirati – promet i tokove prema toj imovini.
  3. Isplanirati zero trust arhitekturu.
  4. Kreirati – politike koje će štititi imovinu.
  5. Nadzirati – i raditi promjene po potrebi.

Krajnji cilj: želite izolirati najbitnije resurse i ograničiti im pristup

Najčešća metoda ostvarivanja zero trusta je korištenje vatrozida nove generacije na kojem se zasebno izdvajaju svi važni resursi (ograničava se pristup resursima i izvana, ali i iz same organizacije). Korištenje vatrozida nove generacije je dobra početna točka za postizanje zero trusta, ali je važno naglasiti da radi dinamičnosti i kompleksnosti zero trust nije moguće staviti na jedno mjesto ili jedan uređaj i mehanizam zaštite već on mora biti dinamičan i uključivati više mehanizama zaštite koji skladno djeluju tj. mora se širiti na cijelu organizaciju.

Cilj zero trusta je da pravi korisnici imaju pristup pravim podacima korištenjem pravih aplikacija u pravo vrijeme, a svi ostali koji ne trebaju imati pristup da ga ni nemaju. Zero trust predstavlja model tj. arhitekturu i kao takvu ju treba gledati. To znači da se ono ne može odnositi samo na jedan uređaj ili jednog korisnika već je potrebno koristiti prave uređaje i kontrole na pravim mjestima na razini čitave organizacije.

U kontekstu udaljenog spajanja preporuka je razvoditi korisnike na grupe prema njihovim potrebama i omogućiti im pristup samo onim resursima koji su im stvarno potrebni za rad (postavite si pitanje treba li vaš programer imati pristup na vašu HR aplikaciju). Također, bitno je naglasiti da se radi dinamičnosti organizacija ovaj model ne može implementirati po principu copy paste već svaka organizacija ima svoje zahtjeve ovisno o njenoj imovini.

Zaštita i kontrola radnih stanica

Zaposlenici radom od kuće postaju ranjiviji na brojne napade zbog nedostatka dodatne zaštite koju bi imali da su u uredu. U današnjem svijetu sama zaštita radnih stanica zaposlenika postaje ključna u vašoj kompaniji jer je potrebno imati rješenje koje može spriječiti i detektirati različite metode napada.

Nije uvijek slučaj da se virus treba „instalirati“ da bi bili zaraženi, već je npr. dovoljno otići na web stranicu koja ima reklamu s malicioznim sadržajem i biti zaražen. Tradicionalna antivirusna rješenja radila su tako što su imala bazu poznatih virusa i svaku datoteku na vašem računalu uspoređivali su s tom bazom, međutim to danas nije dovoljno.

Moderna antivirusna rješenja moraju braniti korisnike iz svih ulaznih točaka napada (mreža, USB, mail) i u svim fazama te zadovoljiti sljedeće kriterije:

  • Raditi zaštitu na ulaznoj točki – prije nego se određena datoteka preuzme.
  • Raditi zaštitu nakon preuzimanja datoteke.
  • Raditi zaštitu nakon pokretanja datoteka.
  • Raditi zaštitu u izlaznoj točki tj. interakciji datoteke s ostalim sustavima.
Bez posjedovanja EDR rješenja gotovo je nemoguće otkriti tko je napravio određen napad i na koji način.

U slučaju da se dogodi uspješni napad brojne kompanije samo zakrpaju rupe i poprave što je nužno, ali ne otkriju tko je točno izvršio napad i na koji način. Problem ovoga pristupa je da napadači ostaju u vašim sustavima i nakon nekog vremena bez problema ponovo izvrše napad. Da se napad ne bi ponovo dogodio nužno je posjedovati i Endpoint Detection & Response rješenja. EDP predstavlja alat za nadzor radne stanice kao i za vršenje forenzike na radnoj stanici.

