Johan Ragmo, Market Development & Networks Director, EUNO, at ALE
Bezpieczne sieci w 2017 roku: wdrożenie w modelu NaaS, ochrona przed atakami DDoS, zabezpieczenie IoT
Skuteczne wdrażanie transformacji cyfrowej przedsiębiorstw nadal nie jest wolne od problemów. Z jednej strony widzimy gwałtowny wzrost liczby podłączonych urządzeń (fenomen IoT — Internetu rzeczy) i ogromny postęp jeśli chodzi o możliwości aplikacji zwiększających produktywność. Z drugiej strony jednak pojawiają się kłopoty z bezpieczną implementacją tych technologii, co może opóźnić szersze ich wprowadzenie w przedsiębiorstwach.
Pod koniec 2016 r., w następstwie szeroko nagłośnionych przez media ataków, najgoręcej dyskutowaną kwestią było bez wątpienia bezpieczeństwo. Botnet „Mirai”, który sparaliżował niektóre z najważniejszych na świecie serwisów internetowych, a także niedawne przyznanie przez Yahoo, że w 2013 r. doszło u nich do wycieku danych z ponad miliarda kont użytkowników, to jedynie dwa z wielu przykładów.
Dodatkową komplikację stanowi fakt, że przedsiębiorstwa i instytucje wdrażają coraz więcej urządzeń podłączonych do sieci oraz technologię IoT, równocześnie starając się utrzymać tradycyjną infrastrukturę sieciową.
Moim zdaniem w 2017 roku w centrum uwagi znajdą się trzy zagadnienia o największym wpływie na sieci korporacyjne: zabezpieczenie sieci przed potencjalnie podatnymi na ataki wdrożeniami IoT, ochrona przed kosztownymi atakami DDoS (Distributed Denial of Service — rozproszony atak typu odmowa usług) oraz wprowadzenie modeli wdrożenia „jako usługa” umożliwiających ekonomiczne przejście na z natury bardziej bezpieczną infrastrukturę sieciową.
Tendencja w 2017 r.: segmentacja IoT zamiast ograniczania
Coraz więcej branż czerpie korzyści z IoT — służba zdrowia, oświata i produkcja to tylko niektóre przykłady obszarów, w których nowe urządzenia podłączone do IoT pozwalają na zwiększenie produktywności, obniżenie kosztów energii i poszerzenie możliwości wglądu w całość informacji. Jednak z punktu widzenia działu informatycznego korzyściom z tych nowych urządzeń towarzyszą nowe problemy, gdyż słabo zabezpieczone urządzenia podłączone do sieci na jej brzegu stwarzają furtkę do ataku na sieć korporacyjną.
Rozpowszechnianie się IoT zmusza projektantów sieci do wprowadzania nowych metod zarządzania siecią i rosnącą liczbą podłączonych urządzeń. Stałe gwarantowanie jakości usług (QoS), inteligentne nadawanie priorytetów urządzeniom oraz wysoka dostępność to jedne z najważniejszych czynników wpływających na odczuwaną przez użytkowników jakość sieci. Jednak generalnie biorąc, w niedostatecznie zarządzanej sieci nieuniknione jest pojawienie się z czasem słabych punktów. Segmentacja IoT (IoT containment) polega na stworzeniu w sieci korporacyjnej szeregu izolowanych wirtualnych środowisk, co pozwala na radykalne zmniejszenie skutków najgorszego scenariusza naruszenia bezpieczeństwa sieci. Ewentualne włamanie jest powstrzymywane w obrębie jednego takiego środowiska i nie może się rozprzestrzenić na tyle, by zagrozić całości działalności przedsiębiorstwa.
