GDPR – potřeba ochrany interní sítě a budoucnost kybernetické bezpečnosti

Jako nezbytnost se jeví budování vrcholné kybernetické ochrany spočívající v průběžném monitoringu kybernetického prostoru organizace, jeho vyhodnocování a v případě potřeby zajištění okamžité reakce na zjištěný bezpečnostní incident. Na IT trhu lze dnes pořídit celou řadu nástrojů pro bezpečnostní monitoring s velmi dobrými detekčními schopnostmi. Problémem je ale nedostatek kvalifikovaných odborníků, a to jak z hlediska omezené nabídky na trhu práce, tak i z hlediska výše ohodnocení špičkových bezpečnostních odborníků. Tento problém se navíc posouvá do další dimenze, pokud si uvědomíme nutnost zajištění fungování kybernetické ochrany v režimu 24 × 7 × 365. Jedním z negativních přínosů globálního internetu je fakt, že hackeři nespí a nepočkají na nás, až v 9.00 dopijeme ranní kávu a podíváme se, jestli nám někdo neškodí…

Budoucnost kybernetické bezpečnosti

Zajištění kybernetické ochrany je dlouhodobá a nikdy nekončící úloha, která bude z výše uvedených důvodů jen velmi těžko zajišťována vlastními silami organizace. V této souvislosti se ukazuje jako trend zavádění tzv. pokročilého modelu bezpečnosti. Ten spočívá v akceptaci komplexity problematiky a rozdělení zodpovědnosti mezi interní IT a externí specializovanou organizaci.

Interní IT se nadále věnuje již zvládnutým oblastem – zajištění provozních potřeb sítě, jako je základní správa stanic a sítě, běžná ochrana klientů (antivirus a antimallware) a perimetru (firewall) – případně infrastrukturnímu monitoringu. K tomu by měly rovněž patřit pokročilé činnosti při správě interní sítě, jako je zajištění síťové visibility, kompletní správy IP prostoru (tzv. DDI – integrovaný DHCP, DNS a IPAM) a rovněž řízení přístupu do sítě (NAC). Tyto činnosti jsou poskytovány v běžnou pracovní dobu organizace (např. v režimu 9 až 17 hodin).

Ve spolupráci s poskytovatelem bezpečnostních služeb (tzv. MSSP – Managed Security Service Provider) jsou zajišťovány bezpečnostní potřeby sítě. Ty spočívají v pokročilém bezpečnostním monitoringu a neustálém vyhodnocování sítě a služeb pomocí nástrojů typu Log management, SIEM apod. Tyto činnosti zajišťuje vysoce kvalifikovaná obsluha Security Operation Centra (tzv. SOC) v režimu 24×7, která je speciálně trénovaná na identifikaci bezpečnostních hrozeb a provedení potřebných opatření (incident response).

Pro zajištění incident response v mimopracovní dobu chráněné organizace, tj. bez využití interních IT zdrojů organizace, je zapotřebí využívat plně integrované prostředí pro správu, zabezpečení a monitoring. V takovém případě je možné hovořit o tzv. aktivním SOCu.

Společnost Novicom je velmi hrdá, že si nesporné výhody aktivního SOCu uvědomuje celá řada MSSP poskytovatelů v ČR i v zahraničí, kteří si k zajištění aktivního SOCu si vybrali řešení AddNet.

AddNet od Novicomu je unikátní integrovaný nástroj pro zajištění detailní visibility sítě, spolehlivého provozu základních síťových služeb a řízení přístupu do sítě. Rozsahem funkcí přesahuje hned do několika jinak samostatných tříd produktů (síťový monitoring, DDI, NAC) a umožnuje výrazně zefektivnit a zjednodušit síťovou správu.

Síťová visibilita

Pokud chci něco chránit, nejdříve musím vědět, co mám chránit. Proto má AddNet k dispozici výkonný L2 monitoring pro lokalizaci zařízení v síti a další nástroje monitoringu pro stanovení komunikačních toků zařízení.  Tyto informace mohou sloužit k udržování reálného „skladiště“ síťových zařízení a k podpoře správy IT aktiv. Velmi zajímavá je možnost sledování vztahů mezi IT aktivy a provozovanými business službami. To je velmi žádané při potřebě stanovit např. důsledky odpojení zařízení při řešení bezpečnostního incidentu nebo přemisťování provozovaných informačních systémů do externího cloudu.

