Problem braku personelu technicznego z dużym doświadczeniem dotyka nie tylko mniejsze firmy, dlatego dostawcy starają się jak najbardziej uprościć obsługę swoich rozwiązań zapewniających bezpieczeństwo infrastrukturze IT, w znacznym stopniu automatyzując ich działanie. Jest to tym ważniejsze, że tylko kilka procent incydentów związanych z naruszeniem zabezpieczeń nie jest spowodowanych przez ludzki błąd. Administratorzy szukają produktów z intuicyjnym interfejsem zarządzania – jedną konsolą, która integruje wiele funkcji i poziomów ochrony. Dlatego producenci z każdą kolejną wersją swoich platform bezpieczeństwa wprowadzają udoskonalone narzędzia do zarządzania.

Problemem staje się to, że przedsiębiorstwa często korzystają z systemów zabezpieczeń pochodzących od różnych dostawców, które nie są najlepiej ze sobą zintegrowane. W rezultacie ich zasoby IT są bardziej podatne na ataki cyberprzestępców, którzy łatwo lokalizują luki w ochronie i przenikają do sieci. Istotne jest, by klienci decydowali się na skonsolidowanie systemu zabezpieczeń i wprowadzenie starannie zaplanowanej strategii w tym zakresie. Jeśli się przekona klienta do takiego podejścia, można stworzyć kompleksowy system bezpieczeństwa obejmujący urządzenia końcowe i sieć, pozbawiony dziur, które mógłby wykorzystać cyberprzestępca.

Aby zapewnić klientom skuteczną ochronę, należy namówić ich do wymiany starszych i mało skutecznych urządzeń zabezpieczających na nowe, zintegrowane rozwiązania, przeciwdziałające zaawansowanym atakom i dające pełną kontrolę nad aplikacjami wykorzystywanymi w ich sieciach oraz wszystkimi urządzeniami końcowymi, także mobilnymi. Dużym zainteresowaniem powinny cieszyć się platformy SIEM (Security Information Event Management), co wynika z jednej strony z konieczności zapewnienia zgodności z regulacjami prawnymi, a z drugiej – poszukiwania skuteczniejszych metod wykrywania włamań do sieci.

 

Mały i średni biznes stoi przed takimi samymi wyzwaniami w dziedzinie bezpieczeństwa jak duże przedsiębiorstwa. Dysponuje jednak jedynie skromnym ułamkiem tych środków, które na ochronę mogą przeznaczyć korporacje. W dodatku z powodu gorszych zabezpieczeń MŚP – w sytuacji, gdy cyberprzestępcy dysponują łatwo dostępnymi i zautomatyzowanymi narzędziami ataku – są postrzegane jako łatwy łup. Reseller wyrobi sobie wśród klientów z małych i średnich firm opinię zaufanego doradcy, gdy – znając ich wrażliwość na cenę – będzie potrafił zaoferować najlepszą jakość za rozsądne pieniądze. Jeśli stworzy dla nich pakiet skutecznej ochrony, łączący rozwiązania do lokalnego wdrożenia i zarządzane usługi świadczone zdalnie. Wtedy sieci jego klientów z sektora małych i średnich firm będą chronione równie skutecznie jak dużych przedsiębiorstw za bez porównania mniejsze pieniądze.

 

Do akcji wkracza MSSP

Nie tylko w przypadku małych i średnich firm coraz bardziej popularną metodą radzenia sobie z brakiem dostatecznej liczby odpowiednio wykwalifikowanych pracowników jest outsourcing i wykorzystanie zewnętrznych usług ochronnych. Przedsiębiorstwa praktycznie każdej wielkości coraz częściej korzystają z konsultingu, audytów systemów zabezpieczeń oraz usług zapewniających właściwą reakcję na zdarzenia zagrażające bezpieczeństwu IT. Z badania Cisco 2016 Annual Security Report wynika, że odsetek firm korzystających z tego typu usług wzrósł globalnie z 14 proc. w 2014 r. do 23 proc. w 2015.

Integrator, który zdecyduje się zostać dostawcą usług zarządzanych w obszarze bezpieczeństwa, czyli Managed Security Service Providerem, będzie zarządzał zdalnie rozwiązaniami zainstalowanymi u klientów (on-premise) albo wykorzystywał oparty na chmurze system przekierowujący ruch z sieci obsługiwanych firm. Musi przy tym dbać, by rozwiązania zabezpieczające były stale aktualne i zapewniały wymagany poziom bezpieczeństwa. Rodzajów usług zapewniających ochronę jest bardzo wiele. Obejmują podstawowe zabezpieczenia, takie jak: firewall, filtrowanie treści (spam, AV, WWW itp.), systemy zapobiegania włamaniom (IPS), ochrona poczty elektronicznej. Ale mogą także zaspokajać bardziej wyrafinowane potrzeby klientów, np.: uwierzytelnienie i zarządzanie tożsamością, wydzielone środowiska uruchamiania aplikacji (sandbox), przeciwdziałanie zaawansowanym i ukierunkowanym atakom APT i DDoS.

