POIT #178: Rola urządzeń UTM w bezpieczeństwie cyfrowym

Witam w sto siedemdziesiątym ósmym odcinku podcastu „Porozmawiajmy o IT”. Tematem dzisiejszej rozmowy jest rola urządeń UTM w bezpieczeństwie cyfrowym.

Dziś moim gościem jest Piotr Zielaskiewicz – ekspert z zakresu cyberbezpieczeństwa, który odpowiada za rozwój rozwiązań Stormshield na polskim rynku. Prywatnie miłośnik sportów wodnych, zawodowo od wielu lat związany z DAGMA Bezpieczeństwo IT. Entuzjasta zastosowania prawa zamówień publicznych w praktyce.

Sponsor odcinka

Sponsorem odcinka DAGMA Bezpieczeństwo IT.

W tym odcinku o UTM rozmawiamy w następujących kontekstach:

  • czym jest urządzenie UTM i czym się różni od tradycyjnego firewalla?
  • z jakich modułów/elementów składa się UTM?
  • jakie są korzyści wynikające z korzystania z UTM i dla kogo jest to urządzenie przeznaczone?
  • jakie UTM wybrać? Na co zwracać uwagę?
  • z jakimi kosztami trzeba się liczyć?
  • czy korzystając z UTM mamy pewność, że ochrona przez nie świadczona nadąża za rozwojem tej branży?

Subskrypcja podcastu:

Linki:

Wsparcie na Patronite:

Wierzę, że dobro wraca i że zawsze znajdą się osoby w bliższym lub dalszym gronie, którym przydaje się to co robię i które zechcą mnie wesprzeć w misji poszerzania horyzontów ludzi z branży IT.

Patronite to tak platforma, na której możesz wspierać twórców internetowych w ich działalności. Mnie możesz wesprzeć kwotą już od 5 zł miesięcznie. Chciałbym oddelegować kilka rzeczy, które wykonuję przy każdym podcaście a zaoszczędzony czas wykorzystać na przygotowanie jeszcze lepszych treści dla Ciebie. Sam jestem patronem kilku twórców internetowych i widzę, że taka pomoc daje dużą satysfakcję obu stronom.

👉Mój profil znajdziesz pod adresem: patronite.pl/porozmawiajmyoit

Pozostańmy w kontakcie:

 

Muzyka użyta w podcaście: „Endless Inspiration” Alex Stoner (posłuchaj)

Transkrypcja podcastu

To jest 178. odcinek podcastu Porozmawiajmy o IT, w którym z moim gościem rozmawiam o roli urządzeń UTM w bezpieczeństwie cyfrowym. Sponsorem tego odcinka jest firma DAGMA Bezpieczeństwo IT. Przypominam, że w poprzednim odcinku rozmawiałem o drukarkach i ich nowoczesnych rozwiązaniach technologicznych. Wszystkie linki oraz transkrypcję dzisiejszej rozmowy znajdziesz pod adresemporozmawiajmyoit.pl/178

Ocena lub recenzja podcastu w Twojej aplikacji jest bardzo cenna, więc nie zapomnij poświęcić na to kilku minut. Od niedawna można wystawiać oceny podcastom w Spotify. Będzie mi bardzo miło, jeśli w ten sposób odwdzięczysz się za treści, które dla Ciebie tworzę. Dziękuję.

Ja się nazywam Krzysztof Kempiński, a moją misją jest poszerzanie horyzontów ludzi z branży IT. Środkiem do tego jest między innymi ten podcast. Wspierając mnie przez Patronite, dzieląc się tym odcinkiem w swoich kręgach lub feedbackiem na jego temat ze mną, pomagasz w realizacji tej misji. Ja natomiast bardzo dziękuję moim obecnym patronom. A teraz życzę Ci już miłego słuchania!

Odpalamy!

 

Cześć!

 

Mój dzisiejszy gość to ekspert z zakresu cyberbezpieczeństwa, który odpowiada za rozwój rozwiązań Stormshield na polskim rynku. Prywatnie miłośnik sportów wodnych. Zawodowo od wielu lat związany z DAGMA Bezpieczeństwo IT. Entuzjasta zastosowania prawa zamówień publicznych w praktyce. Moim i Waszym gościem jest Piotr Zielaskiewicz.

Cześć, Piotr! Bardzo mi miło gościć Cię w podcaście.

 

Cześć, Krzysztof. Bardzo mi miło. Mam nadzieję, że wszyscy wspólnie fajnie spędzimy ten czas tutaj.

 

Jestem o tym przekonany. Chociaż muszę Ci powiedzieć, że w kategorii gość podcastu z najbardziej oryginalną pasją, to chyba wskoczyłeś do czołówki od razu, bo o ile osoby lubiące gotować, czytać, jeździć na nartach czy podróżować zdarzają się częściej, o tyle zastosowanie prawa zamówień publicznych w praktyce to dość rzadka fascynacja mimo wszystko. 

Powiedz, proszę, o tym troszkę więcej i czy ma to jakiś związek z Twoją pracą, z cyberbezpieczeństwem.

 

Myślałem, że powiesz, że sporty wodne to jest coś oryginalnego.

 

Zawiodłem Cię, niestety.

 

Rozumiem. Od dawien dawna interesuję się szeroko pojętym prawem, zastosowaniem w ogóle prawa w życiu codziennym. Kiedyś, jeszcze jako nastolatek, interesowałem się np. tym, w jaki sposób są rozwiązywane reklamacje przez producentów czy przez sklepikarzy. Kupiłem sobie pierwszy telefon, okazało się, że się zepsuł, decyzja w procesie reklamacyjnym była odmowna i musiałem poszperać, zastanowić się, jak rozwiązać taki spór prawny z przedsiębiorcą. 

I tak naprawdę od tamtego momentu poczułem, że to prawo, które wcześniej wcale mnie nie interesowało, jest, można powiedzieć, takim moim mocnym konikiem, jeśli chodzi właśnie o możliwość zastosowania tego w życiu codziennym. I kiedy zacząłem się zajmować również cyberbezpieczeństwem w DAGNIE, to prawo okazało się również niezbędne do tego, żeby jeszcze skuteczniej móc funkcjonować w tym sektorze public – z czego dziś jestem bardzo zadowolony, bo de facto klientowi dużo prościej rozmawia się z osobą, która wie, o czym mówi, a niejednokrotnie też klienci mają po prostu problem ze zrozumieniem tego gąszczu przepisów, tego, w jaki sposób się poruszać w tej materii, a ja zawsze staram się im jakoś doradzić.

