Nov 29, 2022
Rola urządzeń UTM w bezpieczeństwie cyfrowym
W ramach podcastu “Porozmawiajmy o IT” miałem okazję porozmawiać z Piotrem Zielaskiewiczem z firmy DAGMA o roli urządzeń UTM w bezpieczeństwie cyfrowym.
Posłuchaj naszej rozmowy w wersji audio 🎧 👇
Mój dzisiejszy gość to ekspert z zakresu cyberbezpieczeństwa, który odpowiada za rozwój rozwiązań Stormshield na polskim rynku. Prywatnie miłośnik sportów wodnych. Zawodowo od wielu lat związany z DAGMA Bezpieczeństwo IT. Entuzjasta zastosowania prawa zamówień publicznych w praktyce. Moim i Waszym gościem jest Piotr Zielaskiewicz.
Cześć, Piotr! Bardzo mi miło gościć Cię w podcaście.
Cześć, Krzysztof. Bardzo mi miło. Mam nadzieję, że wszyscy wspólnie fajnie spędzimy ten czas tutaj.
Jestem o tym przekonany. Chociaż muszę Ci powiedzieć, że w kategorii gość podcastu z najbardziej oryginalną pasją, to chyba wskoczyłeś do czołówki od razu, bo o ile osoby lubiące gotować, czytać, jeździć na nartach czy podróżować zdarzają się częściej, o tyle zastosowanie prawa zamówień publicznych w praktyce to dość rzadka fascynacja mimo wszystko.
Powiedz, proszę, o tym troszkę więcej i czy ma to jakiś związek z Twoją pracą, z cyberbezpieczeństwem.
Myślałem, że powiesz, że sporty wodne to jest coś oryginalnego.
Zawiodłem Cię, niestety.
Rozumiem. Od dawien dawna interesuję się szeroko pojętym prawem, zastosowaniem w ogóle prawa w życiu codziennym. Kiedyś, jeszcze jako nastolatek, interesowałem się np. tym, w jaki sposób są rozwiązywane reklamacje przez producentów czy przez sklepikarzy. Kupiłem sobie pierwszy telefon, okazało się, że się zepsuł, decyzja w procesie reklamacyjnym była odmowna i musiałem poszperać, zastanowić się, jak rozwiązać taki spór prawny z przedsiębiorcą.
I tak naprawdę od tamtego momentu poczułem, że to prawo, które wcześniej wcale mnie nie interesowało, jest, można powiedzieć, takim moim mocnym konikiem, jeśli chodzi właśnie o możliwość zastosowania tego w życiu codziennym. I kiedy zacząłem się zajmować również cyberbezpieczeństwem w DAGNIE, to prawo okazało się również niezbędne do tego, żeby jeszcze skuteczniej móc funkcjonować w tym sektorze public — z czego dziś jestem bardzo zadowolony, bo de facto klientowi dużo prościej rozmawia się z osobą, która wie, o czym mówi, a niejednokrotnie też klienci mają po prostu problem ze zrozumieniem tego gąszczu przepisów, tego, w jaki sposób się poruszać w tej materii, a ja zawsze staram się im jakoś doradzić.
Czyli bardzo praktyczne zastosowanie tej pasji i entuzjazmu, i bardzo dobrze. Tematem dzisiejszej rozmowy będzie też coś, co jest bardzo namacalne i pragmatyczne, związane z obszarem Twojej profesji, mianowicie rola urządzeń UTM w bezpieczeństwie cyfrowym.
Ale zanim do tego przejdziemy, to mam jeszcze jedno pytanie na rozgrzewkę, ponieważ pytam każdego mojego gościa o podcasty, czy słucha podcastów, jeśli tak, to proszę o podzielenie się tymi swoimi ulubionymi. To jest zawsze taka fajna okazja do tego, żebyśmy ja i moi słuchacze mogli poznać być może inne ciekawe audycje. Jak to u Ciebie, Piotr, wygląda?
