7 kroků, jak přežít GDPR: Pomocníci v detekci a zvládání bezpečnostních incidentů (5)

7 kroků, jak přežít GDPR: Pomocníci v detekci a zvládání bezpečnostních incidentů (5)

Máme za sebou základy prevence a ochrany dat před jejich možným zneužitím. Sofistikovanost kyberútoků a počty úniků dat včetně osobních údajů z velkých společností však v posledních letech velmi rostou. Proto se nedá spoléhat jen na prevenci a předpokládat, že k úniku či zneužití dat nikdy nedojde.

ill supdocloudu CHRAN.jpg
Co je snazší, dostat se k vám do bytu, nebo k vašim datům?

Cílem útočníků mohou být jak citlivé informace ze soukromí politiků nebo celebrit, tak i masové seznamy zákazníků, čísel kreditních karet nebo obchodní tajemství firem. Reálná situace v Česku i v okolních zemích se přitom vyznačuje výrazným nedostatkem specialistů na ICT bezpečnost, kteří by měli kvalifikaci a praktické zkušenosti s detekcí, zvládáním a vyšetřováním bezpečnostních incidentů.

Smluvní záruky v cloudu

Výhodou zpracování osobních údajů v cloudu mohou být smluvní záruky, že zpracovatel bude v rámci svých opatření trvale monitorovat svoje výpočetní prostředky a telekomunikační sítě. Například Microsoft se ve svých podmínkách zavazuje informovat správce dat o bezpečnostních incidentech a poskytnout veškeré podklady pro forenzní analýzu a spolupracovat na vyšetřování incidentu. V rámci profesionální podpory zpracování v cloudu tak zákazníci získávají přístup k "zabezpečení jako službě" od takzvaných Security Operation Centers (SOC) - dohledových a bezpečnostních center cloudu, která bdí nad provozem 24 hodin denně.

Cloud se tak spolu s poskytovateli internetového připojení může stát cenným spojencem v boji s populárními zahlcovacími útoky (DoS/DDoS). Dokáže totiž rychle reagovat navýšením výpočetní kapacity a filtrací nebo zpožďováním útočících paketů. Nezapomeňme, že zajištění trvalé dostupnosti služeb při zpracování osobních údajů je jednou z povinností správců.

Jak cloud pomůže?

Při obraně a detekci útoků v cloudu se využívají moderní analytické nástroje na bázi velkých dat, strojového učení až po umělou inteligenci. Cílem je odhalovat možné incidenty ještě před jejich uskutečněním. Tak například Enterprise Mobility & Security (EMS) umí analyzovat chování uživatelů, vyhodnocovat anomálie v síťovém provozu a rozlišit útoky na uživatelské účty.

Pro EMS-Azure Active Directory (AAD) Premium může být typickou anomálií pokus o přihlášení k uživatelskému účtu odněkud z Asie, když se hodinu předtím přihlašoval někdo z území Česka. AAD Premium také umí vyhodnotit rizikový profil jednotlivých uživatelů a podle toho vyžadovat kontrolně druhý faktor autentizace, tedy například ověření identity přes chytrý telefon nebo firemním tokenem předtím, než umožní přístup k citlivým údajům.

Velmi populární je služba Office 365 Advanced Threat Protection (ATP), která v cloudu monitoruje výskyt dvou nejčastějších metod průniku, tedy phishingové emaily se škodlivými URL linky a škodlivé přílohy v emailech. Phishing se ověřuje trasováním, tedy kontrolou, zda emailová adresa odesílatele souhlasí s doménou, ze které email odešel. Špatné URL se testují přes proxy, což jsou jakési přestupní servery v cloudu, které ověřují, jestli se cílové stránky nesnaží uživateli podstrčit malware, a teprve potom uživateli uvolní přístup k danému web serveru.

Od strojového učení až po umělou inteligenci

Škodlivé přílohy se testují v cloudu v takzvaných detonačních komorách, kde se ověřuje chování přiloženého souboru, a v případě detekce je příloha uživateli blokována s příslušným vysvětlením. Tady je asi nejsilnější benefit zpracování v cloudu. Globální služba, jako je Office 365 ATP, se prvním zjištěním určitého malwaru "natrénuje" na jeho detekci a všechny ostatní zákazníky dané služby může následně ochránit, a to i v případě takzvaných zero day zranitelností.

Na podobném principu vyhodnocování hrozeb z cloudových senzorů pracuje i novinka ve Windows 10, doplňková cloudová služba Windows Defender Advanced Threat Protection (WDATP). Ta provádí detekci útoků analýzou událostí z koncových počítačů, která probíhá ve firemním prostoru v cloudu. WDATP umožňuje po detekci informovat administrátora, izolovat napadené počítače a provést na nich forenzní analýzu pomocí vnějších logů i v případě, že je daný počítač již napaden.

Ani cloudové databáze nepřijdou zkrátka. SQL Threat Detection detekuje anomálie v přístupu k datům, a to jak v případě externích hackerů, tak v případě interních uživatelů, kteří by mohli snáze odcizit a zneužít osobní údaje. Využívá rovněž strojové učení a v případě abnormalit informuje přímo databázového administrátora.

První vyhrání všechny (další) ochrání

Cílem je, aby byl administrátor o celkovém stavu zabezpečení výpočetních prostředků v cloudu informován pomocí dashboardu, tedy jakési palubní desky zabezpečení, kde jsou vidět probíhající hrozby a zjištěné zranitelnosti v celkovém kontextu. Tak funguje například dashboard Azure Security Center, který je součástí subskripce Microsoft Azure.

Výhodou cloudu je zde tedy možnost vyhodnocování signálů z milionů senzorů, aplikování strojového učení při detekci útoků a princip, kdy první detekce útoku určitého typu může ochránit všechny ostatní zákazníky dané služby.

V dalším kroku se už dostaneme k fázi reportingu, tedy vyřizování žádostí o data, hlášení narušení zabezpečení dat a udržování požadované dokumentace tak, jak vyžaduje GDPR. I k tomu slouží chytrá řešení, která vám pomohou. A nezapomeňte, do uvedení evropského nařízení v platnost zbývá už jen necelých osm měsíců.

Podrobný návod, jak využít cloud k zajištění souladu s GDPR, najdete ZDE.

Autor článku: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko

Určitě si přečtěte

Články odjinud