Jak spolupracují výrobci bezpečnostních řešení?

Výrobci, vývojáři a prodejci různých bezpečnostních řešení a programů jen zřídka myslí na produkty jiných firem. Vznikají tak oddělené ekosystémy, mezi kterými může snadno propadnout bezpečnostní hrozba. A výraznější zlepšení tohoto stavu je zřejmě v nedohlednu.

Jak spolupracují výrobci bezpečnostních řešení?


Bezpečnostní informační technologie zahrnují stovky různých výrobců a prodejců. Jsou tu poskytovatelé cloudu, e-mailu, sítě a zabezpečení koncových bodů stejně jako služeb na ochranu proti malwaru, DDoS útokům a dalším hrozbám, mezi nimi také specificky zaměření vývojáři např. na obranu proti phishingu nebo whalingu, na detekci vnitřních hrozeb a další.

Problémem je, že značná část těchto řešení není navzájem patřičně kompatibilních, což komplikuje život bezpečnostním IT týmům zodpovědným za osvojení těchto technologií ve firmě.

Současně se od nich očekává, že budou držet krok s neustále se vyvíjecími metodami kybernetických kriminálníků, kteří inovují své metody rychleji než většina organizací na světě.

Frank J. Ohlhorst, analytik firmy Magnum Consulting, se na problém kompatibility a spolupráce jednotlivých bezpečnostních řešení zaměřil již minulý rok.

„IT bezpečnost se stala jednou z nejkomplexnějších součástí moderního IT prostředí, které vyžaduje několik vrstev ochrany spolu s pokročilou analytikou k zablokování útoků, zadržení útočníků a zajištění bezpečnosti dat. Přesto však současné bezpečnostní vrstvy někdy selhávají a často je to kvůli přístupu jednoho z prodejců k vytváření těchto jednotlivých vrstev.“

„Přirozeně ne všichni prodejci nesou vinu, jenže nedostatek kooperace a transferu technologií mezi vývojáři bezpečnostních řešení vytváří oddělené ‚ochranné sítě‘ neschopné pracovat jako celek, a to nehledě na celkové množství jednotlivých vrstev,“ vysvětluje dále Ohlhorst.

„Stručně řečeno, hrozby dnešní doby jsou větší a sofistikovanější, než aby je mohl vyřešit jeden jediný výrobce. Ve výsledku to znamená, že izolace jednotlivých bezpečnostních technologií musí skončit.“

 

Idealistické, ale nutné

Bezpečnostní odborníci však věří, že prodejci se ve velké míře hýbou správným směrem; primárně proto, že kooperace je „tou správnou věcí“.

„Idealisticky je moje odpověď na spolupráci taková, že je to věc, která by měla nastat pro co nejvyšší bezpečnost systémů zákazníků,“ popisuje Pete Wood, ředitel firmy First Base Technologies.

Spolupráce podle něj pomáhá vybudovat systém schopný bezpečně fungovat na komplexním řešení několika různých výrobců. „V porovnání se situací před několika lety je v současnosti vidět mnohem více příkladů probíhající spolupráce mezi výrobci bezpečnostních řešení,“ tvrdí Javvad Malik, bezpečnostní expert ve společnost Alienvault.

„Lze si toho všimnout i na technické úrovni; mnoho prodejců otevřelo své platformy pomocí API kvůli umožnění přenosu dat. Na straně vývoje zase častěji výrobci spolupracují v průzkumu, identifikaci i odstranění hrozeb.“

Dobrým příkladem toho je operace BlockBuster z minulého roku. Skupina Novetta zde vedla koalici složenou z firmy Alienvault a analytického týmu firmy Kaspersky. BlockBuster tedy byla aliancí mezi několika různými dodavateli zabezpečení, zaměřenými specificky na narušení vícero kyberšpionážních kampaní, aktivních po mnoho let a mířících na finanční instituce, mediální domy a výrobní společnosti.

James Chappell, technický ředitel firmy Digital Shadows, věří, že se mezifiremní kooperace rozvíjí například v oblasti bezpečnostních standardů, schopností aplikací a u informací o hrozbách.

„Prodejci v oblasti zabezpečení dat si uvědomují, že jen velmi málo technologií lze vnímat jako jeden lék na všechno – žádný výrobce nepokrývá vše,“ říká Chappell.

