Firewall jako podstawa platformy bezpieczeństwa
6 sierpnia 2020

Platforma bezpieczeństwa
Nowe podejście w tworzeniu rozwiązań bezpieczeństwa sieci
Doświadczenia w trakcie kilku ostatnich lat w zakresie narzędzi IT security wykorzystywanych w firmach wskazują, że potrzebna jest zmiana w podejściu do tworzenia rozwiązań. Dotychczas wykorzystywane produkty bezpieczeństwa wymagały od inżyniera IT dosyć dużego zaangażowania czasu, zarządzania pokaźną liczbą alertów, wyszukiwania korelacji między zagrożeniami, itd.
Nowy trend, określany mianem security platform, uwzględnia dążenie do zapewnienia produktów bezpieczeństwa, które będą łatwo integrowały się, współpracowały z rozwiązaniami innych producentów, współdzieliły kontekst informacji o niebezpieczeństwach, bazowały na automatyzacji i upraszczały działanie.
Pojawienie się zaawansowanych zagrożeń w sieci
Produkty takie jak firewall były dotychczas oceniane jako główny element systemu bezpieczeństwa informatycznego w infrastrukturze IT, choć postrzegane jako osobna część systemu, samodzielne rozwiązanie. Takie podejście było przez lata wzmacniane przez producentów oraz specjalistów z branży, którzy często publikowali zestawienia i porównania parametrów, wskazówki dotyczące wdrożeń poszczególnych rozwiązań lub charakterystyki wydajności. Postrzeganie zapory sieciowej jako wyizolowanego rozwiązania zmieniło się wraz z ewolucją sieci komputerowych oraz pojawianiem się wyszukanych i trudnych do wykrycia zagrożeń.
Obecnie dla pełnego zrozumienia zakresu możliwych zagrożeń w sieci, niezbędne jest spojrzenie przez pryzmat wielu narzędzi. Trudno jest znaleźć kompleksową odpowiedź lub uzyskać pełne zrozumienie dotyczące podatności na dane zagrożenia, wykorzystując tylko jedno narzędzie bezpieczeństwa. Zmienia się zatem spojrzenie na firewall, który nadal odgrywa istotną rolę dla bezpieczeństwa sieci, jednak jest częścią większej całości, jaką powinna być platforma bezpieczeństwa.

Przyszłość zapory sieciowej
Nowe trendy, takie jak korzystanie z rozwiązań chmurowych w pracy, mobilność, praca zdalna, spowodowały znaczny wzrost wymagań w zakresie utrzymania bezpieczeństwa sieci, danych, użytkowników oraz aplikacji. Zasoby wykorzystywane przez firmę, niegdyś mieszczące się w zakresie jednej sieci komputerowej, dziś znajdują się w wielu osobnych sieciach, a tradycyjne zapory sieciowe muszą być uzupełniane przez fizyczne i wirtualne urządzenia oraz usługi.
Znaczenie zapory sieciowej nie zmniejsza się, jest nadal tak ważna dla bezpieczeństwa IT, jak kiedyś. Potrzebne jest jednak inne spojrzenie, koncentrujące się w większym stopniu na funkcjonalności firewalla, niż na parametrach fizycznego lub wirtualnego urządzenia.
Stosowanie firewall to dziś przede wszystkim dostarczanie wysokiej klasy rozwiązań do regulacji bezpieczeństwa dla administratora IT, które są kluczowymi środkami zapobiegania, szybkiego wykrywania i skutecznego zatrzymywania ataków. Rozwiązanie musi zapewniać możliwość wdrożenia własnej polityki bezpieczeństwa oraz bardzo dobrą widoczność zagrożeń w zakresie obszarów takich jak: centra danych, chmura, oddziały firmy.
Przez ostatnie lata oferowane na rynku firewalle stawały się coraz lepsze, zyskując nowe zaawansowane możliwości. Potrzeby inżynierów bezpieczeństwa IT również rosły, sprowadzając się m. in. do dążenia do uzyskania kompleksowego spojrzenia na bezpieczeństwo informatyczne z jednego miejsca, niezależnie od faktu posiadania elementów systemu informatycznego od różnych producentów.
Powstanie platformy bezpieczeństwa
Szacuje się, że na rynku funkcjonuje około siedemdziesiąt kategorii produktów związanych z cyber bezpieczeństwem dla firm. Wraz z pojawianiem się kolejnych kategorii produktów lub usług, trudność doboru właściwych rozwiązań dla firmy staje się coraz większa. Działy IT w przedsiębiorstwach poświęcają więc coraz więcej energii na wdrożenie i utrzymanie polityk bezpieczeństwa w poszczególnych stosowanych rozwiązaniach.
W odpowiedzi na zwiększający się poziom złożoności i trudności dbania o bezpieczeństwo sieci IT, często z zastosowaniem rozwiązań różnych producentów w jednym środowisku, powstała nowa kategoria produktu bezpieczeństwa IT – platforma bezpieczeństwa (security platform) będąca rozwiązaniem integrującym wiele produktów bezpieczeństwa.
Platforma bezpieczeństwa integruje różne funkcjonalności produktów i usług zapewnianych przez danego producenta, jak również innych dostawców rozwiązań, by pozwolić na optymalizowanie wydajności dzięki automatyzacji i powtarzalności zadań oraz przepływów pracy w celu uzyskania szybszych i lepszych rezultatów.
Cisco wyróżnione przez Gartner Magic Quadrant
Cisco wyróżnia się pozytywnie na tle konkurencji w zakresie produktów bezpieczeństwa, co zostało zauważone m. in, przez Gartner Magic Quadrant w kategorii Network Firewalls, który wyróżnił Cisco statusem “Leader” w 2019r.

