Ochrona sieci bardziej doraźna niż przemyślana

Skuteczne zarządzanie urządzeniami podłączonymi do sieci i ich ochrona przed cyberzagrożeniami wymaga właściwych ludzi, narzędzi i procesów. Trzeba stworzyć system, który będzie łączył różne rozwiązania. Zależnie od potrzeb mogą to być: UTM-y, firewalle nowej generacji (Next Gen Firewall), techniki sandboxingu, web proxy itp. Ważne jest, by integrowanie narzędzi z całego spektrum produktów prowadziło do stworzenia rozwiązania zapewniającego najbardziej efektywną i łatwą w użyciu ochronę. Istotną rolę w zapewnieniu bezpiecznego dostępu do sieci pełni kontrola NAC (Network Access Control), a kompleksowe rozwiązanie z zakresu cyberbezpieczeństwa uzupełnia korelowanie informacji o zdarzeniach w sieci za pomocą platformy SIEM, coraz częściej wspartej analizą predykcyjną bazującą na uczeniu maszynowym.

Rośnie też znaczenie usług threat intelligence, czyli gromadzenia w czasie rzeczywistym wiedzy i informacji wywiadowczych o zagrożeniach. Dostarczają ich zespoły eksperckie pracujące dla producentów (wtedy taka wiedza jest uzupełnieniem i wzmocnieniem oferowanej przez vendora platformy bezpieczeństwa). Usługi tego typu mogą także świadczyć niezależne firmy czy nawet integratorzy w ramach uruchomionych przez siebie centrów SOC/NOC.

– Dzisiaj nie jest sztuką wdrożyć rozwiązanie, które zagwarantuje określony poziom bezpieczeństwa, co oczywiście nie oznacza, że nie trzeba tego robić. Ważne jest też, by po tym, jak dojdzie do włamania – a prędzej czy później tak się stanie – wiedzieć, co i w jaki sposób zawiodło. Zespół threat intelligence pomoże maksymalnie skrócić czas uzyskania tych informacji – mówi Łukasz Bromirski, dyrektor ds. technologii w Cisco.

Za dużo dostawców – źle, za mało – niedobrze

Zarówno producenci, jak i integratorzy przyznają, że na projekty dotyczące ochrony największy wpływ mają dziś dwie kwestie: compliance oraz szkody spowodowane naruszeniem bezpieczeństwa. Bardzo rzadko inwestycje firm wynikają z realizowanej przez klientów spójnej polityki dotyczącej cyberbezpieczeństwa. Najczęściej wdraża się punktowe rozwiązanie, ale posiadanie nawet bardzo dobrych, kompleksowych narzędzi nie jest równoznaczne z ich właściwym wykorzystaniem.

Przez lata w przedsiębiorstwach przybywa różnych systemów bezpieczeństwa. Badanie Cisco dowodzi, że w jednej firmie może być ich nawet 15. Nie pojawiają się znikąd, tylko przybywa ich w wyniku kolejnych zakupów albo przejmowania innych podmiotów z ich rozwiązaniami. Jeśli większy kupuje mniejszego, to z reguły w firmach będą różne systemy, które mogą nawet mieć te same funkcje, ale działają odmiennie. Im więcej będzie ich przybywać, tym trudniej nad nimi zapanować.

– Nawet sztab ludzi nie potrafiłby sobie z nimi poradzić, nie mówiąc o tym, że specjaliści są coraz drożsi. Dlatego przydałby się chociaż taki system, który raportowałby, co się dzieje we wszystkich rozwiązaniach ochronnych – mówi Rafał Kraska, dyrektor operacyjny w Trecomie.

Tymczasowo w przedsiębiorstwie może działać wiele systemów, ale ostatecznie będzie się ono skłaniać do wyboru tego, który administratorzy uznają za najlepszy, i usuwania pozostałych.

– Uświadamiamy klientom, że im więcej punktów podatnych na awarie, tym gorzej. Przekonujemy, że powinni oprzeć się tylko na niezbędnych systemach, zapewniających ciągłość biznesu. I ostatecznie dokonują unifikacji swojego środowiska, ograniczają także liczbę producentów używanych rozwiązań – twierdzi przedstawiciel integratora.

Niestety, często zdarza się, że narzędzia ochronne kupowane są nie w wyniku przemyślanej strategii, ale po to, by zadowolić jeden (własny) dział.

– Jeśli odpowiadam za sieci, to zadbam o UTM czy firewall, ale mniej będę się przejmował tym, że przykładowo pracownicy wynoszą dane na pendrive’ach albo wysyłają je do chmury. Bo za to odpowiada ktoś inny… – mówi Bartosz Dzirba, CTO i członek zarządu Passusa SA.

