Acum doua decade ideea de securitate era concentrata in jurul notiunii de “defenese in depth”, insemand ca pentru a putea ajunge in interiorul unei retele atacatorul trebuia sa treaca de mai multe masuri de securitate instalate de departamentul IT al organizatiei: un firewall de perimetru, un senzor de tip IDS/IPS sau solutii de antivirus/antimalware. Aceste masuri se dovedesc a fi eficiente in situatia in care “bunurile” companiei sunt on premises, situate in interiorul perimetrului retelei. Ori, acest lucru nu se mai intampla in peisajul curent al modului in care o organizatie isi desfasoara activitatea. “Bunurile” companiei nu mai sunt centralizate intr-o singura locatie, ci sunt dispersate.
Noul mediu de lucru
Utilizatorii retelei nu mai sunt acum in interiorul cladirii, sunt off-premises si isi desfoara activitatea remote, din locuri care nu sunt protejate de firewall-ul companiei. Aplicatiile nu mai sunt hostate pe server-ele din data room-ul companiei, ci sunt in cloud, accesate peste Internet, o retea publica, intrinsec nesecurizata.
Vechiul model de securitate nu mai poate fi folosit intrucat are loc o schimbare de paradigma: utilizatorii, mai ales cand lucreaza din afara biroului, nu mai sunt nevoiti sa se conecteze la reteaua companiei pentru a-si indeplini task-urile. De cele mai multe ori, utilizatorii acceseaza direct aplicatii de tip SaaS precum G Suite, Office 365 sau Box. Aceste aplicatii, dar si altele au devenit “norma” in multe companii si industrii, chiar si in cele mai “reglementate” dintre ele. Daca utilizatorul foloseste laptopul de serviciu in scopuri personale, atunci mai mult ca sigur acestia nu vor porni conexiunea VPN, insemand ca nu vor avea protectie mai deloc.
In acest caz, este normal ca departamentul IT sa se intrebe cum sa protejeze datele si utilizatorii care muncesc astfel. Un alt aspect ce trebuie considerat este ca multe organizatii nu mai “tuneleaza” traficul din branch-uri catre sediul central si astfel nu mai beneficiaza de securitatea oferita de solutiile traditionale. Branch-urile au acum conexiuni de tipul Direct Internet Access (DIA), avand in vedere proliferarea traficului de date inspre si dinspre serviciile de tip cloud. In mod normal, din motive care tin de costurile de implementare si administrare, nu se pot instala aceleasi masuri de securitate pe care organizatia le-a implementat la sediul central si atacatorii sunt constienti de acest aspect si incep sa il exploateze din ce in ce mai mult, reusind sa compromita dispozitive si utilizatori deopotriva.
Masurile de securitate trebuie sa se concentreze pe protejarea business-ului impotriva “data breach-urilor” si amenintarilor de tipul Advanced Persistent Threat (APT). Vechile produse de securitate au fost construite ca niste sisteme inchise care nu pot comunica cu alte sisteme si nu pot se pot integra unele cu altele, fiind ca niste blocuri monolitice.
Vechea securitate consta in ridicarea unui zid cat mai inalt in jurul perimetrului retelei si impunerea unei politici de securitate (Acceptable Use Policy) care era mai mult sau mai putin urmata de catre utilizatori. Pentru a raspunde acestor provocari noi, masurile de securitate trebuie sa se mute si ele in cloud, protejand utilizatorii de oriunde acestia acceseaza Internetul.
O scurta privire in trecut
Acum douazeci de ani latimea de banda era un lucru prioritar si foarte costisitor, companiile fiind totodata ingrijorate de productivitatea angajatilor. Pentru a rezolva aceste probleme, s-a dezvoltat o noua solutie si anume web proxy-ul. Un web proxy controleaza traficul web pentru a face managementul latimii de banda si controleaza accesul la anumite site-uri/categorii de site-uri pentru a face managementul productivitatii. Totusi, implementarea unui web proxy nu este un lucru usor de facut, necesitand multe tweak-uri si workaround-uri pentru a putea functiona cu anumite site-uri sau aplicatii web, dar pe atunci castigul obtinut prin securizarea traficul facea ca acest efort sa merite. Ceva mai tarziu s-au adaugat si functionalitati de content filtering si data loss prevention pentru a putea securiza si mai bine traficul web si directia acestuia.
Astazi, prioritar pentru companie este protectia impotriva amenintarilor cibernetice din cauza impactului financiar pe care un furt de credentiale sau de informatii il poate avea asupra organizatiei, impact care surclaseaza cu mult orice productivitate redusa sau consum de bandwidth. Oricum, cum poti opri o persoana sa se joace de pe telefonul personal sau cum o poti impiedica sa descarce fisiere de pe Internet atunci cand este off-network?
Un web proxy este de obicei un appliance hardware construit ca un bloc inchis, monolitic ce nu comunica cu alte sisteme si care nu poate sa protejeze utilizatorii decat atunci cand acestia sunt on-premises sau conectati la VPN. Mai mult, un web proxy ofera vizibilitate doar pe porturile 80 (HTTP) si 443 (HTTPS), lasand neinspectate amenintari de tipul C2C care folosesc alte porturi si protocoale pentru exfiltrare de date.
