Intervju: Marko Relić, Exclusive Networks „Složenost i ljudski faktor su najveće pretnje IT bezbednosti organizacija“
Kako novi trendovi menjaju IT infrastrukturu organizacija, kako smanjiti složenost, rasteretiti IT osoblje i povećati bezbednost.
Svaka kompanija, bez obzira na veličinu i sektor, može postati žrtva sajber napada, najčešće ransomware-a. Dok su sa jedne strane IT timovi kompanija preopterećeni, neke kompanije nemaju ni jednu osobu posvećenu IT bezbednosti. S druge strane, kompleksnost IT infrastrukture raste, pa je napadačima sve lakše da pronađu slabe tačke i probiju zaštitu organizacije. Tipičan odgovor na ove slabosti je uvođenje novih alata i tehnologija za IT bezbednost, što dodatno povećava složenost i opterećuje IT osoblje, pa su rezultati ovakvih mera upitni.
Marko Relić je Business Development Manager u Exclusive Networks, a u intervjuu za PC Press otkriva koji su najveći izazovi za sigurnost organizacija i kako postojeće i nove tehnologije kao što su XDR i SASE mogu odgovoriti na gore navedene izazove.
Koji trendovi generalno utiču na nivo sajber bezbednosti organizacija?
Kada razmišljaju o sajber pretnjama, većina ljudi prvo pomisli na napade malware-a ili ransomware-a. Međutim, ljudski faktor je najčešći uzrok narušavanja bezbednosti i najveća pretnja bezbednosti organizacija. Zbog nepažnje, grešaka ili nedovoljnog poznavanja mera bezbednosti, zaposleni često izlažu kompaniju rizicima. Napadi će se najčešće dešavati zbog krađe identiteta kroz phishing, neažuriranja sistema ili zaboravljenog patchiranja i grešaka u konfiguraciji.
Drugi veoma važan faktor je nedostatak veština za sajber bezbednost, odnosno nedostatak radne snage. Organizacije širom sveta imaju isti problem – slobodna radna mesta vezana za sajber bezbednost, što potvrđuju mnoga istraživanja i iskustva sa tržišta rada.
Naravno, tehnologija pristupa organizacionim aplikacijama i podacima takođe se drastično menja. Korisnički uređaji se sada nalaze svugde i sve su manje vezani za fizičku centralnu lokaciju ili kancelariju (tzv. hibridni rad). S druge strane, podaci i aplikacije se sve više isporučuju kao usluga (SaaS). Zašto se povezati preko VPN-a sa centralnom kancelarijom ako su podaci već „pobegli“ u oblak?
Dalje, još jedan važan faktor su preterano korišćeni alati za sajber bezbednost, odnosno nedostatak konsolidacije alata.
Zašto korišćenje previše alata za sajber bezbednost može predstavljati rizik za kompanije?
Organizacije su, naravno, svesne sajber pretnji, pa je u poslednjih nekoliko godina broj alata koje koriste masovno porastao – od anti-malware-a, preko raznih inspekcija e-pošte i web saobraćaja (SVG, SMG), rešenja za daljinski pristup (VPN, ZTNA) ili čak pristup podacima u oblaku (CASB). Zatim imamo rešenja za povezivanje različitih lokacija kroz SD-WAN arhitekturu, detaljnu obradu log zapisa kroz SIEM rešenja i masovnu proizvodnju bezbednosnih informacija kroz XDR i orkestraciju odgovora preko SOAR sistema.
Dakle, ima mnogo akronima. Postavlja se pitanje ko to može da administrira i da na vreme uoči problem u konfiguraciji koji ima dalekosežne posledice po poslovanje.
Više alata znači više kontrolnih tačaka. Više kontrolnih tačaka znači veću složenost i više potrebe za održavanjem. Na kraju, složenost se povećava, vidljivost se smanjuje, pažnja ljudi se smanjuje i eto nas u situaciji povećanog rizika i izloženosti.
Konsultantska firma Gartner u svom istraživanju iz 2022. ukazuje da kompanije sada žele da konsoliduju dobavljače sajber bezbednosti kako bi direktno smanjile rizike od proboja zaštite. Ušteda novca je sekundarni razlog.
