RAPORT Z ANKIETY. Ankieta dotycząca bezpieczeństwa komunikacji bezprzewodowej 2015 Wdrożone zabezpieczenia komunikacji bezprzewodowej: Stan rynku

Transkrypt

1 RAPORT Z ANKIETY Ankieta dotycząca bezpieczeństwa komunikacji bezprzewodowej 2015 Wdrożone zabezpieczenia komunikacji bezprzewodowej: Stan rynku

2 Ankieta dotycząca bezpieczeństwa komunikacji bezprzewodowej 2015 Wdrożone zabezpieczenia komunikacji bezprzewodowej: Stan rynku W związku z popularyzowaniem się rozwiązań BYOD i powszechnym przechodzeniem na sieci Wi-Fi zarządzane w chmurze bezpieczeństwo komunikacji bezprzewodowej znalazło się po raz kolejny na szczycie listy największych obaw dyrektorów ds. informatycznych 49% osób odpowiedzialnych za podejmowanie decyzji w działach IT (ITDM) uważa bezprzewodowe sieci LAN za jedne z dwóch najbardziej podatnych na zagrożenia obszarów infrastruktury teleinformatycznej. W związku z tym, że sprzedaż tabletów przewyższa sprzedaż laptopów, ilość tych pierwszych w przedsiębiorstwach przekroczyła najśmielsze oczekiwania. Trendu BYOD nie sposób powstrzymać. Liczba urządzeń mobilnych trzykrotnie przewyższa liczbę laptopów. Firmy są teraz, bardziej niż kiedykolwiek, zależne od chmur i mobilności, a to z kolei na nowo uświadomiło braki zabezpieczeń sieci WLAN. Z bezprzewodowych sieci WLAN nie korzystają już wyłącznie pracownicy za pośrednictwem kontrolowanych przez firmę laptopów. Udostępniane są one gościom i mają styczność z ogromną liczbą niezweryfikowanych urządzeń. Firewall i kontrola dostępu nie wystarczają już, by w pełni chronić poufne dane firmowe w bezprzewodowych sieciach LAN oraz by zabezpieczyć łączące się z nimi urządzenia. Zmieniający się charakter zagrożeń, z ataków opartych na połączeniu na ataki oparte na zawartości, zwiększa stałe ryzyko naruszeń bezpieczeństwa na skutek cyberzagrożeń. Poza podstawowymi systemami uwierzytelnień firmy powinny zabezpieczać sieć i urządzenia użytkowników przed złośliwym oprogramowaniem, złośliwymi witrynami i różnymi zagrożeniami skutkującymi włamaniami do sieci. Ta globalna ankieta miała za zadanie zbadanie stanu rynku zabezpieczeń bezprzewodowych sieci LAN wdrożonych wśród 1490 średnich i dużych przedsiębiorstw w szerokim spektrum branżowym. Jej wyniki wskazują, że większość z tych firm ma luki w strategii zabezpieczenia sieci LAN. OBAWY POPARTE FAKTAMI 92% dyrektorów ds. informatycznych obawia się, że ich zabezpieczenia komunikacji bezprzewodowej są niewystarczające. Ta ankieta dotycząca bezpieczeństwa komunikacji bezprzewodowej wykazała, że ich obawy nie są bezpodstawne. W setkach objętych ankietą firm brakowało podstawowych zabezpieczeń, takich jak firewall czy uwierzytelnianie. W tym samym czasie, co zaskakujące, przedsiębiorstwa te w rekordowym tempie wdrażają styl pracy BYOD i wyrażają żywotne zainteresowanie chmurą Wi-Fi. Są to dwa czynniki, które zwiększają złożoność każdej infrastruktury zabezpieczającej. 2

