Proč výrobci techniky selhávají u kybernetické bezpečnosti?

Posted on 28/11/2017
DISCLAIMER: this article is older than one year and may not be up to date with recent events or newly available information.

Je načase si přiznat, že co se týče kybernetické bezpečnosti a ochrany dat, nechávají technologické firmy nás, své zákazníky, na holičkách. Naše odvětví je založené na důvěře. Důvěře, že naše softwarové a hardwarové produkty fungují. Důvěře v důvěrnost soukromých dat a osobních údajů zákazníků a důvěře v naši schopnost zajistit integritu a dostupnost kriticky důležitých systémů. Tuto důvěru si denně získáváme ochranou důležitých aplikací a citlivých dat našich zákazníků v světě stále více založeném na mobilitě a cloudu. Úkol je to stále náročnější kvůli rychlému vývoji architektur aplikací a také proto, že se aplikace stávají primárním cílem kyberzločineckých útoků.

Albert Einstein jednou řekl, že „definice šílenství je dělat stejnou věc znovu a znovu a očekávat jiné výsledky“. Bohužel to trefně vystihuje náš dnešní přístup ke kybernetické bezpečnosti. Dokud zásadně nepřepracujeme základní bezpečnostní model, nedokážeme se z této pasti vyhrabat.

Transformace kybernetické bezpečnosti: od hledání špatného k zajištění dobrého

Problémem není nedostatek inovativních produktů – naopak, v oblasti kybernetické bezpečnosti se dnes setkáváme s úžasnými inovacemi. Problém spočívá v našem přístupu založeném na hledání toho špatného. Zasekli jsme se v nekonečném závodě ve zbrojení a nejsme to my, kdo udává tempo. Snažíme-li se odhalovat to, co je škodlivé, hledáme neustále příslovečnou jehlu v kupce sena. Nebo spíše v celém stohu.

Co kdybychom ale zkusili opačný přístup? Co kdybychom namísto hledání toho špatného celý model převrátili a soustředili se na zajištění toho dobrého? Zaměříme-li se na zajištění dobrého, v podstatě se zbavujeme veškerého zbytečného sena a zbývá nám samotná jehla. Exponenciálně tedy zmenšujeme prostor pro útok. Jak toho dosáhnout?

Podstatou „zajišťování dobrého“ je oprášení starého osvědčeného kyberbezpečnostního konceptu „nejnižších nutných oprávnění“, kdy uživatelé a jednotlivé prvky v systému dostávají pouze absolutní minimum práv pro přístup, využití funkcí a interakci. Jinými slovy, přístup získáte pouze tehdy, máte-li jej výslovně povolený. Podstatný rozdíl – a zásadní průlom – v dnešní době spočívá v tom, že nyní dokážeme zajistit přidělování nejnižších nutných oprávnění ve velkém rozsahu, aniž bychom brzdili inovace nebo zbytečně zatěžovali podnik, kterému sloužíme.

Zajišťování dobrého ale zahrnuje mnohem více než implicitní uzamčení všeho přede všemi. Hovoříme o přístupu, který je podstatně citlivější a důmyslnější. Když využíváme nejnižší úroveň oprávnění k zajištění dobrého, hledáme správnou rovnováhu mezi bezpečností a potřebou rychlého a flexibilního poskytování služeb. Jinak řečeno, usilujeme o to, aby bezpečnost chod podniku podporovala, nikoli omezovala. Stejně jako brzdy na autě – jejich smyslem není pomalá jízda, ale umožnit jízdu rychlou.

Tři pilíře zajišťování dobrého

Přístup „zajišťování dobrého“ se opírá o tři základní pilíře. Prvním z nich je využití bezpečné infrastruktury k vybudování aplikačního prostředí na principu minimálního oprávnění. Druhým je podpora ekosystému odhalením hranic a kontextu tohoto prostředí, aby se s ním mohl ekosystém propojit. A třetím je umožnit jednoduché a snadné praktikování řádné kyberhygieny.

Bezpečná infrastruktura

Bezpečná infrastruktura přináší zásadní změnu tím, že umožňuje rychle uzamknout důležité aplikace a data, zabudovat bezpečnostní prvky a provádět opakovatelný a cílený proces kybernetické hygieny. Nejedná se pouze o infrastrukturu, která je koncipovaná jako bezpečná, ale o takovou, která umožňuje porozumět vztahu mezi aplikacemi a infrastrukturou a vybudovat okolo nich prostředí s nejnižšími oprávněními.

Infrastruktura zaměřená na zajišťování dobrého musí být od počátku koncipovaná tak, aby disponovala schopnostmi úzce navázanými na to, na čem nám záleží nejvíce: aplikace a data. Příliš mnoho bezpečnostních prvků je dnes navázáno na hardware ukrytý v hloubi infrastruktury – například router, switch nebo server. Proč? Protože ve světě založeném na hardwaru to je jediné místo, kam je umístit. Ve světě založeném na softwaru pracujeme s členitým a proměnlivým předivem namísto rigidní hardwarové struktury a okrajových řešení.

Podpora ekosystému

Aby se mohl ekosystém bezpečnostních prvků efektivně zaměřit na zajišťování dobrého, musí mít v IT prostředí privilegované postavení. Bezpečnostní prvky musí mít přístup k podrobným informacím o kontextu aplikací a dat, která mají chránit, a celkové pokrytí kvůli přehledu a kontrole. Velká část ekosystému nadšeně přechod na koncept zajišťování dobrého vítá a hledá metody, jak se prohrabat jinak nezvladatelnou hromadou sena ve snaze nalézt nenápadnou jehlu.

Kyberhygiena

Konzistentně prováděná základní kyberhygiena je jednoznačně nejúčinnějším opatřením proti narušení bezpečnosti. Je rovněž jedním z pilířů zajišťování dobrého.

Přesto jediné, co je na provádění kyberhygieny konzistentní, je naše nekonzistentnost – důkladnou a systematickou kyberhygienu nezvládáme. Není to proto, že by bezpečnostní týmy nevěděly, co je potřeba, ale proto, že kyberhygiena ve světě neustálých změn je příliš složitá. Potřebujeme ji zásadním způsobem zjednodušit a usnadnit provádění pěti hlavních prvků dobré kyberhygieny.

Podíváme-li se na závažné případy narušení bezpečnosti, které se v posledních letech dostaly do novinových titulků, zjistíme, že všem bylo možné zcela předejít nebo výrazně omezit jejich dopad, pokud by postižené podniky bývaly dodržovaly tyto základní principy.

Jde-li o bezpečnost, obvykle si klademe otázku: „Jak zajistíme ochranu?“ Měli bychom se však spíše ptát: „Jak můžeme využít naši IT infrastrukturu novým způsobem, abychom bezpečnost transformovali?“

V době, kdy se nelze na odvětví IT z hlediska bezpečnosti spolehnout, nadešel čas postavit bezpečnostní model na hlavu.


Category: SDDC, Uncategorized

Tags:

Related Articles

No related posts found

Comments

No comments yet

Add a comment

Your email address will not be published. Required fields are marked *

*

This site uses cookies to improve the user experience. By using this site you agree to the privacy policy