Raport Specjalny | IT@BANK 2022 – Fortinet | Jak skutecznie zapewnić cyfrową ochronę w branży finansowej?
Wojciech Ciesielski
menedżer Fortinet ds. sektora finansowego
Jedną z najpowszechniej stosowanych metod cyberataku jest wprowadzenie złośliwego oprogramowania do sieci firmowej. Jak podano w dokumencie „1H Global Threat Landscape Report”, w pierwszej połowie 2022 r. eksperci z FortiGuards Labs wykryli 10 666 nowych wariantów kodu ransomware, czyli niemal dwa razy więcej niż w drugiej połowie 2021 r. Ponadto, tylko w pierwszym półroczu br. zidentyfikowano siedem nowych rodzajów złośliwego oprogramowania typu wiper, które odpowiada za bezpowrotne usuwanie danych z systemu, a więc niemal tyle samo, ile wszystkich wariantów wykrytych od 2012 r.
Szczególnie niebezpieczne dla przedsiębiorstw jest właśnie oprogramowanie ransomware z kategorii wiper. Analitycy z FortiGuard Labs przyczyn jego popularności doszukują się w trwającej od lutego wojnie w Ukrainie. Różne odmiany oprogramowania wiper używane były w wielu atakach wymierzonych w instytucje rządowe, wojskowe i prywatne – nie tylko na terenie Ukrainy, ale również w innych krajach.
Oprócz rosnącej liczby cyberzagrożeń banki i inne instytucje z branży finansowej muszą mierzyć się z problemem niedoboru specjalistów ds. cyberbezpieczeństwa. Jak wskazują autorzy dokumentu „2022 Cybersecurity Skills Gap Report” 60% przedsiębiorstw ma problem z zatrudnieniem osób odpowiedzialnych za ochronę infrastruktury IT. Z kolei 80% firm w ciągu ostatniego roku doświadczyło cyberataku, którego można było uniknąć, posiadając odpowiednią liczbę ekspertów. Gdy firmy i inne podmioty mają braki kadrowe w obszarze IT, ich sieci, dane klientów czy systemy o krytycznym znaczeniu są znacznie bardziej narażone na zagrożenia.
Banki jako infrastruktura krytyczna
Transformacja cyfrowa w branży finansowej dokonuje się szczególnie dynamicznie. Rozwijanie usług w ramach bankowości mobilnej i internetowej trwa nieprzerwanie od lat. Opłacanie parkowania za pośrednictwem aplikacji bankowej czy nawet branie pożyczek z użyciem smartfonu jest obecnie standardem. Jednak wraz z wprowadzaniem cyfrowych narzędzi instytucje finansowe muszą zadbać o prawidłowe zabezpieczanie danych. Atak na systemy IT banku może mieć katastrofalne skutki zarówno dla klientów, jak i samego przedsiębiorstwa. Personalia klientów, ich hasła i loginy, a także informacje finansowe to zasoby, na których niezwykle zależy cyberprzestępcom. Mogą zablokować dostęp do nich dla wymuszenia okupu, a także wykraść tożsamość klientów, aby sprzedać te dane na czarnym rynku.
Problemem jest też fakt, że od początku pandemii część pracowników branży finansowej pracuje zdalnie bądź hybrydowo. Zwiększa to ryzyko wystąpienia ataku, ponieważ wykorzystywany przez nich sprzęt nie zawsze jest odpowiednio zabezpieczony. Cyberprzestępcy chętnie to wykorzystują i przedostają się do systemu całej firmy za pośrednictwem np. prywatnych urządzeń należących do personelu. Cyfrowy atak na system banku i ewentualny wyciek danych może paraliżować jego działanie, wpłynąć na reputację i wywołać poważne skutki prawne. Dlatego tak bardzo istotna jest ochrona zarówno systemu firmy, jak i urządzeń indywidualnych pracowników, aby minimalizować ryzyko naruszenia bezpieczeństwa.
FortiSOAR – inteligentna platforma do zarządzania cyberochroną
Pojawiające się nowe cyberzagrożenia wymuszają na przedsiębiorstwach i instytucjach ciągłe dostosowywanie taktyk obronnych do potencjalnych form ataku. Poprawne identyfikowanie ścieżek, którymi cyberprzestępcy mogą przedostać się do systemu i wykraść cenne dane, stanowi dziś podstawę ochrony infrastruktury IT. Zarządzanie tym procesem musi mieć charakter zintegrowany, łączący w sobie rozpoznawanie ewentualnych luk w zabezpieczeniach, reagowanie na naruszenia oraz minimalizowanie negatywnych skutków ataku. Podejście do ochrony całego środowiska powinno bazować na przyjęciu jednolitej architektury, której wszystkie elementy współpracują ze sobą i się uzupełniają.
Zarządzanie procesem ochrony infrastruktury IT musi mieć charakter zintegrowany, łączący w sobie rozpoznawanie ewentualnych luk w zabezpieczeniach, reagowanie na naruszenia oraz minimalizowanie negatywnych skutków ataku. Podejście do ochrony całego środowiska powinno bazować na przyjęciu jednolitej architektury, której wszystkie elementy współpracują ze sobą i się uzupełniają.
