Bartłomiej Śliwiński: Poniższy artykuł, powstały na bazie mojego wystąpienia podczas konferencji Trecom Security 360, omawia rolę stacku technologicznego w nowoczesnej firmie. Temat ten zostanie omówiony z trzech perspektyw, wynikających z historii mojej kariery - pracowałem jako specjalista bezpieczeństwa, następnie zostałem menagerem, by ostatecznie założyć własny biznes jako konsultant do spraw bezpieczeństwa.
Zacznijmy od wyjaśnienia pojęć. Według definicji stack technologiczny (znany też jako software stack) to zestaw programów, aplikacji, frameworków, baz danych i innego rodzaju oprogramowania, które zostało wykorzystywane podczas pracy nad projektem. Można więc powiedzieć, że określenie to zbiera wszystkie technologie, jakie są niezbędne do stworzenia gotowego i działającego rozwiązania informatycznego.
Natomiast, na potrzeby tego artykułu definiuję stack jako sumę wszystkich platform, aplikacji, narzędzi i skryptów, które pozwalają budować skuteczny i efektywny kosztowo Dział Bezpieczeństwa / SOC.
Oznacza to, że używając pojęcia stack technologiczny mam na myśli wszystko, co pozwala budować bezpieczeństwo, mitygować ryzyka i dyskutować z najwyższym kierownictwem o poziomie cyberochrony w ramach organizacji.
Uproszczony schemat stacku technologicznego w obrębie technologii cyber został przedstawiony na poniższej grafice. W przeszłości stack technologiczny był prosty i łatwy do zrozumienia dla specjalistów. W obrębie stacku mogliśmy wyróżnić antywirusa, LAN, WAN i firewall.
Bardziej ambitne organizacje posiadały również IDS (Intrusion Detection System) lub IPS (Intrusion Prevention System), które występowały bardzo rzadko ze względu na konieczność stałej obsługi. Czasami można było napotkać również proxy, natomiast SIEM (Security Information and Event Management) występował bardzo rzadko, u klientów gotowych przeznaczyć spore nakłady na cyberbezpieczeństwo.
Wszystko zabezpieczone było hasłami, które najczęściej nie opierały się na MFA. Kiedy spojrzymy na większość firm na świecie, to okaże się, że MFA zostało w nich wdrożone dopiero niedawno, co jest zastanawiające i nie napawa optymizmem.
Do niedawna bezpieczeństwo nie było modne i nie było częstym tematem dyskusji w obrębie kierownictwa. Sytuacja ta uległa diametralnej zmianie – statystyki dotyczące cyberataków, analizy ryzyka czy wprowadzenie dyrektyw takich jak NIS2 sprawiły, że cyberbezpieczeństwo stało się jedną z kluczowych kwestii podejmowanych przez kierownictwo najwyższego szczebla.
W przeszłości skupialiśmy się głównie na ochronie on-premises. Perimeter był łatwo definiowalny, a ówczesne narzędzia dobrze radziły sobie z takim podejściem. W dzisiejszych czasach sytuacja uległa diametralnej zmianie, jeśli chodzi o obszar wymagający ochrony.
Przykładami klasycznych rozwiązań cybersecurity, które w niektórych organizacjach wykorzystywane są do dzisiaj to firewalle starej generacji, klasyczne, sygnaturowe antywirusy, Snort, Suricata, Squid Proxy czy SIEM. Rozwiązania te nadal dobrze się sprawdzają, jednak są ciężkie w utrzymaniu i wymagają stałej opieki.
Warto zauważyć, że w przeszłości wspomniane wyżej narzędzia były trudne w konfigurowaniu i utrzymywaniu przez operatorów – wymagały bardzo dobrej wiedzy technicznej ze względu na brak dobrego projektowania UX. Oznaczało to, że próg wejścia do obsługi tych narzędzi był bardzo wysoki, co bardzo się zmieniło – obecnie poruszanie się w obrębie skonfigurowanego narzędzia cybesecurity jest łatwe i intuicyjne.
Największym napędem zmiany, jeśli chodzi o stack technologiczny było pojawienie się technologii chmurowej. Obecnie wiele firm przenosi się do chmury, część działa w modelu hybrydowym, a niektóre organizacje nie wiedzą nawet, że korzystają z tej technologii, ponieważ nie są świadome, że np. połączenie się z kontrahentami na Zoomie oznacza wejście do chmury. W obecnych czasach większość łatwych operacji biznesowych świadczonych jest z usług cloudowych.
Cechy rozwiązań chmurowych, takie jak dostęp do niemal nieograniczonej mocy obliczeniowej, łatwiejsza wymiana wiedzy (IOC – Inversion of Control, Insights), skalowalność, uczenie maszynowe i AI są największym plusem budowy narzędzi cyberbezpieczeństwa w chmurze.
Niewyobrażalna wydaje się sytuacja, w której ktoś próbuje wdrożyć modele uczenia maszynowego na lokalnej infrastrukturze on-premowej. To byłoby bardzo ciężkie do zrobienia, chociażby ze względu na wymaganą pamięć obliczeniową. Tego typu rozwiązania najłatwiej jest wprowadzić w chmurze i podnoszą one znacznie poziom cyberbezpieczeństwa w ramach organizacji.
Jednak wprowadzenie rozwiązań chmurowych pociągnęło za sobą nowe ryzyka i zagrożenia. Dlaczego? (...)
Wypełnij formularz, aby pobrać cały artykuł