Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity

Broadcom upraszcza ofertę i model licencjonowania VMware
Broadcom upraszcza ofertę i model licencjonowania VMware

W ciągu ostatnich dwóch lat firma VMware podejmowała wysiłki mające na celu uproszczenie swojego portfolio rozwiązań i przejście z modelu licencji wieczystych na model subskrypcji, który branża przyjęła już jako standard korzystania z chmury. Firma zaznaczyła, że takie zmiany przyniosą klientom większe ko...

Czytaj więcej...

Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy
Chcielibyśmy, żeby chmura…, czyli oczekiwania wobec dostawcy

Wyniki badania PMR dla Polskiej Chmury wskazują, że ponad 2/3 firm korzysta z rozwiązań chmurowych, a około 1/3 jest w trakcie ich wdrażania. Tym samym chmura to już stały element ekosystemu i działalności przedsiębiorstw w Polsce. Rynek ten dojrzał i firmy szukają w chmurze korzyści oraz rozwiązań dopasowanych wprost ...

Czytaj więcej...

Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji
Brak wykwalifikowanej kadry i starzejące się systemy główną barierą cyfryzacji

Według opublikowanego przez Veeam raportu Data Protection Trends Report 2022, największym wyzwaniem dla firm związanym z cyfryzacją są braki wykwalifikowanej kadry IT i starzejące się systemy. Aż 1/3 przedsiębiorstw w razie awarii i braku dostępu do zasobów planuje przywracać działanie serwerów w trybie r...

Czytaj więcej...

Historia oszukiwania ludzi przez sztuczną inteligencję
Historia oszukiwania ludzi przez sztuczną inteligencję

Wraz z rozwojem nowoczesnych technologii rozwijają się również złośliwe schematy. Od niedawna do długiej listy oszustw dołączyła sztuczna inteligencja (Artificial Intelligence, AI). Wykorzystanie technologii sztucznej inteligencji i uczenia maszynowego (Machine Learning, ML) przenosi phishing i inne oszustwa cyb...

Czytaj więcej...

FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji
FRITZ!Box 6850 5G - router gotowy na sieć piątej generacji

Przed kilkoma tygodniami w skromnych progach naszej Virtual-nej redakcji pojawiła się przesyłka zawierająca router FRITZ!Box 6850 5G od firmy AVM. Router wprowadzony na rynek latem ubiegłego roku, za pomocą wbudowanego modemu obsługuje zakresy 5G w paśmie poniżej 6 GHz, a także LTE Advanced Pro we wszystkich obecnie wy...

Czytaj więcej...

Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7
Integracja AIOps w kompleksowym monitorowaniu IT: Site24x7

Środowiska IT stają się coraz bardziej rozbudowane. Firmy korzystają z infrastruktury on-premise jak również z rozwiązań chmurowych, często z wielu chmur (multicloud). W takiej sytuacji kluczem dla zapewnienia niezawodnego działania systemów IT jest monitoring infrastruktury. Właściwe rozwiązanie do monit...

Czytaj więcej...

Aktualności

Cyberbezpieczeństwo: podatności a projekt ustawy o KSC

HackerCoraz częściej cyberprzestępcy poszukują podatności w kodzie źródłowym wytwórców oprogramowania zabezpieczającego, by poprzez skuteczny atak na ten element łańcucha dostaw podejmować wrogie działania wymierzone w korzystające z niego podmioty. Rzeczywistość pokazuje, że przestępcy średnio po niespełna 5 dniach od wykrycia luki zaczynają ją wykorzystywać. Ekspert Stormshield komentuje ujęty w projekcie nowelizacji ustawy o KSC obowiązek przekazywania szczegółowych informacji o urządzeniach i produktach ICT uprawnionym podmiotom oraz wyjaśnia, jak minimalizować ryzyko związane podatnościami.