 

Czyli bardzo praktyczne zastosowanie tej pasji i entuzjazmu, i bardzo dobrze. Tematem dzisiejszej rozmowy będzie też coś, co jest bardzo namacalne i pragmatyczne, związane z obszarem Twojej profesji, mianowicie rola urządzeń UTM w bezpieczeństwie cyfrowym. 

Ale zanim do tego przejdziemy, to mam jeszcze jedno pytanie na rozgrzewkę, ponieważ pytam każdego mojego gościa o podcasty, czy słucha podcastów, jeśli tak, to proszę o podzielenie się tymi swoimi ulubionymi. To jest zawsze taka fajna okazja do tego, żebyśmy ja i moi słuchacze mogli poznać być może inne ciekawe audycje. Jak to u Ciebie, Piotr, wygląda?

 

W ostatnim czasie słucham podcastów związanych z historiami kryminalnymi, z zagadkami, które wciąż w niektórych przypadkach pozostają nierozwiązane. Są to podcasty jednej z bardziej popularnych polskich radiofonii. Myślę, że to jest fajny sposób, jaki sobie znalazłem na radzenie sobie ze stresem, z ilością bodźców, która pojawia się codziennie w naszym życiu. I to pozwala mi na moment wyłączyć się i pozwolić sobie poukładać myśli, spędzić czas w taki oryginalny sposób. Nie bez powodu są to również historie, które pozostają nierozwiązane albo takie trochę z ciemną stroną mocy. To powoduje właśnie, że jest to szansa na odskocznię.

 

Pewnie, to jest jedna z najbardziej rozkwitających kategorii podcastowych w tym momencie, związana po pierwsze z historiami, których lubimy słuchać, a po drugie z zacięciem kryminalnym. To wzbudza jeszcze większe emocje, więc potwierdzam, że tego się po prostu dobrze słucha.

 

Przyznam szczerze, że nawet nie wiedziałem, że to jest coś na topie teraz. Widocznie wpadłem w te sidła.

 

Tak, nie tylko u nas, ale i na świecie to taka najszybciej rozwijająca się kategoria podcastowa.

Zostawmy już temat podcastów z boku i przejdźmy do naszego głównego wątku, jakim są urządzenia UTM. Zanim przejdziemy do określenia ich roli w ogólnie pojętym bezpieczeństwie cyfrowym, to warto byłoby powiedzieć, czym w ogóle są te urządzenia i czym różnią się od szerzej znanych rządzeń typu firewall.

 

Tak naprawdę same rozwiązania UTM możemy również zastępczo nazywać rozwiązaniami brzegowymi. Sam skrót oznacza Unified Threat Management, czyli można powiedzieć, że jest to jedno urządzenie, które posiada wiele modułów bezpieczeństwa zintegrowanych w jednej obudowie. Zastępczo tego skrótu używa się również z Next Generation Firewallem. Można powiedzieć, że na pewnym etapie rozwoju tych produktów do Next Generation Firewalla została dołożona kontrola aplikacji. 

I ta kontrola aplikacji to dzisiaj jeden z najważniejszych elementów w świecie IT. Działa ona równolegle z IPS-em, czyli modułem bezpieczeństwa Intrusion Prevention System. To jest właśnie ten moduł, który odpowiada stricte za ataki; moduł, który powoduje, że możemy się czuć bezpiecznie. Bardzo często posiada elementy sztucznej inteligencji i one powodują, że w całości ta nasza sieć jest chroniona. Dzięki modułowi IPS mamy również możliwość analizowania ruchu do warstwy 7. modelu ISO/OSI, czyli właśnie do tej kontroli aplikacji. 

I to jest jeden z głównych elementów, który w tych rozwiązaniach brzegowych odpowiada za bezpieczeństwo. Cały szereg później innych modułów, takich jak antywirus, antyspam, URL filtering czy takie moduły jak QOS czy Load Balancing, to są moduły wspierające tak naprawdę całe działanie UTM-a czy Next Generation Firewalla. Natomiast kluczowym, odpowiadającym za bezpieczeństwo będzie właśnie moduł bezpieczeństwa IPS.

 

Tak naprawdę same rozwiązania UTM możemy również zastępczo nazywać rozwiązaniami brzegowymi. Sam skrót oznacza Unified Threat Management, czyli można powiedzieć, że jest to jedno urządzenie, które posiada wiele modułów bezpieczeństwa zintegrowanych w jednej obudowie. Zastępczo tego skrótu używa się również z Next Generation Firewallem. Można powiedzieć, że na pewnym etapie rozwoju tych produktów do Next Generation Firewalla została dołożona kontrola aplikacji. 

I ta kontrola aplikacji to dzisiaj jeden z najważniejszych elementów w świecie IT. Działa ona równolegle z IPS-em, czyli modułem bezpieczeństwa Intrusion Prevention System. To jest właśnie ten moduł, który odpowiada stricte za ataki.

 

Jeśli dobrze zrozumiałem, jeśli moglibyśmy powiedzieć o różnicach w stosunku do tego klasycznego firewalla, głównie polega to na wyjściu poza te podstawowe warstwy modelu ISO/OSI i wchodzimy tutaj z UTM już na te najwyższe warstwy. Czy możesz powiedzieć jeszcze o jakichś innych różnicach w stosunku do firewalla?

 

Jeżeli mielibyśmy opowiedzieć o tym w dużym skrócie, to jest dokładnie tak, jak mówisz. Taki klasyczny firewall w zasadzie przepuszczał nam ruch dla konkretnych portów, które były znane dla konkretnego typu ruchu. Natomiast tutaj, w sytuacji, gdy dochodzi do tego IPS, to jest to tak naprawdę najwyższa możliwa warstwa aplikacji zapobiegania włamaniom, które mogą nam się przytrafić. W zależności od tego, czy ten atak będzie kierunkowy, czy staniemy się ofiarą przypadkowego ataku, jakim był kiedyś np. Wanna Cry, gdzie był to atak kierunkowany na Ukrainę, ale część firm, które współpracowały z Ukrainą, przeniosły to na polski rynek i okazało się, że tak naprawdę Polska dostała rykoszetem. 

