V posledních několika měsících se toho událo celkem hodně kolem bezpečnostních sond jakožto posledního trendu v boji proti kybernetickým útokům, zejména v průmyslovém sektoru. Letos v dubnu ANSSI kvalifikovala některé „Made in France“ sondy od společnosti Thales a jejího konkurenta Gatewatcher, čímž se na trhu kybernetické bezpečnosti opět zvýšilo napětí.
Na mezinárodní úrovni se daří růst dobře pozicovaným start-upům, včetně francouzské hvězdy Sentryo, o kterou nedávno projevilo zájem Cisco. Současně proběhlo několik velkých fundraisingových investic, zejména do švýcarsko-italské společnost Nozomi a jejího izraelského konkurenta Claroty.
Kvalifikace těchto prvních sond však není dílem okamžiku. ANSII trvalo čtyři roky, než kvalifikovala první samostatné sondy, počínaje tím, že se tento termín poprvé objevil v zákonu o vojenském plánování z roku 2015 (Loi de programmation militaire, LPM).
Tyto sondy byly primárně určeny pro provozovatele základních, tedy pro fungování státu kritických, služeb (typicky v rámci kritické infrastruktury, podle směrnice o bezpečnosti evropských sítí a informací – NIS z listopadu 2018) a byly testovány na dvě kvality: robustnost a schopnost zaručit důvěrnost.
Ale ne všechno, co se nazývá „sonda“, má stejné využití.
Co je to sonda?
„Je to trochu všeobecný termín, který se používá v mnoha různých případech,“ varuje Robert Wakim, Stormshield Offers Manager a dodává: „Z pohledu kybernetické bezpečnosti bychom měli mluvit o sondách pro monitorování sítě. Jde o pasivní nástroje, které monitorují síťový provoz a podle toho, kde jsou nainstalovány, reportují informace nebo zasílají upozornění.“
Toto zařízení by mělo být schopné detekovat slabé signály způsobené kybernetickým útokem. Na rozdíl od antivirového programu nebo firewallu však síťové sondy nechají procházet všechna data bez omezení.
Aby monitorovací sonda v síti fungovala, je spíše než do hlavních datových toků nutné ji instalovat transparentně pomocí zrcadlení portu. To znamená vytvořit suplementární sítě, kdy se každý datový tok duplikuje a odesílá do sondy. Pokud dojde k útoku na původní síť, sonda jej identifikuje a nahlásí do logu.
Pokud síťová sonda detekuje anomálii, stane se jedna ze dvou věcí:
- Když organizace má SOC (Security Operations Center): SOC je varován sondou (poté, co vypočítal pravděpodobnost, že došlo k infekci), postará se o situaci a zastaví útok co nejrychleji.
- Když organizace nemá SOC: Sonda vás informuje, že vaše síť byla napadena. Špatná zpráva je, že pokud bylo cílem útoku zničit vaši infrastrukturu, je už příliš pozdě.
„Pro vysvětlení toho, jak fungují sondy monitorující sítě, jsou dobrým přirovnáním klíšťata. Když vás kousne klíště, můžete tyto informace získat z několika zdrojů – buď si prsty nahmatáte ranku, která tam předtím nebyla, kůže začíná svědit, nebo ji uvidíte. Žádné z těchto upozornění však nemůže zabránit vniknutí nákazy do vaší krve. Se sondou je to stejné. Nemohou ochránit nebo dát do karantény infikované stroje,“ zdůrazňuje Robert Wakim.
Detekce vs. ochrana
Sondám se dostalo příznivého ohlasu také v průmyslovém sektoru, kde je lze snadno instalovat pomocí zrcadlení portů. Mnoho průmyslových sítí nebylo ještě před několika lety chráněno, protože byly izolovány od vnějšího světa a jeho hrozeb. S rozvojem průmyslu 4.0 však konvergence IT a OT vedla k propojení průmyslových sítí s okolním světem. Dnes průmysl a utility čelí různým kybernetickým hrozbám a potřebují proto zavést vhodná bezpečnostní opatření.
Pokud se detekuje útok na síť, může to zcela zastavit výrobu, což má vážné ekonomické důsledky. Riziko bezpečnostních zařízení, která přímo zasahují do datových toků, spočívá v tom, že mohou negativně zasáhnout produkci i v okamžiku odhalení anomálie nebo „falešného poplachu“ – tedy chování, které je nesprávně vyhodnocené za součást kybernetického útoku.
„Sondy mají na průmyslové klienty uklidňující efekt, jelikož pouze detekují, takže zde neexistuje riziko zastavení výroby,“ uvádí Julien Paffumi, vedoucí produktového managementu ve Stormshieldu. „V ideálním světě byste měli pro blokování dat firewall s integrovanou IPS, která by s jistotou zastavila detekované kybernetické útoky, a paralelní síťovou sondu pro identifikaci a signalizaci podezření na hrozby.“
Potřeba kvalifikovaného firewallu
Se zavedením LPM ve Francii, ale i implementací směrnice NIS v dalších evropských zemích (v ČR transponována jako zákon o kybernetické bezpečnosti) se na provozovatele základních služeb veřejnosti vztahují regulační povinnosti a důrazně se jim doporučuje zavést kvalifikované sondy. Ideální sada nástrojů pro organizace a samosprávy však vedle těchto sond zahrnuje i kvalifikované firewally. Vedle detekce, která je primárním účelem sondy, nabízejí také konkrétní ochranu sítí tím, že blokují kybernetické útoky.
Jak ale takové zařízení nainstalovat, když vyžaduje aktivní připojení, které umožní blokovat data? Některá řešení, jako například firewall Stormshield SNi40, mohou pracovat v režimu IPS/IDS: pokud dojde k zásadní chybě, nechají datové toky procházet (fail-safe mód). Nakonec „vždy existuje řešení, jak vyvážit nevyhovující aspekty zařízení blokujícího data,“ zdůrazňuje Julien Paffumi, „například pomocí hardwarově synchronizovaného clusteru vysoké dostupnosti, který v případě problému vytvoří záložní připojení.“
Autor: Florian Bonnet, Stormshield
Překlad a úpravy: Jan Mazal, VPGC - www.vpgc.com
Zdroj: Stormshield – Why you cybersecurity strategy shouldn’t depend (only) on a probe