Cyberprzestępcy szukają podatności - ataki na dostawców bezpieczeństwa IT

Podatności w kontekście bezpieczeństwa to błędy w kodzie, konfiguracji lub procesach popełnione w trakcie tworzenia systemu lub przeoczenia, których charakter sprawia, że w pierwszej chwili trudno ocenić czy mogą one zostać odkryte i wykorzystane przez cyberprzestępców. Poszukiwanie wszelkich niedociągnięć jest dla grup przestępczych chlebem powszednim, ponieważ odkrycie ich pozwala uzyskać nieautoryzowany dostęp do urządzenia potencjalnej ofiary czy wykonać na nim określony kod. Konsekwencją jest kradzież danych do celów szpiegostwa handlowego czy przemysłowego lub wyrządzenie innych szkód.

Jak działają cyberprzestępcy? Starają się bezpośrednio infiltrować mechanizmy aktualizacji lub dostarczania nowego oprogramowania, aby uzyskać dostęp do infrastruktury klientów. Innym działaniem jest atak DDoS, w efekcie którego jego klienci tracą dostęp do różnych usług udostępnianych przez dostawców, co uniemożliwia im prawidłowe funkcjonowanie. W katalogu wrogich działań są także przejęcia stacji roboczych docelowej firmy za pomocą użycia uprawnień administratora, z których często korzysta oprogramowanie antywirusowe. Taki atak osłabia bezpośrednio infrastrukturę firm-klientów. Możliwa jest także modyfikacja aktualizacji oprogramowania, a następnie infekowanie komputerów tego typu złośliwym oprogramowaniem.

Atak na dostawcę może również obejmować próbę ingerencji w kod źródłowy jego oprogramowania, również w celu identyfikacji podatności zero-day. W przypadku, gdy nie została zastosowana odpowiednia łatka, cyberprzestępcy mogą nawet przejąć kontrolę nad rozwiązaniami.
 
Próby destabilizacji działania firm zajmujących się bezpieczeństwem IT i kompromitowanie ich rozwiązań stały się jednym z wiodących trendów w grupach zajmujących się przestępczością cyfrową. Jak wskazuje raport jednego z dostawców rozwiązań bezpieczeństwa IT, w drugiej połowie 2023 roku średnio niespełna pięć dni upływało od wykrycia do wykorzystania podatności.

"Grupy hakerskie są niezwykle zainteresowane osłabianiem producentów i odkrywaniem podatności w rozwiązaniach, które na co dzień pełnią kluczową rolę w ochronie przedsiębiorstw. Odkrycie luki, nim o jej istnieniu przekona się dostawca oprogramowania, jest dla nich niczym wejście w posiadanie wytrycha, pozwalającego otworzyć drzwi strzegące nas przed nieproszonymi gośćmi, którzy chcą się włamać do naszego domu" - ocenia Paweł Śmigielski, country manager Stormshield w Polsce.

W opinii eksperta Stormshield, wprowadzona przez projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa (KSC) możliwość prowadzenia przez zespoły CSIRT MON, CSIRT NASK i CSIRT GOV badań urządzeń i produktów ICT może być odpowiedzią na ten trend. Wspomniane podmioty będą mogły zażądać od dostawcy dokumentacji i nie będą związane postanowieniami umów licencyjnych.

"W ten sposób ustawodawca po raz pierwszy chce zagwarantować sobie możliwość przeprowadzenia badań na własnych warunkach, nie będąc ograniczonym umowami licencyjnymi producentów. W projekcie ustawy jest mowa m.in. o odtwarzaniu kodu źródłowego oprogramowania i przełamywaniu zabezpieczeń producenta przed badaniem" - wskazuje Paweł Śmigielski.

Jak zwraca uwagę w swojej publikacji Dziennik Gazeta Prawna, postępowanie to jest jednym z kluczowych założeń projektu. „W razie wykrycia podatności, CSIRT może zwrócić się do pełnomocnika rządu ds. cyberbezpieczeństwa o wydanie rekomendacji dotyczących niekorzystania z określonego sprzętu lub oprogramowania. Takie rekomendacje będą zaś elementem analizy w razie wszczęcia wobec danej firmy postępowania o uznanie za dostawcę wysokiego ryzyka”. To będzie oznaczało konieczność usunięcia wcześniej kupionego od takiego podmiotu sprzętu lub oprogramowania oraz zakaz nabywania nowego. W najgorszym przypadku działanie będzie musiało podjąć nawet ok. 35 tysięcy podmiotów z prawie 20 sektorów, które zostaną objęte ustawą wprowadzającą do polskiego prawodawstwa założenia dyrektywy NIS2.

