STRATEGIE OBRONY SIECI BEZPRZEWODOWYCH

W ERZE INTERNETU RZECZY

WSTĘP 1

SEKCJA 1: KONIECZNOŚĆ PRZEANALIZOWANIA

ZABEZPIECZEŃ WARSTWY DOSTĘPU 2

SEKCJA 2: NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU 5

SEKCJA 3: JAK WYBRAĆ BEZPIECZNE ROZWIĄZANIE SIECI WLAN 8

PODSUMOWANIE 10

SPIS TREŚCI

Nieustanny ruch, ciągły dostęp do sieci i zalew nowych urządzeń bezprzewodowych stały się normą w korporacyjnych bezprzewodowych sieciach LAN (WLAN). Pracownicy nie są już przywiązani do biurek i oczekują wszechobecnego dostępu do aplikacji mobilnych. Działy informatyczne przedsiębiorstw mierzą się z ciągłymi zmianami technologicznymi, takimi jak wprowadzenie Internetu rzeczy (IoT), udostępnianie wszystkiego jako usługi (XaaS) czy sztuczna inteligencja. Ochrona firmowych bezprzewodowych sieci LAN przed nieautoryzowanym dostępem i cyberatakami stanowi główny problem, nad rozwiązaniem którego głowią się osoby podejmujące decyzje w zakresie IT w przedsiębiorstwach na całym świecie.

Wszystkie te trendy mają istotny wpływ na planowanie, wdrażanie i zabezpieczanie sieci WLAN. Przedsiębiorstwa

muszą planować z myślą o obsłudze mobilności, która stała się funkcją o znaczeniu strategicznym. Oznacza ona także rosnące zapotrzebowanie na niezawodną, kompleksową architekturę zabezpieczeń w firmie. Zmiany strategiczne są niezbędne do efektywnej ochrony przewodowych i bezprzewodowych sieci LAN przy jednoczesnym zapewnieniu obsługi aplikacji biznesowych każdego typu.

W tym dokumencie omówiono ochronę warstwy dostępu firmowych sieci WLAN i wykazano, dlaczego wdrażanie przypadkowych zabezpieczeń już nie wystarczy do ochrony przed zagrożeniami. Niniejszy e-book wyjaśnia, w jaki sposób architektura bezpiecznego dostępu może zapewnić sieciom korporacyjnym kompleksową ochronę wymaganą dziś i w przyszłości.

WSTĘP

1 WSTĘP

Cały czas obserwujemy wzrost liczby i typów urządzeń działających w sieciach Wi-Fi. Według raportu Synergy Group sieci WLAN są najszybciej rozwijającą się technologią korporacyjnej infrastruktury informatycznej1. Wi-Fi Alliance® przewiduje, że w 2020 roku liczba podłączonych do sieci urządzeń konsumenckich i biznesowych osiągnie 38,5 mld2.

W niemal wszystkich branżach pracownicy korzystają z aplikacji o znaczeniu krytycznym na wielu urządzeniach prywatnych i służbowych.

Praca w modelu BYOD nikogo już nie zaskakuje — stała się nową normą. W ankiecie, którą firma Lightspeed GMI przeprowadziła niedawno na zlecenie firmy Fortinet, 56% osób podejmujących decyzje w zakresie IT wskazało, że korzystanie z urządzeń prywatnych do celów służbowych jest w ich firmach obsługiwane. W samej Ameryce Północnej odsetek ten wyniósł 76%. Poza tym, od działów informatycznych w przedsiębiorstwach oczekuje się pełnej kontroli nad wszystkimi urządzeniami.