Pridružite nam se na Palo Alto Networks Roadshow eventu i upoznajte najnovije trendove na tržištu bezbednosnih rešenja
Na šta kompanije treba da se fokusiraju da bi se zaštitile?
Kao što je gore pomenuto, pojednostavljivanje infrastrukture je od suštinskog značaja za smanjenje rizika. U kontekstu hibridnog rada i korišćenja SaaS aplikacija sa bilo koje lokacije, to znači približavanje bezbednosne inspekcije saobraćaja uređajima korisnika, a ne samo koncentracije uređaja u data centru. U praksi, to je oslanjanje i postepeni prelazak na novu arhitekturu zvanu Secure Access Service Edge (SASE) koja može značajno da pojednostavi bezbednosni stack i tačke upravljanja.
Štaviše, ključno je ojačati autentifikaciju i upravljanje identitetom: nijedna pristupna tačka organizaciji ne bi trebala da bude zaštićena samo lozinkom, već višefaktorskom autentifikacijom otpornom na phishing.
Konačno, postoji potreba za mnogo boljim prikupljanjem bezbednosnih događaja sa mreže i krajnjih tačaka, odnosno računara zaposlenih. Bezbednosni timovi se svakodnevno suočavaju sa izolovanim silosima informacija – čak i kada je SIEM uspostavljen – dugim istragama incidenata, širenjem površina napada i ogromnom količinom informacija za analizu. Ovo omogućava napadačima da „borave“ u mreži organizacije duže vreme i istražuju slabosti.
Važno je implementirati rešenja koja timovima automatski daju mnogo širi spektar informacija sa krajnjih računara i same mreže, ali uz automatsku obradu i korelaciju koristeći znanje iz domena o bezbednosnim incidentima. U praksi, to znači oslanjanje na XDR rešenja, koja su zapravo evolucija klasičnog anti-malware softvera, koji se sada podrazumeva na svakom operativnom sistemu. XDR definitivno postaje standard bezbednosne analize. Kompanijama koje se bave bezbednošću XDR omogućuje mnogo skalabilniju obradu bezbednosnih incidenata, i to kroz model Managed Security Service Provider (MSSP).
Šta se krije iza imena XDR? Kako takva tehnologija funkcioniše u praksi?
Akronim XDR je skraćenica za Extended Detection and Response, a kao što ime govori, to je tehnologija koja pruža širi pregled bezbednosne situacije organizacije dok automatizuje proces otkrivanja i reagovanja. XDR je bolje prilagođen savremenim izazovima sajber bezbednosti od tradicionalnih rešenja kao što su anti-malware ili SIEM. Može da prikuplja i analizira veliku količinu podataka u realnom vremenu, prvenstveno sa krajnjih tačaka kao što su Windows računari, ali i iz drugih izvora kao što su mrežni saobraćaj, e-pošta, aplikacije u oblaku, itd. XDR takođe obavlja veliki deo interpretacije detekcija, tj. povezuje pojedinačne detekcije ili događaje u nešto što je povezivo sa poznatim lancem tehnika napada. Ono što je posebno važno je da se XDR može integrisati sa drugim bezbednosnim alatima i dalje automatizovati procese.
Pomenuli ste i SASE. O čemu se radi i kako se takva tehnologija razvila?
Modeli rada se drastično menjaju. Danas su korisnici i aplikacije svuda. To, s jedne strane, znači da je veliki broj organizacija usvojio neki oblik hibridnog rada. S druge strane, aplikacije se sve više isporučuju kao usluga (SaaS). Organizacije se odlučuju za neku kombinaciju privatnog ili javnog oblaka. Zbog toga se sve više aplikacija, uređaja, servisa i korisnika nalazi van kancelarije i data centra, pa se i površina napada širi.
Da bi se zaštitile u ovom novom kontekstu, organizacije se više ne mogu oslanjati na tradicionalni VPN. Ima sve manje smisla „gurati“ saobraćaj kroz centralnu kancelariju organizacije (eng. backhauling). Efikasna zaštita se može postići samo prenošenjem infrastrukture za daljinski pristup i bezbednosnu inspekciju u centralni “hub“ u oblaku.
