Skybox - narzędzie bez akronimu

Rynek rozwiązań z obszaru bezpieczeństwa IT (jeżeli nie rynek IT w ogóle) nasycony jest rozmaitymi narzędziami, które można zdefiniować na różny sposób. Istnieje mnóstwo akronimów określających niemal wprost, za co dany system odpowiada (ERP, CRM, CMS, PAM, IDM, IAM, NGFW) i to czym w istocie jest. Dlatego tak trudno opowiedzieć o Skybox Security – rozwiązaniu, które nie podlega pod żadną znaną kategorię i dla której (póki co) nie utworzono jeszcze skrótu. Wszystko to wynika z faktu, że Skybox pokrywa wiele obszarów i jednocześnie angażuje wiele pozornie dalekich od siebie działów. System w tym samym czasie pomaga administratorom sieci i wspiera uszczelnianie procedur bezpieczeństwa. Co więcej, Skybox pozwala spojrzeć także na podatności, przy czym w żadnym wypadku nie można go nazwać skanerem. Czym zatem jest Skybox? Czym jest to narzędzie, którego nie da się zdefiniować w 3-4 literach? Czym jest narzędzie, które zostało zbudowane, by jeszcze lepiej wykorzystać już posiadane przez klientów rozwiązania? Poniżej staram się odpowiedzieć na to pytanie.

Idea rozwiązania Skybox Security opiera się o spojrzenie na IT z kilku perspektyw. Pierwszą z nich jest dostarczanie informacji osobom odpowiedzialnym za infrastrukturę IT, przede wszystkim za sieci. Ogromna liczba urządzeń sieciowych— sieci partnerskie, sieci zakupionych spółek — to nie lada wyzwanie dla pracowników działów IT. Zbudowanie mapy sieci, nie wspominając o modelowaniu dopuszczonego ruchu, przy tak rozległych strukturach, przy tak złożonej topologii, gdzie nie sposób jednoznacznie odpowiedzieć, czy dostęp z jednego miejsca do drugiego jest możliwy – i co ważniejsze – jeżeli jest, to czy jest on zasadny może być niemożliwe w dużych organizacjach. Biorąc pod uwagę nasze doświadczenie, mamy świadomość jak ogromnym problemem jest nadzorowanie przepływu danych w sieci dużych organizacji. Wiemy też, że bez odpowiedniego narzędzia, modelowanie tego ruchu i budowanie mapy połączeń jest niemal niewykonalne. To ten pierwszy aspekt, w którym Skybox może wyraźnie wspomóc organizację. Zbudowanie interaktywnego modelu, pozwalającego weryfikować gdzie ruch jest otwarty, a gdzie nie, wsparte graficzną prezentacją w postaci mapy połączeń, to niebywałe usprawnienie pracy osób zajmujących się sieciami informatycznymi.

O ile ten pierwszy element dotyczy przede wszystkim wspierania działów IT, tak równie istotna wydaje się być perspektywa bezpieczeństwa. Jak zaznaczyłem w pierwszym akapicie, Skybox ma na celu zagregować posiadane przez klientów narzędzia i jeszcze lepiej je wykorzystać. Naturalnie sam model, czy też mapa sieci służą wyłącznie celom informacyjnym – natomiast z perspektywy bezpieczeństwa, niezbędne jest głębsze spojrzenie. Dlatego też Skybox zapewnia weryfikację zgodności konfiguracji sieci z normami. Oznacza to, że jeśli klient przyjmie określone standardy bezpieczeństwa (to mogą być standardy własne, standardy branżowe, standardy producenckie), to Skybox sprawdzi, na ile jego infrastruktura sieciowa jest z tymi standardami zgodna. I podobnie jak w przypadku budowania mapy sieci – bez odpowiedniego narzędzia, nie sposób w rozległych i obszernych sieciach informatycznych ręcznie weryfikować stan zgodności setek, jeśli nie tysięcy urządzeń. Skybox stanowi rozwiązanie, które pozwoli upewnić się, że infrastruktura jest skonfigurowana tak, jak zaleca branża, jak zaleca producent albo jak sam klient sobie zaplanował, że będzie skonfigurowana.

