Zgodnie z definicją zawartą w słowniku języka polskiego pod pojęciem kontroli należy rozumieć sprawdzanie czegoś, zestawienie stanu faktycznego ze stanem wymaganym, jak również nadzór nad kimś lub nad czymś, w tym nadzór stosowany przez określoną instytucję. Jak ta definicja odnosi się do cyberbezpieczeństwa? Dowiesz się tego w tym artykule.
Wprowadzenie do kontroli w cyberbezpieczeństwie
Zapewne każdemu z Was, w tym również i Tobie, cyberbezpieczeństwo kojarzy się z atakami hakerskimi, być może inżynierią społeczną, jak również z osobami, które chronią systemy i dane.
Pomimo że taka wizja cyberbezpieczeństwa jest prawdziwa, jednak nie daje ona pełnego obrazu całości. Oczywiście tematem artykułu nie jest omawianie samej definicji cyberbezpieczeństwa, lecz rzucenie światła na niezwykle istotny aspekt, który niejednokrotnie jest pomijany, a mianowicie kontrolę. I nie chodzi tu o sprawdzanie jakości wykonanej pracy, lecz o opisanie i pogrupowanie działań, których celem jest ochrona infrastruktury i znajdujących się w niej danych.
Prawdą jest, że za tak rozumianą kontrolę jako ochronę infrastruktury i danych, odpowiadają różne rozwiązania techniczne jak zapory ogniowe (firewalle), oprogramowanie antywirusowe, systemy detekcji, jak choćby IDS czy IPS, czy wreszcie systemy monitoringu, jak SIEM lub SOAR.
Należy jednak wiedzieć, że bezpieczeństwo, a razem z nim cyberbezpieczeństwo jest wieloaspektową domeną i poznanie jak wyglądają poszczególne rodzaje kontroli ma kluczowe znaczenie dla prawidłowego zrozumienia zasad na jakich opiera się ochrona danych oraz infrastruktury.
W celu zobrazowania różnych rodzajów kontroli można posłużyć się przykładem twierdzy, która jest otoczona fosą, posiada wysokie mury (wewnętrzne i zewnętrzne) oraz stanowiska ogniowe. Jednak do obrony takiej twierdzy potrzeba czegoś jeszcze. Oczywistym jest, że musi być załoga wyposażona w odpowiednią broń, zapas amunicji, żywność, wodę, leki, szpital… Wymieniać można jeszcze długo. Ale także nie można zapominać o poszczególnych procedurach operacyjnych, a także strategii obrony realizowanej przez dowódcę garnizonu broniącego takiej twierdzy. Oczywiście twierdza powinna posiadać punkty obserwacyjne oraz mieć zapewnioną komunikację z dowództwem oraz innymi jednostkami. Każdy element składający się na obronę takiej twierdzy można porównać do poszczególnych rodzajów kontroli w bezpieczeństwie, które później bardziej szczegółowo rozwijane są na kontrole w cyberbezpieczeństwie.
Rodzaje kontroli
Kontrola techniczna (technical control)
Pierwszym rodzajem kontroli, który należy wymienić, jest kontrola techniczna. Można porównać ją do murów twierdzy stanowiących pierwszą linię obrony, a zarazem pierwszą zaporę chroniącą garnizon twierdzy przed wrogiem. Na gruncie cyberbezpieczeństwa taką pierwszą linią obrony mogą być firewalle, systemy antywirusowe, IDS’y, czy techniki szyfrowania.
Stąd przyjąć należy, że pod pojęciem kontroli technicznej należy rozumieć technologie, sprzęt i oprogramowanie, które jest wdrażane w celu zarządzania ryzykiem a zarazem jego ograniczania. Dlatego właśnie kontrola techniczna działa na poziomie warstwy systemowej. Dobrym przykładem tego rodzaju kontroli jest oprogramowanie antywirusowe, które każdorazowo skanuje pobierane pliki pod kątem potencjalnych zagrożeń (np. zawartego w nich złośliwego kodu), a jeśli takie zagrożenie zostanie wykryte w jednym z plików, to zostanie on automatycznie poddany kwarantannie. Podany przykład przedstawia kontrolę techniczną w działaniu, która zapewnia zautomatyzowaną reakcję zarządzaną przez sam system, czyli oprogramowanie antywirusowe.