Zarządzalne usługi bezpieczeństwa będą przynosić największe zyski, gdy MSSP zadba o efekt skali i będzie obsługiwać wielu klientów – zarówno małych, jak i dużych – wykorzystując do tego jedną platformę. Ważne jest zatem, by integrator zadbał o elastyczność swojej usługi w zakresie licencjonowania i billingowania, ponieważ łatwiej dostosuje ją do oczekiwań kolejnych firm.

Ireneusz Wiśniewski

Country Manager, F5 Networks

Są dwa modele sprzedaży rozwiązań anty-DDoS przez naszych partnerów. Pierwszy – „on premise” – zakłada wdrożenie przez integratora u klienta rozwiązania anty-DDoS, przy czym sprzęt oraz licencje pozostają własnością klienta końcowego. Drugi model to sprzedaż usługi ochrony DDoS z chmury, z wykorzystaniem ośrodków scrubbing center czy Security Operation Center. Klient końcowy, za pośrednictwem partnera, kupuje tę usługę na określony czas (subskrypcja).

 

Ponieważ MSSP odpowiada za bezpieczeństwo danych klienta, jeśli nie będzie ich dobrze chronił, straci reputację, co zdyskwalifikuje go na zawsze. Ryzyko więc nie jest małe, ale szansa na zyski większa. Przedsiębiorcy coraz lepiej rozumieją, jak ważne jest bezpieczeństwo dla ich biznesu, a ponieważ nie mają wiedzy czy możliwości, by zajmować się systemami ochronnymi, coraz częściej szukają kogoś, kto się tym zajmie. Tym bardziej, że rośnie wśród nich świadomość zagrożeń.

 

Największy strach wzbudza ransomware

W listopadzie 2015 r. organizacja Cyber Threat Alliance, w skład której wchodzą m.in.: Symantec, Fortinet, Intel Security i Palo Alto, szacowała, że cyberprzestępcom udało się przy użyciu złośliwego kodu CryptoWall 3.0, należącego do kategorii ransomware (wymuszanie okupu), ograbić ofiary z całego świata na łączną sumę 325 mln dol. Co ciekawe, wyniki ankiety przeprowadzonej wspólnie z zajmującą się bezpieczeństwem usług z chmury organizację Cloud Security pokazały, że blisko jedna czwarta potencjalnych ofiar ransomware (24,6 proc.) jest skłonna zapłacić cyberprzestępcom okup. Z badania wynika, że 14 proc. badanych przeznaczyłoby na ten cel nawet ponad 1 mln dol. Trudno, by takich informacji cyberprzestępcy nie uznali za zachętę do działania, więc w najbliższej przyszłości możemy się spodziewać dalszego rozwoju tej formy złośliwego kodu.

Firmy chcą płacić, bo koszt przerwy w funkcjonowaniu biznesu jest najczęściej wielokrotnie wyższy niż okup. Przestój oznacza wydatki na odtworzenie systemów, straty sprzedażowe, kary wynikłe z niedotrzymania terminów, utratę reputacji itp. Z raportu Crypto-Ransomware 2016, opublikowanego przez Intermedia, wynika, że skuteczny atak ransomware paraliżuje firmę średnio na trzy dni. Można zrozumieć, że zdesperowani właściciele przedsiębiorstw są skłonni do płacenia okupu, ale powinni zdawać sobie sprawę, że w ten sposób nakręcają biznes cyberprzestępców, którzy zaatakują znowu. W dodatku z innego raportu wynika, że z tych, którzy zapłacili okup, jedynie 71 proc. za pomocą kupionych od cyberprzestępców kluczy odszyfrowało i odzyskało swoje dane. Pozostałym się to nie udało albo w wyniku błędów w złośliwym kodzie, albo z powodu niewywiązania się z warunków „transakcji” przez cyberprzestępców.

Dlatego tak ważne jest stosowanie odpowiednich zabezpieczeń. W przypadku małych i średnich firm, które są najczęstszym obiektem ataku z uwagi słabszą ochronę, sprawdzi się urządzenie typu UTM, wyposażone w mechanizmy obrony przed tego typu zagrożeniami.