Natomiast generalnie taki firewall odpowiadał stricte za przepuszczanie konkretnego typu ruchu na konkretnych portach, a tutaj wchodzimy już na dużo wyższy poziom ochrony, jeśli chodzi o UTM-y czy Next Generation Firewalle.

 

Ale jeśli dobrze rozumiem, mówimy ciągle o pewnym urządzeniu, o hardware. Czy to również funkcjonuje w wersji software?

 

Te możliwości zastosowania rozwiązań są tutaj bardzo szerokie. Mówię w kontekście tego, że producenci firewalli oferują takie rozwiązania w formie hardware, ale też dokładnie te same funkcjonalności możemy znaleźć w postaci obrazu maszyn wirtualnych. I teraz, idąc dalej, możemy zaoferować hardware klientowi w modelu on-premise’owym, kiedy to kupują dla siebie takie urządzenie, które stoi u nich, czy taką wirtualkę, która będzie stała na ich serwerze, albo w takim modelu w formie usługi, w formie MSP, kiedy to provider dostarcza po prostu usługę dla swojego klienta, klient dzierżawi u providera Data Center czy jakąś przestrzeń w Data Center, a ten provider w formie usługi jest w stanie chronić te zasoby klienta w formie takiego wirtualnego rozwiązania.

 

Wcześniej zaznaczyłeś, że to rozwiązanie ma pewną budowę modułową. Wspomniałeś już nawet o kilku. Czy mógłbyś powiedzieć szerzej, jakie moduły, jakie elementy składowe takiego UTM-a najczęściej możemy spotkać w komercyjnych rozwiązaniach?

 

Myślę, że to jest też bardzo dobre pytanie, ponieważ ono powinno również klientów naprowadzić na to, w jaki sposób ewentualnie dobrze dobrać takie rozwiązanie w przyszłości do swojej sieci. Przy wyborze rozwiązania powinniśmy się przede wszystkim kierować np. tym, jakie licencje są wymagane do tego typu rozwiązania. Klient powinien zwrócić uwagę na to, żeby ten model licencyjny był prosty i zrozumiały dla klienta. Żeby klient miał świadomość, co w tej licencji, za którą płacił niemałe pieniądze rokrocznie, co tak naprawdę zawiera się w tej licencji. 

Jedną z podstawowych elementów będzie właśnie ten firewall z IPS-em. Czyli właśnie ta możliwość analizowania ruchu do warstwy 7. w modelu ISO/OSI i również tutaj przyjdzie kontrola aplikacji. 

Jeśli chodzi o Stormshielda, za którego odpowiadam na polskim rynku, to tutaj kontrola aplikacji jest dostępna w standardzie wraz z modułem IPS. Natomiast inni producenci mają taki model licencyjny, że za kontrolę aplikacji musimy wykupić odrębną licencję. Więc warto na pewno zwrócić na to uwagę, ponieważ jest to również bardzo ważny element odpowiadający za poziom bezpieczeństwa po stronie klienta.

Dalej mamy takie moduły jak URL filtering. To jest model security, który odpowiada naprawdę za filtrowanie stron. W dzisiejszych czasach na pewno warto zwrócić uwagę na fakt, że URL filtering powinien mieć bardzo szeroką klasyfikację, ale również na to, aby URL filtering posiadał bazę polskiego CERT-u, który publikuje listę potencjalnie niebezpiecznych stron. I aby taki URL filtering dawał nam na żywo możliwość aktualizacji tej bazy wraz z tą bazą CERTU, którą mamy cały czas publikowaną. Jest to kolejny element bezpieczeństwa, który dokładamy do naszej infrastruktury.

Kolejnym elementem jest moduł antyspamowy. Kiedy wpada do nas mail i okazuje się, że jest to spam, możemy mieć dedykowane moduły antyspamowe w naszej infrastrukturze, ale to nie wyklucza w żaden sposób możliwości zastawania również antyspamu na poziomie rozwiązania brzegowego. Tutaj raczej patrzyłbym na to, żeby była zastosowana dywersyfikacja, bo każdy element, który zostanie na etapie urządzenia brzegowego wycięty, powoduje, że mamy mniejsze prawdopodobieństwo, że ten spam gdzieś do nas dotrze. A spam to często również różne niechciane linki, których wolelibyśmy, żeby nasi pracownicy nie otwierali, albo żeby nawet takie wiadomości do nich nie dochodziły.

Kolejny element to SSL Proxy, ponieważ tutaj mówiąc o URL filteringu, ciężko będzie nam tak naprawdę przeanalizować ten ruch, jeżeli nie będziemy mieli wdrożonego SSL Proxy. To jest bardzo ważny element, więc powinniśmy również zwrócić na to uwagę. Czyli rozszyfrowywanie ruchu zaszyfrowanego, szczególnie że Google powiedział, że w najbliższym czasie w ogóle nie będzie takich stron promował, a może nawet już to się wydarzyło.

Kolejnym elementem są moduły dodatkowe, które w życiu codziennym każdej firmy, która jakkolwiek zabezpiecza swoje IT, takie jak np. VPN. Patrząc na to, że mamy pracę zdalną, często okazywało się, dzwonili do nas klienci, okazywało się, że praktycznie z dnia na dzień 95% całej załogi była odesłana do domu, ludzie byli wyposażeni w laptopy i trzeba było zapewnić jakieś połączenie zdalne do sieci, i skonfigurować tego VPN-a.

 

Mam to szczęście, że w Stormshieldzie klient VPN-owy jest w cenie licencji, ale również na to powinniśmy zwrócić uwagę jako klient przy wyborze rozwiązania, ponieważ wszystkie składowe powodują, że roczny koszt utrzymania tych licencji będzie rósł, jeżeli okaże się, że za każdy z tych elementów będziemy musieli dodatkowo dopłacać. 

Jeżeli mamy już VPN-a, to powinniśmy pomyśleć o tym, w jaki sposób autoryzować naszych użytkowników. W końcu pracują z domu, więc kontrola nad tym użytkownikiem jest coraz mniejsza. Powinniśmy również zastosować tutaj mechanizm Multi-Factor Authentication niś czy Two-Factor Authentication . Czyli oprócz tego, że użytkownik użyje loginu i hasła, powinien być jeszcze kolejny etap weryfikacji, czyli element zmienny, np. token bądź możliwość zsynchronizowana takiego klienta VPN-owego np. z Microsoft Authenticatorem czy Google Authenticatorem. I to jest również bardzo ważne.