3 Profile ankietowanych Dane w tym raporcie pochodzą z niezależnej ankiety przeprowadzonej wśród 1490 osób odpowiedzialnych za podejmowanie decyzji dotyczących IT, reprezentujących organizacje zatrudniające 250 lub większą liczbę pracowników. Ponad 46% Podatne na zagrożenia Wyniki ankiety wskazują, że sieci bezprzewodowe uważane są za najbardziej podatną na zagrożenia część infrastruktury teleinformatycznej, a 49% spośród pracowników należących do ITDM wymieniło je wśród dwóch najbardziej zagrożonych obszarów. Ankietowani wskazali komunikację bezprzewodową jako znacząco bardziej podatną na zagrożenia niż infrastruktura sieci podstawowej, którą w rankingu wśród dwóch najbardziej Najbardziej zagrożone RYSUNEK 1: Rozmiar organizacji wyrażony w liczbie pracowników organizacji objętych ankietą zatrudnia ponad 1000 pracowników. Organizacje objęte ankietą prowadzą działalność w rozmaitych branżach, w tym w sektorze publicznym, a w każdym z tych sektorów zaobserwowano dość podobną dystrybucję wielkości firmy wśród czterech kategorii ich wielkości. Najmniej zagrożone Punkt końcowy Sieć podstawowa Komunikacja bezprzewodowa Bazy danych Aplikacje Pamięć Poczta RYSUNEK 3: Narażenie na zagrożenia komunikacji bezprzewodowej w stosunku do pozostałej infrastruktury IT podatnych na zagrożenia obszarów wymieniło tylko 29% ITDM. Podczas gdy bezpieczeństwo punktów końcowych również zostało wskazane jako druga co do wagi obawa (45%), aplikacje (17%) i komponenty infrastruktury pamięci (11%) postrzegano jako mniej narażone na zagrożenie. Niewystarczające zabezpieczenia sieci Wi-Fi Spośród ankietowanych pracowników 82% należących do ITDM i 92% dyrektorów ds. informatycznych wyraziło obawę, że zabezpieczenia ich sieci WLAN są niewystarczające, a niemal połowa ITDM (48%) jako swoją największą obawę wskazało potencjalną utratę poufnych danych firmowych i/lub danych klientów. 22% z kolei wymieniło szpiegostwo przemysłowe jako największe zagrożenie dla funkcjonowania sieci bezprzewodowych z niepełnymi zabezpieczeniami. Usługi finansowe Edukacja Produkcja Sektor publiczny Sprzedaż Inne RYSUNEK 2: Demografia branż organizacji Opieka zdrowotna Firmy telekomunikacyjne Wszyscy respondenci zostali wyłonieni za pośrednictwem panelu internetowego 1 firmy Lightspeed GMI, niezależnego przedsiębiorstwa zajmującego się badaniami rynku, i byli klientami wszystkich głównych dostawców sprzętu WLAN. Jedynie 70% z organizacji objętych ankietą zabezpiecza swoją sieć WLAN za pomocą firewalla i tylko 63% stosuje uwierzytelnianie, by zabezpieczyć dostęp do wewnętrznej bezprzewodowej sieci LAN. Choć ponad 60% z objętych ankietą organizacji korzystała ze skanowania antywirusowego, mniej niż 40% zabezpieczała swoje sieci bezprzewodowe za pomocą systemów IPS, kontroli aplikacji i filtrowania adresów URL. Stosunkowo mała liczba wdrożonych rozwiązań typu IPS, kontrola aplikacji i filtrowanie adresów URL może wskazywać, że bezpieczeństwo komunikacji bezprzewodowej nie jest traktowane z należytą powagą. 3

4 Uznaną dobrą praktyką dotyczącą udzielania dostępu gościom jest uwierzytelnianie ich za pomocą kontrolowanego portalu z unikatowymi identyfikatorami i hasłami oraz poddanie ruchu sieciowego skanowaniu antywirusowemu w czasie rzeczywistym, a także kontrola użytkowania (pora dnia, długość sesji, ograniczenie tempa) i filtrowanie zawartości w ramach polityk dla gości powiązanych z identyfikatorem SSID gościa. Firewall Uwierzytelnianie Kontrola aplikacji IPS Antywirus Filtrowanie adresów URL Wszyscy dostawcy oferują kontrolowane portale i większość z nich obsługuje także logowanie przez media