Raport specjalny. Bezpieczeństwo banków: Zarządzanie ryzykiem przy przetwarzaniu danych w chmurze

BANK 2018/04

Proces zarządzania ryzykiem z obszaru bezpieczeństwa informacji jest tym bardziej złożony, im więcej czynników wpływa na cykl jej życia. Jeśli jest przetwarzana lokalnie, w bezpiecznej przestrzeni, gdzie istnieje działająca precyzyjna kontrola dostępu do informacji, oparta o jej klasyfikację, a cały proces jest właściwie kontrolowany – wówczas można założyć, iż materializacja określonych ryzyk z zakresu utraty poufności informacji jest niewielka. Prawdopodobieństwo jednak wyraźnie zwiększa się wraz ze zmieniającym się otoczeniem biznesowym, a ściślej mówiąc z pojawieniem się kolejnych czynników zewnętrznych.

Marcin Kozak
Software Architect, Security, Oracle Polska

Krzysztof Grabczak
Sales Director, Enterprise Security, Identity Governance, Oracle Polska

Ta złożoność biznesowa prowadzi do wykorzystania coraz to większej liczby różnych narzędzi. Z jednej strony zachodzi potrzeba stosowania rozwiązań klasy SIEM (Security Information and Event Management) tak, aby kontrolować zdarzenia w każdym z posiadanych systemów i móc na nie spojrzeć w szerszym kontekście. Z drugiej strony ważne jest, aby wykrywać anomalie w zachowaniu użytkowników – po to, by identyfikować nietypowe zachowania, różnego rodzaju przypadkowe lub celowe błędy, nadzorować fakt wykorzystania czyjegoś konta, komputera, czy zasobu na potrzeby inne niż biznesowe – co prowadzi do rozwiązań klasy UEBA (User and Entity Behavior Analytics) i wykorzystania najnowszych technologii Machine Learning. W końcu niezbędne jest monitorowanie całego świata aplikacji umiejscowionych w chmurze – po to, by minimalizować ryzyka związane z wyciekiem informacji kanałami, o których nie wie organizacja. Elementem pozwalającym realizować tego typu monitoring i identyfikację zagrożeń są rozwiązania klasy CASB (Cloud Access Security Broker). Dodatkowo, powyższe elementy powinny być jednoznacznie identyfikowalne, tj. tożsamość użytkownika precyzyjnie rozpoznana, wraz z nadanymi uprawnieniami, a cały proces zarządzania tożsamością audytowalny.

Stosując tak wiele rozwiązań, nawet doskonałych w swoim obszarze, narażamy się na problem związany z niedoskonałością ich integracji. Jest to niedogodność zarówno techniczna, jak i kosztowa. Bez pełnego przeglądu – tak środowiska lokalnego (on-premise) jak i zewnętrznego (cloud) – efektywność procesu zarządzania i monitorowania zagrożeń jest niska. Bez pełnej pespektywy nie mamy wiedzy o szerszym kontekście, jak chociażby o całym łańcuchu ataku, który najczęściej przechodzi przez wiele systemów.

W przypadku firmy Oracle wszystkie wspomniane funkcjonalności są dostarczone w jednej platformie Security Operation Center (SOC), wyposażonej w mechanizmy Machine Learning, Big Data oraz reguły korelacyjne, mające na celu usprawnienie całego procesu zarządzania informacją na temat użytkowników. Podejście Oracle jest zgodne z koncepcją Cyber Kill Chain, która wskazuje, że każdy incydent bezpieczeństwa jest poprzedzony sprawdzeniem, co i w jaki sposób można zaatakować. Takie sprawdzenie najczęściej wprowadza pewną anomalię, bez wychwycenia, której nie możemy odpowiednio zareagować. Konsekwencją anomalii może być dalszy rekonesans, a następnie głębsze testy.