Z tego, co mówisz i na co kładziesz duży akcent, to że jest to dobre zastosowanie dla firm, które mają pewne zasoby wymagające chronienia, mają pracowników, którzy pracują nie koniecznie w sposób stacjonarny. Chciałbym ten temat trochę rozwinąć, zapytać Cię, jakie są korzyści wynikające ze stosowania UTM-a i dla kogo to urządzenie jest przeznaczone. Czy jest jakiś charakter, wielkość firmy, branża, w której się szczególnie sprawdzi, czy może jest to rozwiązanie uniwersalne?

 

Myślę, że na pewno jest to rozwiązanie dla szeroko pojętego biznesu. I mam tutaj na myśli zarówno sektor public, sektor medyczny, jak i oczywiście firmy prywatne – kolejność tutaj jest przypadkowa. Na pewno jest to rozwiązanie, które bardzo przyczyni się do zmniejszenia prawdopodobieństwa tego, że zostaniemy zaatakowani. Powinniśmy zwrócić uwagę na to, czy wybierając danego producenta firewallowego, jest on bardziej czy mniej znany. 

Czasami idąc do jakiejś restauracji, będąc za granicą, pierwsze co robimy, to sprawdzamy, jaki ta restauracja ma rating punktów w Google. A często okazuje się, że nie robimy tej tak prostej, powszechnie dostępnej analizy w stosunku do rozwiązań firewallowych. Powinniśmy sprawdzić, czy takie rozwiązania były, czy są kompromitowane, albo jak często się to zdarza, ponieważ wybierając danego producenta, jeżeli jest on bardzo znany, to atakujący będą mieli na pewno wiele furtek, jak takiego producenta znanego rozwiązania, który był skompromitowany, jak ewentualnie go łatwiej zaatakować i później oczywiście dostać się do sieci klienta. 

Natomiast oprócz tego, że zwiększamy poziom bezpieczeństwa naszej firmy i oczywiście w jakiś sposób bronimy się przed hackerami, możemy pójść krok dalej. Np. Stormshield wypuścił rozwiązania, które są również dedykowane do zabezpieczania sieci przemysłowych i oprócz tego, że będziemy chronili tę naszą infrastrukturę IT, to również możemy do tej wydzielonej sieci… Kiedyś sieci przemysłowe były zaprogramowane w taki sposób, aby galwanicznie były odseparowane od internetu. Niestety świat idzie do przodu, producenci coraz częściej chcą maksymalizować swoje zyski lub zwiększać rentowność swojego biznesu i to wiąże się z tym, że już nie chcemy mieć firmy, która przyjeżdża do nas codziennie na zakład i aktualizuje nam sterowniki PLC, tylko żeby zmniejszyć te koszty, mamy serwis zdalny. 

Ale żeby był zdalny serwis sterowników PLC, to oczywiście musimy w jakiś sposób tę firmę outsource’ingową do tej sieci wpuścić. Jeżeli chcemy ją wpuścić, to musimy wiedzieć, kto i w jakich godzinach się dostaje, do jakiego sterownika chcemy go wpuścić. I tutaj właśnie z pomocą mogą przyjść rozwiązania Next Generation Firewall, Stormshield, które oprócz tego, że chronią również sterowniki PLC, dają nam możliwość zweryfikowania tego, kto się dostanie, jakim kanałem (tutaj oczywiście sugerujemy VPN) i czy ten sterownik ma adres IP. Jeżeli nie ma, to np. korzystając ze Stormshielda możemy udzielić dostępu do niego po adresie MAC. 

I to są takie elementy, które cały czas nam podnoszą bezpieczeństwo, ale również dają nam wgląd w to, co tak naprawdę w tej sieci się dzieje. Troszeczkę tutaj dzisiaj skupiliśmy się na UTM-ie, ale tak naprawdę producenci rozwiązań UTM-owych oferują dużo szerszy zakres monitoringu tej sieci. I bardzo często wraz z takim UTM-em, w zależności od tego, jak duża jest nasza firma, producenci oferują również rozwiązania typu SIEM SOAR. 

Są to rozwiązania, dzięki którym jesteśmy w stanie później w sposób zwizualizowany zauważyć, co w naszej sieci działo się niedobrego. Bardziej zaawansowani producenci, tacy jak Stormshield, oferują rozwiązania, które w proaktywny sposób poinformują nas o tym, co niedobrego w naszej sieci zaczyna się dziać. Czyli skorelują te wszystkie zdarzenia i np. podniosą alarm. I takie rozwiązania również należałoby rozważyć, bo to powoduje, że cały czas ta świadomość tego, co w tej naszej sieci się dzieje, jest stale podnoszona i oczywiście zmniejszamy tę ekspozycję naszej sieci na ataki hackerskie.

 

Zastanawiam się, jak wygląda wdrożenie tego typu rozwiązań. Czy możemy o tym myśleć jak o takim black boxie, że wpinamy to po prostu w sieć i to nam automatycznie zabezpiecza całą tę sieć, czy tutaj mimo wszystko są niezbędne pewne kompetencje po stronie działu wewnętrznego IT, czy firmy, która wdraża? 

 

To jest pytanie w punkt. Nie są to rozwiązania, które możemy po prostu kupić, wpiąć w sieć i to zacznie nas chronić w magiczny sposób. To są rozwiązania, które bardzo często wymagają naszej dalszej uwagi, wymagają naprawdę dużych kompetencji. Dlatego wraz z tym, jak wybieramy dane rozwiązanie, powinniśmy jako klient kierować się również łatwością obsługi, tego, czy interfejs tego rozwiązania jest dla nas przejrzysty, czy jesteśmy w stanie łatwo się w nim odnaleźć, bo musimy sobie wyobrazić, że rozwiązania typu Next Generation Firewall posiadają tysiące funkcji i opcji, które możemy w dowolny sposób konfigurować. 