społecznościowe. Podstawowe zarządzanie przepustowością można wymusić za pomocą kontrolerów miejscowych lub w chmurze, ale zaawansowane kontrolowanie aplikacji wymaga dogłębnej inspekcji pakietów na wyspecjalizowanym urządzeniu. Zabezpieczenie antywirusowe i filtrowanie adresów URL także wymaga stosowania dodatkowych urządzeń zabezpieczających w firmowej sieci LAN lub w centrum danych. RYSUNEK 4: Wdrożone zabezpieczenie sieci WLAN w zależności od wielkości organizacji W obliczu ataków typu APT kierowanych na coraz liczniejsze punkty wejścia niedopilnowanie wdrożenia tak podstawowych zabezpieczeń, jak firewall (29%) czy uwierzytelnianie (37%), przypomina igranie z ogniem. Niezabezpieczony dostęp gości Wykazano także brak podstawowych zabezpieczeń dla sieci Wi-Fi dla gości. 13% organizacji, które wdrożyły system dostępu gości w tej samej infrastrukturze WLAN, z której korzystają pracownicy, poinformowało, że sieć Wi-Fi dla gości jest całkowicie otwarta. Kolejne 24% pozwala gościom na korzystanie ze wspólnej nazwy użytkownika i udostępnionego hasła. Przyszłe priorytety w zakresie bezpieczeństwa W aspekcie rozważań przyszłych kierunków strategii bezpieczeństwa komunikacji bezprzewodowej większość respondentów oświadczyła, że nadal kładłaby nacisk na najpopularniejsze funkcje zabezpieczeń, czyli firewall i uwierzytelnianie. Wysoki priorytet Niski priorytet Firewall Uwierzytelnianie Kontrola aplikacji IPS Antywirus Filtrowanie adresów URL Logowanie przez media społecznościowe Unikatowy identyfikator / przepustka Całkowicie otwarty Wspólny identyfikator / przepustka Nie wiem RYSUNEK 5: Stosowany poziom zabezpieczeń dostępu dla gości RYSUNEK 6: Względny priorytet dla przyszłego udoskonalenia zabezpieczeń Pomimo niskiego priorytetu utrzymuje się jednak zapotrzebowanie na dodatkowe technologie, takie jak systemy IPS, antywirus i kontrola aplikacji, które zapewniłyby pełną ochronę przed zagrożeniami. Na przykład niemal 16% ankietowanych przyznała systemom IPS najwyższy priorytet, podczas gdy niecałe 3% zaznaczyło jako swój najwyższy priorytet filtrowanie adresów URL. Ochrona przed włamaniami została uznana za najważniejszy priorytet przez respondentów 4

5 Firewall Uwierzytelnianie Kontrola aplikacji IPS Antywirus Filtrowanie adresów URL RYSUNEK 7: % respondentów uznających metodę za swój najwyższy priorytet z sektora opieki zdrowotnej, sprzedaży i produkcji, gdzie stosowane są różnorodne wbudowane systemy o znaczeniu krytycznym, takie jak urządzenia medyczne, przenośne terminale kasowe (mpos) oraz czytniki RFID. Te wbudowane urządzenia są często podatne na ataki, których celem są luki w niepoprawionym oprogramowaniu. BYOD wyprzedza zabezpieczenia Tendencja BYOD jest wszechobecna i nie do powstrzymania. Badania przeprowadzone w listopadzie 2014 r. przez firmę Tech Pro Research 2 wskazują, że 60% wszystkich organizacji zezwala obecnie na stosowanie BYOD. W lutym 2013 r. odsetek ten wynosił 44%. Szacuje się, że dalsze 14% planuje umożliwienie stosowania tej metody pracy na przestrzeni kolejnych 12 miesięcy. Wyniki tej ankiety sugerują jednak, że wdrażanie zabezpieczeń niezbędnych do zminimalizowania ryzyka związanego z BYOD nie dotrzymuje kroku szybkiemu przyjmowaniu się trybu BYOD. Z powodu wyższej sprzedaży tabletów niż laptopów