I tako dolazimo do SASE ili Secure Access Service Edge. Treba napomenuti da SASE nije posebna tehnologija, već tehnološki okvir ili arhitektura. Za razliku od prethodnih modela, ova arhitektura dodaje novi servisni sloj koji konsoliduje bezbednosne funkcije u jednu tačku u oblaku. SASE pružalac usluga brine o infrastrukturi. Fokus korisnika – ili partnera – pomera se na zaštitu i bezbednost, i oslobađa se održavanja infrastrukture. Zato što je vremena i resursa premalo.
Od VPN-a do SASE i ZTNA. Izvor: Palo Alto Networks.
Koje probleme rešava SASE tehnologija?
Uz SASE, organizacije mogu kontinuirano verifikovati identitet korisnika na osnovu njihovog ponašanja ili promena na uređajima. Ovo je praksa poznata kao ZTNA i omogućava primenu principa najmanje privilegovanog pristupa. Još jedna važna prednost ove arhitekture je dosledna primena bezbednosne politike u celom saobraćaju, bez obzira gde se korisnik nalazio. Na kraju, primena ove arhitekture osigurava da su sve aplikacije i korisnici širom organizacije zaštićeni.
Palo Alto Networks Prisma SASE: Kompletno SASE rešenje
Šta je sa tradicionalnim bezbednosnim rešenjima? Da li su izgubili na značaju u modernom dobu?
Primena tradicionalnih rešenja kao što je Next Generation Firewall (NGFW) je i dalje važna u ovom kontekstu. NGFW je na tržištu više od 10 godina i više ga ne možemo doživljavati kao „next-gen“. Ali NGFW rešenja zaista mogu pomoći u zaštiti ako na pravi način konsoliduju što više bezbednosnih funkcija, pokrivaju hibridni rad i „disperziju“ aplikacija i korisnika. Ovo posebno uključuje integraciju i mogućnost postepenog prelaska na arhitekturu SASE.
Kada su u pitanju napredne funkcije zaštite i filtriranja saobraćaja, tipično je da velike kompanije mogu lakše implementirati napredna – i skupa – rešenja koja garantuju visok nivo bezbednosti. Manje kompanije, koje nemaju velik budžet, imaju problem da pronađu rešenje koje garantuje i nizak TCO i visok nivo bezbednosti. Zbog ograničenih resursa, takve kompanije često nisu u stanju da na vreme identifikuju sve aplikacije i delove mreže koje su u opasnosti. Ovde moram da pomenem NGFW seriju PA-400 kompanije Palo Alto Networks, koja je posebno dizajnirana za manje kompanije. Pored činjenice da kompanije neće trošiti mnogo novca i vremena na instalaciju, konfiguraciju i održavanje, sa PA-400 mogu biti sigurne da će sve njihove kancelarije biti zaštićene.
Da li je srpsko tržište svesno opasnosti i spremno da primeni ovakva i slična rešenja?
Ako žele da se zaštite, kompanije moraju biti spremne da modernizuju i konsoliduju bezbednosni stack. Naime, nije moguće braniti se od sofisticiranih napada ograničenim resursima i složenim sistemom. Kao globalni stručnjak za sajber bezbednost i digitalnu infrastrukturu, Exclusive Networks u svom portfoliju ima vrhunska rešenja za odbranu od sajber napada, zaštitu podataka, izgradnju data centara, zaštitu okruženja u oblaku i IoT uređaja… Uz globalnu logističku podršku, proces nabavke i dostava rešenja je jednostavna. Ovde su ključne usluge, odnosno stalna podrška koju pružamo našim partnerima u svim koracima – od prodaje do implementacije rešenja. Cilj je uvek isti – brz i efikasan odgovor na niz problema sa kojima se suočavaju kompanije širom Srbije i regiona.
Palo Alto Networks je globalni lider u cyber bezbednosti. Rešenja uključuju firewall sledeće generacije (NGFW), SASE i automatizaciju bezbednosti sa XDR i SOAR. Palo Alto Networks je takođe specijalizovan za workload zaštitu resursa u oblaku.