Podsumowując, każde urządzenie (narzędzie) lub oprogramowanie, które może automatycznie chronić integralność, poufność lub dostęp do systemu, jest klasyfikowane właśnie jako kontrola techniczna.
Kontrola zarządcza (managerial control)
Kontrolę zarządczą można porównać do dowódcy twierdzy, który posiada ogólne plany, strategię obrony. Na gruncie cyberbezpieczeństwa, w ramach kontroli zarządczej można wymienić, np. plany strategiczne, ocenę ryzyka, polityki bezpieczeństwa, programy szkoleniowe oraz strategie reagowania na incydenty.
Kontrola zarządcza, zwana inaczej kontrolą administracyjną swoim zakresem obejmuje planowanie strategii oraz zarządzanie bezpieczeństwem. Dzięki prawidłowo wdrożonej kontroli zarządczej strategie bezpieczeństwa danej organizacji są zgodne z jej celami biznesowymi i tolerancją ryzyka.
Kontrola lub nawet kontrole zarządcze umożliwiają podejmowanie świadomych decyzji związanych z kwestiami bezpieczeństwa oraz oceny ryzyka, dzięki czemu cała organizacja jest chroniona na tym samym poziomie.
Kontrola operacyjna (operational control)
Wracając do naszego przykładu z twierdzą, kontrolę operacyjną możemy porównać do załogi, która posiada plany obrony twierdzy. Do kontroli operacyjnej możemy zaliczyć poszczególne plany bezpieczeństwa, procedury tworzenia kopii zapasowych, weryfikację kont (niezależnie, czy są to konta techniczne, czy użytkowników), a także programy szkoleniowe podnoszące świadomość osób w zakresie bezpieczeństwa.
Generalnie rzecz ujmując, kontrole operacyjne, to procedury i środki majce na celu codzienną i ciągłą ochronę danych, które co do zasady regulowane są przez wewnętrzne procesy i podejmowane na ich podstawie działania poszczególnych osób.
Dobrym przykładem kontroli operacyjnej jest wymóg cyklicznej zmiany haseł, np. co 30 dni. Ogólnym założeniem takiego podejścia, czyli cyklicznej zmiany haseł, a w związku z tym ograniczeniem czasowym ważności hasła, jest znaczące zmniejszenie szkód, które może wywołać niepowołana osoba posiadająca takie hasło.
Natomiast celem kontroli operacyjnych jest dążenie do tego aby ochrona przed zagrożeniami była aktywna i stała się ciągłym procesem nieustannego dostosowywania do zmieniających się wyzwań i zagrożeń dla bezpieczeństwa organizacji.
Kontrola fizyczna (physical control)
Podążając za przykładem naszej twierdzy, kontrolę fizyczną będą stanowiły punkty obserwacyjne, z których członkowie załogi prowadzą obserwację okolicy i wypatrują, czy na horyzoncie nie pojawia się wróg. Natomiast na gruncie bezpieczeństwa fizycznego oraz cyberbezpieczeństwa do kontroli fizycznej można zaliczyć, m.in. system monitoringu, niszczenie wrażliwych dokumentów, czy zamykanie drzwi na zamek.
W związku z tym przyjąć należy, że kontrole fizyczne odnoszą się do rzeczywistych i namacalnych środków podejmowanych w celu ochrony określonych aktywów, którymi są zarówno zasoby cyfrowe, jak i fizyczne.
