5-8 minut

Jak firma może przygotować się na cyberatak?

Skuteczne cyberataki zdarzają się zazwyczaj wtedy, kiedy organizacja najmniej się ich spodziewa. Według danych zawartych w raporcie Check Point „2022 Cyber Security Report”1 liczba incydentów bezpieczeństwa w sieciach korporacyjnych wzrosła w 2021 r. w porównaniu z 2020 r o 50%. Z każdym rokiem zwiększa się ryzyko cyberataków, dlatego tak ważne jest zapobieganie im i przygotowanie się na ich odparcie. W artykule opiszemy podstawowe zasady dotyczące przygotowania organizacji na potencjalny cyberatak.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:
  1. JAKĄ FUNKCJĘ PEŁNIĄ AUDYTY I TESTY PENETRACYJNE?
  2. JAKIE LUKI W BEZPIECZEŃSTWIE NAJCZĘŚCIEJ PROWADZĄ DO UDANYCH ATAKÓW?
  3. JAKIE ŚRODKI ZAPOBIEGAWCZE MOŻE PODJĄĆ ORGANIZACJA, BY ZABEZPIECZYĆ SIĘ PRZED ATAKIEM?
  4. DLACZEGO STAŁY NADZÓR NAD BEZPIECZEŃSTWEM MA KLUCZOWE ZNACZENIE W REAGOWANIU NA INCYDENTY?
  5. JAKIE USŁUGI DOSTARCZA ZESPÓŁ BEZPIECZEŃSTWA SECURITY OPERATIONS CENTER (SOC) T-MOBILE?

Przygotowane przez amerykańską agencję CISA (Cyberseurity & Infrastucture Security Agency) po inwazji Rosji na Ukrainę sugestie obejmują kilka punktów2, wśród których w pierwszej kolejności znajdują się zalecenia tworzenia silnej linii obrony przed cyberatakami, wzmocnienie systemów i procedur wykrywania ataków oraz maksymalizacja odporności organizacji na destrukcyjny incydent cyberbezpieczeństwa.

Audyt bezpieczeństwa i testy penetracyjne

Warunkiem koniecznym zwiększenia poziomu cyberbezpieczeństwa jest rzetelna ocena aktualnego stanu przygotowań na potencjalny, mogący się wydarzyć incydent. Przeprowadzenie audytu bezpieczeństwa to pierwszy krok do stworzenia planu poprawy odporności na wypadek cyberataku.

Ważnym elementem przygotowującym organizację do sytuacji kryzysowych są także testy penetracyjne pozwalające sprawdzić, w jaki sposób specjaliści od bezpieczeństwa i cała organizacja będą sobie radzić w „warunkach bojowych”. Pozwalają one w sposób doświadczalny pokazać aktualne słabości systemu ochrony informacji w organizacji. Test przeprowadzany jest przez eksperta (pentestera), a jego celem jest włamanie się, czyli przeprowadzenie kontrolowanej próby złamania linii obrony systemów bezpieczeństwa.

Zalecenie dotyczące audytów i testów znaleźć możemy m.in. w dokumencie „Strategia Cyberbezpieczeństwa Rzeczpospolitej Polskiej” na lata 2017-2022 Ministerstwa Cyfryzacji3. „Jednym ze środków, który pozwala na dokonanie oceny skuteczności wdrożonych systemów zarządzania bezpieczeństwem i adekwatności ustanowionych zabezpieczeń, są okresowe audyty. (…) Kolejnym środkiem oceny bezpieczeństwa są testy penetracyjne, które pozwalają na rzeczywistą ocenę odporności systemu na zagrożenia. Ich wyniki stanowią podstawę weryfikacji przyjętych założeń w zakresie ustanowionych zabezpieczeń.” – czytamy w opracowaniu.

Audyt oraz testy penetracyjne powinny być przeprowadzone przez wyspecjalizowane podmioty dysponujące specjalistami w tej dziedzinie. Usługi te świadczy m.in. T‑Mobile. Wśród możliwych do wykonania przez tę instytucję testów znajdują się m.in.: testy penetracyjne infrastruktury, aplikacji i sieci przeprowadzane zgodnie z najlepszymi praktykami.