W ostatnim czasie słucham podcastów związanych z historiami kryminalnymi, z zagadkami, które wciąż w niektórych przypadkach pozostają nierozwiązane. Są to podcasty jednej z bardziej popularnych polskich radiofonii. Myślę, że to jest fajny sposób, jaki sobie znalazłem na radzenie sobie ze stresem, z ilością bodźców, która pojawia się codziennie w naszym życiu. I to pozwala mi na moment wyłączyć się i pozwolić sobie poukładać myśli, spędzić czas w taki oryginalny sposób. Nie bez powodu są to również historie, które pozostają nierozwiązane albo takie trochę z ciemną stroną mocy. To powoduje właśnie, że jest to szansa na odskocznię.
Pewnie, to jest jedna z najbardziej rozkwitających kategorii podcastowych w tym momencie, związana po pierwsze z historiami, których lubimy słuchać, a po drugie z zacięciem kryminalnym. To wzbudza jeszcze większe emocje, więc potwierdzam, że tego się po prostu dobrze słucha.
Przyznam szczerze, że nawet nie wiedziałem, że to jest coś na topie teraz. Widocznie wpadłem w te sidła.
Tak, nie tylko u nas, ale i na świecie to taka najszybciej rozwijająca się kategoria podcastowa.
Zostawmy już temat podcastów z boku i przejdźmy do naszego głównego wątku, jakim są urządzenia UTM. Zanim przejdziemy do określenia ich roli w ogólnie pojętym bezpieczeństwie cyfrowym, to warto byłoby powiedzieć, czym w ogóle są te urządzenia i czym różnią się od szerzej znanych rządzeń typu firewall.
Tak naprawdę same rozwiązania UTM możemy również zastępczo nazywać rozwiązaniami brzegowymi. Sam skrót oznacza Unified Threat Management, czyli można powiedzieć, że jest to jedno urządzenie, które posiada wiele modułów bezpieczeństwa zintegrowanych w jednej obudowie. Zastępczo tego skrótu używa się również z Next Generation Firewallem. Można powiedzieć, że na pewnym etapie rozwoju tych produktów do Next Generation Firewalla została dołożona kontrola aplikacji.
I ta kontrola aplikacji to dzisiaj jeden z najważniejszych elementów w świecie IT. Działa ona równolegle z IPS-em, czyli modułem bezpieczeństwa Intrusion Prevention System. To jest właśnie ten moduł, który odpowiada stricte za ataki; moduł, który powoduje, że możemy się czuć bezpiecznie. Bardzo często posiada elementy sztucznej inteligencji i one powodują, że w całości ta nasza sieć jest chroniona. Dzięki modułowi IPS mamy również możliwość analizowania ruchu do warstwy 7. modelu ISO/OSI, czyli właśnie do tej kontroli aplikacji.
I to jest jeden z głównych elementów, który w tych rozwiązaniach brzegowych odpowiada za bezpieczeństwo. Cały szereg później innych modułów, takich jak antywirus, antyspam, URL filtering czy takie moduły jak QOS czy Load Balancing, to są moduły wspierające tak naprawdę całe działanie UTM-a czy Next Generation Firewalla. Natomiast kluczowym, odpowiadającym za bezpieczeństwo będzie właśnie moduł bezpieczeństwa IPS.
Tak naprawdę same rozwiązania UTM możemy również zastępczo nazywać rozwiązaniami brzegowymi. Sam skrót oznacza Unified Threat Management, czyli można powiedzieć, że jest to jedno urządzenie, które posiada wiele modułów bezpieczeństwa zintegrowanych w jednej obudowie. Zastępczo tego skrótu używa się również z Next Generation Firewallem. Można powiedzieć, że na pewnym etapie rozwoju tych produktów do Next Generation Firewalla została dołożona kontrola aplikacji.
I ta kontrola aplikacji to dzisiaj jeden z najważniejszych elementów w świecie IT. Działa ona równolegle z IPS-em, czyli modułem bezpieczeństwa Intrusion Prevention System. To jest właśnie ten moduł, który odpowiada stricte za ataki.
Jeśli dobrze zrozumiałem, jeśli moglibyśmy powiedzieć o różnicach w stosunku do tego klasycznego firewalla, głównie polega to na wyjściu poza te podstawowe warstwy modelu ISO/OSI i wchodzimy tutaj z UTM już na te najwyższe warstwy. Czy możesz powiedzieć jeszcze o jakichś innych różnicach w stosunku do firewalla?
