STRATEGIE OBRONY SIECI BEZPRZEWODOWYCH W ERZE INTERNETU RZECZY

Transkrypt

1 STRATEGIE OBRONY SIECI BEZPRZEWODOWYCH W ERZE INTERNETU RZECZY

2 SPIS TREŚCI WSTĘP 1 SEKCJA 1: K ONIECZNOŚĆ PRZEANALIZOWANIA ZABEZPIECZEŃ WARSTWY DOSTĘPU 2 SEKCJA 2: NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU 5 SEKCJA 3: JAK WYBRAĆ BEZPIECZNE ROZWIĄZANIE SIECI WLAN 8 PODSUMOWANIE 10

3 WSTĘP Nieustanny ruch, ciągły dostęp do sieci i zalew nowych urządzeń bezprzewodowych stały się normą w korporacyjnych bezprzewodowych sieciach LAN (WLAN). Pracownicy nie są już przywiązani do biurek i oczekują wszechobecnego dostępu do aplikacji mobilnych. Działy informatyczne przedsiębiorstw mierzą się z ciągłymi zmianami technologicznymi, takimi jak wprowadzenie Internetu rzeczy (IoT), udostępnianie wszystkiego jako usługi (XaaS) czy sztuczna inteligencja. Ochrona firmowych bezprzewodowych sieci LAN przed nieautoryzowanym dostępem i cyberatakami stanowi główny problem, nad rozwiązaniem którego głowią się osoby podejmujące decyzje w zakresie IT w przedsiębiorstwach na całym świecie. Wszystkie te trendy mają istotny wpływ na planowanie, wdrażanie i zabezpieczanie sieci WLAN. Przedsiębiorstwa muszą planować z myślą o obsłudze mobilności, która stała się funkcją o znaczeniu strategicznym. Oznacza ona także rosnące zapotrzebowanie na niezawodną, kompleksową architekturę zabezpieczeń w firmie. Zmiany strategiczne są niezbędne do efektywnej ochrony przewodowych i bezprzewodowych sieci LAN przy jednoczesnym zapewnieniu obsługi aplikacji biznesowych każdego typu. W tym dokumencie omówiono ochronę warstwy dostępu firmowych sieci WLAN i wykazano, dlaczego wdrażanie przypadkowych zabezpieczeń już nie wystarczy do ochrony przed zagrożeniami. Niniejszy e-book wyjaśnia, w jaki sposób architektura bezpiecznego dostępu może zapewnić sieciom korporacyjnym kompleksową ochronę wymaganą dziś i w przyszłości. 1 WSTĘP

4 01 KONIECZNOŚĆ PRZEANALIZOWANIA ZABEZPIECZEŃ WARSTWY DOSTĘPU Cały czas obserwujemy wzrost liczby i typów urządzeń działających w sieciach Wi-Fi. Według raportu Synergy Group sieci WLAN są najszybciej rozwijającą się technologią korporacyjnej infrastruktury informatycznej 1. Wi-Fi Alliance przewiduje, że w 2020 roku liczba podłączonych do sieci urządzeń konsumenckich i biznesowych osiągnie 38,5 mld 2. W niemal wszystkich branżach pracownicy korzystają z aplikacji o znaczeniu krytycznym na wielu urządzeniach prywatnych i służbowych. Praca w modelu BYOD nikogo już nie zaskakuje stała się nową normą. W ankiecie, którą firma Lightspeed GMI przeprowadziła niedawno na zlecenie firmy Fortinet, 56% osób podejmujących decyzje w zakresie IT wskazało, że korzystanie z urządzeń prywatnych do celów służbowych jest w ich firmach obsługiwane. W samej Ameryce Północnej odsetek ten wyniósł 76%. Poza tym, od działów informatycznych w przedsiębiorstwach oczekuje się pełnej kontroli nad wszystkimi urządzeniami. 2 KONIECZNOŚĆ PRZEANALIZOWANIA ZABEZPIECZEŃ WARSTWY DOSTĘPU

