Stabilna łączność między elementami infrastruktury IT ma fundamentalne znaczenie dla nieprzerwanego funkcjonowania przedsiębiorstw. W dzisiejszych czasach praca bez dostępu do internetu (np. bez poczty elektronicznej) jest praktycznie niemożliwa. To woda na młyn cyberprzestępców. Nic więc dziwnego, że korzystają z wielu narzędzi komunikacyjnych, aby zmanipulować swoją przyszłą ofiarę i przeprowadzić atak z wykorzystaniem złośliwego oprogramowania. Zaczyna się od zwykłego phishingu, a później, w zależności od rodzaju złośliwego kodu, zaczyna się eksploracja urządzeń podłączonych do firmowej sieci w poszukiwaniu luk, które można wykorzystać. Często wystarczy jeden, zbyt słabo zabezpieczony komputer lub telefon, aby sprawić  przedsiębiorstwu problemy.

Dla branży rozwiązań ochronnych największym wyzwaniem jest jednak to, że producenci z reguły nie są w stanie objąć „wzrokiem” całej istoty problemu, lecz skupiają się na jego wycinku. Dla przykładu, pakiety antywirusowe, których celem jest zabezpieczenie urządzeń końcowych, praktycznie nie zauważają, co dzieje się wokół, poza systemem operacyjnym, w którym są uruchomione. Tak samo firewalle – stosują wiele zaawansowanych metod filtrowania ruchu pochodzącego z internetu, ale są bezradne, gdy złośliwy kod zostanie przyniesiony na urządzeniu, które zostanie podłączone do sieci lokalnej wewnątrz firmy. Nie są też w stanie sprawdzić, czy na urządzeniach końcowych jest np. aktualna wersja bazy danych oprogramowania antywirusowego.

To oznacza, że mimo ogromnego rozwoju technicznego, za którym nieustannie podążają także cyberprzestępcy, sytuacja w branży rozwiązań ochronnych jest podobna jak 10 czy 20 lat temu. Brak komunikacji między systemami zabezpieczającymi powoduje, że niemożliwe jest globalne spojrzenie na bezpieczeństwo, gdyż atakujący może nagle rozpocząć działania z wielu stron. Według przeprowadzonych przez Sophos badań aż 83 proc. menedżerów IT na świecie przyznało, że w ciągu ostatniego roku ataki stały się trudniejsze do powstrzymania\

Maciej Kotowicz,
Channel Account Executive Poland, Sophos

Brak globalnego podejścia do zagadnień bezpieczeństwa to duże wyzwanie dla zespołów IT w przedsiębiorstwach. W przypadku skumulowanego ataku ogromną trudność sprawia im skorelowanie znajdujących się na serwerach, w komputerach i logach firewalla informacji dotyczących działań podjętych przez cyberprzestępców. Brak automatyzacji powoduje, że administratorzy tracą cenne godziny, podczas których atak jest kontynuowany (a ze względu na skupienie nad rozwiązywaniem problemu mogą nie być świadomi tego faktu), bądź firma nie może działać, gdyż nie ma dostępu do kluczowych usług IT.

Bezpieczne bicie serca

Sophos stworzył rozwiązanie Sophos Security Heartbeat, które zwiększa bezpieczeństwo infrastruktury IT dzięki zsynchronizowanej wymianie szczegółowych informacji pomiędzy osprzętem sieciowym a urządzeniami końcowymi, takimi jak komputery, tablety czy smartfony. Gdy wyposażony w ten mechanizm firewall wykryje podejrzany ruch, powiadamia urządzenie końcowe. Zainstalowany na nim agent natychmiast reaguje, identyfikuje podejrzany proces i kontroluje go, a w wielu przypadkach automatycznie blokuje jego wykonywanie. Informacje o zidentyfikowanym procesie i podjętych działaniach, wraz z nazwą komputera oraz zalogowanego użytkownika, są przekazywane do firewalla oraz do działu IT.

Z kolei oprogramowanie klienckie na urządzeniach końcowych bez przerwy wysyła informacje o zachodzących zdarzeniach firewallowi. Gdy wykryte zostaną jakieś problemy, np. próba uruchomienia podejrzanego kodu, firewall stosuje odpowiednie reguły polityki bezpieczeństwa, by odizolować takie urządzenie lub ograniczyć jego wpływ na pracę sieci. Taki model komunikacji zapewnia efektywność pracy administratorów, szczególnie gdy konieczne jest przeprowadzenie skrupulatnego dochodzenia. To, co do tej pory zajmowało godziny lub dni na analizy, jest w pełni zautomatyzowane, a dzięki temu czas operacji został zredukowany do sekund.

Autoryzowanymi dystrybutorami rozwiązań Sophos w Polsce są firmy AB i Konsorcjum FEN.

Dodatkowe informacje:
Maciej Kotowicz, Channel Account Executive Poland, Sophos, maciej.kotowicz@sophos.com