 

Okup także w przypadku DDoS

Arbor Networks w dorocznym raporcie o zagrożeniach sieciowych ujawnił, że w 2015 r. największy atak DDoS na świecie osiągnął wolumen 500 Gb/s, natomiast w 2014 r. – 400 Gb/s. Dziesięć lat wcześniej, gdy pojawił się pierwszy raport Arbor Networks, największy atak miał nie więcej niż 8 Gb/s. O tym, że ataki DDoS z roku na rok stają się większe, świadczy też fakt, że dwa lata temu 20 proc. dostawców Internetu zmagało się z atakami powyżej 50 Gb/s, a w ubiegłym roku już prawie jedna czwarta doświadczała ataków ponad 100 Gb/s.

Michał Jarski

Regional Director CEE, Trend Micro

Aby skutecznie chronić klientów przed zagrożeniami ransomware, należy przede wszystkim zapewnić niezawodny backup ich danych. To zabezpieczy ich w sytuacji, gdy wszystkie inne formy ochrony zawiodą. Niestety, konieczność tworzenia kopii zapasowych jest wciąż bagatelizowana w wielu przedsiębiorstwach. Kolejną ważną kwestią jest postępowanie zarządu firmy po ataku.

Pod żadnym pozorem nie powinno się płacić okupu, to tylko napędza przemysł ransomware i zachęca przestępców do kolejnych działań. Oczywiście, najlepszą metodą uchronienia się przed zagrożeniami jest stosowanie rozwiązań, które rozpoznają i blokują działanie ransomware bez stosowania sygnatur – we wszelkich formach i mutacjach.

 

 

W najnowszym badaniu, w którym opisano kluczowe trendy DDoS, odnotowuje się zmianę motywów agresorów. Głównym motorem działania nie jest już haktywizm lub wandalizm, ale chęć zademonstrowania siły, by doprowadzić do wymuszenia np. okupu. Zwiększa się także stopień komplikacji ataków. Arbor odkrył, że 56 proc. respondentów (o 44 proc. więcej niż rok wcześniej) odnotowało wielokierunkowe ataki jednocześnie wymierzone w infrastrukturę, aplikacje i usługi. Co więcej, 93 proc. badanych zmagało się z atakami DDoS w warstwie aplikacyjnej, wśród nich najpopularniejszy był skierowany przeciwko DNS (a nie jak poprzednio HTTP).

Wiedzę potrzebną do przeprowadzenia ataku blokującego serwery przedsiębiorstwa, instytucji finansowej czy rządowej nietrudno zdobyć. W sieci nie brakuje poradników, a nawet prezentacji wideo, tłumaczących krok po kroku metodę przeprowadzenia ataku typu DDoS. Ci, którzy nie chcą się uczyć, mogą zapłacić. Wcale niedużo – dział badawczy Trend Micro donosi, że cena trwającego tydzień i wymierzonego w zlecony cel ataku DDoS wynosi zaledwie 150 dol.

W opinii polskich małych i średnich przedsiębiorstw, pytanych przez Integrated Solutions, największe straty finansowe po atakach malware powodują właśnie DDoS (38 proc. odpowiedzi). Dlatego firmy będą szukać sposobów ochrony przed takim zagrożeniem i znalezienie swojego miejsca w procesie dostarczania specjalistycznych rozwiązań anty-DDoS może być szansą na biznes dla resellera.

 

Nowe zasady zabezpieczeń

Jeszcze niedawno procedury bezpieczeństwa były z jednej strony restrykcyjne i uciążliwe w stosowaniu, z drugiej – na tyle mało elastyczne i zamknięte, że utrudniały neutralizowanie skutków włamania do sieci. Przedsiębiorstwa dostosowywały swoją działalność do tego, na co pozwalał system ochrony, tłumiąc innowacyjność i doprowadzając pracowników do frustracji. Ograniczenia miały wpływ na interakcje z klientami i kooperantami. Nic dziwnego, że zabezpieczenia były uważane w zestawieniach finansowych przede wszystkim za wydatek i hamulec rozwoju biznesu.

W ostatnim czasie ta opinia się zmienia. Rozwiązania zapewniające bezpieczeństwo przestają być kosztowną polisą ubezpieczeniową, a zaczynają pełnić rolę czynnika napędzającego rozwój biznesu. Mobilność, BYOD, e-commerce itp. sprawiły, że użytkownicy oczekują bezproblemowej interakcji z siecią, bez względu na lokalizację i urządzenie, z jakiego się łączą. Zespół bezpieczeństwa IT musi aktywnie reagować na potrzeby biznesu i dbać, by środowisko było elastyczne i łatwo dostępne, a przy tym dobrze zabezpieczone.