EDR alat nadzire kompletan rad radne stanice – sve što korisnik radi, ali i sve što se događa “u pozadini”: od instalacije programa, kopiranja podataka do toga koji program radi koji sistemski poziv ili promjenu registriyja. Također, uz pomoć EDR rješenja radi se forenzika nad radnim stanicama. Važno je naglasiti da je bez posjedovanja EDR rješenja gotovo nemoguće otkriti tko je napravio određen napad i na koji način.

Uz korištenje naprednog antivirusa apsolutno je nužno imati i EDR rješenje na radnim stanicama, pogotovo u slučajevima gdje zaposlenici rade od doma te kompanije imaju ograničenu kontrolu nad njima. Bitno je naglasiti da je uz posjedovanje EDR-a ključno imati sigurnosne stručnjake koji aktivno nadziru EDR rješenje i u slučaju napada znaju napraviti istragu i donijeti zaključke o napadu. Brojne kompanije posjeduju EDR rješenja, ali nemaju stručnjake za rad s EDR-om.

Provjerite status brige o sigurnosti u vašoj kompaniji

Potrebna je konstantna briga o puno različitih faktora i s puno različitih pogleda da bi se postigla zadovoljavajuća razina cyber zaštite.

Lako je primijetiti kako se mnoge kompanije prema svojoj infrastrukturi odnose nemarno, posebno zbog nedostatka IT kadra, ali i zato što se nalaze u specifičnoj zabludi. Smatraju da će – kada jednom uštimaju i podese svoju infrastrukturu (uređaje, servere, mrežnu opremu, aplikacije itd.) – biti vječno zaštićeni i da više ne trebaju ništa raditi na već postojećoj i podešenoj infrastrukturi.

Glavnina današnjih napada događa se zbog nebrige o infrastrukturi tj. napadači iskorištavaju već poznate i dokumentirane ranjivosti koje se mogu spriječiti boljom brigom o infrastrukturi.

Dovoljno je zapitati se nekoliko pitanja kako biste znali kakav je status brige o sigurnosti u vašoj kompaniji:

  • ima li vaša kompanija dediciranu osobu ili tim sigurnosnih stručnjaka
  • radite li redovito patchiranje vaše infrastrukture,
  • pratite li logove s vaših sigurnosnih uređaja,
  • obrađujete li sigurnosne incidente,
  • jeste li pravno usklađeni sa sigurnosnim normama i standardima,
  • kada ste zadnji puta mijenjali određeno sigurnosno pravilo ili radili pravu reviziju?

Ako vaši odgovori na ova pitanja nisu pozitivni i ne radite gore navedene radnje redovito, planski i sistemski morate znati kako postoji velika šansa da postanete žrtvom napada. Cyber sigurnost predstavlja dinamički i kontinuirani proces te je potrebna konstantna briga o puno različitih faktora i s puno različitih pogleda da bi se postigla zadovoljavajuća razina zaštite.

Kako organizirati sigurnosni tim?

Kako smo već rekli (i nadam se, usvojili) Cyber sigurnost predstavlja dinamični proces o kojem voditi računa trebaju svi u kompaniji. Ipak, važno je napomenuti činjenicu da je Uprava posebno odgovorna za sigurnost svake kompanije te u slučaju gubitka podataka ili proboja u organizaciju uprava i odgovara za takve situacije.

Međutim, ako postoji na toj poziciji, glavnu odgovornost za sigurnost u tvrtki snosi CISO (Chief Information Security Officer) – osoba čiji je posao da brine o sigurnosti svih informacija kompanije. On bi trebao analizirati procese i urediti sustav zaštite informacija. Također, njegov posao je izraditi politike i pretvoriti ih u procedure i provesti programe edukacije zaposlenika.

U praksi se vrlo često događaju problemi zato što sigurnosnu infrastrukturu podešavanju timovi kojima to nije primarni posao.

