Aneb koho a proč bezpečnost systémů organizace (ne)pálí jsme se zeptali dalšího nezávislého subjektu, společnosti Ixperta. Na naše otázky odpovídal Milan Šereda, Security Consultant, Ixperta.
Co podle vás firmy v oblasti bezpečnosti nejvíce „pálí“?
Největším problémem je nízká podpora vedení firem k zavedení a rozvoji formálních procesů řízení informační bezpečnosti. Tyto firmy implementují na úrovni IT oddělení různá bezpečnostní řešení, aniž by si nejdříve ujasnily, co jsou její důležitá podniková aktiva, která se musí chránit, jakou mají cenu, jaké na ně působí hrozby, jaká jsou s tím spojena rizika a k jakým škodám či sankcím může potenciálně dojít.
V současné době se objevuje tolik bezpečnostních hrozeb zvenčí, že je běžné bezpečnostní prostředky (antimalware, firewally, systémy NDS/NPS apod.) nemusejí chytit. Existuje proti tzv. zero-day attacks vůbec nějaká obrana?
Vždy platí pravidlo, že je potřeba kombinace různorodých bezpečnostních opatření na různých místech ICT, aby byla ochrana účinná. Z pohledu technického řešení ochrany proti zero-day attacks je vhodným řešením analýza síťových toků s detekcí anomálního chování (NBAD/NBA). Na to lze aplikovat i reaktivní opatření. V ideálním případě je použít nástroj SIEM (Security Information and Event Management – řešení kompletního bezpečnostního monitoringu), který koreluje všechny provozní a bezpečnostní informace dohromady (včetně logů a toků)a poskytuje bezpečnostnímu správci jasný obraz o provozu a detekuje případné vzniklé bezpečnostní situace.
Připomínám, že je nutné nastavit bezpečnostní opatření jak na technické, tak procesní úrovni, např. jakým způsobem danou událost vyšetřit, pochopit její příčiny a důsledky, poučit se z ní, aby příště nenastala.
Donedávna se všichni generálové připravovali na válku, která již byla. V oblasti ICT bezpečnosti se válčí od počátku existence tohoto průmyslu. Existují tedy i hrozby, které zatím neznáme. Kterých oblastí se dnes mohou týkat nejspíše?
Obecně lze říct, že jakýkoliv nový trend či technologie, které se rychle rozšíří, mají své bezpečnostní implikace. Výrobci se snaží o prvenství v jejich představení, zaujetí veřejnosti a získání konkurenční výhody. Bezpečnost a její problémy se projevují pak až ex-post v časovém odstupu při masivním rozšíření, kdy to začne být zajímavé pro různé zájmové skupiny působící v internetu. Dobrým příkladem může být trend „internet věcí“, který je zajímavou myšlenkou, ale i možným rizikem. Dále to mohou být sociální sítě nebo webový protokol jako univerzální přenosové médium.
Vidíte na poli podnikové IT bezpečnosti nějaký další významný trend?
V případě České republiky dochází ve všech velkých podnicích k nasazení řešení SIEM, menší podniky implementují zajímavá a cenově dostupná řešení k vyhodnocení síťových toků s detekcí anomálií (NBA). Zatím méně časté jsou systémy ke zjišťování zranitelných míst v interní síti, které jsou v západních zemích už masivně nasazeny. Pro některé velké podniky byla impulzem legislativa, například zákon č. 181/2014 Sb. o KB, a také ISO 27001:2013.
Rovněž dochází k výměně běžných stavových firewallů za specializované bezpečnostní brány, které rozumějí provozu aplikací a obsahu webového provozu. Důležité jsou i reputační služby, které poskytují aktuální informace o identifikovaných nebezpečích ve veřejném Internetu.
Bezpečnostní experti už před časem definovali tři základní stupně bezpečnosti: lidé, procesy, technologie. Jakým způsobem se jim věnuje zrovna vaše firma?
Spíše bych to nazval oblastmi bezpečnosti, které se prolínají a bez kterým nelze bezpečnost efektivně zavést. Podrobnější pohled na členění, co to vše znamená, pak může pomoci rozkrytí například normy ISO 27001:2013, která může být pro podniky základním vodítkem. Avšak pokud k tomu podniky nepřistupují zodpovědně a systematicky, ani certifikace ISO je nespasí. Ve společnosti Ixperta se věnujeme samozřejmě všem třem vámi poptaným oblastem.