Zabezpieczać się, by zniechęcić napastnika

Z badania Ponemon Institute wynika, że hakerzy preferują łatwiejsze cele (co nie powinno być zaskoczeniem) i przerywają atak, gdy trwa on zbyt długo. Z danych ujawnionych w raporcie wynika, że 13 proc. robi to po pięciu godzinach. Po następnych pięciu cel porzuca 24 proc., 20 godzin zmagań z zabezpieczeniami zniechęca 36 proc. napastników, a większość (60 proc.) rezygnuje, gdy atak przeciąga się do 40 godzin. Według badania, 72 proc. napastników przyznaje, że nie marnowałoby czasu na atak, który nie daje nadziei na szybkie zdobycie cennych danych.

– Jeśli powstrzymasz atakujących przez dwa dni, większość z nich zniechęcisz. Im jest trudniej, im więcej zabiera im to czasu, tym więcej ich to kosztuje – podkreśla Scott Simkin, Senior Manager z Palo Alto Networks, firmy sponsorującej badanie.

 

Co spowodowało ową zmianę? Wpis na blogu Avnet Technology Solutions EMEA wyjaśnia, że system bezpieczeństwa daje obraz sieci i wgląd w wykorzystanie zasobów. A dzięki lepszemu zrozumieniu, w jaki sposób aplikacje są wykorzystywane, przez kogo i w jakim czasie, dział IT zyskuje bardzo solidną podstawę do planowania rozwoju systemu informatycznego firmy. Co więcej, dokładnie wiedząc, co dzieje się w sieci, administratorzy mogą identyfikować i usuwać niepotrzebne już elementy infrastruktury, zmniejszając koszty i złożoność środowiska IT. A optymalizacja zasobów ułatwia ich ochronę i umożliwia przyspieszenie procesów biznesowych. Zdaniem ekspertów Avnet, dzięki temu rozwiązania zabezpieczające przestają stanowić barierę w rozwoju firm i zaczynają napędzać procesy powszechnie nazywane cyfrową transformacją.

 

Unia rozrusza biznes Security

Celem nowego unijnego rozporządzenia – General Data Protection Regulation – jest wzmocnienie systemu ochrony danych osobowych w Unii Europejskiej oraz ujednolicenie przepisów we wszystkich państwach członkowskich. Na przygotowanie się do wprowadzenia nowych przepisów firmy mają niecałe dwa lata. Od 2018 r. podmiot, u którego dojdzie do naruszenia bezpieczeństwa danych, może zostać ukarany grzywną w wysokości nawet 4 proc. rocznego dochodu i będzie musiał poinformować o tym fakcie krajowy organ nadzorczy.

Tworzone przepisy obligują firmy do stosowania ściśle określonych zasad przetwarzania danych osobowych. Zmierzają np. do tego, by przedsiębiorstwo, które wykorzystuje dane na różnych urządzeniach i w różnych miejscach, dokładnie wiedziało, co się z nimi stanie w przypadku naruszenia bezpieczeństwa. Przy rozstrzygnięciach o karze i jej wysokości okolicznością łagodzącą ma być bowiem przedstawienie dowodów, że utracone dane były zaszyfrowane bądź nie dawały się wykorzystać z powodu skutecznego zablokowania skradzionego urządzenia. Przedsiębiorstwa będą też miały obowiązek usuwania informacji na żądanie lub wtedy, gdy ich przetrzymywanie nie będzie dłużej konieczne.

Bardziej restrykcyjne przepisy i dotkliwe kary za ich nieprzestrzeganie powinny spowodować większe zainteresowanie rozwiązaniami ochronnymi (zwłaszcza w obszarze szyfrowania, bezpiecznego przechowywania i niszczenia danych). Analitycy przewidują nawet, że znacząco większe. IDC szacuje, że dzięki GDPR europejscy resellerzy z dwóch branż – security i storage – zwiększą sprzedaż o łączną kwotę 3,2 mld euro.

– GDPR zmienia reguły gry dla wszystkich firm mających do czynienia z danymi osobowymi obywateli EU. Będzie im bardzo trudno dostosować się w ciągu dwóch lat do nowych regulacji bez pomocy techniki. Dlatego przewidujemy duży wzrost popytu na system zabezpieczeń i przechowywania danych – twierdzi Duncan Brown, Research Director w IDC.

Jaka będzie rola VAR-a? Klienci przede wszystkim będą chcieli, by pomógł im w wyborze i wdrożeniu najlepszych dla nich rozwiązań programowych i sprzętowych, które – najogólniej mówiąc – zminimalizują ryzyko kradzieży danych.