Powiedziałem o tych modułach bezpieczeństwa, ale je również należy konfigurować, np. URL fittering, prosta sprawa, możemy blokować dostęp do konkretnych stron, ale możemy również blokować dostęp do konkretnych kategorii. Możemy również tworzyć white listy, czyli puszczać jakieś strony, do których chcemy, żeby pracownicy mieli dostęp. Kontrola aplikacji – możemy pozostawić pracownikom dostęp do Facebooka, ale np. zablokować platformę z grami, które są na Facebooku. 

Bo wiemy o tym, że jeżeli zablokujemy całkowicie Facebooka, to pracownik wyciągnie telefon i będzie przeglądał go na telefonie. Więc generalnie jest taka zasada, żeby raczej starać się nie blokować wszystkiego, tylko gdzieś tam starać się dawać tę możliwość. You Tube tak samo, dajmy możliwość oglądania go, ale przytnijmy prędkość, z jaką będzie się odtwarzał, żeby to nie była jakość full HD, żeby pracownik miał poczucie: o, coś jest słaby internet, bo się lekko przycina, to sprawdzę za dwie godziny. A jeżeli zablokujemy go całkowicie, to wyciągnie telefon i tam go będzie sobie oglądał.

Natomiast wracając do sedna, wybierając takie rozwiązanie, powinniśmy również patrzeć na to, w jaki sposób oferowane są szkolenia. Czyli zobacz, ile elementów jest tak naprawdę po drodze, na które klient powinien zwrócić uwagę. Począwszy od tego, co zawiera dana licencja, czy interfejs jest dla niego dobry. Tutaj zawsze zachęcam klienta, by przed zakupem przeprowadził testy w swojej infrastrukturze, czy odpowiada na jego potrzeby. 

Ważne, by niekoniecznie zawsze wybierać to rozwiązanie, które jest dzisiaj najbardziej popularne. Powinniśmy wybierać rozwiązanie, które będzie w stanie zadedykować nasze potrzeby biznesowe. Ponieważ w zależności od firmy, jaką reprezentujemy, te potrzeby są różne. I tak naprawdę różni producenci różne oferty dla nas posiadają. 

Należy również tutaj bardzo duży nacisk położyć na szkolenia. Czy one np. odbywają się w języku polskim, czy odbywają się w Polsce, czy stacjonarnie, czy zdalnie. I oczywiście, za jaką cenę jesteśmy w stanie kupić to szkolenie, żeby móc później, po takim szkoleniu skutecznie takim Next Generation Firewallem zarządzać. Jeżeli okaże się, że firewall kosztuje nas kilkadziesiąt tysięcy, a drugie tyle kosztuje nas szkolenie, to może się okazać, że nie będziemy wstanie wsiąść do tego ferrari i nim porządnie kierować. 

Ktoś mądry kiedyś powiedział, że dodawać gazu potrafi każdy, ale nie każdy potrafi w odpowiednim momencie zahamować. I tutaj jest podobna sytuacja. To, że kupimy to rozwiązanie, to jest początek całej drogi. Dopiero później cykl szkoleń i to, w jaki sposób zostanie ono wdrożone, w całości powoduje, że możemy czuć się bezpiecznie i ta nasza sieć będzie chroniona.

 

Nie są to rozwiązania, które możemy po prostu kupić, wpiąć w sieć i to zacznie nas chronić w magiczny sposób. To są rozwiązania, które bardzo często wymagają naszej dalszej uwagi, wymagają naprawdę dużych kompetencji. Dlatego wraz z tym, jak wybieramy dane rozwiązanie, powinniśmy jako klient kierować się również łatwością obsługi, tego, czy interfejs tego rozwiązania jest dla nas przejrzysty, czy jesteśmy w stanie łatwo się w nim odnaleźć, bo musimy sobie wyobrazić, że rozwiązania typu Next Generation Firewall posiadają tysiące funkcji i opcji, które możemy w dowolny sposób konfigurować. 

 

 

Przed naszym spotkaniem sprawdziłem sobie na stronie stormshield.pl, że tych rozwiązań faktycznie jest kilka. Konkurencja oczywiście też ma swoje rozwiązania. Podczas naszej rozmowy wspomniałeś o kilku ważnych czynnikach, które należy wziąć pod uwagę, kiedy myślimy o tego typu rozwiązaniach, ale myślę, że dobrze byłoby to jeszcze tutaj zebrać i podsumować, odpowiadając na pytanie, jaki UTM wybrać, na co zwrócić uwagę przy jego wyborze.

 

Przede wszystkim każda przygoda każdej firmy, która dopuszcza możliwość zakupu tego typu rozwiązania, zaczyna się od oszacowania pewnych kosztów. Mamy jakiś dostępny budżet i co jesteśmy w stanie za niego kupić. Myślę, że pułapką jest to, że patrzymy na to, że mamy budżet X i patrzymy tylko na to, co jesteśmy w stanie za to kupić, ponieważ musimy pamiętać, że tego typu rozwiązania licencjonowane są na rok, na trzy lata, na pięć lat, może są producenci, którzy sprzedają licencję na dłużej, chociaż takich nie znam. Więc powinniśmy tutaj zawsze dodać do tego, ile to rozwiązanie będzie mnie kosztowało w przyszłości. 

Bardzo często spotykam się z sytuacjami, że mamy do dyspozycji pewien budżet i okazuje się, że konkurencja, szczególnie gdy oferowane są licencje roczne, jest w stanie tak zejść z ceny, żeby się w ten budżet wpasować. Ale za rok okazuje się, że trzeba za tę wcześniejszą obniżkę zapłacić. I okazuje się, że wznowienie tej licencji po roku bardzo często równa się zakupowi pierwotnemu. 

Czyli trzeba tutaj na pewno zwrócić uwagę na Capex i Opex. Jeżeli nasz koszt inwestycyjny jest na poziomie 100 tys. zł, to raczej powinniśmy myśleć o tym, żeby w kolejnym roku ten koszt inwestycyjny był dużo niższy, był częścią tego Capexu, a nie na tym samym poziomie. Więc powinniśmy zwrócić uwagę na Capex, na Opex i na TCO, czyli ten całkowity koszt utrzymania tego rozwiązania, np. w perspektywie 5–6-letniej. To jest pierwszy element.

