Občas jsem IT odděleními pozván na ☕ a 🍪. Při té příležitosti se mnou pak probírají, zdali by si měli pořídit technologii XY. Tedy, abych pravdu řekl, podezřívám je, že skutečný důvod pozvání je ten druhý a káva je jen záminka.🤷🏼♂️ Nicméně rozumím jejich zájmu zjistit si více názorů. Přeci jen, investice do XY bývá v řádech milionů korun a IT si od ní slibuje vyřešení kybernetické bezpečnosti. Pod zkratkou XY se pak nejčastěji ukrývají sandboxing a SIEM.
Co je na sandboxingu a SIEM špatného?
Nic. Ty technologie jako takové jsou v pořádku. Problém spíš vzniká mezi očekáváními IT a reálnými „přínosy/dopady“ těchto technologií. Jednoduše se často výrazně míjí.😕
Důvod, proč se očekávání a reálné přínosy rozchází, je (dle mého názoru) naše introvertní povaha. Prostě si mezi sebou (my, IT správci) málo vyměňujeme zkušenosti. Obrázek o technologiích si děláme od jejich prodejců (ti naopak bývají značně extrovertní). Přitom obchodníci nemívají se správou sítí ani svými produkty praktické zkušenosti a bývají motivování hlavně prodat.
Níže uvedené body jsou moje postřehy a zkušenosti. Není to žádné dogma, na to mám až moc malý statistický vzorek. Pokud máte jiné zkušenosti, budu rád, když se podělíte v komentářích.
V čem se tedy očekávání nejčastěji liší?
Ušetří nám čas (nejedná se o bezobslužné technologie)
Očekávání: za posledních pár let jsem nepotkal firmu, která by mi neřekla, že jí v IT oddělení nechybí lidi. Přičemž sehnat další „ajťáky“ je aktuálně těžké, protože je jich nedostatek. IT manažeři tak doufají, že když pořídí sandbox / SIEM, částečně svému IT pracovně uleví a současně zvýší zabezpečení své sítě.
Realita: obě technologie ke své práci potřebují „obsluhu“. Někoho, kdo bude zkoumat jejich výstupy a adekvátně na ně reagovat. Bez obsluhy je přínos těchto technologií velice malý (např. jen auditní stopa pro vyšetřování).
Pří plánování těchto technologií je třeba počítat, že lidí v IT oddělení bude třeba víc. Zejména u SIEMu je to půl člověka až několik lidí. Což se zároveň promítne i do celkových nákladů na danou technologii (při aktuální ceně práce to jsou násobky oproti pořizovací ceně technologie).
Vyřeší zabezpečení sítě bez vzdělávání (bude potřeba více znalostí)
Očekávání: když ty technologie stojí miliony korun, budou díky umělé inteligenci jednodušší na používání. Se stejnými/aktuálními znalostmi dosáhneme vyššího zabezpečení sítě.
Realita: technologie v sobě určitou formu inteligence mají, ta ale slouží k přípravě informaci pro obsluhu, než by se podobala Skynetu z Terminátora.🤖 Rozhodnutí / učinění závěrů z předložených informací je pak na obsluze. Přičemž obsluhovat sandbox vyžaduje více znalostí, než obsluhovat antivirus (ten přitom mívá většina firem ve výchozím nastavení…). Stejně tak obsluhovat SIEM vyžaduje více znalostí, než obsluhovat log manager.
Je tedy potřeba počítat s tím, že nové technologie budou vyžadovat nemalé množství studia.
Vyřeší zabezpečení sítě i přes kostlivce ve skříni
Očekávání: stojí to sice hromadu peněz, ale zabezpečí to naši síť, aniž bychom museli vyřešit naše resty (segmentaci, hesla, aktualizace …) a budeme tak moci v klidu spát.
Realita: než se pořídí pokročilé technologie (sandbox, SIEM), je třeba mít vyřešeny „resty“ jako: segmentace sítě i oprávnění (tierování, least privilege), patch management, password management, mít pořádek a přehled o své síti (u velkých firem se občas stane, že zapomenou i na celá datacentra 🤯). Pokud toto není pořešeno, tak útočníkům zabere útok (lateral movement) zpravidla jen pár hodin. Takže je menší pravděpodobnost, že sandbox/SIEM útok včas zachytí. Zejména pokud nemá firma dohled 24×7 – útok proběhne během noci a ráno už nebude co dohledovat.
Krom toho, „vyřešit“ výše uvedené věci je zpravidla mnohem jednodušší a levnější než nasadit SIEM a sandbox.
Funguje to tak skvěle, jak nám tvrdí
Očekávání: výrobce proklamuje, že díky strojovému učení, umělé inteligenci, neuronové síti nás technologie ochrání před známými i neznámými hrozbami. Díky tomu už se nemusíme bát ransomware a hackerů.
Realita: oblast IT bezpečnosti je plná přehnaných tvrzení. Osobně bych byl radši, kdyby výrobci mluvili střídmě a snažili se o nějakou formu záruky ke svým produktům (opak toho říkat: „tohle je neprůstřelná technologie, ale jestli vás hacknou, my za to nemůžeme“). Technologie mívají často řadu neduhů a slepých míst. Žádná „silver bullet“ technologie neexistuje (nebo alespoň já ji ještě neobjevil).
My se snažíme čas od času testovat technologie, které používáme u našich zákazníků, abychom věděli, jak moc jim můžeme důvěřovat. Tento rok jsme testovali FortiGate od FortiNetu a předtím ESET (i útočníci nám posledně vyřadili ESET za 20 minut). Pomáhá to srovnat očekávání s realitou. Pokud jste články/přednášky ještě neviděli, určitě se podívejte – zejména ten test FortiGate pomáhá otevírat oči.
Závěr
Sandbox a SIEM jsou velice pokročilé technologie, které firmám dovolí lovit i elitní hackery (kyberzločince). Narozdíl od základních technologií (segmentace, správa hesel, aktualizace, vícefaktorové ověřování, antispam, antivirus, prostředí bez uživatelů s admin oprávněními) však nemusí být vhodné pro každého. Je proto nutné zvážit jejich přínosy a náklady pro danou situaci.
Máte na věc jiný pohled? Budu rád, když se o něj podělíte. Věřím totiž, že právě diskuzí a sdílením zkušeností se můžeme všichni obohatit a zlepšit.
Nechť jsou vaše sítě bezpečné.
Martin