Raport Specjalny | Horyzonty Bankowości 2022 – Dell Technologies | Bezpieczny dostęp do danych wrażliwych w środowiskach hybrydowych i multi-cloud
Nasz rozmówca: w firmie Dell Technologies odpowiada za rozwój biznesu i projekty związane z analityką, przetwarzaniem big data oraz rozwiązaniami dla danych nieustrukturyzowanych. A także za bezpośredni kontakt z kluczowymi klientami, ścisłą współpracę z głównym zespołem sprzedaży i partnerami handlowymi. Doświadczenie zdobywał w ATM SA oraz Brocade. W branży IT od ponad 15 lat, zajmował się projektami dla wiodących klientów w Polsce, ze wszystkich sektorów gospodarki. Absolwent Szkoły Głównej Handlowej oraz studiów MBA na Uniwersytecie Warszawskim.
Bezpieczeństwo, nie tylko w sektorze bankowym, nabiera dziś szczególnego znaczenia. Czy w złożonych środowiskach informatycznych można skutecznie zarządzać bezpieczeństwem?
– Tak, można, ale jest to wyzwanie, szczególnie w zakresie zabezpieczenia użytkowników pracujących w środowiskach multi-cloud, gdzie niektóre aplikacje uruchamiane są w ramach usług z chmury publicznej. Taka sytuacja dodatkowo utrudnia kontrolę nad dostępem do danych, bo zasoby wspólne są rozmieszczone zarówno w typowym Data Center, jak i w miejscach poza naszą kontrolą, czyli u zewnętrznych usługodawców. Dlatego, jeśli chce się skutecznie zarządzać takim heterogenicznym ekosystemem, konieczne jest wykorzystanie koncepcji bezpieczeństwa Zero Trust. Model ten zakłada, że główną słabością w zakresie bezpieczeństwa jest zaufanie – czyli uprawnienia do korzystania z zasobów, jakich udzielamy naszym użytkownikom. Wokół tego słabego punktu należy budować strategię bezpieczeństwa oraz zabezpieczenia. Powinniśmy skupić się na zarządzaniu autentykacją: użytkowników, aplikacji i urządzeń, w połączeniu z weryfikacją zaufania, czyli świadomości tego, kto i z jakich danych korzysta. Kluczowa jest też wiedza o uprawnieniach dostępu do wrażliwych danych. Dzięki temu uzyskamy szeroki obraz uprawnień do zasobów lokalnych, takich jak współdzielone zasoby dyskowe oraz usług zewnętrznych (z chmury), również te oferowane w modelu Software as a Service, np. komunikatory, pakiety biurowe itp. Kluczowe jest, żeby powyższą wiedzę połączyć z informacją o aktywności użytkowników i sposobie korzystania z nadanych im uprawnień.
Jak wykorzystać powyższe informacje do wzmocnienia systemu bezpieczeństwa?
– Załóżmy, że jeden użytkownik ma dostęp do 100 zasobów, ale korzysta tylko z 10 z nich. Zgodnie z modelem Zero Trust w celu ograniczenia pola rażenia potencjalnego ataku, powinniśmy ograniczyć dostęp tylko do tych obszarów, które są niezbędne przy wykonywaniu powierzonej pracownikowi funkcji. Istotne jest też to, żebyśmy mieli narzędzia do wykrywania anomalii w zachowaniu użytkowników i wykrywali w czasie rzeczywistym incydenty związane z nadużywaniem uprawnień. Mając do dyspozycji zarówno zasoby lokalne, jak i te umieszczone w chmurze, łatwo dokonywać przesunięć informacji poufnych pomiędzy tymi zasobami, narażając je na dostęp nieuprawnionych osób. Przyjęta koncepcja bezpieczeństwa powinna umożliwić nam wychwycenie takich sytuacji, dzięki wiedzy o danych wrażliwych i procesie ich przetwarzania w naszej organizacji. Funkcjonalność ta wynika z regulacji prawnych i branżowych, np. rekomendacji KNF oraz RODO.
W jaki sposób można połączyć te obszary: uprawnienia, aktywność użytkowników i wiedzę o danych wrażliwych w jeden system?
– Potrzebujemy zautomatyzowanych narzędzi, żeby móc zidentyfikować, kto ma dostęp do określonych usług oraz gdzie znajdują się wrażliwe dane i w jaki sposób pracownicy korzystają ze swoich uprawnień. Jakie działania wykonują, szczególnie na danych wrażliwych, bo to jest obszar największego ryzyka i potencjalnie największych strat. Potrzebujemy systemu kontrolującego sposób korzystania z zaufania, którym ich obdarzyliśmy – czyli uprawnień. Większość organizacji już posiada część potrzebnych do tego narzędzi. Jest to przede wszystkim scentralizowany system zarządzania uprawnieniami oraz systemy pozwalające zaznaczyć dokumenty wrażliwe, nałożyć im etykiety oraz ograniczyć obieg tych informacji i możliwość ich wypływu. Część organizacji korzysta również z systemów, które potrafią monitorować aktywność użytkowników w wybranych repozytoriach. Głównym wyzwaniem w dużych organizacjach pozostaje automatyzacja i skorelowanie informacji zwrotnych z tych trzech obszarów.