Cisco SecureX
SecureX integruje portfolio produktów bezpieczeństwa Cisco dla firm, tworząc pełny ekosystem bezpieczeństwa zarządzany z jednego miejsca dla ułatwienia pracy administratora, poprawy widoczności oraz maksymalizacji wydajności dzięki automatyzacji zadań.
Platforma bezpieczeństwa zmniejsza koszty funkcjonowania organizacji związane z zapewnianiem bezpieczeństwa IT, pomaga optymalizować precyzję działania, przyspiesza dostosowywanie się do zmian w zakresie procedur lub polityk bezpieczeństwa, a co za tym idzie, wspiera bezpieczeństwo i ciągłość działania firmy.

Rodzaje platform bezpieczeństwa
Platforma oparta na wiodącym rozwiązaniu
Popularnym przykładem platformy bazującej na rozwiązaniu jest EPP (endpoint protection platform). EPP przeciwdziała rozprzestrzenianiu się i szkodliwej działalności złośliwych aplikacji oraz atakom typu malware realizowanym za pomocą zainfekowanych plików. Wiele rozwiązań EPP uwzględnia również detekcję na urządzeniach końcowych oraz przeciwdziałanie (EDR, endpoint detection and response) w celu ochrony infrastruktury przed zagrożeniami, które są w stanie ominąć pierwszy poziom zabezpieczeń.
Jednym z przykładów platformy bazującej na dominującym rozwiązaniu jest firewall nowej generacji (NGFW, next-generation firewall), który łączy w sobie funkcjonalność tradycyjnej zapory sieciowej z prewencją niepożądanych intruzji, kontrolą aplikacji, zintegrowanym powiadamianiem o zagrożeniach.
Platforma bazująca na SIEM lub SOAR
Platformy oparte na SIEM (security information and event management) oferują widoczność oraz dokładny wgląd w bezpieczeństwo dzięki temu, że zbierają, agregują i analizują informacje z różnych źródeł.
Niebawem w branży pojawią się platformy SOAR (security orchestration, automation and response), które podobnie jak SIEM agregują dane, szukają korelacji i analizują alerty. SOAR pozwala pójść o krok dalej, dzięki integracji zbierania informacji o zagrożeniach z automatycznym badaniem incydentów. Sposoby reagowania na incydenty definiowane są w politykach bezpieczeństwa definiowanych przez dział IT.
Platformy bezpieczeństwa oparte na portfolio
Platforma bazująca na portfolio produktów bezpieczeństwa będących już w użyciu w firmie posiada ważną cechę, jaką skalowalność – możliwe jest dodawanie kolejnych produktów w przyszłości. Platforma oparta na portfolio wzmacnia bezpieczeństwo sieci, urządzeń końcowych, chmury oraz aplikacji. Rozwiązanie poprawia kolaborację między współdzielonymi przepływami pracy oraz zespołami, jednocześnie umożliwiając posiadanie pełnej wiedzy o rezultatach w postaci mierzalnych danych.
Platforma oparta na portfolio pozwala na wyższy poziom automatyzacji, co przyspiesza detekcję i przeciwdziałanie zagrożeniom oraz minimalizuje szanse na błąd ludzki. Warto również zwrócić uwagę na inne cechy rozwiązania, takie jak: scentralizowane zarządzanie politykami bezpieczeństwa, możliwość ujednolicania polityk bezpieczeństwa dla infrastruktury lokalnej oraz chmurowej, integracja produktów i usług różnych producentów (działanie out of the box lub konfiguracja przez API), możliwość wdrożenia na istniejącej infrastrukturze.

