Raport: Horyzonty Bankowosci 2021 | FORTINET | Jak automatyzacja i sztuczna inteligencja pomagają w optymalizacji kosztów systemów ochrony przed cyberzagrożeniami
Rola automatyzacji w ochronie rozległych sieci
Pandemia spowodowała, że 84% przedsiębiorstw w Polsce zdecydowało się na zwiększenie odsetka osób pracujących zdalnie. Były wśród nich zarówno firmy, w których praca z domu nie była wcześniej praktykowana (35%), jak i takie, które już wcześniej ją stosowały[1].
Zmiana modelu pracy spowodowała, że w przedsiębiorstwach, które się na to zdecydowały, powstało tyle nowych „oddziałów” firmy, ilu pracowników przeniosło się do pracy z domu. Jeśli dodatkowo uwzględnić istniejące już wcześniej lokalizacje zdalne, okazuje się, że firmowe sieci rozrosły się na niespotykaną dotąd skalę. W tej sytuacji jednym z najważniejszych obszarów wykorzystania automatyzacji w zakresie cyberbezpieczeństwa stało się wdrożenie rozległych sieci definiowanych programowo (Software Defined Wide Area Network, SD-WAN), którymi znacząco łatwiej zarządzać niż zwykłą siecią rozległą (WAN). Co więcej, korzystać z benefitów płynących z tego modelu mogą nawet firmy posiadające tylko jedną lokalizację zdalną.
Duża złożoność środowiska sieciowego, wynikająca z istnienia wielu lokalizacji, utrudnia jego odpowiednie zabezpieczenie. Z pomocą przychodzi rozwiązanie Fortinet Secure SD-WAN, które zapewnia zaawansowany routing (wyznaczanie zoptymalizowanej „trasy” przesyłanych danych), zintegrowaną zaporę sieciową nowej generacji (Next Generation Firewall, NGFW), blokującą dostęp do sieci przed intruzami, funkcje automatycznego przywracania łączności oraz intuicyjne zarządzanie. Dzięki temu rozwiązaniu funkcjonalność SD-WAN może być rozszerzona o innowacyjne mechanizmy ochronne, zapewniające bezpieczny dostęp do usług brzegowych, z których coraz częściej korzystają pracownicy wykonujący obowiązki służbowe zdalnie.
Należy podkreślić, że aby wdrożenie sieci SD-WAN w oddziałach było skuteczne, powinno ono dotyczyć zarówno kwestii związanych z zabezpieczeniami, jak i funkcjami sieciowymi. Z pomocą przychodzi rozwiązanie SD-Branch, które rozszerza funkcjonalność Secure SD-WAN na sieć lokalną (LAN) w oddziale przedsiębiorstwa, w tym na jej połączenie z brzegiem sieci WAN, warstwę dostępową i urządzenia końcowe.
Za dużo danych, za mało czasu, czyli AI w inspekcji ruchu sieciowego
Obserwowana współcześnie rozległość środowiska IT utrudnia wykrywanie w ruchu sieciowym zachowań użytkowników odbiegających od normy. Ponadto, upowszechnienie pracy zdalnej zwielokrotniło ryzyko wystąpienia naruszenia bezpieczeństwa. Biorąc pod uwagę zaawansowanie obecnych cyberataków, tempo, w jakim zagrożenia mogą przedostać się do firmowej sieci i czas, jaki minie do ich rozpoznania, okazuje się, że odpowiednio szybkie wykrywanie incydentów i reagowanie na nie nabierają kluczowego znaczenia dla bezpieczeństwa firm.
Tymczasem w ciągu standardowego dnia pracy analityk bezpieczeństwa może zbadać od 20 do 25 alertów. Jednak centrum operacyjne bezpieczeństwa (Security Operations Center, SOC) w firmie przeciętnej wielkości może otrzymywać ich ponad 10 tys. dziennie, a w największych przedsiębiorstwach – nawet ponad 150 tys [2].
Nic więc dziwnego, że czas pomiędzy wniknięciem złośliwego oprogramowania do sieci a wykryciem go mierzy się nawet w miesiącach. Automatyzacja zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (Security Information and Event Management, SIEM) może w znacznym stopniu przyczynić się do spriorytetyzowania alarmów i uproszczenia reagowania na incydenty. Z kolei centralny system zarządzania, który gromadzi i analizuje dane o zagrożeniach zebrane z wszystkich zdalnych lokalizacji sieciowych, może skrócić czas reakcji na zagrożenie do minut. Jej zautomatyzowanie pozwala więc zoptymalizować pracę zespołów odpowiedzialnych za bezpieczeństwo.
Od pewnego czasu AI ewoluuje również w kierunku tzw. rozszerzonej inteligencji i uczenia maszynowego, które są wykorzystywane do zwiększenia wydajności i skuteczności rozwiązań ochronnych w firmie. Dzięki temu osiągalne staje się zapewnienie bezpieczeństwa sieci w czasie rzeczywistym. Co więcej, rozwiązania bazujące na sztucznej inteligencji są regularnie integrowane z aplikacjami zabezpieczającymi pocztę elektroniczną, IDS/IPS, wykrywającymi botnety, zarządzającymi tożsamością i wieloma innymi.
Biorąc pod uwagę popularność i skuteczność ataków z wykorzystaniem socjotechniki, kluczowymi elementami systemów zabezpieczeń są te, które koncentrują się na użytkownikach. Ochrona poczty elektronicznej, a także stosowanie technik analizy zachowań użytkowników, mogą okazać się jedną z najbardziej opłacalnych inwestycji w AI, jaką może poczynić firma.
Spośród rozwiązań ochronnych Fortinet na sztucznej inteligencji bazuje m.in. FortiXDR, który potrafi autonomicznie zarządzać całym procesem neutralizacji ataku – od identyfikacji złośliwego oprogramowania po zablokowanie go. Rozwiązanie to jest idealne dla przedsiębiorstw średniej wielkości, które nie posiadają rozbudowanego zespołu osób odpowiedzialnych za bezpieczeństwo, a także odpowiednich narzędzi i procesów. Większym firmom, w strukturze których znajduje się dział bezpieczeństwa, Fortinet proponuje narzędzie FortiSIEM, które ułatwia zarządzanie rozwiązaniami wielu dostawców, oraz FortiSOAR (Security Orchestration, Automation And Response), które zapewnia optymalizację procesów bezpieczeństwa poprzez połączenie wszystkich narzędzi ochrony przed cyberzagrożeniami, ujednolicenie ich działania, wyeliminowanie nadmiaru alertów i zredukowanie wpływu przełączania się pomiędzy działaniem różnych rozwiązań zabezpieczających. Dzięki tej rodzinie produktów firmy każdej wielkości mogą zniwelować ryzyko wystąpienia incydentów bezpieczeństwa poprzez szybsze ich wykrywanie, reagowanie na nie i ich blokowanie.
[1] Badanie ciągłości biznesowej w firmach zrealizowane w Polsce na zlecenie Fortinet przez ARC Rynek i Opinia w październiku 2020 roku.