Jednym z najważniejszych tematów do dyskusji w 2017 r. będą sposoby skutecznego zabezpieczania sieci IoT i zarządzania nimi, zaś kluczowym elementem rozwiązania tego problemu będzie właśnie segmentacja IoT. Segmentacja IoT umożliwia zarządzanie urządzeniami i korzystanie z nich tylko przez upoważnionych użytkowników, wskutek czego zarządzanie IoT w skali przedsiębiorstwa staje się znacznie prostsze. Na przykład sieć IoT może być posegmentowana w taki sposób, że dostęp do systemu sterowania ogrzewaniem, wentylacją i klimatyzacją na potrzeby jego konfiguracji, monitorowania i eksploatacji będą mieć tylko uprawnieni specjaliści w tym zakresie, a taki dostęp nie będzie mieć wpływu na pozostałą część sieci. Zmniejsza to obciążenie działu informatycznego zadaniami zarządczymi.
Ochrona przed atakami DDoS będzie koniecznością w każdym przedsiębiorstwie
Segmentacja będzie także odgrywać ważną rolę w zarządzaniu bezpieczeństwem sieci korporacyjnych. Dzięki kontroli dostępu do poszczególnych wirtualnych sieci i urządzeń, segmentacja pozwala uniknąć rozprzestrzeniania się zagrożenia z zainfekowanych urządzeń na pozostałą część sieci.
Czy pamiętacie poważne naruszenie bezpieczeństwa sieci, które dotknęło amerykańskie przedsiębiorstwo handlu detalicznego Target w 2014 r.? W wyniku drobnej luki w bezpieczeństwie systemu klimatyzacji podłączonego do sieci korporacyjnej możliwy stał się nieupoważniony dostęp do całej sieci Target. Gdyby zastosowano prostą segmentację sieci, infekcja źle zabezpieczonego systemu klimatyzacji zostałaby powstrzymana w jego obrębie i nie mogłaby się rozprzestrzenić.
Jak wynika z raportu Akamai, liczba ataków DDoS na przedsiębiorstwa w 2016 r. wzrosła o ponad 12% w porównaniu z 2015 r. i prognozuje się, że trend ten będzie się utrzymywać. W 2016 r. doszło do jednego z największych ataków DDoS w historii. Botnet złożony z podłączonych do Internetu urządzeń zainfekowanych szkodliwym oprogramowaniem Mirai zaatakował firmę Dyn, wielkiego dostawcę usług zarządzania nazwami domen (DNS), w wyniku czego wiele serwisów internetowych zostało sparaliżowanych na czas rzędu godzin. Szkodliwe oprogramowanie takie jak Mirai skanuje sieć w poszukiwaniu niezabezpieczonych urządzeń, wykorzystując fakt, że urządzenia IoT są pośpiesznie wdrażane przez firmy i użytkowników indywidualnych z pozostawieniem domyślnych ustawień bezpieczeństwa oraz haseł.
Powoduje to dwojakiego rodzaju zagrożenia dla przedsiębiorstw. Po pierwsze, ich sieć może stać się bezpośrednim celem ataku DDoS. Po drugie zaś, atak taki może zainfekować inne podłączone urządzenia, rozprzestrzeniając się nie tylko na sieć danego przedsiębiorstwa, lecz także na inne sieci. Jest to powód do poważnego niepokoju dla największych przedsiębiorstw i instytucji działających online oraz dostawców usług internetowych: wyobraźmy sobie tylko rozmiar strat finansowych, jeśli serwis handlu elektronicznego stanie się niedostępny online w okresie przedświątecznego szczytu sprzedaży.
Moim zdaniem przedsiębiorstwa i instytucje powinny w 2017 r. dokonać weryfikacji wszystkich aspektów swojej sieci, włącznie z infrastrukturą sprzętową. Całkowite zapobieżenie atakom DDoS jest trudne, ale wprowadzenie ochrony na poziomie przełącznika dostępowego pozwala przedsiębiorstwu na wzmocnienie pierwszej linii obrony poprzez wykrywanie, filtrowanie i w konsekwencji blokowanie szkodliwego ruchu zanim sparaliżuje on działalność.