Identyfikacja prób ataku na tak wczesnym etapie jest znacznie tańsza w porównaniu do wydatków czekających nas na etapie usuwania skutków po problemie, który faktycznie miałby miejsce. Reagując na wczesnym etapie unikamy znacznych wydatków finansowych, wynikających nie tylko z potrzeby uzupełnienia luk bezpieczeństwa, ale również usunięcia wielu skutków potencjalnego zdarzenia w obszarach: prawnym, wizerunkowym, regulacyjnym.

Jednym z podstawowych mechanizmów platformy SOC jest rozwiązanie Cloud Access Security Broker. Oracle CASB umożliwia monitorowanie bezpieczeństwa zasobów firmy umieszczonych w chmurze obliczeniowej poprzez zapewnienie czterech głównych obszarów funkcjonalności, opisanych poniżej.

Zrozumienie sposobu wykorzystania chmury

W zależności od potrzeb klienta i sposobu wykorzystania, usługi chmurowe mogą być oferowane jako usługi w warstwie infrastruktury, platformy lub aplikacji. Te z kolei mogą pochodzić od różnych dostawców usług. CASB jest standardowo wyposażony w dużą ilość gotowych integracji z usługami chmurowymi pochodzącymi od dostawców, takich jak Amazon, GitHub, Microsoft, Oracle, Salesforce czy ServiceNow. Nowoczesny, oparty na API sposób integracji pozwala na stosunkowo szybką integrację z usługami chmurowymi, które będą monitorowane. Poprzez takie podejście, w krótkim czasie uzyskujemy możliwość monitorowania usług chmury oraz zrozumienia zachowania użytkowników, co z kolei jest podstawą do zrozumienia nowych zdarzeń w świecie usług chmurowych i związanych z nimi ryzyk.

Kontrola konfiguracji usług chmurowych oraz zapewnienie zgodności z regulacjami

Jednym z istotnych aspektów kontroli bezpieczeństwa aplikacji czy systemu jest utrzymanie bezpiecznej konfiguracji. Usługa CASB pozwala na kontrolę i utrzymanie pożądanej konfiguracji dla aplikacji wykorzystywanych w chmurze oraz powiadamia o każdej aktywności prowadzącej do ich naruszenia. Dodatkowo kontrola aktywności użytkowników pozwala na wsparcie procesów zgodności z wewnętrznymi standardami funkcjonowania firmy lub zewnętrznymi regulacjami. Wszelkie niezgodności oraz naruszenia są wykrywane na wczesnym etapie i na bieżąco raportowane poprzez automatyczne generowanie powiadomień.

Anomalia w aktywności użytkowników lub ich urządzeń

Analiza aktywności wykorzystania usług chmurowych oraz analiza zachowań charakterystycznych dla konkretnych użytkowników jest wspierana przez mechanizmy uczenia maszynowego (Machine Learning). Większość incydentów bezpieczeństwa jest poprzedzona wcześniejszymi zdarzeniami, służącymi do rozpoznania atakowanego systemu i wyboru właściwej ścieżki skutecznego ataku. Bardzo ważnym zadaniem usługi CASB i wykorzystania uczenia maszynowego jest wykrywanie niezgodności w zachowaniach użytkowników w odniesieniu do ich codziennego profilu posługiwania się aplikacją. Wykryte niezgodności są oceniane przez usługę CASB w kontekście ich występowania we wzorcach wcześniejszych znanych zachowań prowadzących do ataków. Wiedza o takich zdarzeniach uzyskana we wczesnym stadium pozwala na wyeliminowanie dalszych działań, które mogłyby doprowadzić do wystąpienia incydentu i np. utraty poufności informacji.

Szara strefa IT

Usługa CASB pozwala na wykrywanie tzw. szarej strefy IT, czyli wszelkich aplikacji, usług i sposobów korzystania z zasobów, które nie są rekomendowane w standardach firmy i nie powinny być wykorzystywane przez użytkowników. Obecnie szara strefa IT to w dużej mierze aplikacje i usługi chmurowe, które mogą być instalowane lub wykorzystywane przez użytkowników. Usługa CASB dostarcza szereg szczegółowych informacji związanych z wykrywanymi zasobami – m.in. takie jak: kto, kiedy i w jaki sposób korzystał z danego zasobu.