V nasprotju s splošnim prepričanjem, kibernetski napadi niso vedno nekakšen ogromen poskus zavzetja in onemogočanja vaše infrastrukture. In medtem, ko je DDOS napade na nek način mogoče uporabiti kot vabo oz. prikrivanje, je tisto ta pravo delo dosti bolj subtilno in dodelano. Če lahko vzamemo primer v filmih o Bondu? Zlobneži se poskušajo potiho infiltrirati v vašo organizacijo, prepoznati njene slabosti in postopoma pridobiti oblast, da bi izpolnili njihov načrt.
Tako kot v tistih filmih, tudi v realnosti samo zunanja obramba ni dovolj, protiukrepi pa ponavadi pridejo prepozno, da bi lahko ustavili infiltracijo. To še posebej velja za bolj razdrobljene organizacije in podjetja, ki se močno zanašajo na zunanje izvajalce in zaposlene, ki delajo na daljavo. Takoj, ko napadalci najdejo pot v organizacijo, lahko ta v celoti pade. Skoraj 70% vseh kršitev je povzročenih s strani organiziranih kriminalnih skupin in ravno zaradi tega potrebujemo dobro in močno rešitev za zavarovanje podatkov.
Razvoj zaščite končnih točk
Končne točke – delovne postaje ali serverji, so idealne tarče oz. vstopne točke v informacijski sistem. Te točke pa postanejo še ranljivejše, ko so vzete izven mreže organizacije in nimajo več koristi od perimetrične zaščite.
Na samem začetku so se protivirusne zaščite osredotočale na prepoznavanje podpisov zlonamerne programske opreme, ter na mehanizme belih in črnih seznamov. Ta pristop je hitro dosegel svoje meje zaradi enega ključnega dejavnika: zelo močno se je namreč opiral na znane ranljivosti. Sistemi so se vedno znova znašli izpostavljeni ničelnim dnevom, saj so se vedno znova pojavljale nove grožnje.
Ker so se poti napadov znova in znova razvijale in mutirale, so ponudniki rešitev razvili novo zaščito – Antivirus nove generacije (NGAV), ki temelji na orodjih, ki vključujejo:
- Strojno učenje, ki omogoča zaznavanje neznanih groženj in preprečevanje neznanih napadov.
- Zaznavanje in odziv končnih točk (EDR), ki zna povezati dogodke in zaznati sumljive dejavnosti.
Te tehnologije pa se še vedno osredotočajo zgolj na prepoznavanje groženj in ne na zaščito sistema od znotraj. Raje reaktivnost kot proaktivnost.
Zaščita sistema od znotraj
Endpoint Privilege Management (EPM) je nova generacija zaščite pred kibernetskimi grožnjami in se osredotoča na zagotravljanje učinkovite »imunske« zaščite za končne točke. Namesto jalovih poskusov identifikacije in nato blokiranja napadov ustavi vse, kar ni naravni del organizma.
To pomeni, da je v informacijskih sistemih mogoče izvajati samo dovoljene aktivnosti.
Ta nov pristop je še posebej zanimiv za končne točke, ki so izpostavljene zunanjim omrežjem. To so tiste, ki jih uporabljajo zunanji ponudniki ali zaposleni, ki od doma dostopajo do omrežnih virov podjetja. Ta pristop predvideva, da je mogoče vdreti v vsak informacijski sistem in izvaja zaščito od znotraj, da sistema ni mogoče poškodovati, četudi se to zgodi zunaj perimetrične obrambe. Zaščita končne točke uporablja načelo najmanjših privilegijev – brez lokalnih administratorskih pravic vsiljivec, ali škodljiva programska oprema ne bo mogla pridobiti potrebnih pravic za zagon procesov in aplikacij.
Uveljavljanje načela najmanjšega privilegija ima tudi dodatne prednosti:
- Odstrani preveč priviligirane uporabnike na končnih točkah, posledično pa zlonamerna programska oprema ne more škoditi informacijskemu sistemu in ukrasti kritičnih podatkov.
- Odstrani vse lokalne skrbniške račune, da okrepi obrambo.
