Proč zahrnout síť do GDPR strategie

Nařízení o ochraně osobních údajů GDPR je především o procesech. Část z nich bude vyžadovat podporu technologií. Jednou z potřebných technologií je monitoring datových toků v síti poskytující včasnou detekci průniků a data pro analýzu incidentů.

1454
0
SDÍLET

Nástroj nebo platforma, které by GDPR vyřešily jako celek, momentálně neexistují. Organizace tak budou muset pro zajištění souladu správně a efektivně kombinovat dostupné technologie. V takové infrastruktuře má své místo i pokročilý monitoring datových toků. Ten představuje chytrou a úspornou cestu, jak detekovat úniky dat, zranitelnosti nultého dne, získat detailní data pro forenzní analýzu a celkově uspíšit obnovu po incidentu.

Nové kompetence: bezpečnost a viditelnost

Nařízení GDPR pro organizace znamená vybudování kompetencí ve dvou oblastech – bezpečnost a viditelnost. Pokud dojde k porušení zabezpečení osobních údajů občanů EU, ať už při jejich zpracování, předávání či jinde, bude mít dotčený subjekt pouze 72 hodiny na ohlášení incidentu dozorovému úřadu. Povinnost velmi rychle poskytnout záznamy pro vyšetřování podporuje nasazování technologií pro síťovou viditelnost / monitorování datových toků, které taková data umožňují efektivně získat.

Tyto technologie byly vyvinuty s cílem poskytnout administrátorům přehled o tom, co se v síťovém prostředí děje, a vložit jim do rukou kontrolu nad tímto děním. Na denní bázi je využívají síťoví administrátoři, bezpečnostní inženýři, správci aplikací i manažeři. Mohou tak efektivně řešit problémy na síti, optimalizovat výkon IT prostředí a získávat detaily k řešení provozních a bezpečnostních incidentů.

Zajistit soulad s GDPR přitom není primárním cílem těchto nástrojů. Jejich vlastnosti to ale do značné míry umožňují, a to velmi efektivně. Pro zajištění souladu s GDPR jsou užitečné kvůli svým schopnostem včas detekovat incident, poskytnout detailní data pro analýzu a vyšetřování a také pro reportování úniků dat.

České řešení Flowmon na rozdíl od běžných monitorovacích nástrojů na bázi datových toků poskytuje kromě monitorování vrstev L3/L4 také viditelnost do L7 protokolů, jako je HTTP, sdílení souborů přes protokol SMB, odstraňování problémů s DHCP a DNS a další. Kromě monitorování jsou informace o datových tocích použity pro aktivní ochranu sítě:

  • informace o datových tocích – záznamy o veškeré komunikaci napříč sítí obohacené o informace z aplikační vrstvy;
  • umělá inteligence – analýza chování sítě odhalí odchylky od standardního chování;
  • záznam provozu na vyžádání – spouštěn manuálně nebo automaticky, poskytuje neprůstřelné důkazy pro vyšetřování bezpečnostních incidentů a následující reportování.
Datové toky a bezpečnost

Datové toky poskytují informace z 3. a 4. vrstvy, tzn. IP adresy, porty, protokol, časové značky, počet bytů, pakety, příznaky a další detaily. V rukou tak máme něco jako seznam telefonních hovorů pro každou komunikaci v síti. Víme, kdo komunikuje s kým, kdy, jak dlouho, přes jaký protokol, port, apod. Sběr, uchovávání a analýza těchto agregovaných dat ulehčuje práci správcům sítě, bezpečnostním specialistům nebo manažerům provozu svou efektivitou a tím, že není třeba ukládat obsah komunikace (payload), který je dnes často zašifrovaný, a tím pádem nepoužitelný. Kromě standardních informací mohou Flowmon sondy rozšířit viditelnost o aplikační (L7) protokoly (například HTTP, DNS, DHCP, SMB, VoIP, …). Lze proto vidět větší množství detailů. Je-li detekována bezpečnostní událost, může Flowmon sonda v případě potřeby také na vyžádání nebo automaticky zaznamenat provoz v plném rozsahu.

Příklad z praxe

V praxi bezpečnostních specialistů hrají flow data důležitou roli. Technologie pro detekci anomálií a analýzy chování sítě, která flow data využívá, jim otevírá nové možnosti při detekci podezřelých aktivit, útoků a pokročilých hrozeb, jež běžná řešení nezachytí.

Flowmon pomáhá s detekcí a analýzou bezpečnostních incidentů stovkám firem a organizací. Často přitom jde o události s potenciálně velmi vážnými následky. Například jedna nejmenovaná evropská nemocnice s více než 1 500 zaměstnanci se potýkala s ransomwarem, jenž prostřednictvím e-mailu obešel všechny nástroje pro prevenci. Nemocnice vynaložila značné úsilí k ochraně svých systémů a dat, investovala do firewallu nové generace, různých emailových a webových filtrů, systémů určených k prevenci proti ztrátě dat a antivirových programů na koncových bodech, systémů řízení přístupu k síti (NAC) a Active Directory pro autentizaci. Část mezi perimetrem a koncovými zařízeními přitom zůstala bez ochrany. Škodlivý kód se rozšířil po síti, včetně stanic s přístupem do úložiště obrazové dokumentace (CT a rentgenové snímky tisíců pacientů), kde zašifroval téměř polovinu dat. Prakticky tím zabránil doktorům v činnosti, protože ti najednou neměli informace o stavu pacientů.

Flowmon vyplnil prázdné místo operováním v prostoru mezi hranicemi sítě a koncovými body a díky tomu byl schopen odhalit zákeřné aktivity „uvnitř“. Síla jeho systému na detekci anomálií tkví v tom, že se nespoléhá na signatury a díky tomu je schopen odhalit dosud neznámé útoky. Upozorní například: „Tato stanice se chová neobvykle. Posílá příliš mnoho dat, komunikuje s jinými systémy, navazuje spojení s vnějšími IP apod.” Právě tímto způsobem odhalil náš zákazník tento útok. Díky schopnosti Flowmon identifikovat neznámý útok na základě heuristik a pokročilému mechanismu pro detekci anomálií mohl zákazník reagovat v řádu minut. Tento systém včasného varování pracující téměř v reálném čase ušetřil čas inženýrům při detekci zdroje problému. Bez něj by náprava mohla trvat od hodiny až po celý den.

Flowmon a zajištění souladu s GDPR

Přibližně polovina ze 700 zákazníků z celého světa používá Flowmon pro monitoring sítě, automatickou detekci kybernetických hrozeb a forenzní analýzu bezpečnostních incidentů. To jsou kritické kompetence pro zajištění souladu s GDPR, a to před incidentem i po něm. Umožňuje ověřit, že organizace podnikla dostatečné kroky k zaručení nezbytné síťové viditelnosti pro vyšetřování a reportování bezpečnostních incidentů včetně podrobností. Vše během 72 hodin, dle očekávání. Subjekt má také nástroj pro vyšetřování incidentu. Může tedy za pomoci zachycených dat dokázat, že žádný záznam nebyl kompromitován, případně identifikovat, která data byla postižena, jak k nim bylo přistoupeno, a zda-li bylo ohroženo duševní vlastnictví.