Jako przykład kontroli fizycznej może posłużyć budynek, który jest zarazem centrum danych. Posiada on różne warstwy zabezpieczeń fizycznych, jak choćby:
– system monitoringu z kamerami rozmieszczonymi w środku oraz na zewnątrz budynku,
– system do rozpoznawania tablic rejestracyjnych pojazdów wjeżdżających na teren centrum danych,
– skanery biometryczne,
– wzmocnione drzwi zewnętrzne i wewnętrzne,
– wysokie ogrodzenie zakończone drutem kolczastym,
– odpowiednio rozmieszczone oświetlenie, a także
– pracowników ochrony.
Reasumując, kontrole fizyczne wykorzystywane są zarówno do ochrony przed zagrożeniami zewnętrznymi, jak również do ochrony przed zagrożeniami wewnętrznymi w celu zapewnienia dostępu do określonych obszarów lub zasobów tylko upoważnionemu do tego personelowi.
Natomiast podsumowując wymienione powyżej cztery rodzaje kontroli, można stwierdzić, że technologia ochrania nas przed cyberzagrożeniami, strategie zarządcze odpowiadają za kierunki ochrony, a codziennie stosowane procedury bezpieczeństwa połączone z zabezpieczeniami fizycznymi zapewniają bezpieczeństwo naszym zasobom. W związku z tym każda z wymienionych kontroli odgrywa kluczową rolę w całym procesie zarządzania bezpieczeństwem i w holistycznym podejściu nie powinna być stosowana w oderwaniu od innych.
Poszczególne rodzaje kontroli bezpieczeństwa
Kontrole bezpieczeństwa są niezbędne do prawidłowej reakcji na różne zagrożenia cyberbezpieczeństwa i próby wykorzystania luk i podatności w systemach, jak również w procedurach.
Wobec tego, aby móc właściwie chronić zarówno siebie jak i organizację przed różnymi zagrożeniami dla bezpieczeństwa cyfrowego, niezbędne jest poznanie i zrozumienie na czym polegają poszczególne rodzaje kontroli bezpieczeństwa.
Kontrola prewencyjna (preventative control)
Ten rodzaj kontroli polega na wdrożeniu proaktywnych środków, których celem jest udaremnianie potencjalnych zagrożeń związanych z podejmowanymi próbami naruszenia bezpieczeństwa, w tym także przez hardening systemów. Przykładem kontroli prewencyjnej jest zapora sieciowa (firewall), która jest uważana za środek zapobiegawczy, i odpowiednio ustawiona filtruje ruch przychodzący i wychodzący, blokując potencjalnie szkodliwe pakiety danych, zanim jeszcze przenikną do sieci wewnętrznej.
Stąd można stwierdzić, że kontrola prewencyjna stanowi fundament cyberbezpieczeństwa organizacji.
Kontrola odstraszająca (deterrent control)
Kontrola ta ma na celu zniechęcenie, odstraszenie, potencjalnych atakujących poprzez wykazanie, że wysiłek podjęty na atakowanie, np. danej aplikacji webowej, jest zbyt duży, a przez to sam atak przestaje być atrakcyjny.
Generalnie kontrola ta nie ma na celu zatrzymania intruza, lecz polega na takim umieszczeniu znaków i sygnałów, aby potencjalny atakujący wiedział, że jego działania są monitorowane, a każda próba ataku będzie zauważona i nie pozostanie bez konsekwencji.
Na gruncie fizycznym dobrym przykładem kontroli odstraszającej jest tabliczka z informacją o tym, że dana nieruchomość jest chroniona przez profesjonalną firmę ochroniarską oraz system monitoringu z kamerami rozmieszczonymi w widocznym miejscu. Oczywiście same znaki oraz kamery nie zatrzymają włamywacza, ale mogą zniechęcić go do włamania się do tak zabezpieczonego budynku, gdyż konsekwencje wykrycia i złapania są wyższe niż potencjalny zysk z kradzieży.