Uz CISO-a svaka kompanija treba imati i dedicirani tehnički tim koji se bavi kompletnom sigurnosnom infrastrukturom. Uloge toga tima su podešavanje i instalacija svake sigurnosne infrastrukture (Firewall, Antivirus, Mail zaštita itd.), redovito praćenje ponašanja infrastrukture i prilagodba te infrastrukture. Taj tim bi trebao i redovito patchirati svu infrastrukturu te gledati logove na njoj.

U praksi se vrlo često događaju problemi zato što sigurnosnu infrastrukturu podešavanju timovi kojima to nije primarni posao. Problem u tome je što svi ostali timovi (koji nisu sigurnosni stručnjaci) razmišljaju samo kako je bitno da nešto radi (gledaju se isključivo performanse sustava, a manje sigurnost), dok sigurnosni stručnjaci razmišljaju kako je prvo bitno da je nešto sigurno, a tek onda kada je sigurno – kako ono radi.

Uz CISO-a i sigurnosni tim apsolutno je nužno posjedovati sigurnosni operativni centar (SOC). On se uspostavlja ugradnjom rješenja za analizu sigurnosnih logova (SIEM), a uz pomoć SIEM-a nužno je imati sigurnosnog analitičara koji će pratiti i nadzirati sve sigurnosne događaje u sustavu te raditi istragu ako uoči sumnjivo ponašanje.

Uz sve to, preporučljivo je raditi sigurnosno testiranje cijele infrastrukture (PENTEST) i skeniranje ranjivosti te prilagođavati i raditi izmjene na osnovu rezultata. Za to je, naravno, potrebno imati sigurnosni tim, odnosno više od jednog stručnjaka i više od jedne uloge dedicirane za sigurnost tvrtke. Ako kompanija nema resursa za to ili nema dovoljno znanja preporuka je outsourcati taj posao tvrtkama koje su se specijalizirale za sigurnost te posjeduju nužna znanja.

Ponovimo: Što znači siguran rad na udaljeno?

U ovome tekstu kao i prošlim tekstovima serijala opisane su najčešće sigurnosne prijetnje i odgovori i mjere koje možemo poduzeti kako bi ih u najboljoj mogućoj mjeri spriječili. U nastavku donosimo rekapitulaciju tih mjera odnosno sve korake koji su bitni kako bi postigli odgovarajuću razinu zaštite za svoju organizaciju i vaše bitne resurse.

  • Definirajte model udaljenog spajanja za vašu tvrtku i ograničite udaljeno spajanje koliko god je to moguće.
  • Koristite dvofaktorsku autentikaciju.
  • Vršite kontrolu pristupa i kontrolu uređaja koji se spajaju na vašu organizaciju.
  • Koristite zero trust model prilikom planiranja kontrole pristupa.
  • Koristite antiviruse i EDR rješenje.
  • Ako ste veća tvrtka i imate mogućnosti, formirajte sigurnosni tim i pomno te pravilno organizirajte sigurnost vaše tvrtke.
  • Vodite kontinuiranu brigu o vašoj infrastrukturi!

Za vas koji ste tu prvi put, ili se želite prisjetiti bitnih lekcija koje smo sad ponovili, sve se nalazi konkretno raspisano u ovom i prethodna dva teksta:

  1. tekst: Ovo su najčešće prijetnje remote i hibridnog načina rada!
  2. tekst: Kako dodatno osigurati udaljeno spajanje za zaposlenike – i zašto je to nužno ako vam tvrtka radi remote?
  3. tekst: Tradicionalno ne znači sigurno – nego zastarjelo! Provjerite kako se o sigurnosti brine u vašoj tvrtki (ovaj)

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome)
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime (Hrvoje Lončar) ili barem ime i inicijala (Hrvoje L.) te pravu email adresu. Kako koristimo podatke koje tamo ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Startupi i poslovanje

Imaš li svoje vrijeme za stvaranje? Jer jedan sastanak je dovoljan da ti uništi koncentraciju za cijeli dan!