Nawet jeśli wiadomo, że pewne rozwiązania powinny ze sobą współistnieć, to ostatecznie wszystko rozbija się o budżety. Przedstawiciel Passusa zauważa jednak również pozytywne przykłady na rynku. Są bowiem firmy, w których wdrożenia nie polegają jedynie na włączaniu do systemu kolejnego produktu, z myślą o audycie. Starają się raczej integrować z nim wszystkie rozwiązania, którymi dysponują, choć to wymaga dużo czasu i pracy, a koszty usługi szeroko pojętej integracji mogą znacznie przekraczać wartość samego rozwiązania. Zresztą w przypadku bezpieczeństwa trudno wyznaczyć granicę między wdrożeniem a dostrajaniem, które może się ciągnąć miesiącami.

Teoretycznie w przypadku projektu tworzonego od zera, w zupełnie nowym środowisku, bez doświadczenia technicznego (tzw. green field), klient może postawić na jednego producenta, który obiecuje mu kompleksową ochronę i rozwiązanie wszystkich problemów. W praktyce tak się jednak nie zdarza, bo klienci dobrze wiedzą, czym grozi ograniczenie się do jednego dostawcy, czyli tzw. vendor lock-in.

– Nie znam klienta, który by na to poszedł. Wówczas bowiem dostawcy łatwo będzie dyktować warunki, a nie można sobie na to pozwolić. Poza tym nie znam też producenta, który ma wszystko. Optymalną sytuacją jest wybór dwóch równorzędnych dostawców, wtedy to klient decyduje, którego w danym wypadku wybrać. Jeśli jeden ustali zbyt wysokie ceny, zawsze w odwodzie będzie ten drugi – twierdzi Rafał Kraska.

Bezpieczeństwo musi kosztować

Przez długie lata problemem było to, że klienci nie dostrzegali zwrotu z inwestycji w zakresie bezpieczeństwa, widząc w nich jedynie koszty. Teraz już nie ma problemu z wyliczeniem korzyści. Wartość wskaźnika ROI można obliczyć, bo oszacowanie strat poniesionych w wyniku jednodniowego przestoju zakładu produkcyjnego czy firmy spoza branży przemysłowej nie jest trudne. Może to zrobić korporacja, może średni, a nawet mały przedsiębiorca.

Przykładem z życia wziętym są straty InterCars w wyniku ataku ransomware na jego systemy IT w czerwcu 2018 r. Służby prasowe firmy poinformowały wówczas, że dopiero po przeszło trzech dobach od awarii odzyskała „podstawową sprawność operacyjną”. Prace zmierzające do przywrócenia pełnej funkcjonalności trwały jednak znacznie dłużej. W takich sytuacjach koszty zakupu systemu ochronnego przestają grać główną rolę.

Oszczędności szukają zwykle mniejsze i średnie firmy, które z reguły wiedzą jacy dostawcy zaspokoją ich potrzeby, a jednocześnie nie będą dla nich za drodzy. Pytani przez nas integratorzy twierdzą, że pewne marki kojarzone są wyłącznie z segmentem enterprise i jeśli się myśli o klientach z małych czy średnich firm, dobrze jest mieć w portfolio także tańsze rozwiązania, które znajdą uznanie w ich oczach. Niestety, wcale nie tak rzadko właściciel małej firmy dochodzi do wniosku, że nie potrzebuje zaawansowanego systemu bezpieczeństwa albo ogranicza się do darmowego antywirusa i firewalla. Takie podejście mogą zmienić przepisy, chociażby te  zawarte w RODO, bo za ich nieprzestrzeganie grożą wysokie kary. A dotyczą przecież wszystkich firm, niezależnie od wielkości.

Przy wyborze dostawcy wskazówką dla klientów są raporty takie jak magiczne kwadranty Gartnera. Pytania o zajmowaną w nich pozycję określonego producenta są często zadawane już na początku rozmów. Warto więc mieć w ofercie także rozwiązania wymieniane w takich zestawieniach, gdyż z samymi mało znanymi markami, choćby były niezwykle innowacyjne, nabywcę znaleźć trudniej.

– Ponieważ dostawców rozwiązań zabezpieczających jest coraz więcej, nawet w wąskich niszach, klient nie zna wszystkich. Raporty są dla niego pomocą, nam także ułatwiają sprzedaż. Wiedzy o rozwiązaniach dostarczają też konferencje – twierdzi Rafał Kraska.