Zabezpečení je podle něj natolik širokým tématem, že vyžaduje investici v řadě různých oblastí, nikoli pouze v jediné. To logicky znamená, že tu existuje ekosystém různých produktových oblastí, které spolu navzájem souvisejí.

„My například blízce pracujeme s interním bezpečnostním monitoringem a dalšími systémy, takže upozornění a služby, které nabízíme, mohou vylepšovat celý proces nahlášení a reakce,“ vysvětluje Chappell.

Raj Samani, technický ředitel pro bezpečnost v Intelu a poradce Europolu, je o spolupráci mezi výrobci přesvědčen méně, ačkoli je potěšen dobrými vztahy, které panují mezi prodejci a bezpečnostními agenturami v souvislosti s bojem proti kriminální infrastruktuře.

„Objevuje se zde dosud nevídaná míra spolupráce,“ popisuje Samani a odkazuje na americké složky pro vykonávání práva a Evropské centrum pro boj proti kybernetické kriminalitě (EC3, součást Europolu), které čas od času spolupracují se soukromými organizacemi v boji proti různým zločineckým skupinám.

„Rozhodně se hýbeme správným směrem a vidíme tu jistou vertikální kooperaci, vzájemnou kompatibilitu produktů a lepší spolupráci mezi veřejným a soukromým sektorem,“ dodává Samani.

 

Interoperabilita je snem

Bezpečnostní IT trh má v příštích letech poměrně rychle růst – do roku 2020 se očekává celková hodnota průmyslu 170 miliard dolarů.

Poskytovatelé řešení tak samozřejmě hledají cesty, jakými své produkty odlišit, a stavějí na jejich jedinečných, odlišujících vlastnostech, zatímco dynamicky se měnící oblast bezpečnosti znamená, že různá řešení, standardy, a dokonce i protokoly se mohou změnit téměř ze dne na den.

Avšak i přes tuto nutnost se specializovat existuje jasné pochopení ze strany průmyslu – a to, že tradiční bezpečnostní produkty potřebují lepší vzájemnou interoperabilitu ke zlepšení ochrany koncových zákazníků.

Výrobci i uživatelé již vědí, že tradiční produkty jako firewall nebo IDS systémy nemohou samy o sobě zastavit stále komplexnější druhy útoku.

Lídři trhu postupně vyhlížejí příležitosti ke spolupráci, například skrze integraci API a cloudového obchodního modelu založeného na principu SaaS (software jako služba). Obzvláště integrace API dovoluje výměnu informací o hrozbách, zranitelnostech i dalších bezpečnostních informacích skrze rozličné produkty různých výrobců.

Nick Whitfield, šéf firmy Panaseer zaměřené na analytický software pracující s big daty, popisuje, že jejich společnost využívá data společností Qualys a Symantec. „Z historického pohledu poskytovatelé bezpečnostních řešení příliš nepodporovali uživatele v propojení vícero jednotlivých bezpečnostních produktů od různých výrobců na jednom systému.“

Některé firmy to podle Whitfielda rozhodně považují za hrozbu svému podnikání. Ekosystém výrobců se však stává stále integrovanějším, jak si samy podniky uvědomují, že osamělý bezpečnostní nástroj pro ně nemá vysokou hodnotu a že jedině kombinované řešení, které zahrnuje všechny možné obranné praktiky, zajistí uživatelům ochranu, kterou potřebují.

Na otázku, zda spolu jednotliví poskytovatelé bezpečnostních řešení mluví, Samani odpovídá negativně. „Většinou ne. To je ostatně tradiční problém většiny organizací – nedostatečná interoperabilita.“

„Hovořil jsem s mnoha různými výrobci, kteří nechtějí spolupracovat s ostatními. Je to jejich věc,“ vysvětluje Samani. „Ale trh, průmysl jako takový, zjevně kráčí opačným směrem.“

Wood mezitím uvádí nedostatečnou interoperabilitu jako klíčový problém v jeho práci. „Odloučení“ výrobci, stojící mimo ekosystém, podle něj nerozumějí technologiím napříč zbytkem bezpečnostního odvětví. Nedostatek takového porozumění je prý důvod, proč jednotlivá řešení často selhávají vlivem „mezer“ v bezpečnostní síti.