"Ocena rozwiązań jest powszechną praktyką, a w Europie działają organizacje normalizacyjne np. ANSSI dla Francji, BSI dla Niemiec i CCN dla Hiszpanii. Takie kwalifikacje dają gwarancję, że dany produkt zabezpieczający spełnia potrzeby klientów końcowych" - komentuje ekspert Stormshield.

Przy czym wymogi agencji zajmujących się cyberbezpieczeństwem i certyfikacją różnią się w poszczególnych krajach. Przykładowo we Francji dostawca zobowiązany jest do przekazania kodu źródłowego, podczas gdy CCN tego nie wymaga. Z kolei w Niemczech kod nie jest wymagany przy certyfikacji, lecz niezbędny przy procesie kwalifikacji. Planowany krajowy system certyfikacji cyberbezpieczeństwa przyniesie w tym zakresie pozytywną zmianę. Jego wprowadzenie pozwoli na podniesienie znaczenia certyfikowanych, bezpiecznych rozwiązań i docelowo również poziomu bezpieczeństwa polskich organizacji.

Korzystaj z zewnętrznego konsultingu i certyfikowanych rozwiązań od różnych dostawców

Dobrym sposobem ograniczenia negatywnych konsekwencji podatności jest promowanie różnorodności w wyborze rozwiązań bezpieczeństwa. W przypadku naruszenia bezpieczeństwa pojedynczego dostawcy, jeżeli korzystamy jedynie z dostarczonych przez niego rozwiązań, nasza sytuacja będzie gorsza niż w przypadku, gdybyśmy wykorzystywali różne produkty.

"W dobie coraz większej ilości ataków wymierzonych w dostawców lub bezpośrednio w rozwiązania cyberbezpieczeństwa, warto szukać balansu między zaufaniem, funkcjonalnościami oraz kosztem zakupu i utrzymania rozwiązania" - dodaje Paweł Śmigielski, wskazując przy tym na rolę 'zaufanej trzeciej strony'.

Takie podejście pozwala dostawcy obiektywnie spojrzeć na rozwiązanie i uzyskać ogólny przegląd produktu, a nawet jego kodu. Fakt, że robi to bezstronny podmiot stanowi dodatkową gwarancję w zakresie jakości i obiektywizmu wniosków. Dlatego również w interesie dostawców leży audytowanie ich produktów przez firmy zewnętrzne: przeglądy kodu, pentesty i nagrody za błędy to skuteczne sposoby wykrywania potencjalnych wad rozwiązania.

Otwartość dostawców z myślą o bezpieczeństwie klientów

Warto podkreślić, że przejrzystość dostawcy w zakresie luk w zabezpieczeniach wykrytych w jego produktach jest istotna.
"Korzystającym z rozwiązań Stormshield udostępniliśmy portal: advisories.stormshield.eu, na którym opisane są podatności wykryte w dostarczanych przez nas lub firmy trzecie technologiach np. OpenVPN lub OpenSSL. Serwis zawiera również wskazania poziomu krytyczności danej podatności, jej krótki opis oraz rozwiązanie, którym najczęściej jest sugerowana wersja firmware zawierająca niezbędne poprawki" - wyjaśnia Paweł Śmigielski.

Należy również wspomnieć, że poszczególni dostawcy rozwiązań bezpieczeństwa IT rozwijają i publikują sposoby ochrony przed podatnościami wykrytymi w rozwiązaniach powszechnie używanych na świecie np. Microsoft, Apache, JetBrains Team City. Dla przykładu w serwisie security.stormshield.eu znajduje się m.in. lista złośliwych adresów IP, lista podatności wykrytych w rozwiązaniach firm trzecich wraz z informacją, jakie rozwiązania Stormshield przed nimi chronią oraz możliwością sprawdzenia podejrzanych plików przez sandbox.

Źródło: Stormshield

Logowanie i rejestracja