Kolejnym elementem, na który powinniśmy zwrócić uwagę, to jednostki certyfikujące czy na certyfikaty, które takie rozwiązanie posiada. I tutaj możemy np. spojrzeć na certyfikaty takie jak EU-Restricted, to jest certyfikat nadany przez Radę Unii Europejskiej, certyfikat NATO, który można powiedzieć, że jest niezależnym certyfikatem dla rozwiązań również Next Generation Firewall. Możemy również kierować się Magicznym Quadrantem Gartnera. 

Należy jednak umiejętnie czytać te quadranty. Quadranty Gartnera są tworzone dla różnych rozwiązań, czy to firewallowych, czy dla endpointów, ale skupiamy się dzisiaj na firewallach. Więc należy patrzeć – oprócz tego, że czytamy sobie Quadrant Gartnera i patrzymy, w którym rogu, w której ćwiarteczce dane rozwiązanie firewallowe się znajduje – na opinie użytkowników. Ponieważ ten Quadrant Gartnera to jest zwizualizowana warstwa tego, na jaki szereg pytań dani klienci odpowiadali. 

Ale również musimy mieć świadomość, że np. Gartner jest w dużej większości badaniem opinii klientów z rynku amerykańskiego, ponieważ to stamtąd pochodzi najwięcej klientów Gartnera, w związku z tym mają największy wpływ na to, jak w tym Quadrancie Gartnera różni producenci wypadają. 

Poza certyfikatami powinniśmy np. w kontekście dzisiejszej geopolityki zwrócić uwagę na to, skąd dany producent pochodzi. Dzisiaj, jeśli mówimy o konflikcie na wschodzie, to raczej producenci z tamtych rejonów są dzisiaj na czarnej liście i są niepożądani. Powodują, że u klientów pojawia się niepewność co do tego, jaki los może ich spotkać. Zresztą lista sankcji związanych z Kasperskim tutaj również pokazuje, że było to działanie natychmiastowe, i spowodowało, że wielu klientów stanęło przed pewnego rodzaju kryzysem, ponieważ część klientów korzystała z tego typu rozwiązań u siebie i nagle musieli zdobyć środki na to, żeby takie rozwiązanie zmienić na jakieś inne.

Więc może warto wybrać tutaj kompromis i rozwiązanie typu UTM czy Next Generation Firewall, które jest europejskie, z naszego rodzimego rynku. 

Powinniśmy również zwrócić uwagę na wydajność tego rozwiązania. Ponieważ nasza infrastruktura i rozwiązania, które do niej dopasujemy, powinny być w stanie przy maksymalnym obciążeniu, przy maksymalnym udziale wszystkich modułów bezpieczeństwa, które chcemy uruchomić na tym rozwiązaniu, po prostu obsłużyć ten ruch. 

Są jednak rozwiązania, które mają bardzo wysokie wydajności, natomiast gdy zaczynamy uruchamiać kolejne moduły bezpieczeństwa, okazuje się, że część z tych modułów staje się wąskim gardłem, np. model IPS. Przy jego uruchomieniu u wielu producentów staje się on właśnie wąskim gardłem, przy czym zaznaczam, że jest to jeden z najważniejszych elementów dotyczący security dla naszej sieci. I okazuje się, że w momencie, kiedy uruchamiamy ten moduł IPS, wydajność tego rozwiązania drastycznie spada. 

Zdarzały mi się takie sytuacje, na jednej z politechnik ostatnio pilotowałem testy, gdzie właśnie po uruchomieniu modułu IPS jakiegoś tam producenta, wydajność drastycznie spadła, do tego stopnia, że to rozwiązanie nie było w stanie w zasadzie analizować tego ruchu dla typu wielkości sieci, dla którego było ono dedykowane. 

Co więcej, aby uruchomić moduł IPS w tych rozwiązaniach, bardzo często musimy przeklikać się przez wiele zakładek po to, aby ten moduł IPS dla danego typu ruchu dopiero uruchamiać. Np. w Stormshieldzie producent nie boi się wydajności modułu IPS i pyDefault dla każdego typu reguły moduł IPS jest zawsze uruchomiony. Co oznacza, że w każdej sytuacji, jeżeli tylko chcemy, to ten moduł pyDefault jest uruchomiony. Dopiero możemy zdecydować o tym, żeby dla danego typu ruchu go ewentualnie wyłączyć, bądź przełączyć go w tzw. system IDS, czyli tylko i wyłącznie detekcji, ale już nie blokowania. 

I myślę, że to są główne elementy, na które warto zwrócić uwagę, ale kolejnym elementem, który bym dołożył, to aby ta licencja, którą kupujemy, posiadała jak najszerszy wachlarz możliwości, które będziemy w stanie w przyszłości zaimplementować do naszej sieci. I myślę, że również tech nowinki, które się pojawiają u różnych producentów, tzw. ficzery, również powinny być dostępne dla obecnego klienta. Takie np. jak SD_WAN, czyli jeżeli posiadasz w firmie co najmniej dwa łącza i okazuje się, że jedna z Twoich aplikacji czy baza danych wymaga jakichś konkretnych parametrów łącza, to powinniśmy mieć możliwość sparametryzowania sobie tego. I tak naprawdę ten SD_WAN powoduje, że wykorzystują co najmniej te dwa łącza, będzie ten priorytet dla naszej bazy danych czy aplikacji zachowany, właśnie dzięki tym parametrom, które sobie skonfigurujemy.

 

Są jednak rozwiązania, które mają bardzo wysokie wydajności, natomiast gdy zaczynamy uruchamiać kolejne moduły bezpieczeństwa, okazuje się, że część z tych modułów staje się wąskim gardłem, np. model IPS. Przy jego uruchomieniu u wielu producentów staje się on właśnie wąskim gardłem, przy czym zaznaczam, że jest to jeden z najważniejszych elementów dotyczący security dla naszej sieci. I okazuje się, że w momencie, kiedy uruchamiamy ten moduł IPS, wydajność tego rozwiązania drastycznie spada.

 

 

Myślę, że kierując się tymi wskazówkami, jesteśmy w stanie wybrać pasujący, odpowiedni dla nas system UTM, natomiast nie bez znaczenia jest też ten czynnik finansowy, o którym powiedziałeś. Z jakimi kosztami musimy się liczyć, zarówno jeśli chodzi o urządzenie, jak i te wszystkie koszty w około?