„Většina poskytovatelů bezpečnostních řešení nemá dostatečně široký přehled o bezpečnosti. Příliš mnoho z nich nerozumí technologiím nasazovaným paralelně s tou jejich,“ tvrdí Wood.

Dokonce se nebojí říci, že prodejci jednoduše „pracují na svých zájmech“ a ředitelům IT bezpečnosti ve firmách dodávají téměř zbytečné produkty a nedělají dost pro to, aby byli koncoví uživatelé dostatečně chránění.

„Moje doporučení je podívat se na celkový obrázek, zaměřte se na konkrétní případ,“ popisuje Wood. „Nepřemýšlejte nad svým řešením jako nad něčím izolovaným. Hledejte s pomocí výrobce mezery, které existují kvůli způsobu, jakým počítačové bezpečnostní systémy fungují.“

Buďte odvážní a investujte dostatečně do testovacího prostředí, kde si bezpečnostní tým může odzkoušet prolamování a zabezpečení systému, odděleně, mimo běžné funkční prostředí, dodává Wood.

Malik však upozorňuje, že kooperace může být technicky vzato dosti náročná. „Jsou tu nějaké překážky, které při spolupráci nastanou, tedy čistě z technologického hlediska. V zásadě jde o množství času a snahy, které firmám zabere úsilí vytvořit nebo pozměnit back-end k zajištění smysluplného reportingu a měření.“

„Zde mají výhodu výrobci, kteří mohou sjednotit bezpečnostní produkty napříč různými infrastrukturami – cloudovými nebo on-premises. Veškerá integrace totiž probíhá skrze back-end.“

Existují však i jiné bariéry ke zlepšení interoperability, jako třeba kultura. A také paranoia a fixace, vysvětluje Whitfield. „Prodejci jsou tak fixováni na své vlastní produkty, že někdy zapomínají na zákazníky samotné a jejich potřeby.“

 

Threat intelligence

Spolu se standardním vývojem zabezpečení je rozbor hrozeb a získávání informací o kybernetické kriminalitě – tzv. threat intelligence – pravděpodobně nejpokročilejší oblastí spolupráce mezi jednotlivými firmami v tomto odvětví.

Dřívější příklady kooperace zahrnují mnoho různých projektů, pro příklad Cyber Threat Alliance, Global Cyber Alliance nebo Threat Prevention Alliance a mnoho, mnoho dalších.

Chappell věří, že sdílení informací o bezpečnostních hrozbách mezi úřady a průmyslem velice pokročilo, uvádí například Intelligence Sharing and Analysis Centers (ISACs) ve Spojených státech nebo Cyber Security Information Sharing Partnership (CISP) ve Spojeném království.

Spolu se Samanim také poukazuje na projekt No More Ransom („Žádné další vydírání“), který je příkladem spolupráce soukromých společností, policejních složek a vlády pro boj proti hrozbě, kterou představuje ransomware.

„To je zcela bezprecedentní,“ tvrdí Samani. „Zatímco dříve probíhala spolupráce spíše formou skupinových diskuzí nebo jako konkrétní operace proti specifickému malwaru, nyní existuje stabilní on-line skupina. Ta navíc bojuje s ransomwarem jako s celkem.“

Sdílení informací o hrozbách je podle Malika již prakticky normou. „Má to historický základ. Mnoho podniků aktivně sdílelo data o bezpečnostních hrozbách a výsledkem jsou otevřené platformy typu OTX, které získaly na popularitě a spolupráci v odvětví podporují.“

Chappell věří, že standardy pomohly se spoluprací v oblasti informací o hrozbách, a to i díky práci Mitre.com a Oasis a také skrze standardizaci u iniciativ typu Stix nebo Taxxi. Věří také, že nedostatek schopných IT bezpečnostních pracovníků lze překonat pomocí skupin, jako jsou ISC2, Sans, Crest, Isaca či ISSP, kde se profesionálové z oboru bezpečnosti sdružují.

 

Tento příspěvek vyšel v Security Worldu 3/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.

Úvodní foto: © ra2 studio - Fotolia.com










Komentáře