01

KONIECZNOŚĆ PRZEANALIZOWANIA ZABEZPIECZEŃ WARSTWY DOSTĘPU

2 KONIECZNOŚĆ PRZEANALIZOWANIA ZABEZPIECZEŃ WARSTWY DOSTĘPU

Internet rzeczy stał się w firmach zasobem o znaczeniu krytycznym, przynosząc nowe problemy w zakresie bezpieczeństwa. Powstające aplikacje Internetu rzeczy wprowadzają nowe, niezabezpieczone urządzenia bezprzewodowe we wszystkich branżach na całym świecie. Od hali fabrycznej po salę szpitalną — obejmują one zarówno roboty przemysłowe, jak i zaawansowane czujniki medyczne. Są wdrażane w ogromnych ilościach, do bardzo wielu innowacyjnych i nowatorskich zastosowań

Taki wykładniczy wzrost liczby niezabezpieczonych typów urządzeń powoduje powstawanie nowych luk w zabezpieczeniach i zagrożeń. Internet rzeczy stał się nowym punktem wejścia ataków i jako taki stanowi duże wyzwanie dla bezpieczeństwa. Zazwyczaj urządzenia i czujniki służą do zbierania i przekazywania danych. Większość z nich jest otwartych i niezdolnych do obsługi popularnych rozwiązań zabezpieczeń opartych na klientach, co nakłada obowiązek ich ochrony na sieć.

3 KONIECZNOŚĆ PRZEANALIZOWANIA ZABEZPIECZEŃ WARSTWY DOSTĘPU

Doskonałym przykładem są tu branże opieki zdrowotnej i farmaceutyczna. W porównaniu z tradycyjnymi systemami informatycznymi incydenty obejmujące Internet rzeczy, jak przejęcie kontroli nad urządzeniem do rezonansu magnetycznego, mają poważne konsekwencje — zarówno finansowe, jak i organizacyjne, ponieważ wymagają zmiany zasad. Praktycznie całe oprogramowanie, aplikacje, systemy i urządzenia są obecnie podłączone do Internetu. To jest rzeczywistość, którą cyberprzestępcy znają i aktywnie wykorzystują. Przedstawiciele 94% instytucji medycznych przyznali, że ich organizacje padły ofiarą cyberataku3. Hakerzy nieustannie opracowują nowe sposoby wykorzystania Internetu rzeczy i rozszerzenia powierzchni ataku do przeprowadzania zaawansowanych ataków.

Banki i inne instytucje finansowe uważają bankomaty z obsługą Internetu rzeczy, kioski informacyjne oraz karty kredytowe i debetowe wyposażone w czujniki za okazje do zwiększenia przychodów. A ponieważ już teraz są celem ogromnej liczby cyberataków, wraz z rozwojem usług opartych na Internecie rzeczy ich zagrożenie jeszcze bardziej wzrośnie.

Nic dziwnego więc, że osoby podejmujące decyzje w zakresie IT martwią się problemami związanymi z ochroną urządzeń Internetu rzeczy i uwzględniają je jako główny składnik ogólnej strategii zabezpieczeń.

1 Synergy Research Group, informacja prasowa ze stycznia 2016 r.2 Wi-Fi Alliance® 6 for ’16 Wi-Fi® predictions, styczeń 2016 r.3 SANS Institute Health Care Cyberthreat Report 2014

4 KONIECZNOŚĆ PRZEANALIZOWANIA ZABEZPIECZEŃ WARSTWY DOSTĘPU

Przedsiębiorstwa potrzebują struktury zabezpieczeń, która zapewniłaby elastyczną i kompleksową ochronę całych środowisk informatycznych. W obliczu zaawansowanych ataków na duże organizacje głównymi kwestiami stały się bezpieczeństwo oraz ochrona krytycznych danych firmy i klientów. W wielu przypadkach jednak działy informatyczne muszą jeszcze wdrożyć kluczowe środki zabezpieczeń, jak system zapobiegania włamaniom czy kontrola aplikacji, które zapewniają niezbędne dodatkowe warstwy ochrony.

W Sekcji 1 omówiliśmy czynniki, które powodują konieczność stosowania w warstwie dostępu bardziej zintegrowanej strategii ochrony przed zaawansowanymi atakami w celu zagwarantowania bezpieczeństwa komunikacji, danych, transakcji i urządzeń mobilnych. Taka strategia obejmuje:

§ Zapewnienie spójnych zasad obowiązujących aplikacje i urządzenia działające w środowiskach przewodowych i bezprzewodowych oraz na wielu urządzeniach używanych przez każdego użytkownika.