5 Internet rzeczy stał się w firmach zasobem o znaczeniu krytycznym, przynosząc nowe problemy w zakresie bezpieczeństwa. Powstające aplikacje Internetu rzeczy wprowadzają nowe, niezabezpieczone urządzenia bezprzewodowe we wszystkich branżach na całym świecie. Od hali fabrycznej po salę szpitalną obejmują one zarówno roboty przemysłowe, jak i zaawansowane czujniki medyczne. Są wdrażane w ogromnych ilościach, do bardzo wielu innowacyjnych i nowatorskich zastosowań Taki wykładniczy wzrost liczby niezabezpieczonych typów urządzeń powoduje powstawanie nowych luk w zabezpieczeniach i zagrożeń. Internet rzeczy stał się nowym punktem wejścia ataków i jako taki stanowi duże wyzwanie dla bezpieczeństwa. Zazwyczaj urządzenia i czujniki służą do zbierania i przekazywania danych. Większość z nich jest otwartych i niezdolnych do obsługi popularnych rozwiązań zabezpieczeń opartych na klientach, co nakłada obowiązek ich ochrony na sieć. 3 KONIECZNOŚĆ PRZEANALIZOWANIA ZABEZPIECZEŃ WARSTWY DOSTĘPU

6 Doskonałym przykładem są tu branże opieki zdrowotnej i farmaceutyczna. W porównaniu z tradycyjnymi systemami informatycznymi incydenty obejmujące Internet rzeczy, jak przejęcie kontroli nad urządzeniem do rezonansu magnetycznego, mają poważne konsekwencje zarówno finansowe, jak i organizacyjne, ponieważ wymagają zmiany zasad. Praktycznie całe oprogramowanie, aplikacje, systemy i urządzenia są obecnie podłączone do Internetu. To jest rzeczywistość, którą cyberprzestępcy znają i aktywnie wykorzystują. Przedstawiciele 94% instytucji medycznych przyznali, że ich organizacje padły ofiarą cyberataku 3. Hakerzy nieustannie opracowują nowe sposoby wykorzystania Internetu rzeczy i rozszerzenia powierzchni ataku do przeprowadzania zaawansowanych ataków. Banki i inne instytucje finansowe uważają bankomaty z obsługą Internetu rzeczy, kioski informacyjne oraz karty kredytowe i debetowe wyposażone w czujniki za okazje do zwiększenia przychodów. A ponieważ już teraz są celem ogromnej liczby cyberataków, wraz z rozwojem usług opartych na Internecie rzeczy ich zagrożenie jeszcze bardziej wzrośnie. Nic dziwnego więc, że osoby podejmujące decyzje w zakresie IT martwią się problemami związanymi z ochroną urządzeń Internetu rzeczy i uwzględniają je jako główny składnik ogólnej strategii zabezpieczeń. 1 Synergy Research Group, informacja prasowa ze stycznia 2016 r. 2 Wi-Fi Alliance 6 for 16 Wi-Fi predictions, styczeń 2016 r. 3 SANS Institute Health Care Cyberthreat Report KONIECZNOŚĆ PRZEANALIZOWANIA ZABEZPIECZEŃ WARSTWY DOSTĘPU