W związku z powyższym ten rodzaj kontroli ma na celu zniechęcenie do podjęcia działań dla nas szkodliwych.
Kontrola detektywistyczna, śledcza (detective control)
Kontrola ta polega na monitorowaniu i ostrzeganiu o złośliwych działaniach w momencie ich wystąpienia lub wkrótce potem, a jej głównym celem jest wykrywanie zagrożeń i informowanie o nich.
Na gruncie fizycznym kontrolą śledczą będzie system monitoringu. Oczywiście kamery nie powstrzymają włamywacza, ale na podstawie nagrań będzie można ustalić kto się włamał.
Tak samo na gruncie cyfrowym używane są systemy, jak np. IDS, których zadaniem jest ciągłe skanowanie ruchu sieciowego w poszukiwaniu podejrzanej aktywności. Jeśli system taki wykryje jakąś anomalię, np. nieoczekiwany lub nadmiarowy wzrost przesyłanych danych, zaalarmuje o tym administratorów.
Wobec tego kontrolę śledczą można porównać do obserwującego i (prawie)wszystkowidzącego oka.
Kontrola naprawcza (corrective control)
Stosowana jest po wykryciu zagrożenia za pomocą wyżej opisanej kontroli detektywistycznej. Celem kontroli naprawczej jest złagodzenie wszelkich potencjalnych szkód wynikających z wykrytego zagrożenia oraz przywrócenie systemów do ich normalnego, właściwego stanu. Przykładem dotyczącym obu rodzajów kontroli, czyli śledczej i naprawczej jest wykrycie, np. konia trojańskiego (trojana) przez oprogramowanie antywirusowe. Samo wykrycie trojana jest przypisywane do kontroli detektywistycznej. Natomiast już działanie antywirusa polegające na skierowaniu zainfekowanego pliku do kwarantanny i jego usunięcie, stanowią działania podjęte w ramach kontroli naprawczej.
Z uwagi na powyższe można stwierdzić, że kontrola naprawcza wkracza do działania w sytuacjach awaryjnych.
Kontrola kompensacyjna (compensating control)
Za kontrole kompensacyjne uważa się alternatywne środki, które są wdrażane wówczas, gdy podstawowe kontrole bezpieczeństwa są nieskuteczne lub nie można ich wykonać. Kontrola kompensacyjna sprawia, że ochrona pozostaje nienaruszona nawet wówczas, gdy najbardziej właściwy inny rodzaj kontroli nie jest dostępny lub możliwy do wykorzystania.
Przykładem może tu być sytuacja, w której organizacja korzysta z krytycznego dla niej, starego systemu, który nie obsługuje najnowszej formy szyfrowania połączenia bezprzewodowego, czyli WPA3. W związku z tym w ramach kontroli kompensacyjnej można wykorzystać starszą formę szyfrowania, obsługiwaną przez krytyczny system, czyli WPA2 oraz użyć połączenia VPN w ramach komunikacji z tym systemem.
Stąd kontrolę kompensacyjną można określić jako łagodzenie skutków wykrytych luk w bezpieczeństwie, zabezpieczeniach.
Kontrola dyrektywna (directive control)
Kontrola ta często wynika ze stosowanych polityk wewnętrznych i wyznacza właściwe standardy zachowania w ramach organizacji. Przykładem kontroli dyrektywnej może być polityka właściwego korzystania z zasobów IT stanowiących własność danej firmy.
Wobec powyższego można stwierdzić, że kontrola dyrektywna prowadzi osoby przez określony w danej polityce wewnętrzny proces.
Czym jest „Zero Trust”?
Świat cyfrowych zagrożeń ciągle się zmienia i jeszcze do niedawna skuteczne tradycyjne strategie cyberbezpieczeństwa, opierające się na stosowaniu silnej ochrony obwodowej obecnie nie są już wystarczająco skuteczne.