§ Dodanie wielu warstw obrony, w tym zastosowanie wyraźnej segmentacji sieci, w celu przerwania łańcucha infekcji lub złagodzenia jej skutków.

§ Ciągłe skanowanie w poszukiwaniu złośliwego kodu w celu blokowania dostępu do złośliwych witryn, kontrolę integralności punktów końcowych i monitorowanie wykorzystania aplikacji.

02

NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU

5 NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU

Ujednolicony dostęp

Typowe wdrożenia strategii sieci Wi-Fi nie spełniają tych strategicznych wymagań. Przykładowo, wiele sieci kampusowych jest płaskich, co powoduje powstanie otwartego środowiska. Oznacza to, że dowolna osoba lub urządzenie — działające legalnie lub nie — ma niekontrolowany dostęp do całej sieci i powiązanych zasobów informatycznych. W płaskiej sieci nawet proste cyberataki mogą bardzo szybko siać spustoszenie.

Do ochrony przed atakami, którym uda się przedostać przez zabezpieczenia stosowane na brzegach sieci, niezbędnych jest wiele warstw obrony. Wyraźna segmentacja wewnętrzna, obejmująca zasady

ustanowione w zaporach między użytkownikami i zasobami, ogranicza ruch, udostępnia dzienniki i pomaga przerwać łańcuch infekcji.

Bezprzewodowe systemy ochrony przed włamaniami

Wdrożenie bezprzewodowych systemów ochrony przed włamaniami (WIP) pozwala na wykrywanie fałszywych urządzeń, nieautoryzowanego dostępu i sieci ad hoc oraz ochronę przed nimi. Aby automatyczne mechanizmy zapobiegające były skuteczne, systemy WIP muszą precyzyjnie wykrywać i klasyfikować wszystkie zagrożenia. Optymalne skonfigurowanie i utrzymanie takich systemów w architekturze sieci ad hoc stanowi jednak duże wyzwanie.

6 NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU

NGFW

Jako że zagrożenia nieustannie się zmieniają i mutują, obserwujemy silną tendencję do wdrażania zapór następnej generacji (NGFW). Szczególnie teraz są one niezbędne w każdym systemie ochrony, ponieważ umożliwiają skuteczną obronę przed zaawansowanymi zagrożeniami oraz reagowanie na nowe taktyki cyberprzestępców. Systemy NGFW wzbogacają metody istniejących zabezpieczeń, poszerzając możliwości zapór tradycyjnych. Obejmuje to ochronę przed włamaniami, szczegółową weryfikację pakietów SSL/SSH, wykrywanie złośliwego kodu i monitorowanie aplikacji.

Zapory NGFW zapewniają dodatkowy kontekst oraz możliwość dokładnego poznania ruchu aplikacji internetowych przechodzącego przez sieć, przy jednoczesnym blokowaniu ruchu, który może wykorzystywać luki w zabezpieczeniach.

Widoczność i kontrola

Niezwykle ważnym aspektem stosowania tak szerokiego zakresu środków bezpieczeństwa jest ich konfiguracja oraz zarządzanie nimi. Nawet po wdrożeniu w firmie nowych funkcji zabezpieczeń mogą wystąpić ich naruszenia wynikające z niewłaściwej konfiguracji i zarządzania. Wdrażanie oddzielnych systemów kontroli dostępu, bezprzewodowej ochrony przed włamaniami i zapór oraz zarządzanie nimi jest pracochłonne i podatne na błędy. Te problemy można rozwiązać, implementując zintegrowaną, całościową strategię bezpieczeństwa.