Jednak wdrożona obecnie tradycyjna technologia sieciowa często nie jest w stanie zapewnić takiej ochrony z powodu braku wbudowanej inteligencji. Dlatego przedsiębiorstwa, które zamierzają zmodernizować swoją infrastrukturę sieciową — czy to w celu zwiększenia przepustowości i zaspokojenia zapotrzebowania ze strony urządzeń IoT, czy też w ramach generalnej wymiany przestarzałego sprzętu — powinny brać pod uwagę tylko urządzenia spełniające następujące trzy krytyczne wymogi bezpieczeństwa umożliwiające zapewnienie kompleksowej pierwszej linii obrony:
- Kod źródłowy systemu musi być certyfikowany przez niezależnych ekspertów w zakresie bezpieczeństwa.
- Kod oprogramowania w pamięci urządzeń musi być zaszyfrowany w celu zminimalizowania możliwości znalezienia przez hakerów luk w zabezpieczeniach systemu.
- Oprogramowanie musi być dostarczone za pośrednictwem zaufanej i bezpiecznej infrastruktury w celu wyeliminowania ryzyka pobrania i zainstalowania zmanipulowanego kodu.
Nowe modele dostarczania sieci w 2017 r. — informatyka jako koszt operacyjny
Segmentacja IoT i strategie minimalizowania ryzyka ataków DDoS często wymagają możliwości udostępnianych tylko przez wyposażenie sieciowe najnowszej generacji. Problem polega na tym, że przedsiębiorstwa często już posiadają tradycyjną infrastrukturę, a ponieważ budżety na nakłady kapitałowe w większości przedsiębiorstw i instytucji są stale zmniejszane, brakuje środków na nabycie i zaimplementowanie nowego wyposażenia.
Jak przedsiębiorstwo może sobie poradzić z tym problemem? Jedną z metod jest skorzystanie z modelu SaaS (software as a service — oprogramowanie jako usługa). W ostatnich latach w obszarze oprogramowania obserwuje się szybkie odchodzenie od modeli wdrożenia oprogramowania aplikacyjnego (np. baz danych, systemów CRM, pakietów biurowych) bazujących na nakładach kapitałowych i przyjmowanie modeli wdrożenia bazujących na kosztach operacyjnych lub usługach w chmurze. Te nowe modele pozwalają na zmniejszenie nakładów początkowych oraz elastyczne i szybkie dostosowywanie się do potrzeb przedsiębiorstwa, a ponadto zapewniają dostępność z dowolnego miejsca, co ma istotne znaczenie ze względu na coraz większą dzisiaj mobilność pracowników. Obecnie analogiczne korzyści mogą być osiągane w obszarze infrastruktury sieciowej dzięki ofertom NaaS (network as a service — sieć jako usługa).
Podobnie jak w przypadku SaaS, implementacja NaaS pozwala na znaczne zmniejszenie nakładów początkowych oraz finansowanie w ramach kosztów operacyjnych w oparciu o model „na żądanie” lub „płatności od użycia”. Oznacza to, że dział informatyczny może wdrożyć technologię sieciową najnowszej generacji — z najlepszymi zabezpieczeniami oraz zaspokajającą potrzeby w zakresie IoT, mobilności i transformacji cyfrowej — przy niskich nakładach początkowych, jedynie z bieżącymi wydatkami operacyjnymi. Łączne koszty są w takim przypadku często niższe niż wydatki na samo tylko utrzymanie dotychczasowej tradycyjnej infrastruktury.
Bezpieczna transformacja cyfrowa
Transformacja cyfrowa to konieczność dla przedsiębiorstw, które chcą utrzymać swoją pozycję w warunkach szybkich zmian charakteryzujących epokę cyfrową. Jednak z transformacją cyfrową wiążą się niebezpieczeństwa, które mogą mieć poważny wpływ na finanse i reputację przedsiębiorstwa. Właściwie opracowany plan pozwoli na wykorzystanie jednolitej infrastruktury sieciowej, która będzie obejmować izolowane i posegmentowane systemy IoT, zapewni z natury bezpieczny dostęp, będzie gwarantować wdrożenie najnowszej generacji wyposażenia sieciowego oraz umożliwi optymalne wykorzystanie transformacji cyfrowej na potrzeby przedsiębiorstwa.
Ilustracja: Pixabay
Dodaj komentarz