Sytuację tą można porównać do podanego na początku artykułu przykładu twierdzy, silnie zabezpieczonej fosą, murami, punktami kierowania ogniem, miejscami obserwacyjnymi. Obecnie nikt już nie buduje twierdz, ponieważ technika prowadzenia walk się zmieniła i twierdza nie zapewnia już należytej ochrony, choćby przez podatności na ataki rakietowe, dronami czy bombardowanie. Przed takimi typami ataków nie uchroni nas ani fosa, ani solidne mury.
Stąd też ochrona oparta jedynie o firewalle, systemy ochrony przed włamaniami i inne zabezpieczenia obwodowe nie jest wystarczająca – dokładnie tak jak opisana twierdza ze swoimi zabezpieczeniami.
W odpowiedzi na coraz bardziej wyrafinowane i coraz częstsze cyfrowe zagrożenia, powstała koncepcja deparametryzacji zabezpieczeń, które teraz polegają na użyciu wielu warstw szyfrowania, ale także bezpiecznych protokołów uwierzytelniania na poziomie danych oraz innych mechanizmów obronnych opartych na hoście. Dynamiczny rozwój deparametryzaji nastąpił wraz z rozwojem usług chmurowych i technologii mobilnych oraz sieci bezprzewodowych, a także z uwagi na coraz powszechniejszą pracę zdalną i wzrastające zainteresowanie usługami outsorcingowymi. Odpowiedzią na deparametryzację sieci stała się właśnie architektura określana mianem „Zero Trust”. Odmiennie niż tradycyjna architektura obwodowa uznaje ona, że zagrożenie pochodzi nie tylko z zewnątrz, ale i od wewnątrz. W związku z tym stosowane jest podejście „nie ufaj nikomu i weryfikuj wszystko”. Prowadzi to do konieczności weryfikacji każdego urządzenia, każdego użytkownika i każdej transakcji w sieci, niezależnie od jej pochodzenia, co m.in. oznacza, że jeśli dany użytkownik chce połączyć się z siecią firmową, to niezależnie od tego czy pracuje z biura czy zdalnie, i tak będzie musiał się uwierzytelnić, a jego tożsamość i uprawienia będą zawsze poddawane weryfikacji.
W związku z powyższym, aby zbudować architekturę Zero Trust, należy oprzeć ją na dwóch płaszczyznach, czyli płaszczyźnie sterowania oraz płaszczyźnie danych.
Płaszczyzna sterowania (control plane)
Płaszczyzna sterowania określa zasady i procedury odnoszące się do nadrzędnych ram (zasad) oraz zestawu komponentów odpowiedzialnych za definiowanie, zarządzanie i egzekwowanie zasad związanych z dostępem do sieci organizacji, zarówno przez użytkowników, jak również systemy. Płaszczyzna ta także zapewnia zcentralizowany sposób weryfikacji i kontroli czasu i miejsca przyznawania dostępu, dzięki czemu tylko uwierzytelnione podmioty posiadające stosowne uprawnienia otrzymują dostęp do określonych zasobów. Ponadto płaszczyzna kontroli obejmuje następujące elementy, którymi są:
- tożsamość adaptacyjna (adaptative identity) – opiera się na walidacji odbywającej się w czasie rzeczywistym i uwzględnia zachowanie użytkownika, urządzenie, z którego korzysta użytkownik, jego lokalizację oraz inne dane, zależnie od kontekstu; cechą charakterystyczną tożsamości adaptacyjnej jest ciągłe uwzględnianie danych pochodzących z walidacji oraz adaptowanie się do określonego środowiska; na podstawie właśnie tej adaptacji jest przyznawany lub odbierany dostęp,
- redukcja zakresu zagrożeń (threat scope reduction) – polega na ograniczeniu dostępu użytkownikom tylko do tych zasobów jakich potrzebują do wykonywania swoich zadań, co znacząco zmniejsza powierzchnię ataku; ponadto redukcja zakresu zagrożeń polega na minimalizowaniu następstw naruszenia danych uwierzytelniających i zapewnia, że naruszone dane uwierzytelniające nie pozwolą atakującym na dostęp do całego systemu lub całej sieci,
- kontrola dostępu oparta na politykach, zasadach (policy-driven acces control) – polega na opracowywaniu, zarządzaniu i egzekwowaniu zasad dostępu poszczególnych użytkowników w oparciu o ich role i obowiązki, a zdefiniowanie przejrzystych zasad zapewnia dostęp przez użytkowników tylko do tych danych, jakie są związane z ich rolą, co znacząco zmniejsza ryzyko naruszenia danych.