firmy mogą się spodziewać jeszcze większej liczby posiadanych przez pracowników urządzeń wnoszonych do miejsca pracy i używanych do celów firmowych. Przedsiębiorstwa muszą dostosować swoją strategię bezpieczeństwa do BYOD, by móc w pełni chronić dane firmowe. Z tej ankiety wynika także, że ponad 76% organizacji zezwala pracownikom na pracę w trybie BYOD, ponad dwie trzecie z nich zezwalało pracownikom na dostęp do poufnych danych firmowych za pomocą własnych urządzeń. BYOD z ograniczeniami Brak BYOD BYOD z pełnym dostępem RYSUNEK 8: Wdrażanie BYOD i dozwolony poziom dostępu Powinno to budzić poważne obawy dyrektorów ds. informatycznych, chyba że stosowane zabezpieczenia umożliwiają bezpieczny dostęp do poufnych danych za pomocą niezweryfikowanych urządzeń. W aspekcie BYOD pojawiają się dwa problemy: zabezpieczenie samego urządzenia i zabezpieczenie strumieni danych. Rynek narzędzi do zarządzania urządzeniami mobilnymi (MDM), które umożliwiają weryfikację urządzeń i wyczyszczenie danych na zgubionych urządzeniach, jest według szacunków Gartnera 3 nieskuteczny w przypadku 30% penetracji. Częściowo wynika to z faktu, że są one ograniczone wyłącznie do zabezpieczenia urządzenia. Kolejna kwestia zabezpieczenie strumieniowania danych wymaga ustanowienia polityki bezpieczeństwa firmowego, która określa uprawnienia użytkownika i wymusza skanowanie antywirusowe oraz reguluje priorytety aplikacji i kontrolowanie treści. Nie jest to zadanie narzędzi MDM. Zabezpieczenia te opierają się na sieci. Nie należy również zapominać o wykrywaniu fałszywych punktów dostępu (AP). Wykrywanie fałszywych punktów dostępu jest obecnie ważniejsze niż kiedykolwiek niemal każde urządzenie mobilne może obecnie udostępniać swój nadajnik radiowy jako wirtualny punkt dostępu i stać się wektorem ataku. Zalecane jest stałe monitorowanie pod kątem fałszywych punktów dostępu. Sieć Wi-Fi zarządzana w chmurze Respondenci wykazali bardzo duży optymizm dotyczący migracji do sieci WLAN zarządzanych w chmurze. Firma IDC prognozuje, że rynek sieci Wi-Fi w chmurze osiągnie do 2018 r. 46% łącznej rocznej stopy wzrostu i wartość całkowitą w 2018 r. rzędu 2,5 biliona dolarów

6 72% ankietowanych przyznało, że przynajmniej część ich sieci oparta jest na chmurze. Przodują w tym firmy o rozproszonych placówkach, świadczące usługi sprzedażowe lub finansowe, wśród których 80% korzysta z sieci Wi-Fi zarządzanych w chmurze. Natomiast duże firmy zatrudniające ponad 2000 pracowników wolniej wdrażają zarządzanie siecią WLAN za pośrednictwem chmury. Tylko 65% dużych firm poinformowało, że korzysta z chmury w związku z częścią lub całością zarządzania swoją siecią WLAN. Wiele przedsiębiorstw korzysta z zarządzania w chmurze jedynie częściowo w celu zainicjowania punktów dostępu instalowanych w biurach oddziału przez pracowników niebędących specjalistami z branży IT. Wówczas jednak, po początkowej konfiguracji, bieżące zarządzanie odbywa się poprzez łącze WAN z firmowej sieci lub centrum danych. Tylko 12% ankietowanych wyraziło nieufność wobec korzystania z chmury w celu zarządzania siecią WLAN, choć spośród 88% tych, którzy ufają temu rozwiązaniu, niemal dwie trzecie zaznaczyło, że woleliby zarządzanie w chmurze hostowanej przez ich własne centrum danych od