Trwa ładowanie...
Notowania
Przejdź na
aktualizacja
Płatna współpraca z Cloudware Polska

Cyberatak realniejszy niż włamanie. Jak obronić przed nim dane firmy?

Podziel się:

Każdego roku w Polsce dochodzi do ok. 70 tys. włamań, wliczając budynki prywatne, komercyjne i publiczne. Statystycznie rzecz ujmując, ryzyko, że złodzieje wybiorą właśnie naszą firmę, jest niewielkie.

Cyberatak realniejszy niż włamanie. Jak obronić przed nim dane firmy?
(Adobe Stock)

Zupełnie inaczej wygląda sytuacja z przestępstwami popełnianymi na odległość. Jak wynika z "2023 State of Operational Technology and Cybersecurity Report", globalnego badania – w której wzięli udział również respondenci z Polski – przygotowanego przez firmę Fortinet, w 2023 roku spośród przedsiębiorstw posiadających infrastrukturę OT, próby włamania doświadczyło aż 75 proc.

Cyberatak zatem to już niemal element codzienności. Stawia to firmy przed prostym wyborem: albo skutecznie się zabezpieczysz, albo już zacznij liczyć straty związane z wyciekiem lub uszkodzeniem danych.

SIEM: tropiciel zagrożeń

Próby włamania do infrastruktury informatycznej firmy są o wiele trudniejsze do wykrycia niż te fizyczne. Oprogramowanie, które z założenia ma nas chronić, prowadzi nieustanny wyścig zbrojeń z hakerami, ponieważ metody cyberprzestępców są coraz bardziej wyrafinowane: phishing, ransomware, czy nieautoryzowana instalacja złośliwego oprogramowania, mogą dotknąć firmy pomimo stosowania firewalla czy antywirusa.

Aby naprawdę skutecznie się przed nimi chronić, trzeba najpierw zgromadzić dane o tym, co może być potencjalnie niebezpieczne. Do tego właśnie służy IBM Security QRadar SIEM (Security Information and Event Management) – narzędzie do zarządzania informacjami i zdarzeniami bezpieczeństwa.

Czym są same zdarzenia bezpieczeństwa? To wszystkie informacje, które mogą spływać z systemów informatycznych, serwerów, urządzeń sieciowych, routerów, czy firewalli. Cała infrastruktura sieciowa w organizacji przetwarza połączenia, żądania i działania użytkowników, co jest rejestrowane w postaci logów. Zdarzeniami nazywane są pojedyncze akcje lub ciągi akcji. Same zdarzenia nie są jeszcze tożsame z niebezpieczeństwem, ale pozwalają nam błyskawicznie wychwycić nieprawidłowości i odstępstwa od normy – a to właśnie one mogą się okazać próbą włamania.

- Przy wdrażaniu SIEM liczy się dobra znajomość środowiska, w którym system jest użytkowany, aby już na starcie określić, co jest dla firmy sytuacją naturalną. Wszystko, co od niej odbiega, automatycznie będzie traktowane jako potencjalne zagrożenie. Potencjalne, ponieważ czasami system będzie zgłaszał alarm, który okaże się fals positive, tzn. dana sytuacja jest nietypowa, ale analiza wykazuje, że nie stanowi zagrożenia. Wówczas możemy dodać to zdarzenie do listy bezpiecznych i przy kolejnym wystąpieniu nie spowoduje ono uruchomienia alarmu. Wytrenowany w ten sposób SIEM będzie mógł samodzielnie zareagować w znanych mu sytuacjach, jak również powiadomić operatora o koniecznej interwencji – tłumaczy Łukasz Kuflewski, Identity Management Architect w Cloudware Polska.

Uzupełnieniem QRadar SIEM jest QRadar SOAR (Security Orchestration, Automation and Response). Podczas gdy SIEM odpowiada za gromadzenie logów, analizę ruchu i procesów, to właśnie SOAR jest narzędziem, które po zidentyfikowaniu zagrożenia pozwoli na stworzenie reguł postępowania w przyszłości w analogicznych sytuacjach (np. zablokowanie danego adresu IP w firewallu).

Ile kosztuje bezpieczeństwo firmy?

Kompleksowe zapewnienie bezpieczeństwa firmie musi kosztować. SIEM to nie antywirus, którego wgrywa się na komputerze stacjonarnym, a następnie tylko co kilka miesięcy "aktualizuje".

Ale też jego działanie jest nieporównywalnie skuteczniejsze w zestawieniu ze wszystkimi znanymi sposobami ochrony przed nieautoryzowanym dostępem do danych czy innymi formami cyberprzestępczości. Zarząd musi więc w którymś momencie podjąć decyzję: czy ważniejsze są bieżące oszczędności czy długofalowe zyski z posiadania bezpiecznej infrastruktury? A jeśli firmy nie stać na realną ochronę danych, to czy będzie ją stać na poniesienie kosztów wygenerowanych przez atak, który może doprowadzić m.in. do wycieku poufnych danych klientów i pracowników, zablokowania procesów produkcyjnych czy po prostu trywialnej kradzieży pieniędzy z rachunków bankowych?

Dobra wiadomość jest taka, że wdrożenie QRadar znacznie ułatwia pracę.

- Z każdym narzędziem jest tak, że pewne osoby będą musiały się nauczyć jego użytkowania. Ideą QRadar jest umożliwienie samodzielnej obsługi przez operatorów w firmie. Nie muszą oni być ekspertami – wystarczy umiejętność odczytywania informacji i podstawowa wiedza z zakresu bezpieczeństwa (np. co oznaczają poszczególne parametry). Informacja jest agregowana i prezentowana w ten sposób, aby użytkownik jak najmniej czasu musiał poświęcić na samodzielne śledzenie problemu. Sama obsługa ogranicza się praktycznie do systematycznego monitorowania konsoli pod kątem pojawienia się na niej nowych informacji czy alertów. Bezpieczeństwo jest jednym z kluczowych obszarów w IT, dlatego chyba w każdej średniej i dużej firmie jest już osoba czy zespół, który jest za nie odpowiedzialny, więc korzystanie z systemu nie powinno być problematyczne – wyjaśnia Łukasz Kuflewski.

Czy QRadar zapewnia 100-procentowe zabezpieczenie przed cyberatakiem? Nie. W żadnej branży nie ma rozwiązań idealnych. Czy w takim razie warto wdrożyć system? Tak – ponieważ SIEM i SOAR są najlepszym zabezpieczeniem dostępnym obecnie dla użytkowników komercyjnych i instytucjonalnych, pozwalającym zminimalizować ryzyko niemal (choć nie całkowicie) do zera. Ponadto system jest stale aktualizowany, uzupełniany i monitorowany, aby w czasie niemal rzeczywistym chronić infrastrukturę IT i dane przed nowymi pomysłami kreatywnych cyberprzestępców. Nie można z nimi raz na zawsze wygrać, ale dzięki IBM QRadar, można być kilka kroków z przodu.

Więcej na: www.cloudware.pl

Skontaktuj się znami i zeskanuj QR-code!

Płatna współpraca z Cloudware Polska

Oceń jakość naszego artykułu:
Twoja opinia pozwala nam tworzyć lepsze treści.