Jeżeli mielibyśmy opowiedzieć o tym w dużym skrócie, to jest dokładnie tak, jak mówisz. Taki klasyczny firewall w zasadzie przepuszczał nam ruch dla konkretnych portów, które były znane dla konkretnego typu ruchu. Natomiast tutaj, w sytuacji, gdy dochodzi do tego IPS, to jest to tak naprawdę najwyższa możliwa warstwa aplikacji zapobiegania włamaniom, które mogą nam się przytrafić. W zależności od tego, czy ten atak będzie kierunkowy, czy staniemy się ofiarą przypadkowego ataku, jakim był kiedyś np. Wanna Cry, gdzie był to atak kierunkowany na Ukrainę, ale część firm, które współpracowały z Ukrainą, przeniosły to na polski rynek i okazało się, że tak naprawdę Polska dostała rykoszetem.
Natomiast generalnie taki firewall odpowiadał stricte za przepuszczanie konkretnego typu ruchu na konkretnych portach, a tutaj wchodzimy już na dużo wyższy poziom ochrony, jeśli chodzi o UTM-y czy Next Generation Firewalle.
Ale jeśli dobrze rozumiem, mówimy ciągle o pewnym urządzeniu, o hardware. Czy to również funkcjonuje w wersji software?
Te możliwości zastosowania rozwiązań są tutaj bardzo szerokie. Mówię w kontekście tego, że producenci firewalli oferują takie rozwiązania w formie hardware, ale też dokładnie te same funkcjonalności możemy znaleźć w postaci obrazu maszyn wirtualnych. I teraz, idąc dalej, możemy zaoferować hardware klientowi w modelu on-premise’owym, kiedy to kupują dla siebie takie urządzenie, które stoi u nich, czy taką wirtualkę, która będzie stała na ich serwerze, albo w takim modelu w formie usługi, w formie MSP, kiedy to provider dostarcza po prostu usługę dla swojego klienta, klient dzierżawi u providera Data Center czy jakąś przestrzeń w Data Center, a ten provider w formie usługi jest w stanie chronić te zasoby klienta w formie takiego wirtualnego rozwiązania.
Wcześniej zaznaczyłeś, że to rozwiązanie ma pewną budowę modułową. Wspomniałeś już nawet o kilku. Czy mógłbyś powiedzieć szerzej, jakie moduły, jakie elementy składowe takiego UTM-a najczęściej możemy spotkać w komercyjnych rozwiązaniach?
Myślę, że to jest też bardzo dobre pytanie, ponieważ ono powinno również klientów naprowadzić na to, w jaki sposób ewentualnie dobrze dobrać takie rozwiązanie w przyszłości do swojej sieci. Przy wyborze rozwiązania powinniśmy się przede wszystkim kierować np. tym, jakie licencje są wymagane do tego typu rozwiązania. Klient powinien zwrócić uwagę na to, żeby ten model licencyjny był prosty i zrozumiały dla klienta. Żeby klient miał świadomość, co w tej licencji, za którą płacił niemałe pieniądze rokrocznie, co tak naprawdę zawiera się w tej licencji.
Jedną z podstawowych elementów będzie właśnie ten firewall z IPS-em. Czyli właśnie ta możliwość analizowania ruchu do warstwy 7. w modelu ISO/OSI i również tutaj przyjdzie kontrola aplikacji.
Jeśli chodzi o Stormshielda, za którego odpowiadam na polskim rynku, to tutaj kontrola aplikacji jest dostępna w standardzie wraz z modułem IPS. Natomiast inni producenci mają taki model licencyjny, że za kontrolę aplikacji musimy wykupić odrębną licencję. Więc warto na pewno zwrócić na to uwagę, ponieważ jest to również bardzo ważny element odpowiadający za poziom bezpieczeństwa po stronie klienta.