Środki zapobiegawcze

Wśród ważnych zasad pozwalających wzmocnić poziom bezpieczeństwa w pierwszej kolejności należy wymienić właściwe polityki bezpieczeństwa. Osoby odpowiedzialne w organizacji za cyberbezpieczeństwo powinny dysponować właściwymi narzędziami do identyfikacji i szybkiej oceny wszelkich nieoczekiwanych lub nietypowych zachowań sieci. Warunkiem koniecznym jest ochrona przez oprogramowanie antywirusowe/antymalware, właściwe działanie zapory firewall i stała aktualizacja tych narzędzi.

Równie oczywistą zasadą jest aktualizacja oprogramowania obejmująca nie tylko aplikacje, systemy operacyjne, ale także sterowniki stosowanego w firmach sprzętu, takiego jak drukarki, czy urządzenia bezprzewodowe mające dostęp do sieci korporacyjnych. Regularna aktualizacja software’u jest często zadaniem niedocenianym przez służby informatyczne. W przeprowadzonym przez Ivanti w 2021 roku badaniu4 62% respondentów stwierdziło, że „łatanie” dziur w oprogramowaniu często zyskuje najniższy priorytet w powierzonych do wykonania zadaniach. Innym utrudnieniem, na które zwróciło uwagę 60% ankietowanych jest fakt, iż czynności te są także źle postrzegane przez samych użytkowników, bo często dezorganizują im ich rytm wykonywanych codziennie obowiązków i przez to stanowią istotne utrudnienie w ich pracy. Mimo oporów wewnątrz organizacji, uciążliwe dla administracji i kłopotliwe dla pracowników czynności związane z aktualizacją oprogramowania muszą być wykonywane. Jak wynika z ankiety Ponemon Institute5, wykorzystywanie luk w zabezpieczeniach oprogramowania to niezwykle popularna metoda ataków. Aż blisko 60 procent naruszeń bezpieczeństwa wiązało się z wykorzystaniem luki w oprogramowaniu, w którym nie zastosowano dostępnej już „łaty”.

Do istotnych środków zapobiegawczych należą także szkolenia pracowników w zakresie najlepszych praktyk i stałe podnoszenie ich kwalifikacji. Phishing, waterholing i inne ataki socjotechniczne pozwalają cyberprzestępcom odnosić sukcesy ponieważ łatwiej jest wykorzystać słabości ludzkie niż włamać się do dobrze zabezpieczonej sieci. Organizacja musi zadbać o to, by jej pracownicy potrafili zapobiegać włamaniom, zamiast nieświadomie je umożliwiać. W tym celu konieczne jest włączenie cyberbezpieczeństwa do kultury firmy.

Ważnym elementem wzmocnienia ochrony jest stosowanie dobrych praktyk w zakresie logowania się do sieci korporacyjnej. Jedną z nich jest zasada uwierzytelnienia dwuskładnikowego, czyli Two-factor authentication (2FA). Pierwszym składnikiem jest zwykle element znany użytkownikowi (np. nazwa logowania i hasło), a drugim składnikiem jest element posiadany przez pracownika, którą pełnić może np. aplikacja uwierzytelniająca na smartfonie. Stosowane obecnie technologie pozwalają nie tylko w sposób bezpiecznych korzystać z uwierzytelnienia dwuskładnikowego, ale rozwiązania te są także wygodne dla użytkowników.

Stały nadzór nad bezpieczeństwem

Organizacjom coraz trudniej jest samodzielnie stawiać czoła zagrożeniom i odpowiednio szybko reagować zarówno na próby ataku jak i zmitygować sam atak. Korzystanie z podmiotów zewnętrznych świadczących wszechstronne usługi monitoringu bezpieczeństwa i szybkiego reagowania na zagrożenie wydaje się być w tej sytuacji rozwiązaniem optymalnym.

Usługi takie świadczy m.in. T‑Mobile. Operator telekomunikacyjny dostarcza stały monitoring dedykowanym zespołem bezpieczeństwa Security Operations Center (SOC) pomagając organizacjom wykrywać i zapobiegać atakom przez całą dobę. Oferowane w ramach SOC usługi obejmują m.in. Threat Inteligence czyli cykliczne dostarczanie informacji o zagrożeniach i atakach oraz sposobach reagowania na nie. Z kolei usługa SIEM – System Security Information and Event Management służy do zbierania, agregowania i korelacji zdarzeń, na bazie których generowane są alarmy dotyczące incydentów bezpieczeństwa.