Dzięki temu można efektywnie reagować na zagrożenia bez konieczności dużych inwestycji w zasoby osobowe. Dell Technologies przychodzi tu z pomocą, dzięki naszemu szerokiemu portfolio narzędzi z zakresu bezpieczeństwa. Wśród nich wyróżnia się rozwiązanie Varonis DatAdvantage, agregujące informacje z trzech wymienionych powyżej obszarów i łączące je w czytelną dla administratorów bezpieczeństwa formę. Varonis pozwala na bieżąco reagować na działania użytkowników w kilku wymiarach. Reaktywnym: w którym reagujemy w czasie rzeczywistym na działania użytkowników, np. kiedy w ramach swojego katalogu uprawnień dokonują przesunięć materiału wrażliwego do wspólnego folderu, lub kiedy masowo edytują pliki, co może świadczyć o ataku ransomware. Varonis DatAdvantage pozwala również na zautomatyzowane działania proaktywne, czyli okresowe, powtarzalne audyty bezpieczeństwa i recertyfikacji uprawnień pracowników. Kluczowym elementem systemu jest moduł AI, który oprócz wychwytywania anomalii w zachowaniu użytkowników rekomenduje zmiany w zakresie uprawnień i parametrów systemów autentykacji przy zachowaniu pełnej operacyjności pracowników.
Jak może wyglądać wdrożenie systemu Varonis realizowane przez Dell?
– Pełne uruchomienie systemu w organizacji zatrudniającej kilka tysięcy pracowników można przeprowadzić w czasie kilku tygodni. Czas ten potrzebny jest głównie na zebranie informacji o aktywności użytkowników, które pozwolą stworzyć wzorce zachowań i zbudować na tej podstawie automatyczne polityki dotyczące anomalii. Utrzymanie systemu również jest efektywne, bo dzięki jego automatyzacji i modułowi AI nie wymaga on pracownika przeznaczonego tylko do jego obsługi. Obsługa może być z powodzeniem dodana do obowiązków Security Operation Center (SOC) albo działu IT – w zależności od podziału kompetencji w organizacji. Integracja systemu nawet w złożonych środowiskach jest bardzo prosta, ponieważ zapewnia on gotowe interfejsy do typowych systemów autoryzacji stosowanych w bankach oraz głównych aplikacji i repozytoriów danych. Wdrożenie jest realizowane przez zespół wdrożeniowy Dell i jego partnerów. Ze strony banku wymagane są jedynie podstawowe dane dotyczące środowiska IT oraz założenia polityki bezpieczeństwa. Dell wspólnie z Varonis pozwala zautomatyzować wdrożenie i egzekwowanie modelu bezpieczeństwa, jakim jest Zero Trust.
Automatyzacja jest konieczna, jeśli mamy setki lub tysiące użytkowników i miliony współdzielonych dokumentów pomiędzy platformami w naszym data center i aplikacjami w chmurze. Nakłada to swoisty parasol bezpieczeństwa nad aktywnością użytkownika na danych wrażliwych współdzielonych zarówno lokalnie, jak i w ramach usług zewnętrznych. Pozwala ograniczyć możliwość pojawienia się błędu człowieka i powstanie luk wynikających z braku powtarzalnego procesu audytowania i recertyfikacji uprawnień użytkowników. Bazując na zawartości dokumentów, system pozwala na automatyczną weryfikację miejsca ich składowania oraz ich etykietowanie (labeling). Dzięki podglądowi zawartości plików wyszukuje zwroty cechujące dokumenty objęte szczególną klauzulą poufności, bezpieczeństwa lub też zawierające określone dane osobowe (PESEL, NIP, numer dokumentów tożsamości, kart kredytowych itp.).
Jak Dell i Varonis wpisują się w obecne wymagania organizacji biznesowych?
– Dynamiczne otoczenie rynkowe wymaga od banków szerszego korzystania z aplikacji cloud native, które często muszą być zintegrowane z repozytoriami danych składowanych wewnątrz banku. Z jednej strony mamy coraz więcej możliwości efektywnego wykorzystania wiedzy składowanej w systemach IT, a z drugiej zwiększa się ryzyko nadużyć, nieuprawnionego dostępu lub wycieku danych. Bez takich platform, jak Varonis, automatyzujących procesy zarządzania dostępem do danych, trudno jest skutecznie takie ryzyko zminimalizować. Dell w ramach dostarczanych rozwiązań, w tym systemu Varonis pozwala na radykalne zmniejszenie ryzyka ataków i zagrożeń płynących z wewnątrz organizacji (w tym ransomware). Świadectwem potwierdzającym przydatność Varonis jest jego powszechne stosowanie przez wiodące globalne grupy bankowe i finansowe m.in. takie, jak np. ING, NASDAQ. W Polsce system jest również z powodzeniem wykorzystywany organizacjach sektora produkcyjnego i energetycznego. Varonis jest kluczowym elementem bezpiecznego ekosystemu IT w dużych organizacjach, które wprowadzają rozwiązania hybrydowe i multi-cloud. Dell Technologies dzięki swoim usługom doradczym oraz szerokiemu pakietowi rozwiązań jest strategicznym partnerem w zakresie budowy innowacyjnego i bezpiecznego środowiska IT w instytucji finansowej o dowolnej skali.