- chronione strefy (secured areas) – są to odizolowane środowiska w sieci przeznaczone do przechowywania poufnych danych; tylko użytkownicy z odpowiednimi uprawnieniami mogą uzyskać dostęp do tych stref, co zapewnia dodatkową warstwę ochrony tych poufnych danych.
Warto jeszcze dodać, że do podjęcia decyzji o przyznaniu lub odmowie dostępu wykorzystywane są polityki, w tym polityki administracyjne, a po zweryfikowaniu tożsamości żądanie dostępu porównywane jest z wcześniej zdefiniowanymi politykami. Natomiast polityki administracyjne służą do ustanawiania zasad dostępu i zarządzania nimi, a zarazem decydowania kto może uzyskać dostęp i do jakich zasobów, a także do zapewniania zgodności zasad dostępowych z protokołami bezpieczeństwa organizacji i celami biznesowymi.
Płaszczyzna danych (data plane)
Płaszczyzna danych zapewnia, że wspomniane wyżej polityki są prawidłowo i należycie wykonywane. Płaszczyzna danych składa się z podmiotu lub systemu oraz punktu egzekwowania zasad:
- podmiot lub system (subject or system) – odnosi się do osoby lub podmiotu, który próbuje uzyskać dostęp do określonych zasobów; może nim być pracownik, stacja robocza lub aplikacja; natomiast podstawowym celem tego elementu płaszczyzny danych jest weryfikacja autentyczności podmiotu lub systemu przed przyznaniem dostępu do wrażliwych danych lub systemów;
- punkt egzekwowania zasad (policy enforcemet point) – jest ostatnim krokiem w przyznawaniu dostępu i jest on odpowiedzialny za faktyczne przyznanie lub odmowę udzielenia dostępu do określonych zasobów; w oparciu o weryfikację podmiotu i dane przekazane z płaszczyzny sterowania, punkt egzekwowania zasad będzie zezwalał lub ograniczał dostęp, działając jako swoisty strażnik wrażliwych obszarów sieci lub systemów.
Mając powyższe na uwadze, stwierdzić należy, że Zero Trust to podejście do cyberbezpieczeństwa zakładające, że nikomu nie można ufać, niezależnie czy jest to system, aplikacja, czy użytkownik. Wymaga to ciągłej weryfikacji uprawnień dostępowych do zasobów, niezależnie od lokalizacji lub pochodzenia żądania o przyznanie dostępów.
W związku z coraz bardziej zmieniającym się i ewoluującym krajobrazem zagrożeń cybernetycznych oba podejścia, tj. Zero Trust oraz obwodowe powinny być stosowane łącznie zapewniając jak najpełniejszą ochronę infrastruktury oraz danych.
Podsumowanie
Skuteczna obrona przed zagrożeniami płynącymi z cyberprzestrzeni wymaga znajomości nie tylko samych zagrożeń, ale także poszczególnych rodzajów kontroli oraz podstawowych rodzajów architektur bezpieczeństwa. Tylko taka wiedza pozwoli na pełne i kompleksowe zrozumienie tematu jakim jest ochrona danych oraz całej infrastruktury, a zarazem umożliwi zastosowanie najlepszego i najbardziej bezpiecznego podejścia, zgodnego z celami biznesowymi.
Michał Mamica