BANK 2021/05

Raport Specjalny | Forum Bezpieczeństwa Banków – Fortinet | Dane cenniejsze niż złoto

| Fortinet
Raport Specjalny | Forum Bezpieczeństwa Banków – Fortinet | Dane cenniejsze niż złoto
Fot.lassedesignen/stock.adobe.com
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Cyfrowa transformacja znacząco wpłynęła na zmianę charakteru funkcjonowania firmowych sieci. Obecnie znacznie częściej są one wykorzystywane do obsługi aplikacji biznesowych o znaczeniu krytycznym, prowadzenia transakcji online i zapewniania łączności pracownikom zdalnym. W ostatnim roku na globalną rewolucję cyfrową dodatkowo nałożyła się pandemia koronawirusa, która spowodowała przeniesienie kolejnych sfer biznesowej i prywatnej aktywności do internetu. W efekcie cyberprzestępcy zyskali ułatwiony dostęp do cennych informacji.

Wojciech Ciesielski
menedżer Fortinet ds. sektora finansowego

Według analityków Ponemon Institute (Cost of a Data Breach Report, 2020, Ponemon Institute), od chwili naruszenia cyberbezpieczeństwa firmy do wykrycia tego faktu upływa przeciętnie 280 dni. W tym czasie wykradzione dane mogą być już dawno wykorzystane przez przestępców. Taki wyciek informacji powoduje dla przedsiębiorstw z sektora finansowego daleko idące konsekwencje prawne, biznesowe i wizerunkowe. Automatyczna analiza incydentów oraz przyspieszenie procesu wykrywania zagrożeń i reagowania na nie pozwoli firmom uniknąć strat, zachować ciągłość działania i utrzymać pozycję rynkową w tych niezwykle wymagających czasach.

Jakub Jagielak
Lider technologiczny ds. Security, Atende SA

Od dłuższego czasu na rynku zabezpieczeń nie pojawiły się żadne rozwiązania, których zastosowanie w przedsiębiorstwach diametralnie zwiększałoby ochronę przed cyberprzestępcami. Jako integrator obsługujący duże firmy w różnych sektorach rynku widzimy, że sytuację całkowicie odmieniło pojawienie się systemów EDR, wspierających wykrywanie i reagowanie na incydenty na stacjach końcowych. Rozwiązania te są coraz częściej wybierane przez klientów zamiast systemów antywirusowych, zapewniając ochronę tam, gdzie tradycyjne technologie sobie nie radzą. Są przy tym wzbogacone o elementy sztucznej inteligencji i uczenia maszynowego, dzięki czemu wprowadzają nową jakość do ekosystemów cyberbezpieczeństwa naszych klientów.

Firmy z sektora finansowego są obecnie szczególnie narażone na ataki, głównie ze względu na fakt, że gromadzone przez nie dane finansowe i osobowe osiągają wysoką wartość na czarnym rynku. Nie jest zaskoczeniem, że branża usług finansowych doświadcza więcej przypadków naruszeń bezpieczeństwa będących pochodną działań pracowników niż inne sektory gospodarki. Ma to związek m.in. ze zwiększeniem zakresu pracy zdalnej. Osoby wykonujące obowiązki z domu nierzadko łączą się z firmą za pośrednictwem nieodpowiednio chronionej sieci. Ponadto zdarza się, iż korzystają ze sprzętu osobistego, który nie został autoryzowany i zabezpieczony przez firmowy dział IT, a do tej samej sieci domowej podłączone są też liczne urządzenia z kategorii smart home. Pracownicy zdalni są również bardziej narażeni na ataki socjotechniczne, ponieważ często nie mogą szybko, wspólnie z działem IT, zweryfikować, czy otrzymana wiadomość lub załącznik mogą być złośliwe.

Z kolei dział IT w siedzibie firmy również staje przed licznymi wyzwaniami związanymi z zabezpieczeniem środowiska pracy zdalnej. Połączenia zewnętrzne generują więcej ruchu, a więc także przyczyniają się do rejestracji większej ilości danych o zdarzeniach, które należy przeanalizować. Cyberataki mogą zwyczajnie „zagubić się” w tym szumie informacyjnym.

Skuteczne zarządzanie ryzykiem

Tempo cyfrowej transformacji sprawiło, że firmy nie miały odpowiednio wiele czasu na wdrożenie szerokiej infrastruktury zabezpieczającej, zaprojektowanej tak, aby sprostać współczesnym wyzwaniom. W rezultacie zespoły odpowiedzialne za ochronę środowiska IT bardzo często dysponują narzędziami pochodzącymi od różnych dostawców. Muszą przy tym zagwarantować pełną widoczność infrastruktury informatycznej oraz egzekwować wymogi dotyczące bezpieczeństwa w całej firmie.

Co zatem można zrobić, aby sprostać tym wyzwaniom? Należy mieć świadomość, że o ile zarządzanie ryzykiem, związanym z przetwarzaniem wrażliwych danych, jest już prawdopodobnie częścią strategii IT każdego przedsiębiorstwa świadczącego usługi finansowe, o tyle zarządzanie nagłym wzrostem pracowników zdalnych już nie. Przeciwdziałanie zagrożeniom związanym z nowym modelem pracy w sektorze usług finansowych stanowi duże wyzwanie, ale na sprostanie mu może skutecznie wpłynąć wykorzystanie odpowiednich rozwiązań IT przez zespoły ds. bezpieczeństwa.