Dalej mamy takie moduły jak URL filtering. To jest model security, który odpowiada naprawdę za filtrowanie stron. W dzisiejszych czasach na pewno warto zwrócić uwagę na fakt, że URL filtering powinien mieć bardzo szeroką klasyfikację, ale również na to, aby URL filtering posiadał bazę polskiego CERT-u, który publikuje listę potencjalnie niebezpiecznych stron. I aby taki URL filtering dawał nam na żywo możliwość aktualizacji tej bazy wraz z tą bazą CERTU, którą mamy cały czas publikowaną. Jest to kolejny element bezpieczeństwa, który dokładamy do naszej infrastruktury.
Kolejnym elementem jest moduł antyspamowy. Kiedy wpada do nas mail i okazuje się, że jest to spam, możemy mieć dedykowane moduły antyspamowe w naszej infrastrukturze, ale to nie wyklucza w żaden sposób możliwości zastawania również antyspamu na poziomie rozwiązania brzegowego. Tutaj raczej patrzyłbym na to, żeby była zastosowana dywersyfikacja, bo każdy element, który zostanie na etapie urządzenia brzegowego wycięty, powoduje, że mamy mniejsze prawdopodobieństwo, że ten spam gdzieś do nas dotrze. A spam to często również różne niechciane linki, których wolelibyśmy, żeby nasi pracownicy nie otwierali, albo żeby nawet takie wiadomości do nich nie dochodziły.
Kolejny element to SSL Proxy, ponieważ tutaj mówiąc o URL filteringu, ciężko będzie nam tak naprawdę przeanalizować ten ruch, jeżeli nie będziemy mieli wdrożonego SSL Proxy. To jest bardzo ważny element, więc powinniśmy również zwrócić na to uwagę. Czyli rozszyfrowywanie ruchu zaszyfrowanego, szczególnie że Google powiedział, że w najbliższym czasie w ogóle nie będzie takich stron promował, a może nawet już to się wydarzyło.
Kolejnym elementem są moduły dodatkowe, które w życiu codziennym każdej firmy, która jakkolwiek zabezpiecza swoje IT, takie jak np. VPN. Patrząc na to, że mamy pracę zdalną, często okazywało się, dzwonili do nas klienci, okazywało się, że praktycznie z dnia na dzień 95% całej załogi była odesłana do domu, ludzie byli wyposażeni w laptopy i trzeba było zapewnić jakieś połączenie zdalne do sieci, i skonfigurować tego VPN-a.
Mam to szczęście, że w Stormshieldzie klient VPN-owy jest w cenie licencji, ale również na to powinniśmy zwrócić uwagę jako klient przy wyborze rozwiązania, ponieważ wszystkie składowe powodują, że roczny koszt utrzymania tych licencji będzie rósł, jeżeli okaże się, że za każdy z tych elementów będziemy musieli dodatkowo dopłacać.
Jeżeli mamy już VPN-a, to powinniśmy pomyśleć o tym, w jaki sposób autoryzować naszych użytkowników. W końcu pracują z domu, więc kontrola nad tym użytkownikiem jest coraz mniejsza. Powinniśmy również zastosować tutaj mechanizm Multi-Factor Authentication niś czy Two-Factor Authentication . Czyli oprócz tego, że użytkownik użyje loginu i hasła, powinien być jeszcze kolejny etap weryfikacji, czyli element zmienny, np. token bądź możliwość zsynchronizowana takiego klienta VPN-owego np. z Microsoft Authenticatorem czy Google Authenticatorem. I to jest również bardzo ważne.
Z tego, co mówisz i na co kładziesz duży akcent, to że jest to dobre zastosowanie dla firm, które mają pewne zasoby wymagające chronienia, mają pracowników, którzy pracują nie koniecznie w sposób stacjonarny. Chciałbym ten temat trochę rozwinąć, zapytać Cię, jakie są korzyści wynikające ze stosowania UTM-a i dla kogo to urządzenie jest przeznaczone. Czy jest jakiś charakter, wielkość firmy, branża, w której się szczególnie sprawdzi, czy może jest to rozwiązanie uniwersalne?