Zabezpečení interní sítě

Řízení přístupu do sítě (NAC) je nezbytné pro zajištění síťové bezpečnosti. AddNet vedle zavádění plného 802.1x, které se opírá o klientské supplikanty, nabízí možnost bezagentské MAC autentizace s ochranou. AddNet se díky kombinaci pokročilých metod monitoringu snaží odhalovat možné duplicity a podvržení MAC adres. Velkou výhodou je možnost zavádět MAC autentizaci společně s L2 monitoringem a DDI službami, bez nutnosti dlouhé a náročné implementace plného 802.1x. AddNet samozřejmě podporuje i autorizaci, tedy provádí segmentaci sítí pomocí VLAN a řídí zařazení síťových zařízení do příslušných VLAN.

Efektivní správa sítě

AddNet byl vytvořen proto, aby výrazně zjednodušil síťovou správu. Spojuje všechny dílčí činnosti síťové správy (správa IPAM, nastavení DHCP, DNS, NAC) do jednoho homogenního produktu. Na jedné obrazovce je tak možné provést lokalizaci zařízení v síti a současně jeho snadné komplexní zasíťování. Samozřejmostí jsou i integrace na další síťové technologie, jako je MS Active Directory a další DNS technologie. Díky této vlastnosti dokáže AddNet zvýšit efektivitu síťové správy, a zajistit tak nedostatečnou kapacitu lidských zdrojů i pro další činnosti, např. pro vyhodnocování síťového provozu.

Spolupráce s nástroji pokročilé detekce a SOC

AddNet je postaven na vlastních technologiích, které mimo jiné přináší i možnost zajištění provozu ve vzdálené lokalitě i v případě přerušení síťového spojení s centrálou. Právě cenově dostupný distribuovaný model přináší další zajímavé možnosti při spolupráci s Aktivním SOCem nebo s nástroji behaviorální analýzy (NBA), jako je Flowmon ADS. Aktivní sondy AddNetu (tzv. Workservery) je možné doplnit o doplňkové moduly umožňující ve vzdálených lokalitách rovněž sběr dat o síťovém provozu (Flow data) nebo dat o provozu místní infrastruktury pomocí syslogů. Tato data jsou zabezpečeným způsobem odesílána do spolupracujících aplikací (NBA, SIEM).  Po jejich vyhodnocení můžou operátoři těchto systémů využít aplikační integrace a přímo si zjistit detaily o zařízení v AddNetu, provést okamžité odpojení zařízení nebo jeho izolaci (přesunutí do karanténní VLAN s možností změnit IP adresu pro funkci vzdálené správy zařízení).

Ochrana před ransomwarem? Lepší je prevence!

Kombinace funkcí AddNetu umožňuje aplikovat pokročilé síťové politiky. Je tak možné vytvořit politiku pro tzv. Trusted zařízení, jimž je umožněn přístup do sítě a automatizované přidělení IP adresy v kterékoliv vzdálené lokalitě (síti) bez nutnosti nastavování přístupu a adresní politiky. Možná ještě zajímavější je usnadnění aplikace pokročilých síťových politik na L2 vrstvě. Tím lze dosáhnout nastavení globálních pravidel pro komunikaci síťových zařízení na přístupových switchích, včetně možnosti zakázání komunikace mezi zařízeními v jedné VLAN. Proč se věnovat pokročilým detekcím ransomwaru s následnou nutností okamžité reakce, když můžete jeho šíření v síti přímo zamezit?

Flexibilita, jakou potřebuje zákazník

AddNet není jenom spolehlivý nástroj pro zabezpečení a správu sítě. AddNet je taktéž ucelené know-how, jež na zákazníky přechází prostřednictvím standardizovaných implementačních postupů, vycházejících z produktových best practices a implementační metodiky NIM. Na tu jsou trénováni a certifikováni partneři Novicomu zajišťující dodávky a implementace AddNetu.

To, jestli si zákazník vybere standardní dodávku AddNetu a jeho provoz si zabezpečí sám, nebo bude využívat AddNet formou služby od některého z partnerů, závisí pouze na jeho přání.