Przykładem mogą być tu narzędzia z kategorii XDR (eXtended Detection and Response), w których połączono ze sobą i rozwinięto koncepcje EDR (Endpoint Detection and Response) oraz NDR (Network Detection and Response), służące do ochrony odpowiednio urządzeń końcowych oraz sieci. XDR zapewnia inteligentny i zautomatyzowany sposób łączenia w jednym systemie funkcji zwykle dostarczanych przez odizolowane rozwiązania.

FortiXDR – rozwiązanie do zarządzania całym procesem neutralizacji ataku, od identyfikacji po zablokowanie

Duża część produktów bezpieczeństwa, które zazwyczaj są wdrażane w przedsiębiorstwach, generuje ogromną ilości informacji o środowisku IT. Taka sytuacja może przyczynić się do przeoczenia zagrożeń i sprawić, że zespoły odpowiedzialne za bezpieczeństwo będą miały trudności z wykrywaniem cyberataków oraz reagowaniem na nie. Dlatego większość firm, już obecnie lub w ciągu najbliższych dwóch do trzech lat, planuje konsolidację rozwiązań bezpieczeństwa i zmniejszenie liczby ich dostawców.

Przeprowadzenie tej operacji umożliwiają rozwiązania XDR. Ułatwiają one zarządzanie złożonymi środowiskami zabezpieczenia IT, na które składają się rozwiązania od wielu dostawców. Ponadto koncentrują się na badaniu zdarzeń pochodzących z różnych produktów i nie wymagają indywidualnego zaangażowania zespołów odpowiedzialnych za bezpieczeństwo IT, które i tak często są przeciążone pracą, choćby z powodu braków kadrowych. Dlatego potrzebne było rozbudowanie funkcjonalności rozwiązania XDR i wyposażenie go w mechanizm automatyzujący cały proces – od wykrywania incydentów, poprzez ich badanie, aż po usuwanie skutków.

Jedynym tego typu rozwiązaniem na rynku, które stosuje mechanizmy sztucznej inteligencji do prowadzenia analizy incydentów, jest FortiXDR. Wykorzystuje ono również wiedzę dotyczącą zagrożeń, zgromadzoną przez zespół ekspertów FortiGuard Labs. Aby szybciej zneutralizować rozległe cyberzagrożenia, FortiXDR może w pełni zautomatyzować procesy ochrony, którymi zazwyczaj zajmują się doświadczeni analitycy. Jest też elementem architektury Fortinet Security Fabric, szerokiej, zintegrowanej i zautomatyzowanej platformy bezpieczeństwa dla całej infrastruktury IT przedsiębiorstwa – od urządzeń końcowych i należących do kategorii IoT, po środowisko sieciowe i chmurę. Bazuje ona na wspólnej strukturze danych, skorelowanej telemetrii, oraz zapewnia współdziałanie z portfolio rozwiązań Fortinet, a także rozwiązaniami firm trzecich na bazie gotowych adapterów i interfejsu API.

W FortiXDR zastosowano mechanizm sztucznej inteligencji, zapewniany przez silnik Dynamic Control Flow Engine. Jest on nieustannie „szkolony” z wykorzystaniem danych o zagrożeniach dostarczanych przez FortiGuard Labs, a także rozbudowywany na podstawie doświadczenia ekspertów reagujących na incydenty i analizujących je. Rozwiązanie to rozpoczyna działanie od wykorzystania różnorodnych informacji udostępnianych w ramach Fortinet Security Fabric do korelacji i analizy incydentów bezpieczeństwa, aby wykryć, czy rzeczywiście ma do czynienia z atakiem. Są one następnie badane przez mechanizm sztucznej inteligencji, podobnie jak zrobiłby to doświadczony analityk bezpieczeństwa, w celu uzyskania ostatecznej klasyfikacji i oceny skali zagrożenia.

Na koniec definiowane są najlepsze możliwe, w zależności od kontekstu, sposoby reagowania, które mogą być automatycznie wdrażane w celu szybkiej neutralizacji zagrożenia. Wszystko to dzieje się w ciągu kilku sekund, co znacząco odciąża zespoły ds. bezpieczeństwa oraz eliminuje ryzyko przeoczenia ataku lub popełnienia błędu przez człowieka. Nieszablonowe działanie FortiXDR sprawia, że rozwiązanie to jest idealne dla przedsiębiorstw każdej wielkości, zwłaszcza dla tych, które nie zatrudniają rozbudowanego zespołu ekspertów, a także nie posiadają odpowiednich narzędzi i procedur ochrony.

Kluczowe korzyści wynikające z zastosowania FortiXDR

Użytkownicy rozwiązania Fortinet wskazują, że radykalnie zmniejsza ono liczbę alarmów do zbadania (średnio o 77%), a jednocześnie zapewnia, że cyberataki nie zostaną przeoczone. Wszystko to umożliwia firmom skrócenie średniego czasu wykrycia (Mean Time To Detection, MTTD) oraz średniego czasu reakcji (Mean Time To Response, MTTR). Tym samym można zmniejszyć wpływ cyberataków na działalność przedsiębiorstwa, a jednocześnie poprawić skuteczność operacji ochrony i ogólnego stanu bezpieczeństwa IT.

Sprawia to, że eksperci zajmujący się ochroną środowiska IT mają więcej czasu, aby dokładniej skupić się na sprawach strategicznych w kontekście całego przedsiębiorstwa. Pomaga też firmie skutecznie konkurować na rynku, a jednocześnie, dzięki konsolidacji funkcji obecnych dotychczas w różnych rozwiązaniach, rozwiązuje problemy związane ze wzrostem liczby dostawców narzędzi bezpieczeństwa.

Źródło: Miesięcznik Finansowy BANK