Modul de lucru al utilizatorilor impune folosirea unei alte tehnologii, capabila sa scaleze la un numar oricat de mare de useri, sa adauge noi functionalitati imediat ce acestea sunt necesare si sa fie non-invaziva pentru utilizatori. Aceasta tehnologie este reprezentata de un Secure Internet Gateway (SIG).
O scurta privire in viitor
Un SIG ofera acces sigur la Internet oriunde s-ar afla utilizatorii, chiar daca acestia nu sunt conectati la VPN-ul companiei. Inainte de a accesa o anumita resursa din Internet, SIG-ul ofera prima linie de aparare si de inspectie a traficului. Oriunde s-ar afla utilizatorul si orice ar incerca acesta sa acceseze, traficul trece intai prin SIG. O data ce traficul ajunge la SIG, acesta din urma poate sa aplice anumite tipuri de inspectie si de politici:
- protectie impotriva malware-ului pe toate porturile si pe toate protocoalele
- vizibilitate si protectie on si off network, chiar si cand utilizatorul nu este conectat la VPN, fara a tunela traficul inapoi in reteaua organizatiei
- web proxy pentru traficul web si inspectia fisierelor folosind solutii AV si sandboxing
- updatarea live feed-urilor de securitate in cateva minute de cand o noua amenitare este descoperita in urma analizarii activitatii globale din Internet
- sistem deschis bazat pe API-uri bidirectionale pentru integrarea cu alte solutii de securitate (firewall-uri, platforme de feed-uri de securitate, Cloud Access Security Broker (CASB), solutii de Network Access Control si altele)
- identificarea si implementarea controlului aplicatiilor de tipul SaaS
Core-ul unei solutii de securitate bazata pe un SIG consta in vizibilitatea tuturor accesarilor ale Internetului de catre utilizator oriunde ar fi acesta. Un SIG trebuie sa aiba aceasta vizibilitate intr-un mod simplu, fara deployment-uri complexe ca VPN-uri always on sau fisiere PAC. Iar cel mai simplu mod este folosirea serviciului Domain Name System (DNS).
DNS-ul este o componenta vitala pentru modul in care Internetul functioneaza. Ori de cate ori se acceseaza un URL, DNS-ul intra in actiune si initiaza procesul de conectare la Internet. DNS-ul este cel care mapeaza numele unei resurse de o adresa IP. DNS-ul este folosit de orice dispozitiv (laptop, server, smartphone, dispozitiv IoT), si de cele mai multe ori, traficul de DNS este permis de organizatie, fiind vital pentru Internet. De aceea, este si o tinta pentru atacatori, mai mult de 90% din comenzile transmise de un C2C catre o victima compromisa folosesc DNS-ul ca mijloc de propagare. (DNS-ul poate fi bypass-at, utilizandu-se direct adresa IP pentru a accesa o resursa, de aceea SIG-ul trebuie sa poate sa recunoasca si aceste scenarii.) Astfel, cererea de DNS devine primul punct in care un SIG poate sa implementeze masuri de control, determinand ce domenii sau ce adrese IP sunt legitime sau malitioase.
Organizatia poate beneficia imediat de pe urma implementarii unui SIG pentru protejarea utilizatorilor si a fortei de munca, oriunde aceasta si-ar desfasura activitatea. Cateva avantaje ale unui SIG, fata de solutii de securitate traditionale, sunt:
- usurinta implementarii pentru departamentul IT: organizatia poate folosi SIG-ul in cateva minute doar prin schimbarea serverelor de DNS care sa directioneze traficul catre SIG. Integrarea nativa a SIG-ului cu routere, wireless LAN controller si alte dispozitive de retea fac deployment-ul cu atat mai usor. Pentru suport off-network integrarea cu un client de VPN este de asemenea posibila, nefiind necesara instalarea unui agent suplimentar.
- management continuu pentru departamentul IT: fiind o platforma cloud-based, solutia de SIG nu necesita niciun echipament hardware care trebuie sa fie instalat si initializat. Update-urile sunt oferite automat, overhead-ul administrarii solutiei fiind minimal
- transparenta pentru utilizator: solutia de SIG trebuie sa securizeze tot accesul la Internet, insa este vital ca utilizatorul sa nu resimta latenta in accesarea Internetului. De fapt, SIG-ul poate sa imbunatateasca viteza de acces la resursele online.
Solutia de SIG propusa de Cisco este Cisco Umbrella, o solutie 100% cloud based, scalabila la un numar oricat de mare de request-uri de DNS, o solutie deschisa, bazata pe API si integrari cu alte produse de securitate Cisco, formand un ecosistem cu o vizibilitate extinsa asupra utilizatorilor si a modului in care acestia acceseaza Internetul.
Impreuna cu Cisco, Dendrio propune aceasta noua solutie de securitate organizatiei dumneavoastra pentru a va securiza forta de munca oriunde aceasta s-ar afla.
Mihai Dumitrascu, Sr Systems Engineer