Przykładem systemu, który może pomóc w poradzeniu sobie z wieloma współczesnymi wyzwaniami jest FortiSOAR (Security Orchestration, Automation and Response). Jest to opracowane przez firmę Fortinet zintegrowane centrum zarządzania kryzysowego, które łączy w jednym miejscu wszystkie rozwiązania ochronne stosowane przez przedsiębiorstwo. Umożliwia automatyzację najbardziej czasochłonnych procesów, a także natychmiastowe reagowanie na pojawiające się przypadki naruszenia bezpieczeństwa, poprzez dokładne analizowanie każdego ataku. Dzięki temu specjaliści nie są przytłaczani olbrzymią liczbą alertów o zaistniałych incydentach.
FortiSOAR wykorzystuje możliwości, jakie daje kilka rozwiązań firmy Fortinet. FortiAnalyzer służy do zaawansowanej analizy ataków w celu rozpoznania, czy rzeczywiście miały miejsce, jak też raportowania o tym fakcie. FortiXDR umożliwia rozszerzone wykrywanie incydentów bezpieczeństwa i reagowanie na nie. Natomiast FortiSIEM pozwala na analizowanie danych o zdarzeniach w czasie rzeczywistym, co umożliwia wykrywanie naruszeń danych i ataków ukierunkowanych na wczesnym etapie. FortiSOAR doskonale integruje się też z rozwiązaniami ochrony firm trzecich. Dzięki zaimplementowanym mechanizmom sztucznej inteligencji FortiSOAR reaguje na naruszenia bezpieczeństwa nawet o 98% szybciej niż specjaliści wykrywający je samodzielnie.
Jednym z najbardziej krytycznych elementów potrzebnych do reagowania na kryzys jest szybkie zgromadzenie najważniejszych danych i kluczowego personelu w tzw. centrum dowodzenia. Obecny w FortiSOAR mechanizm Incident War Room zapewnia w pełni zintegrowane podejście do zarządzania kryzysowego, łącząc ze sobą wszystkie potrzebne zasoby – osoby, oprogramowanie i informacje – aby można było skuteczniej podejmować działania zaradcze. Dzięki temu odpowiedź na atak gotowa jest w ciągu kilku minut, w przeciwieństwie do sytuacji, gdy przygotowywana jest fragmentarycznie w kilku miejscach. Takie podejście umożliwia zespołom szybką współpracę, wizualizację zagrożeń i ich ocenę oraz błyskawiczne podejmowanie decyzji w celu zminimalizowania skutków ataku.
Kompleksowe zarządzanie procesem neutralizacji ataku z FortiXDR
FortiXDR umożliwia pełną automatyzację nie tylko normalizacji i/lub korelacji danych i analizy zagrożeń, ale również procesu śledzenia, klasyfikacji i usuwania skutków incydentów. W rezultacie odciąża to zespoły bezpieczeństwa, zamiast dodawać im zakresu pracy, a jednocześnie zwiększa poziom cyberbezpieczeństwa. Rozwiązanie to jest częścią architektury Fortinet Security Fabric – zintegrowanej i zautomatyzowanej platformy ochronnej dla całej infrastruktury IT przedsiębiorstwa. Fortinet Security Fabric bazuje na wspólnej strukturze danych i skorelowanej telemetrii, a także współdziała z innymi rozwiązaniami firmy Fortinet, aby zapewnić jak najwyższy poziom bezpieczeństwa.
Rozwiązanie FortiXDR w kilka sekund potrafi zneutralizować zagrożenie, co odbywa się dzięki pełnej automatyzacji procesów zapewnionej przez sztuczną inteligencję. Zastępując pracę wykonywaną przez wyspecjalizowanych ekspertów, FortiXDR jest odpowiednim narzędziem dla przedsiębiorstw borykających się z niedoborem personelu. Oprócz stosowania mechanizmów sztucznej inteligencji (AI), korzysta też z wiedzy o cyberzagrożeniach, którą systematycznie gromadzi zespół analityków FortiGuard Labs. Funkcjonalność AI w rozwiązaniu FortiXDR obsługiwana jest przez silnik Dynamic Control Flow Engine, który na bieżąco zasilany jest informacjami o nowych zagrożeniach spływającymi z FortiGuard Labs i od ekspertów odpowiedzialnych za cyberbezpieczeństwo w przedsiębiorstwie.
FortiXDR analizuje informacje związane z bezpieczeństwem pochodzące z różnych rozwiązań Fortinet. Te międzyplatformowe źródła są skorelowane z danymi o incydentach badanymi przez sztuczną inteligencję. Na podstawie otrzymanej klasyfikacji firmy mogą wstępnie zdefiniować zautomatyzowaną, obejmującą różne platformy reakcję. Klienci użytkujący FortiXDR mogą zidentyfikować więcej zagrożeń, szybciej je opanować i tym samym odciążyć zespoły ds. bezpieczeństwa.
Kompleksowość architektury ochronnej oraz czas poświęcony na przeciwdziałanie atakom to dwa kluczowe obszary dla zapewnienia ochrony infrastruktury i systemów IT w branży finansowej. Pozwolą one w znaczącym stopniu zniwelować ryzyko naruszenia danych, a co za tym idzie, uniknąć wielu dalszych konsekwencji związanych z udanym cyberatakiem. Korzystanie z najnowszych rozwiązań bazujących na sztucznej inteligencji może też być odpowiedzią na rosnącą lukę kompetencyjną i niedobór specjalistów zajmujących się cyberbezpieczeństwem.