7 NOWE STRATEGIE OBRONY WARSTWY DOSTĘPU

Najlepszym sposobem ochrony przed zaawansowanymi atakami, którym uda się przedrzeć przez obronę brzegu sieci, jest stosowanie wielu warstw zabezpieczeń. Wyraźna segmentacja wewnętrzna, obejmująca zasady ustanowione w zaporach między użytkownikami i zasobami, ogranicza ruch i może przerwać łańcuch infekcji. Poza tym, aby chronić dostęp z niezabezpieczonych urządzeń Internetu rzeczy oraz własnych, mechanizmy zabezpieczające muszą być zintegrowane z siecią.

Wszystkie strategie ochrony sieci WLAN powinny zawierać zintegrowane rozwiązanie sieci bezprzewodowej łączące w jednym produkcie kontrolę i zabezpieczenia. Najlepsze zabezpieczenia powinny z kolei obejmować wszystkie komponenty sieci, w tym systemy bezprzewodowe, przełączniki i zabezpieczenia. Warto również zauważyć, że wbudowanie mechanizmów analizujących zagrożenia w urządzenia sieci WLAN i punkty dostępowe obniża całkowity koszt posiadania sieci niezależnie od jej architektury.

03

JAK WYBRAĆ BEZPIECZNE ROZWIĄZANIE SIECI WLAN

8 JAK WYBRAĆ BEZPIECZNE ROZWIĄZANIE SIECI WLAN

Warto szukać jak najbardziej elastycznych rozwiązań sieci WLAN, które pozwalają na łączenie i dopasowywanie modeli wdrażania do różnych zastosowań, lokalizacji i zasobów informatycznych. Niezależnie od tego, czy firma zdecyduje się na rozwiązanie oparte na kontrolerze czy działające bez niego, zarządzane w chmurze czy na miejscu, zawsze powinno ono odpowiadać strukturze jej sieci i organizacji, a przy tym zapewniać ochronę przed zagrożeniami. Zintegrowana, kompleksowa ochrona zapewnia ogólnie bezpieczne, skalowalne i opłacalne rozwiązanie.

Konieczne jest uproszczenie wdrażania sieci, aplikacji i urządzeń korporacyjnych oraz zarządzania nimi. Nawet dysponując szerokim wachlarzem środków zabezpieczeń, administratorzy infrastruktury informatycznej mogą nie mieć pewności co do ich prawidłowej konfiguracji. Implementacja sieci i zabezpieczeń musi być widoczna w jednej konsoli. Należy dążyć do jednego, spójnego interfejsu użytkownika zapewniającego dostęp do sieci przewodowej i bezprzewodowej oraz umożliwiającego całościową konfigurację, monitorowanie i zarządzanie.

9 JAK WYBRAĆ BEZPIECZNE ROZWIĄZANIE SIECI WLAN

Środowisko dostępu nieprzerwanie się rozwija i pojawia się w nim coraz więcej różnego rodzaju urządzeń korzystających z sieci. Aplikacje Internetu rzeczy oraz nieustanny przyrost urządzeń użytkowników sprowadzają nowe, wciąż zmieniające się zagrożenia bezpieczeństwa.

Integralną częścią każdej strategii i implementacji infrastruktury informatycznej jest kontrola dostępu do sieci w całym przedsiębiorstwie. Coraz to nowe

wymagania dotyczące obsługi nowych urządzeń i ich typów sprawiają, że konieczne staje się stosowanie całościowego systemu bezprzewodowego, przewodowego i zabezpieczeń. Jest to rozwiązanie, które pozwala zminimalizować problemy ze współpracą i wdrażaniem urządzeń, upraszcza zarządzanie urządzeniami sieciowymi oraz zapewnia obsługę aplikacji mobilnych. Elastyczna, bezpieczna architektura zapewnia maksymalną ochronę niezbędną w każdej firmie.

PODSUMOWANIE

10 PODSUMOWANIE

Copyright © 2016 Fortinet, Inc. Wszelkie prawa zastrzeżone.

Porównaj rozwiązanie Secure Access Architecture firmy Fortinet www.fortinet.com/secureaccess