Myślę, że na pewno jest to rozwiązanie dla szeroko pojętego biznesu. I mam tutaj na myśli zarówno sektor public, sektor medyczny, jak i oczywiście firmy prywatne — kolejność tutaj jest przypadkowa. Na pewno jest to rozwiązanie, które bardzo przyczyni się do zmniejszenia prawdopodobieństwa tego, że zostaniemy zaatakowani. Powinniśmy zwrócić uwagę na to, czy wybierając danego producenta firewallowego, jest on bardziej czy mniej znany.
Czasami idąc do jakiejś restauracji, będąc za granicą, pierwsze co robimy, to sprawdzamy, jaki ta restauracja ma rating punktów w Google. A często okazuje się, że nie robimy tej tak prostej, powszechnie dostępnej analizy w stosunku do rozwiązań firewallowych. Powinniśmy sprawdzić, czy takie rozwiązania były, czy są kompromitowane, albo jak często się to zdarza, ponieważ wybierając danego producenta, jeżeli jest on bardzo znany, to atakujący będą mieli na pewno wiele furtek, jak takiego producenta znanego rozwiązania, który był skompromitowany, jak ewentualnie go łatwiej zaatakować i później oczywiście dostać się do sieci klienta.
Natomiast oprócz tego, że zwiększamy poziom bezpieczeństwa naszej firmy i oczywiście w jakiś sposób bronimy się przed hackerami, możemy pójść krok dalej. Np. Stormshield wypuścił rozwiązania, które są również dedykowane do zabezpieczania sieci przemysłowych i oprócz tego, że będziemy chronili tę naszą infrastrukturę IT, to również możemy do tej wydzielonej sieci… Kiedyś sieci przemysłowe były zaprogramowane w taki sposób, aby galwanicznie były odseparowane od internetu. Niestety świat idzie do przodu, producenci coraz częściej chcą maksymalizować swoje zyski lub zwiększać rentowność swojego biznesu i to wiąże się z tym, że już nie chcemy mieć firmy, która przyjeżdża do nas codziennie na zakład i aktualizuje nam sterowniki PLC, tylko żeby zmniejszyć te koszty, mamy serwis zdalny.
Ale żeby był zdalny serwis sterowników PLC, to oczywiście musimy w jakiś sposób tę firmę outsource’ingową do tej sieci wpuścić. Jeżeli chcemy ją wpuścić, to musimy wiedzieć, kto i w jakich godzinach się dostaje, do jakiego sterownika chcemy go wpuścić. I tutaj właśnie z pomocą mogą przyjść rozwiązania Next Generation Firewall, Stormshield, które oprócz tego, że chronią również sterowniki PLC, dają nam możliwość zweryfikowania tego, kto się dostanie, jakim kanałem (tutaj oczywiście sugerujemy VPN) i czy ten sterownik ma adres IP. Jeżeli nie ma, to np. korzystając ze Stormshielda możemy udzielić dostępu do niego po adresie MAC.
I to są takie elementy, które cały czas nam podnoszą bezpieczeństwo, ale również dają nam wgląd w to, co tak naprawdę w tej sieci się dzieje. Troszeczkę tutaj dzisiaj skupiliśmy się na UTM-ie, ale tak naprawdę producenci rozwiązań UTM-owych oferują dużo szerszy zakres monitoringu tej sieci. I bardzo często wraz z takim UTM-em, w zależności od tego, jak duża jest nasza firma, producenci oferują również rozwiązania typu SIEM SOAR.
Są to rozwiązania, dzięki którym jesteśmy w stanie później w sposób zwizualizowany zauważyć, co w naszej sieci działo się niedobrego. Bardziej zaawansowani producenci, tacy jak Stormshield, oferują rozwiązania, które w proaktywny sposób poinformują nas o tym, co niedobrego w naszej sieci zaczyna się dziać. Czyli skorelują te wszystkie zdarzenia i np. podniosą alarm. I takie rozwiązania również należałoby rozważyć, bo to powoduje, że cały czas ta świadomość tego, co w tej naszej sieci się dzieje, jest stale podnoszona i oczywiście zmniejszamy tę ekspozycję naszej sieci na ataki hackerskie.
👉 Czytaj dalej na: https://porozmawiajmyoit.pl/poit-178-rola-urzadzen-utm-w-bezpieczenstwie-cyfrowym/