Cisco SecureX
Zapewnienie widoczności komponentów systemu informatycznego
Jedną z podstawowych potrzeb, której spełnienie jest konieczne dla możliwości zapewnienia bezpieczeństwa IT, jest widoczność użytkowników, urządzeń końcowych, aplikacji w systemie informatycznym. NGFW Cisco zapewnia pełny wgląd w zachowania użytkowników, hostów, aplikacji, urządzeń mobilnych, środowisk wirtualnych, zagrożeń oraz podatności w ciągle zmieniającym się środowisku sieciowym w firmie.
SecureX wynosi widoczność na zupełnie nowy poziom, rozszerzając zakres spojrzenia na całe środowisko informatyczne za pomocą jednego dashboardu. Wszelkie alerty bezpieczeństwa są zbierane oraz szeregowane według priorytetu dla ułatwienia pracy inżyniera IT.
SecureX zapewnia widoczność w zakresie wszystkich obszarów objętych rozwiązaniami bezpieczeństwa w firmie, niezależnie, czy rozwiązania pochodzą od Cisco, czy od innych producentów. Dostarczane są dane, informacje o aktywności oraz najświeższe komunikaty o zagrożeniach.

Łatwa integracja
Większość dostępnych na rynku zapór sieciowych oferuje możliwości integracji z innymi rozwiązaniami, np. ochroną urządzeń końcowych, usługami sandboxing, rozwiązaniami bezpieczeństwa DNS. Niestety, pojawiające się trudności z kompatybilnością interfejsów poszczególnych rozwiązań, utrudniona komunikacja, niezbędne nakłady czasu na naukę, wyraźnie zmniejszają szanse na interoperacyjność elementów takiego środowiska. Trudno jest stworzyć skutecznie działający system z posiadanych, często pozyskiwanych w różnych momentach czasu elementów.
SecureX potrafi połączyć szeroki zakres produktów i usług Cisco w całość wraz z innymi elementami infrastruktury bezpieczeństwa IT w firmie zapewnionymi przez dowolnych producentów, dostarczając trwałe działanie w obszarze bezpieczeństwa sieci, urządzeń końcowych, chmury oraz aplikacji. Dzięki połączeniu różnych rozwiązań w jednej platformie, SecureX dostarcza mierzalny wgląd, potrzebne wyniki oraz nieosiągalne dotychczas możliwości pracy między zespołami.
Automatyzacja
Automatyzacja procesów ma bardzo duży potencjał w zakresie wspierania organizacji w oszczędzaniu czasu oraz umożliwianiu sprawnego funkcjonowania, nawet w sytuacji braku ciągłego dostępu do wykwalifikowanej kadry technicznej. Przykładem rozwiązania, które już z powodzeniem stosuje automatyzację jest firewall nowej generacji (NGFW). FirePower Management Center automatycznie łączy wykryte zdarzenia z istniejącymi podatnościami w środowisku IT, w celu ustalenia priorytetów działań dla zespołu IT. Niezbędne do zastosowania polityki bezpieczeństwa są również automatycznie rekomendowane.
Platforma bezpieczeństwa SecureX oferuje pełną możliwość korzystania z potencjału automatyzacji, ułatwiając zarządzanie. Rozwiązanie dostarcza gotowe zbiory strategii bezpieczeństwa bazujące na wypracowanych obserwacjach i doświadczeniu. Budowa własnych polityk bezpieczeństwa wymaga wykorzystania intuicyjnego, graficznego interfejsu, który ułatwia i przyspiesza pracę administratora.
Cisco SecureX gromadzi informacje związane z danym incydentem pozyskiwane z różnych urządzeń, wykorzystując automatyzację w przepływie informacji między produktami bezpieczeństwa. Moduł Threat Response kwalifikuje incydenty wychwycone przez firewall lub sieciowe narzędzia analityczne, a następnie przeprowadza wnikliwe badanie dostarczonych informacji względem zawartych w SecureX technologii. Zachowywany jest snapshot rezultatów postępowania związanego z alertem bezpieczeństwa, o którym powiadamiany zostaje zespół administratorów IT, dzięki czemu łatwiej podjąć działania zaradcze w postaci izolacji celów ataku, blokowania domen, adresów IP lub plików.

Ciągły rozwój SecureX
Platforma Cisco SecureX jest cały czas rozwijana dla zapewnienia ciągłego wzrostu poziomu bezpieczeństwa w zmiennym środowisku sieciowym. SecureX to nowe rozwiązanie w ofercie Cisco, które pozwala na zdecydowane podniesienie widoczności i znaczne przyspieszenie reaktywności na zagrożenia pojawiające się w całej infrastrukturze sieciowej firmy.
Automatyzacja cyklu pracy rozwiązań umożliwia nie tylko integrację posiadanych rozwiązań w infrastrukturze i wyniesienie poziomu bezpieczeństwa organizacji na dojrzały poziom, ale również usprawnienie współpracy w zespole.