 

Jeśli chodzi o koszty, to bardzo ciężko odpowiedzieć na to pytanie bez jakiegoś przykładu, ponieważ te rozwiązania dedykowane są zarówno dla firm, które posiadają 5–10 pracowników, jak i potężnych korporacji, które posiadają po kilka tysięcy pracowników. I tak naprawdę w zależności od firmy, dla której chcemy dopasować rozwiązanie, ten koszt również rośnie, w zależności od wielkości firmy. 

Na pewno powinniśmy kierować się tym, żeby koszt wznowienia czy ten koszt licencji w przyszłości stanowił tylko część tego pierwotnego zakupu. Bo jeżeli na samym początku zainwestowaliśmy w hardware, który, umówmy się, jest to koszt wytworzenia, koszt jakiejś tam puszki i wszystkich elementów, które ta puszka zawiera, to tutaj możemy umówić się faktycznie na to, że to powinien być koszt. Natomiast w przyszłości, w sytuacji, gdy dokupujemy do tego urządzenia już tylko licencję, to powinno stanowić tylko jakiś procent tego naszego pierwszego kosztu inwestycyjnego.

I tutaj, myślę, że na pewno na to powinniśmy zwracać uwagę. Spotykałem się z sytuacjami, kiedy koszt wznowienia licencji przewyższał koszt zakupu rozwiązania. Wtedy wpada do nas, jako do dystrybutora, taki klient i mówi, że poczuł się oszukany, ponieważ wydawało mu się, że zrobił interes życia, bo miał jakiś tam ograniczony budżet, okazało się, że zostały zastosowane jakieś warunki specjalne, ale po tych 2–3 latach ktoś musi ponieść koszty tego potężnego rabatu. I okazuje się, że w taki sposób niektórzy partnerzy czy producenci pracują, że w przyszłości trzeba za tę pierwotną obniżkę zapłacić.

 

Czyli nie można na to patrzeć w perspektywie zakupu tu i teraz, raczej jako na pewną długofalową inwestycję, która posiada również koszty wokoło. 

Mówiliśmy też o tym, że nie można traktować urządzeń UTM jako takie magiczne skrzynki, które wpinamy w naszą sieć i zapominamy, i one automatycznie załatwiają nam całą pracę. Jest tutaj oczywiście też ta praca inicjacyjna, związana z konfiguracją, ale jest też później to bieżące utrzymanie i aktualizowanie tego urządzenia. Bo wiadomo, ten obszar bezpieczeństwa cyfrowego zmienia się z dnia na dzień, więc tutaj pytanie, jak producenci tych urządzeń nadążają za tym faktem wielkiej zmienności domeny i uaktualniania urządzeń jako takich.

 

To, za co płacimy, za tę licencję, to jest m.in. element, o którym mówisz. Płacimy tak naprawdę nie za licencję, czyli za możliwość korzystania z tego rozwiązania, bo w zasadzie większość rozwiązań UTM kupujemy w tzw. licencji wieczystej, czyli Ty zakupując to rozwiązanie, nawet jeżeli nie wznowisz tej licencji, to masz możliwość korzystania legalnie z tego rozwiązania w swojej sieci, ale tracisz ten jeden element – możliwości aktualizowania rozwiązania. 

I to jest ten element, dzięki któremu klienci są cały czas krok przed atakującymi. Ponieważ sygnatury dla modułu IPS czy dla URL fitteringu, czy dla firewalla, czy dla tych systemów sztucznej inteligencji to jest właśnie ten element, że jesteśmy cały czas na bieżąco, że nic nie powinno nas zaskoczyć. Dodajmy do tego również sand boxing, czyli moduł, który powinien wykrywać ataki typu Zero Day – okazuje się, że wtedy jesteśmy naprawdę skutecznie chronieni.

Natomiast jeżeli nie będziemy posiadali tej licencji, to wtedy taki sandboxing nie będzie nam działał. Jeżeli okaże się, że 31 grudnia 2022 r. licencja nam wygasła, a zagrożenie powstało 1 stycznia, to jesteśmy już out of date, już nie jesteśmy chronieni przed tym zagrożeniem, bo nasze rozwiązanie się nie zaktualizowało. I tak naprawdę to jest bardzo ważny element. 

Oczywiście możemy cały czas powtarzać, i to jest, myślę, że również kłopot zwiększania świadomości osób, które wydają pieniądze. Nie mam tutaj na myśli informatyków, administratorów czy kierowników IT, tylko raczej tych, którzy pieniędzmi dysponują, czyli prezesa, który ma wydać 50 tys. zł na aktualizację, ale mówi: Ale przez 7 lat przecież nic się nie wydarzyło, czy ta aktualizacja na pewno jest nam potrzebna? No tak, płacimy właśnie za to, żeby się nic nie wydarzyło. 

Raczej powinniśmy patrzeć na to z perspektywy: czy stać mnie na to, żeby płacić autocasco w samochodzie? A pytanie powinno brzmieć: czy stać mnie na to, żeby go nie płacić? I dokładnie to samo jest przy rozwiązaniach UTM i Next Generation Firewall. Powinniśmy aktualizować nasze rozwiązania. 

Aktualizacja sygnatur to jest jedna rzecz. Płacąc za aktywną licencję, mamy również otwartą drogę do tego, żeby aktualizować firmware. Firmware również daje nam przewagę, ponieważ cały czas jest dostosowany do tych zmiennych, o których mówiłeś. To powoduje, że cały czas podnosimy swój poziom bezpieczeństwa, a branża IT jest branżą, w której jeśli położymy się spać na 7 dni, to można powiedzieć, że obudzimy się w zupełnie nowej rzeczywistości. Okaże się, że telewizor, za który płaciliśmy wczoraj 15 tys. zł, dzisiaj jest w promocji -50%.

 

Dokładnie tak. Myślę sobie, że oprócz tych rozwiązań technologicznych ważna jest świadomość, że jest takie zagrożenie, że można posłużyć się tego typu rozwiązaniem, żeby w jakiś sposób zabezpieczyć się przed tymi zagrożeniami.

Chciałbym Cię na koniec zapytać o taką nieoczywistą rzecz, ale mimo wszystko powiązaną, o pandemię. Mówi się, że ona wywarła olbrzymi wpływ, oczywiście nie tylko na świat, ale również na branżę IT, m.in. polegający na tym, że coraz częściej pracujemy zdalnie, co oczywiście jest jakimś czynnikiem stwarzającym zagrożenie związane z aktywami cyfrowymi firmy. 