Maker time. Deep work. Vrijeme za produktivnost i ideje. Zvuči kao ideal za mnoge hrvatske tvrtke, ali želimo li biti učinkoviti i kreativni, moramo si odrediti raspored za stvaranje - bili programer, pisac ili dizajner, radili na daljinu ili u uredu!

Tehnologija

Koliko su novi e-Građani – bolji? Evo što kažu hrvatski dizajneri i UX stručnjaci

e-Građani su napokon doživjeli dugo očekivani redizajn pod palicom vladinog vlastitog "startup" tima. Redizajn je kruna dvogodišnjeg rada, kažu. I treba biti s obzirom da je riječ o platformi na kojoj će biti dostupno 87 usluga za građane, a koje bi trebale biti okosnica digitalnog društva. Što su uspjeli poboljšati, na čemu još trebaju raditi - otkrivamo.

Startupi i poslovanje

“Vrijeme je da prestanemo veličati ‘ludnicu na poslu’. Haj’mo samo razvijati jako kvalitetan proizvod ili uslugu!”

Ljudi više ne mogu odraditi posao - na poslu… Jeste sami bili u toj situaciji ove godine, ovaj mjesec? Ako čitate ovo, vjerojatno ste dio digitalne zajednice, visoko-kompetitivnog IT sektora i možda vam se takve okolnosti događaju i na dnevnoj bazi. Tako ne bi trebalo biti.

Što ste propustili

Tehnologija

DiscussIT: Možda bismo sigurnije poslovali da se više bojimo mailova, nego kriptovaluta

Bilo da je u pitanju sigurnost jednog servera ili cijelog računalnog centra, plaćanje kriptovalutama ili mobilnim bankarstvom - prijetnje uvijek postoje. Pitanje je samo koliko smo spremni ako se one ostvare, a upravo je to bila jedna od ključnih tema Combisovog DiscussIT panela.

Sponzorirano

U tijeku je pandemija online videa. Jeste li joj se prilagodili?

Potražnja za online videom veća je no ikada, ali rijetki su se uspjeli snaći u tome. Oni koji jesu, sad profitiraju. Uključujući i brendove.

Startupi i poslovanje

Event management platforma suosnivača iz BiH pivotirala pa osigurala 5,5 milijuna dolara

Još u 2018. smo govorili o zanimljivoj karijeri Jasenka Hadžića koji je od BiH došao do Danske i ondje pokrenuo startup Tame. Tijekom COVID pandemije zabilježili su rast prihoda od 700 posto.

Startupi i poslovanje

Hrvatska na mapi jednoroga svijeta: Danska, Finska i Italija imaju 0, a mi odnedavno čak 2!

Od preko 500 "jednoroga" rasprostranjenih po svijetu, Hrvatska se na svjetskoj listi odlično drži! Dva jednoroga (ako niste pratili, Rimac je jednorog!) nisu malo za tako malu zemlju - pogotovo kad se stave u kontekst okruženja, ekonomskih pokazatelja i infrastrukture.

Novost

Igor Kranjčec, donedavno Product Marketing Lead u Lemaxu, preuzeo je ulogu Head of Marketinga

Donedavno Product Marketing Lead u Lemaxu, Igor Kranjčec u objedinjenom odjelu nastavlja krojiti proizvodno-marketinšku strategiju na novoj poziciji.

Intervju

IT stručnjacima ne treba “soliti pamet”, već smanjiti frikcije u komunikaciji

Usto, tražimo ljude koji misle svojom glavom i koji se ne boje preuzeti inicijativu. Ljude koji znaju reći ne i to argumentirano zastupati. Posljednje i ne manje važno, tražimo ljude koji nastoje vidjeti i širu sliku, koji nastoje kroz svoj dio posla olakšati i poboljšati posao sljedećeg koji će raditi na proizvodu, koji znaju dobro „čitati” poslovne procese klijenata za koje pišu softver, kaže Luka Ferlež iz Amplexora.