zarządzania hostowanego przez stronę trzecią. Paradoks sieci Wi-Fi w chmurze RYSUNEK 9: Zainteresowanie siecią Wi-Fi zarządzaną w chmurze Dostawcy sieci WLAN obecnie chętnie promują swoje oferty sieci Wi-Fi w chmurze. Powodem tego jest chęć przekształcenia klientów w abonentów. Dla niektórych przedsiębiorstw bilans wydatków kapitałowych i kosztów operacyjnych jest korzystny, dla niektórych nie. Ale to, co jest korzystne dla wszystkich, to uproszczenie zarządzania siecią WLAN dzięki chmurze. Początkowa instalacja, konfiguracja i konserwacja jest łatwiejsza, prostsze jest też wdrażanie podstawowych polityk uwierzytelniania. Gdy jednak chodzi o bardziej skomplikowane zabezpieczenia, takie jak systemy IPS, antywirus, DLP i kontrola aplikacji, chmura nie jest idealnym miejscem do wdrażania tych funkcji. Implementacja ich w taki sposób, by działały równolegle z architekturą Wi-Fi w chmurze również znacząco zwiększa złożoność sieci. Rozwiązania WLAN firmy Fortinet Brak zaufania do chmury Preferowana prywatna chmura Chmura obsługiwana przez stronę trzecią Jako lider w zakresie zabezpieczeń sieciowych firma Fortinet wie aż nazbyt dobrze, jak trudno jest nadążyć za ewoluującymi zagrożeniami. Dlatego też mamy FortiGuard Labs ponad 200 ekspertów w dziedzinie zagrożeń, stale prowadzących badania nad najnowszymi lukami w zabezpieczeniach. Rozwiązania Fortinet Secure WLAN obejmują zaawansowane funkcje zabezpieczające, których nie można znaleźć w ofercie żadnego innego dostawcy sieci WLAN. Zarządzane przez kontroler rozwiązanie FortiAP firmy Fortinet łączy w sobie firewall, system IPS, antywirus, filtrowanie stron WWW i kontrolę aplikacji w ramach tej samej platformy, w której działa kontroler sieci WLAN. Umożliwia to stosowanie wszystkich tych zabezpieczeń w stosunku do dowolnego strumienia danych klienta jako nakaz polityki bezpieczeństwa. Dla dużych firm i sieci w kampusach, które ogólnie preferują zarządzanie oparte na kontroli, zarządzanie bezpieczeństwem komunikacji przewodowej i bezprzewodowej za pomocą zintegrowanego interfejsu zarządzania jest znaczącym ułatwieniem. Z myślą o przedsiębiorstwach o rozproszonych placówkach, preferujących bezprzewodowe sieci LAN zarządzane w chmurze, firma Fortinet zaopatrzyła swoje punkty dostępu Cloud Wi-Fi APs w zaawansowane funkcje zabezpieczające. Dzięki potężnym, wbudowanym procesorom punkty dostępu z serii FortiAP-S wykonują wszechstronne przetwarzanie w zakresie bezpieczeństwa na samym punkcie dostępu i chronione są dzięki regularnym aktualizacjom aplikacji, sygnatur malware i luk w zabezpieczeniach zapewnianym przez aktualizacje systemu zabezpieczeń od FortiGuard Labs. 6

7 To nowe podejście do bezpieczeństwa sieci Wi-Fi w chmurze kładzie kres zależności i złożoności sieci związanej z wdrażaniem firmowych funkcji zabezpieczeń sieci LAN w oddziałach firmy oraz potrzebie lokalnego wdrażania urządzeń zabezpieczających. Umożliwia to dowolnemu oddziałowi, bez względu na jego wielkość, stosowanie w bezprzewodowej sieci LAN tej samej wszechstronnej ochrony, którą obserwuje się zwykle tylko w dużych firmach i zastosowaniach akademickich wszystko to dzięki połączeniu punktów dostępu z FortiCloud, bezpłatnym portalem Fortinet do przeprowadzania analiz oraz zarządzania konfiguracją w chmurze. Dzięki ofercie rozwiązań Fortinet Secure WLAN przedsiębiorstwa mogą zostać objęte najbardziej wszechstronną na rynku ochroną komunikacji bezprzewodowej, bez względu na rozmiar firmy, topologię jej sieci i preferencje dotyczące zarządzania opartego na kontrolerze czy chmurze. 