Bezpieczeństwo sieciowe w modelu usługowym

Specjaliści zwracają uwagę, że w ostatnich latach ubiegłego wieku największym wyzwaniem dla dystrybutora było przekonanie zarówno integratorów, jak i klientów, że przedsiębiorstwa spoza branży finansowej w ogóle potrzebują firewalli. Gdy banki zyskały wiedzę w zakresie cyberochrony i jako pierwsze dokonywały cyfryzacji swoich usług, pozostałym firmom oraz instytucjom państwowym łatwiej przychodziło zatrudnianie kolejnych pracowników IT niż zakup sprzętowej platformy bezpieczeństwa. W ciągu ostatnich 20 lat sytuacja bardzo się zmieniła. Przede wszystkim z powodu upowszechnienia się szerokopasmowego internetu, co przyczyniło się do powstania gospodarki cyfrowej. W sytuacji, gdy wszyscy są połączeni ze wszystkimi siłą rzeczy maleje bezpieczeństwo IT. W efekcie bardzo ważne stały się kwestie zgodności z przepisami (takimi jak RODO) i zaczęło brakować specjalistów IT.

Przed integratorami otworzyły się zatem zupełnie nowe perspektywy. Z jednej strony wzrosły szanse sprzedaży rozwiązań ochronnych, takich jak UTM-y czy firewalle nowej generacji, z drugiej – świadczenia usług zarządzanych w zakresie bezpieczeństwa.

– Wobec coraz dotkliwszego deficytu wiedzy dotyczącej ochrony środowiska IT firmy będą zwracać się o pomoc do Managed Security Service Providerów. To wielka szansa dla kanału sprzedaży, bo integratorzy nie tylko mają niezbędny know-how, ale także umieją rozmawiać z zarządami przedsiębiorstw i prezentować im sposoby ograniczania kosztów oraz ryzyka – uważa Mariusz Kochański, członek zarządu Veracompu.

Model MSSP stanowi przy tym szansę dotarcia do trudnego klienta, jakim jest mniejsza firma. Zwykle nie ma własnego działu IT i nawet w kontekście bezpieczeństwa najbardziej liczy się dla niej cena. Teoretycznie więc taki niewielki podmiot powinna zainteresować oferta profesjonalnej ochrony za miesięczną opłatę.

Właśnie dlatego wielu integratorów zaczyna stosować model usługowy. Do sprzedaży „pudełek” dołączają ofertę usług opartych na chmurze prywatnej, hybrydowej albo publicznej.

– My także mamy już produkty dla klientów, którzy nie chcą zatrudniać własnych specjalistów do spraw bezpieczeństwa, m.in. usługi naszego centrum SOC/NOC – mówi Rafał Kraska.

Taki model służy zaspokajaniu potrzeb firm, które chcą zaoszczędzić na personelu, nie rezygnując z wysokiego poziomu zabezpieczeń, kontroli i zarządzania własną infrastrukturą – całym środowiskiem albo jego częścią. W wariancie minimum mogą to być nawet tylko powiadomienia o incydentach, dzięki którym przedsiębiorstwo ma szansę szybko na nie zareagować.

Przygotowanie dobrej oferty MSSP wcale nie wymaga przekonywania klientów, by zaufali chmurze obliczeniowej (z czym, jak pokazują różne badania, bywa w naszym kraju problem). Model usługowy może bowiem polegać na wdrożeniach on-premise, a następnie zdalnym zarządzaniu środowiskiem przez zewnętrznych specjalistów. Różne są też formy własności. Przykładowo, rozwiązanie można wziąć w leasing, może również pozostać w posiadaniu dostawcy. W tym ostatnim przypadku klient nie musi się martwić o aktualizowanie platformy, jej skalowanie, odświeżanie itp. Z myślą o potrzebach działów finansowych tworzone są różne oferty umożliwiające żonglowanie kosztami CapEx i OpEx.

Na rynku nie brakuje przedsiębiorstw, które dysponują środowiskami hybrydowymi i używają różnych modeli wdrażania usług IT. Wykorzystują własne centra danych, kolokację oraz chmurę. Dlatego coraz więcej producentów z branży bezpieczeństwa stara się, żeby ich rozwiązania można było uruchamiać w każdym wariancie, a dostawcom usług łatwo było zarządzać mieszanym środowiskiem.

Bartosz Dzirba twierdzi, że coraz bardziej widocznym trendem, zwłaszcza w sektorze publicznym, jest oczekiwanie przez klienta przydzielenia mu osoby, która zajmie się utrzymaniem wdrożonego systemu. Inaczej może się zdarzyć, że zakupiony produkt nie będzie wcale wykorzystywany, bo klient nie ma nikogo, kto potrafiłby się tym zająć. Pojawia się zatem szansa działania jako MSSP. Czasem polega to po prostu na oddelegowaniu przez integratora specjalisty do pracy na miejscu, u klienta. Taki model trudno jednak nazwać usługą zarządzaną, mamy raczej do czynienia z outsourcingiem pracownika.