I pojawia się tu pytanie, czy Wy, jako firma zajmująca się bezpieczeństwem IT, jako firma, która jest dystrybutorem UTM-ów firmy Stormshield, zauważacie, że ta świadomość jakoś rośnie, że firmy chętniej wybierają tego typu rozwiązania, m.in. przez pryzmat pracy zdalnej? Jakie zjawiska tutaj zauważyłeś?

 

Myślę, że czas pandemii, to jest czas, który pchnął polskie IT o kilkanaście lat do przodu. To jest bardzo dobre z tej perspektywy, ten skutek uboczny pandemii, która sama w sobie była zła. Myślę, że jako dystrybutor zauważyliśmy potężny wzrost świadomości naszych klientów, ale chciałbym też zaznaczyć, że świadomość u osób, które zajmowały się IT w tych firmach, ona zawsze była. 

Tej świadomości brakowało na innym etapie. Wydaje mi się, że osoby, które przeznaczają środki na bezpieczeństwo IT, często trzeba sobie wyobrazić, że kupujemy coś nienamacalnego, software. To nie jest coś, o co potkniemy się, wchodząc do firmy, o złotego mercedesa, tylko nagle to znika wśród wszystkich laptopów, które przecież były w firmie już od 3 lat. Coś kompletnie niezauważalnego. 

I ciężko było niektórym z tych osób zrozumieć, że takie środki na bezpieczeństwo IT są niezbędne. Ale kiedy okazało się, że pracownicy byli zmuszeni do tego, żeby pracować z domu, to okazało się, że bardzo wielu klientów wracało, dokupowało kolejne moduły bezpieczeństwa, pierwszy raz inwestowało w zakup rozwiązania brzegowego, ponieważ ono kompleksowo nas zabezpiecza. 

Więc w sytuacji, gdy klient nie posiadał żadnej opcji security u siebie, to kupując takiego UTM-a miał w zasadzie na dzień dobry wszystko. Miał możliwość wspinania VTN-a, darmowego klienta VTN, miał polski interfejs, wsparcie techniczne inżynierów dystrybutora, które również jako DAGMA świadczymy w języku polskim, i całą kompleksową opiekę, również z antywirusem, który na takim rozwiązaniu brzegowym pracuje.

Myślę, że pandemia pokazała, jak szybko wszystko się zmienia, również IT. Ale była ona również krokiem wyprzedzającym, ponieważ również w instytucjach publicznych i szpitalach bardzo duże nakłady finansowe poszły na to, żeby zwiększyć poziom bezpieczeństwa w tych jednostkach. I myślę, że to bardzo dobrze, ponieważ wojna, która później wybuchła na Ukrainie i która rozpoczęła się de facto od ataków hackerskich, które były planowane dużo wcześniej i które miały zakłócić działanie służb ukraińskich. 

To spowodowało, że my również nie staliśmy się bezpośrednią ofiarą tych ataków, nawet w kontekście tego Wanna Cry, kiedy mówiłem, że Polska dostała rykoszetem, to myślę, że również był efekt tego, że byliśmy już w pewien sposób przygotowani. Trochę niechcąco, bo pandemia to wymusiła, natomiast myślę, że generalnie, w kontekście polskich firm, jesteśmy dzisiaj co najmniej 10 lat do przodu. I ta świadomość wszystkich informatyków i administratorów powoduje, że nasze firmy mogą czuć się bezpieczne. Ale pamiętajmy, nie możemy spocząć na laurach, ponieważ cała społeczność tych hackerów tylko czeka na to, żebyśmy stracili czujność.

 

I z tym pozytywnym akcentem, Piotr, bardzo dziękuję Ci za rozmowę, za wprowadzenie w świat UTM. Piotr Zielaskiewicz z firmy DAGMA bezpieczeństwo IT był moim gościem.

 

Dziękuję Ci bardzo.

 

Dziękuję bardzo i mam nadzieję, że to jest pierwszy i nie ostatni raz.

 

Dokładnie tak. Zanim się jednak rozłączymy, to jeszcze Cię poproszę o to, gdzie Cię można znaleźć w internecie, gdzie możemy słuchaczy odesłać.

 

Dawno temu zrezygnowałem z Facebooka, więc Facebooka nie mam, ale mam swój profil biznesowy na LinkedInie, więc zachęcam Was do tego, żeby tam mnie znaleźć, i oczywiście znajdziecie również kontakt do mnie na stronie stormshield.pl, która jest oficjalną stroną wyłącznego polskiego dystrybutora tych rozwiązań firmy DAGMA.

 

Świetnie, oczywiście wszystkie linki będą w notce do odcinka, tam odsyłamy.

Piotr, jeszcze raz Ci bardzo dziękuję. Udanego dnia i do usłyszenia. 

Cześć!

 

Dziękuję bardzo.

 

I to na tyle z tego, co przygotowałem dla Ciebie na dzisiaj. Po więcej wartościowych treści zapraszam Cię do wcześniejszych odcinków. A już teraz, zgodnie z tym, co czujesz, wystaw ocenę, recenzję lub komentarz w aplikacji, której słuchasz lub w social mediach. 

Zawsze możesz się ze mną skontaktować pod adresem krzysztof@porozmawiajmyoit.pl lub przez media społecznościowe. 

Ja się nazywam Krzysztof Kempiński, a to był odcinek podcastu Porozmawiajmy o IT o roli urządzeń UTM w bezpieczeństwie cyfrowym. Do usłyszenia już wkrótce.

Cześć!

 

+ Pokaż całą transkrypcję
– Schowaj transkrypcję
mm
Krzysztof Kempiński
krzysztof@porozmawiajmyoit.pl

Jestem ekspertem w branży IT, w której działam od 2005 roku. Zawodowo zajmuję się backendem aplikacji internetowych i zarządzaniem działami IT. Dodatkowo prowadzę podcast, występuję na konferencjach i jestem autorem książki "Marka osobista w branży IT". Moją misją jest inspirowanie ludzi do poszerzania swoich horyzontów poprzez publikowanie wywiadów o trendach, technologiach i zjawiskach występujących w IT.