Usługi obejmują także reagowanie na incydent zgodnie z określonym w umowie SLA. W ramach swoich obowiązków eksperci od bezpieczeństwa T‑Mobile mogą zajmować się m.in. powstrzymywaniem ataków. T‑Mobile jako operator dostarcza również rozwiązanie end point protection oparte na chmurze – T‑Mobile Cloud Security. Pozwala ono między innymi na zarządzanie zagrożeniami, czyli Vulnarebility Management świadczone za pomocą agenta CrowdStrike. Oprogramowanie to analizuje, wykrywa i wskazuje podatności systemów operacyjnych oraz aplikacji znajdujących się na serwerze lub komputerze użytkownika. Odpowiedni raport informuje, co należy zrobić, by zabezpieczyć organizację przed zagrożeniem związanym z wykrytymi podatnościami. Można z niego odczytać m.in. jaką „łatkę” zastosować.

Podsumowanie

Przypomnijmy, w jaki sposób firma może przygotować się na atak:

  • Kluczowe znaczenie ma przestrzeganie polityk bezpieczeństwa. Osoby odpowiedzialne w organizacji za cyberbezpieczeństwo powinny dysponować właściwymi narzędziami do szybkiej oceny wszelkich nieoczekiwanych lub nietypowych zachowań sieci.
  • Warunkiem koniecznym jest ochrona przez oprogramowanie antywirusowe/antymalware, działanie zapory firewall i stała aktualizacja tych narzędzi
  • Aktualizacja oprogramowania powinna obejmować nie tylko aplikacje, systemy operacyjne, ale także sterowniki stosowanego w firmach sprzętu, takiego jak drukarki, czy urządzenia bezprzewodowe mające dostęp do sieci korporacyjnych. Aż blisko 60 procent naruszeń bezpieczeństwa wiązało się z wykorzystaniem luki w oprogramowaniu, w którym nie zastosowano dostępnej już „łaty”
  • Do istotnych środków zapobiegawczych należą także szkolenia pracowników w zakresie najlepszych praktyk i stałe podnoszenie ich kwalifikacji
  • Konieczne do właściwej ochrony jest stosowanie dobrych praktyk w zakresie logowania się do sieci korporacyjnej. Jedną z nich jest zasada uwierzytelnienia dwuskładnikowego, czyli Two-factor authentication (2FA)
  • T-Mobile dostarcza usługę stałego monitoringu dedykowanego zespołu bezpieczeństwa Security Operations Center (SOC) ułatwiając wykrywanie i zapobieganie atakom. Oferowane w ramach SOC usługi obejmują m.in. Threat Inteligence czyli cykliczne dostarczanie informacji o zagrożeniach i atakach oraz sposobach reagowania na nie
  • Usługa T‑Mobile SIEM – System Security Information and Event Management służy do zbierania, agregowania i korelacji zdarzeń, na bazie których generowane są alarmy dotyczące incydentów bezpieczeństwa
  • T-Mobile dostarcza również rozwiązanie end point protection oparte na chmurze – T‑Mobile Cloud Security. Pozwala ono między innymi na zarządzanie zagrożeniami, czyli Vulnarebility Management świadczone za pomocą agenta CrowdStrike

1https://pages.checkpoint.com/cyber-security-report-2022.html

2https://www.cisa.gov/shields-up

3https://www.gov.pl/documents/31305/0/strategia_cyberbezpieczenstwa_rzeczypospolitej_polskiej_na_lata_2017_-_2022.pdf

4https://www.ivanti.com/company/press-releases/2021/71-of-it-security-pros-find-patching-to-be-overly-complex-and-time-consuming-ivanti-study-confirms

5https://securityboulevard.com/2019/10/60-of-breaches-in-2019-involved-unpatched-vulnerabilities/

Usługi Bezpieczeństwa IT

Ten artykuł dotyczy produktu

Usługi Bezpieczeństwa IT

Przejdź do produktu

Data publikacji: 30.05.2022

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail