Na czym w praktyce polega dbałość o cyberbezpieczeństwo firm?

Michał Bednarczyk – specjalista IT z wieloletnim doświadczeniem we wdrażaniu systemów ITSM dla instytucji publicznych oraz finansowych. Od kilku lat zajmuje się wdrażaniem i rozwojem systemów bezpieczeństwa IT, w szczególności rozwiązań z zakresu automatyzacji zadań bezpieczeństwa. Obecnie zaangażowany w prace zespołu zajmującego się rozwojem systemu klasy SOAR dla BNP Paribas CIB.

Specjaliści IT mają dziś na barkach większą niż kiedykolwiek odpowiedzialność za tzw. cybersecurity. Bezpieczeństwo systemów obsługiwanych przez firmy oraz ich danych – często wyjątkowo wrażliwych – to absolutny priorytet praktycznie wszystkich przedsiębiorstw, zwłaszcza globalnych gigantów. Pracodawcy przywiązują ogromną wagę do doświadczenia oraz praktycznych umiejętności kandydatów z tego obszaru.

Jacy inżynierowie IT stoją na straży cyberbezpieczeństwa?

Liczba osób zatrudnionych z myślą o cybersecurity zależy od wielkości organizacji. Największe firmy, zwłaszcza z sektorów, w których bezpieczeństwo danych jest szczególnie kluczowe (np. organizacji finansowych) mają pod tym względem najbardziej rozbudowane struktury.

Zwykle można wyróżnić specjalistów odpowiedzialnych za:

– bezpieczeństwo stacji roboczych

– bezpieczeństwo sieciowe

– reakcję na wykryte incydenty bezpieczeństwa

W ostatnim przypadku najczęściej mowa o analitykach pracujących w działach SOC (Security Operations Center), którzy weryfikując logi i zdarzenia w systemach oraz w sieci, potrafią określić wpływ i skutki incydentu bezpieczeństwa.

W każdej z tych ról wykorzystywane są rozmaite narzędzia oraz różne systemy. Poczynając od zapór sieciowych, poprzez ochronę przed szkodliwym oprogramowaniem na serwerach i stacjach roboczych, aż do deszyfrowania aplikacyjnego ruchu sieciowego. Poszczególne systemy wykrywają potencjalnie szkodliwe zdarzenia i informują administratorów i analityków o incydentach. 

Czym są systemy SIEM i SOAR?

W przypadku cyberbezpieczeństwa wsparcie inżynierów IT z odpowiednią wiedzą i znajomością rozwiązań jest niezmiernie istotne. Jednak, aby ich praca była jak najbardziej płynna i efektywna  potrzebne są odpowiednie systemy automatyzacji zadań bezpieczeństwa. Są to systemy klasy SIEM i SOAR. Te pierwsze gromadzą i korelują wpisy z logów urządzeń i systemów bezpieczeństwa. Te drugie zapewniają automatyzację zadań bezpieczeństwa, analizę i wzbogacanie zdarzeń na podstawie uprzednio zdefiniowanych playbooków, będących odzwierciedleniem typowej pracy analityka bezpieczeństwa. Systemy SOAR mogą również automatycznie reagować na wykryte zagrożenia i aktualizować polityki w urządzeniach i systemach bezpieczeństwa organizacji.

Firmy stawiają na absolutny profesjonalizm

Firma będąca ofiarą cyberprzestępców może stracić swoje dane, dobre imię oraz zaufanie klientów. To wszystko przekłada się na realne koszty. Grupy przestępcze potrafią monitorować zasoby potencjalnej ofiary, śledzić nawyki pracowników, wykonywać próby podszycia się pod pracownika, czy też zainfekować stację roboczą szkodliwym oprogramowaniem wykorzystując techniki ataków, które mogą nie być znane powszechnie. 

Biorąc pod uwagę te elementy, nie wystarczy samo posiadanie systemów bezpieczeństwa, ważne jest przede wszystkim właściwe administrowanie tymi systemami, śledzenie informacji w świecie cyberprzestępczym (w tym pomagają systemy Threat Intelligence) i odpowiednie, szybkie reagowanie na wykryte podatności we własnej infrastrukturze. Pozyskanie informacji o wycieku poświadczeń pracownika i bezzwłoczne wymuszenie ich zmian w domenie zapobiegnie dostaniu się intruza do wewnętrznej sieci firmy.

Biorąc również pod uwagę fakt, że obecnie konflikty militarne wiążą się z jednoczesnymi atakami na infrastrukturę teleinformatyczną przedsiębiorstw strategicznych i instytucji państwowych, zapewnienie cyberbezpieczeństwa odgrywa coraz większą rolę w obszarze działania firm. Nie ma tutaj półśrodków – pracodawcy szukają specjalistów, co do których są pewni, że podchodzą do swojej pracy profesjonalnie i ciągle rozwijają swoje umiejętności.

Tak zmienia się branża cyberbezpieczeństwa

Obecnie przed specjalistami z zakresu cybersecurity stoi wiele wyzwań. Przede wszystkim zmieniają się techniki ataków. Dla przykładu – kiedyś na stacji roboczej wystarczający był antywirus oparty o znane sygnatury szkodliwego oprogramowania. W sieci z kolei wystarczyła zapora ogniowa. Obecnie stacje robocze wymagają narzędzi potrafiących wykryć szkodliwe oprogramowanie na podstawie jego aktywności (analiza behawioralna). Wymusza to stosowanie coraz bardziej skomplikowanych systemów zabezpieczeń, tym samym nieustanny rozwój specjalistów cyberbezpieczeństwa. W ruchu sieciowym obecnie niezastąpione są systemy inspekcji SSL, które potrafią monitorować ruch sieciowy pracowników do internetu oraz klientów firmy do systemów klienckich. Wszystkie te systemy powinny być ze sobą zintegrowane i wzajemnie zasilać się informacjami o wykrytych zagrożeniach. Główne wyzwanie dla specjalistów cybersecurity nie zmieniło się od lat: należy być możliwie daleko przed cyberprzestępcami, zabezpieczyć własną infrastrukturę tak bardzo, jak to jest możliwe w danej chwili, ale w sposób, który nie utrudni realizacji zadań przez pracowników przedsiębiorstwa i pozwoli firmie realizować cele biznesowe.