1 Ankieta dotycząca bezpieczeństwa komunikacji bezprzewodowej Fortinet była inicjatywą badawczą przeprowadzoną w maju 2015 r. przez zajmującą się badaniami rynku firmę Lightspeed GMI. Ankieta ta przeprowadzona została online wśród 1490 wykwalifikowanych osób podejmujących decyzje w zakresie IT głównie dyrektorów ds. informatycznych, dyrektorów ds. technologicznych, dyrektorów działów IT i szefów działów IT w organizacjach zatrudniających ponad 250 pracowników na całym świecie. Ankietą zostało objętych 12 krajów: Australia, Kanada, Chiny, Francja, Niemcy, Indie, Włochy, Japonia, Hongkong, Hiszpania, Wielka Brytania i Stany Zjednoczone Wartość rynku sieci Wi-Fi zarządzanych w chmurze wzrośnie do 2,5 biliona USD do roku 2018 (IDC #247738) SIEDZIBA GŁÓWNA Fortinet Inc. 899 Kifer Road Sunnyvale, CA Stany Zjednoczone Tel.: BIURO SPRZEDAŻY REGION EMEA 120 rue Albert Caquot 06560, Sophia Antipolis, Francja Tel.: BIURO SPRZEDAŻY REGION APAC 300 Beach Road The Concourse Singapur Tel.: BIURO SPRZEDAŻY AMERYKA ŁACIŃSKA Prol. Paseo de la Reforma 115 Int. 702 Col. Lomas de Santa Fe, C.P Del. Alvaro Obregón México D.F. Tel.: (55) Polska ul. Złota 59/6F Budynek Lumen II (6 piętro) Warszawa Polska Copyright 2015 Fortinet, Inc. Wszelkie prawa zastrzeżone. Fortinet, FortiGate, FortiCare, FortiGuard oraz niektóre inne znaki są zastrzeżonymi znakami towarowymi firmy Fortinet, Inc. Pozostałe nazwy związane z firmą Fortinet zawarte w niniejszym dokumencie również mogą być znakami towarowymi i/lub zastrzeżonymi znakami towarowymi firmy Fortinet. Wszelkie inne nazwy produktów lub firm mogą być znakami towarowymi ich odpowiednich właścicieli. Przedstawione w niniejszym dokumencie parametry wydajności i inne dane uzyskano podczas testów laboratoryjnych w warunkach idealnych, zatem faktyczna wydajność może być inna. Ostateczne parametry wydajności mogą ulec zmianie pod wpływem zmiennych sieciowych, różnorodnych środowisk sieciowych i innych uwarunkowań. Żadne ze stwierdzeń zawartych w niniejszym dokumencie nie stanowi wiążącego zobowiązania ze strony firmy Fortinet, a firma Fortinet nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, z wyjątkiem sytuacji, gdy firma Fortinet zawrze wiążącą umowę z kupującym, podpisaną przez głównego radcę prawnego firmy Fortinet, w której złoży wyraźną gwarancję, że określony produkt będzie działał zgodnie z wymienionymi w takim dokumencie parametrami wydajności. W celu uniknięcia niejasności dowolna tego typu gwarancja będzie ograniczona do działania w takich samych warunkach idealnych, w jakich firma Fortinet przeprowadziła wewnętrzne testy laboratoryjne. Firma Fortinet wyłącza w całości wszelkie zobowiązania, interpretacje i gwarancje związane z niniejszym dokumentem, zarówno wyraźne, jak i dorozumiane. Firma Fortinet zastrzega sobie prawo do zmieniania, modyfikowania, przenoszenia i dowolnego innego korygowania niniejszej publikacji bez uprzedzenia, a obowiązywać będzie najnowsza wersja publikacji. 25 czerwca 2015 r.