Z perspektywy bezpieczeństwa jest jeszcze jedna bardzo istotna rzecz – podatność. Domyślam się, że osoba czytająca ten tekst będzie zaznajomiona z tym obszarem, niemniej pozwolę sobie pokrótce wyjaśnić czym są podatności. Otóż podatności, w dużym uproszczeniu, to błędy w kodzie oprogramowania, które pozwalają wykorzystać owo oprogramowanie w sposób niepożądany – przejąć kontrolę nad urządzeniem, zainfekować je czy zaszyfrować dane na nim się znajdujące. Narzędziami badającymi podatności są skanery podatności. Są to narzędzia, które przeprowadzają swoisty audyt środowiska i dają informacje o tym, jakie podatności (z ogólnej bazy podatności znanych na całym świecie) są obecne w infrastrukturze klienta i co zrobić, by się ich pozbyć. Skanery podatności dostarczają także informacji o krytyczności danej podatności – czyli innymi słowy, jak bardzo jest ona niebezpieczna. Dlaczego wspominam o podatnościach? Otóż, o ile pod kątem dostarczenia informacji o istniejących w środowisku podatnościach skanery sprawują się znakomicie, tak na etapie określania ich krytyczności w kontekście organizacji klienta – już niekoniecznie. Dlatego też Skybox (w nawiązaniu do kwestii lepszego wykorzystania posiadanych już narzędzi), pozwala nanieść wykryte przez skaner podatności (a także te z własnych baz podatności), na zbudowaną mapę. Dzięki temu, Klient uzyskuje informację nie tylko jakie podatności znajdują się w infrastrukturze, ale także gdzie są one umiejscowione w kontekście połączeń sieciowych i dozwolonego ruchu. O czym warto pamiętać – podatności to po prostu błędy, które same w sobie, nie są szkodliwe. Dopiero ich wykorzystanie przez intruza – niezadowolonego pracownika czy też kontraktora – może nieść nieprzyjemne konsekwencje. I to również Skybox bierze pod uwagę. Analizując podatności umiejscowione w środowisku Klienta, narzędzie pozwala zasymulować potencjalny atak i sparametryzować go o takie ustawienia jak poziom umiejętności intruza, czy też poziom jego determinacji (czy robi to tylko dla zabawy, czy jest to opłacony zawodowiec, któremu zlecono włamanie się do infrastruktury klienta). Dzięki tym dodatkowym informacjom, działy bezpieczeństwa uzyskują znacznie szerszy kontekst w analizie podatności. Nadawanie priorytetów można wówczas opierać o zagrożenia faktycznie niebezpieczne w infrastrukturze klienta, a możliwość symulowania ataków pozwala uzyskać pełen obraz gdzie są w istocie słabe punkty.

Na koniec pozostawiłem jeszcze zagadnienie zarządzania zmianą, naturalnie nadal w kontekście zarządzania sieciami. Jestem przekonany, że w większości przypadków odpowiedni dział opracował określone procedury wprowadzania zmian w systemach bezpieczeństwa sieci. Natomiast odwołując się ponownie do złożoności i rozległości całego środowiska, nie ma możliwości ręcznej weryfikacji jak pojedyncza zmiana wpływa na całą infrastrukturę. Nie wiemy także jakie podatności zostaną odsłonięte i jakie normy zostaną naruszone, w przypadku gdy wnioskowana zmiana zostanie wprowadzona. Z perspektywy pojedynczego urządzenia to ryzyko będzie niezauważalne, dlatego tak istotne jest móc spojrzeć na wprowadzane zmiany z perspektywy całej infrastruktury. Skybox wspiera podejmowanie decyzji w tym zakresie. System analizuje proponowaną zmianę pod kątem zgodności z normami (o czym pisałem kilka akapitów wyżej), a także pod kątem podatności, które potencjalnie mogą zostać wykorzystane, gdy dana zmiana zostanie wprowadzona. Dzięki temu personel zarządzający sieciami, a także personel dbający o bezpieczeństwo informatyczne przedsiębiorstwa, uzyskuje pełną informację o konsekwencjach wprowadzenia danej zmiany. Tym sposobem możliwe jest podjęcie świadomej decyzji o tym, czy korzyść biznesowa wynikająca z danej zmiany jest warta podniesienia ryzyka wynikającego, na przykład z odsłonięcia podatności.

Wszystko to co napisałem powyżej to bardzo ogólny, skrócony i nietechniczny opis tego, w jaki Skybox może wspomagać departamenty bezpieczeństwa i IT. Jako reseller tego rozwiązania widzimy z jakim zainteresowaniem osób odpowiedzialnych za poszczególne obszary narzędzie się spotyka. Widzimy reakcję klientów, kiedy pokazujemy jak można wytyczać ścieżki na mapie sieci, jak można weryfikować, która reguła, na której zaporze blokuje określony ruch, jak można wyszukać redundantnych reguł, jak można wyrysować wektor potencjalnego ataku wykorzystującego podatności na swojej ścieżce. Zatem jeśli chcieliby Państwo sprawdzić, co Skybox może dać Państwa organizacji – zapraszamy do kontaktu.

Michał Kozownicki
Product Management Team Leader