7 02 NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU Przedsiębiorstwa potrzebują struktury zabezpieczeń, która zapewniłaby elastyczną i kompleksową ochronę całych środowisk informatycznych. W obliczu zaawansowanych ataków na duże organizacje głównymi kwestiami stały się bezpieczeństwo oraz ochrona krytycznych danych firmy i klientów. W wielu przypadkach jednak działy informatyczne muszą jeszcze wdrożyć kluczowe środki zabezpieczeń, jak system zapobiegania włamaniom czy kontrola aplikacji, które zapewniają niezbędne dodatkowe warstwy ochrony. W Sekcji 1 omówiliśmy czynniki, które powodują konieczność stosowania w warstwie dostępu bardziej zintegrowanej strategii ochrony przed zaawansowanymi atakami w celu zagwarantowania bezpieczeństwa komunikacji, danych, transakcji i urządzeń mobilnych. Taka strategia obejmuje: Zapewnienie spójnych zasad obowiązujących aplikacje i urządzenia działające w środowiskach przewodowych i bezprzewodowych oraz na wielu urządzeniach używanych przez każdego użytkownika. Dodanie wielu warstw obrony, w tym zastosowanie wyraźnej segmentacji sieci, w celu przerwania łańcucha infekcji lub złagodzenia jej skutków. Ciągłe skanowanie w poszukiwaniu złośliwego kodu w celu blokowania dostępu do złośliwych witryn, kontrolę integralności punktów końcowych i monitorowanie wykorzystania aplikacji. 5 NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU

8 Ujednolicony dostęp Typowe wdrożenia strategii sieci Wi-Fi nie spełniają tych strategicznych wymagań. Przykładowo, wiele sieci kampusowych jest płaskich, co powoduje powstanie otwartego środowiska. Oznacza to, że dowolna osoba lub urządzenie działające legalnie lub nie ma niekontrolowany dostęp do całej sieci i powiązanych zasobów informatycznych. W płaskiej sieci nawet proste cyberataki mogą bardzo szybko siać spustoszenie. Do ochrony przed atakami, którym uda się przedostać przez zabezpieczenia stosowane na brzegach sieci, niezbędnych jest wiele warstw obrony. Wyraźna segmentacja wewnętrzna, obejmująca zasady ustanowione w zaporach między użytkownikami i zasobami, ogranicza ruch, udostępnia dzienniki i pomaga przerwać łańcuch infekcji. Bezprzewodowe systemy ochrony przed włamaniami Wdrożenie bezprzewodowych systemów ochrony przed włamaniami (WIP) pozwala na wykrywanie fałszywych urządzeń, nieautoryzowanego dostępu i sieci ad hoc oraz ochronę przed nimi. Aby automatyczne mechanizmy zapobiegające były skuteczne, systemy WIP muszą precyzyjnie wykrywać i klasyfikować wszystkie zagrożenia. Optymalne skonfigurowanie i utrzymanie takich systemów w architekturze sieci ad hoc stanowi jednak duże wyzwanie. 6 NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU

9 NGFW Jako że zagrożenia nieustannie się zmieniają i mutują, obserwujemy silną tendencję do wdrażania zapór następnej generacji (NGFW). Szczególnie teraz są one niezbędne w każdym systemie ochrony, ponieważ umożliwiają skuteczną obronę przed zaawansowanymi zagrożeniami oraz reagowanie na nowe taktyki cyberprzestępców. Systemy NGFW wzbogacają metody istniejących zabezpieczeń, poszerzając możliwości zapór tradycyjnych. Obejmuje to ochronę przed włamaniami, szczegółową weryfikację pakietów SSL/SSH, wykrywanie złośliwego kodu i monitorowanie aplikacji. Zapory NGFW zapewniają dodatkowy kontekst oraz możliwość dokładnego poznania ruchu aplikacji internetowych przechodzącego przez sieć, przy jednoczesnym blokowaniu ruchu, który może wykorzystywać luki w zabezpieczeniach. Widoczność i kontrola Niezwykle ważnym aspektem stosowania tak szerokiego zakresu środków bezpieczeństwa jest ich konfiguracja oraz zarządzanie nimi. Nawet po wdrożeniu w firmie nowych funkcji zabezpieczeń mogą wystąpić ich naruszenia wynikające z niewłaściwej konfiguracji i zarządzania. Wdrażanie oddzielnych systemów kontroli dostępu, bezprzewodowej ochrony przed włamaniami i zapór oraz zarządzanie nimi jest pracochłonne i podatne na błędy. Te problemy można rozwiązać, implementując zintegrowaną, całościową strategię bezpieczeństwa. 7 NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU

10 03 JAK WYBRAĆ BEZPIECZNE ROZWIĄZANIE SIECI WLAN Najlepszym sposobem ochrony przed zaawansowanymi atakami, którym uda się przedrzeć przez obronę brzegu sieci, jest stosowanie wielu warstw zabezpieczeń. Wyraźna segmentacja wewnętrzna, obejmująca zasady ustanowione w zaporach między użytkownikami i zasobami, ogranicza ruch i może przerwać łańcuch infekcji. Poza tym, aby chronić dostęp z niezabezpieczonych urządzeń Internetu rzeczy oraz własnych, mechanizmy zabezpieczające muszą być zintegrowane z siecią. Wszystkie strategie ochrony sieci WLAN powinny zawierać zintegrowane rozwiązanie sieci bezprzewodowej łączące w jednym produkcie kontrolę i zabezpieczenia. Najlepsze zabezpieczenia powinny z kolei obejmować wszystkie komponenty sieci, w tym systemy bezprzewodowe, przełączniki i zabezpieczenia. Warto również zauważyć, że wbudowanie mechanizmów analizujących zagrożenia w urządzenia sieci WLAN i punkty dostępowe obniża całkowity koszt posiadania sieci niezależnie od jej architektury. 8 JAK WYBRAĆ BEZPIECZNE ROZWIĄZANIE SIECI WLAN

11 Warto szukać jak najbardziej elastycznych rozwiązań sieci WLAN, które pozwalają na łączenie i dopasowywanie modeli wdrażania do różnych zastosowań, lokalizacji i zasobów informatycznych. Niezależnie od tego, czy firma zdecyduje się na rozwiązanie oparte na kontrolerze czy działające bez niego, zarządzane w chmurze czy na miejscu, zawsze powinno ono odpowiadać strukturze jej sieci i organizacji, a przy tym zapewniać ochronę przed zagrożeniami. Zintegrowana, kompleksowa ochrona zapewnia ogólnie bezpieczne, skalowalne i opłacalne rozwiązanie. Konieczne jest uproszczenie wdrażania sieci, aplikacji i urządzeń korporacyjnych oraz zarządzania nimi. Nawet dysponując szerokim wachlarzem środków zabezpieczeń, administratorzy infrastruktury informatycznej mogą nie mieć pewności co do ich prawidłowej konfiguracji. Implementacja sieci i zabezpieczeń musi być widoczna w jednej konsoli. Należy dążyć do jednego, spójnego interfejsu użytkownika zapewniającego dostęp do sieci przewodowej i bezprzewodowej oraz umożliwiającego całościową konfigurację, monitorowanie i zarządzanie. 9 JAK WYBRAĆ BEZPIECZNE ROZWIĄZANIE SIECI WLAN

12 PODSUMOWANIE Środowisko dostępu nieprzerwanie się rozwija i pojawia się w nim coraz więcej różnego rodzaju urządzeń korzystających z sieci. Aplikacje Internetu rzeczy oraz nieustanny przyrost urządzeń użytkowników sprowadzają nowe, wciąż zmieniające się zagrożenia bezpieczeństwa. Integralną częścią każdej strategii i implementacji infrastruktury informatycznej jest kontrola dostępu do sieci w całym przedsiębiorstwie. Coraz to nowe wymagania dotyczące obsługi nowych urządzeń i ich typów sprawiają, że konieczne staje się stosowanie całościowego systemu bezprzewodowego, przewodowego i zabezpieczeń. Jest to rozwiązanie, które pozwala zminimalizować problemy ze współpracą i wdrażaniem urządzeń, upraszcza zarządzanie urządzeniami sieciowymi oraz zapewnia obsługę aplikacji mobilnych. Elastyczna, bezpieczna architektura zapewnia maksymalną ochronę niezbędną w każdej firmie. 10 PODSUMOWANIE

13 Porównaj rozwiązanie Secure Access Architecture firmy Fortinet Copyright 2016 Fortinet, Inc. Wszelkie prawa zastrzeżone.