- Blokira kripto API-je, posledično informacijski sistem ne more biti talec ransomware-a.
- Uporabnikom v pravem kontekstu podeli ustrezne pravice.
To predstavlja dober prvi korak k zaščiti, vendar se še vedno osredotoča na »zunanjega agenta« - uporabnika in njegove privilegije. Čeprav je to teoretično funkcionalno, seveda ne predstavlja popolne zaščite končnih točk. Sistemi se morajo znati zaščititi pred grožnjami in zato najboljše rešitve dvigujejo EPM na drugo raven…
Privilegiji na ravni procesov, ne glede na uporabnike
Najbolj inovativne EPM rešitve ne obravnavajo več privilegijev na uporabniški ravni, temveč na ravni procesov in aplikacij.
To je glavni konceptualni premik za kibernetsko varnost – lokalni sistemi niso več zaščiteni samo pred grožnjami ali pred uporabniki, zaščita je razporejena na raven aplikacije ali na raven procesov za globlji, bolj prilagojen nadzor in varnost.
Pogosto se upravljanje aplikacij upira na binarno odločitev: uporabniki lahko do nje dostopajo, ali pa ne, ta aplikacije je pooblaščena, ali pa ne. Namen teh pravil je preprečiti, da bi aplikacije in procesi škodovali sistemu, je pa res, da zaradi takšne zaščite trpi produktivnost, saj morajo uporabniki za vsak, sicer legitimen prenos programske opreme, prositi IT oddelek, da omogoči ta prenos.
Ko so aplikacije predhodno odobrene, prav tako pa tudi določeni ukrepi znotraj teh procesov, upravljanje zaščite končnih točk postane enostavno. Procesi in aplikacije se lahko izvajajo le z natančno nastavitvijo privilegijev. Procesi zaradi uporabnikov, ki ne morejo sami dvigniti svojih pravic in odstraniti administratorskih računov, ne morejo biti ugrabljeni za izvajanje zlonamernih operacij.
Zagotavljanje natančne zaščite na ravni procesov omogoča uporabnikom, da ohranijo dostop do vseh orodij, potrebnih učinkovito in neodvisno izpolnjevanje njihovih nalog, hkrati pa zagotavlja, da programska oprema ne bo mogla škodovati sistemu, če bi se v njem znašel nekdo, ki bi želel škoditi.
Če je lahko Britanija za reševanje problemov vedno poklicala Bonda, to v našem svetu ni ravno mogoče. Endpoint Privilege Management vam omogoči preprečevanje glavnega vzroka nevarnosti, s katerim se vaše podjetje sooča od znotraj – procesi in aplikacije, še posebej, kadar so končne točke – osebni računalniki zaposlenih, izpostavljeni zunanjim grožnjam. Pravilna implementacija načela najmanjšega privilegija bo pomagala preprečiti, da bi infiltrirani agenti ugrabili vaše sisteme, saj ne bodo mogli izvajati nobenih drugih dejavnosti, kot tiste, ki so dovoljene vašim zaposlenim za opravljanje njihovih nalog.
Kaj torej pomeni učinkovita in pametna zaščita končnih točk za vas in vaše podjetje? Za direktorja to pomeni bolj miren spanec, saj ne bo potrebno venomer razmišljati o morebitnih okužbah z izsiljevalsko programsko opremo (ransomware), ki se vedno pogosteje dogajajo tudi v naših krajih. Za IT službe bo to sčasoma pomenilo manj časa porabljenega za določanje privilegijev uporabnikom. In na koncu bo to za finančnike pomenilo manjše stroške in porabo denarja, ki ga bodo lahko preusmerili drugam – bodisi v nadgradnjo IT sistema, bodisi v kakšne druge namene.
Overall, prihranek časa, prihranek denarja, povečana zaščita. Kalkulacija pomeni win – win rezultat. Razmislite o tem in nas pocukajte za rokav.
S katerimi rešitvami lahko učinkovito zaščitite vaše podjetje pred kibernetskimi grožnjami? Prijavite se na naše novice!