W dobie wszechobecnej inwigilacji, której doskonałym przykładem jest projekt PRISM ujawniony przez Edwarda Snowdena, a także zaawansowanych ataków na infrastruktury sieciowe, komputery pracowników, kradzież informacji, włamywanie się na konta bankowe, phishing, spear phishing, ataki ATP itp., firma Sophos koncentrująca się na bezpieczeństwie przedsiębiorstw i dostarczająca im oprogramowanie do szyfrowania komunikacji, bezpieczeństwa poczty i sieci, ochrony urządzeń mobilnych oraz komputerów stacjonarnych, jak również dostawca produktów UTM, powołując do życia projekt Galileo chce zmienić podejście do ochrony nie tyle urządzeń roboczych, co samych pracowników.
Ówczesne technologie takie jak IPS/IDS, HIPS, DLP czy Sandbox z jednej strony są już bardzo dojrzałe, jednak z drugiej nadal niewystarczające do obrony przed coraz bardziej wyrafinowanymi atakami. Czy więc należy je dokładnie zrewidować i zastąpić czymś innym?
Zdaniem starszego Product Menagera Sophos’u – Maxim’a Weinsteina, wspomniane IPS/IDS, HIPS, DLP i Sandbox początkowo były bardzo dobrym zamysłem oraz zapewniały należytą ochronę. Ponadto, każda z nich nadal oferuje kilka pozytywnych aspektów. I tak, np. sprzętowy IPS i IDS (Intrusive Prevention System / Intrusive Detection System), na które składają się analiza sygnaturowa i heurystyczna, a także sonda (sensor) jako element analizujący ruch sieciowy i wykrywający ataki, zapewniają bezpieczeństwo sieci komputerowych poprzez wykrywanie (IDS) i blokowanie zagrożeń w czasie rzeczywistym. Z kolei HIPS odpowiada za ochronę komputerów na poziomie hosta (Host Intrusive Prevention System), monitoruje aktywność systemu i pozwala na bezpieczne wykonywanie plików i procesów, zapewniając jednocześnie bardzo wysoki poziom ochrony. Czy to już za mało? I tak i nie…
Project Galileo
Projekt Galileo autorstwa firmy Sophos powstał w czerwcu 2014 roku roku a jego idea ma zmienić podejście do bezpieczeństwa, które od dawna spędza sen z powiek wielu przedsiębiorstwom, ponadto ich potrzeby w tej dziedzinie trudno jest zaspokoić. Zdaniem szefów wielu firm, bezpieczeństwo musi być kompleksowe, a zarazem skuteczne, proste w obsłudze i skuteczne oraz działać jako skonsolidowany system zapewniający lepszą ochronę.
Dlatego jednym z fundamentów projektu Galileo jest nowe podejście do ochrony, które musi być oparte o użytkownika a nie o jego urządzenie. To użytkownicy posiadający laptopy, komputery stacjonarne, telefony i tablety wchodzą z nimi w interakcję, nie odwrotnie. Definicja Projektu Galileo zakłada też, że użytkownik powinien zadbać o szyfrowanie swoich danych, które są głównym celem szkodliwego oprogramowania i hakerów. Nawet znalezione luki w oprogramowaniu urządzenia pozwalające w sposób nieuprawniony dostać się do wrażliwych danych nie umożliwią hakerom odczytanie ich, a przynajmniej znacznie to utrudnią. Co więcej Projekt Galileo zakłada wdrożenie środków prewencyjnych dla lepszego zapobiegania, wykrywania i reagowania na incydenty.
Założenia Projektu Galileo zostały już wdrożone w rozwiązaniach Sophosu – UTM, Next Generation Firewall, a dzięki chmurze Sophos, która sprawia, że rozwiązania te zapewniają nowe podejście do ochrony i są w stanie obronić użytkownika przed malware, utratą danych i atakami APT.
Z czasem, a dokładnie w styczniu 2015 roku w odpowiedzi na Projekt Galileo powstała definicja:
Next Generation Enduser Protection
Następna generacja ochrony punktów końcowych – Next Generation Enduser Protection w znaczący sposób ma poprawić bezpieczeństwo użytkownika, a nie tylko samych urządzeń. Jak pisze producent na swoim blogu, zadaniem Next Generation Enduser Protection nie jest zastąpienie obecnych systemów bezpieczeństwa, nie wymaga też instalacji kolejnego agenta ani nakładania restrykcyjnych zakazów i ograniczeń, koncentruje się natomiast na zarządzaniu danymi, które mają zostać zaszyfrowane.
Z definicji, Next Generation Enduser Protection jest więc zintegrowaną technologią zapewniającą łatwiejsze zarządzanie bezpieczeństwem oraz szyfrowaniem danych. Ponadto technologia ta dostarcza kompleksową ochronę systemów bezpieczeństwa, które w synergii gwarantują wyższy poziom ochrony.
Sophos kontra reszta świata
Podejście Sophosa do zdefiniowania nowego sposobu ochrony na pewno nie zaszkodzi, wręcz przeciwnie. Sprawi, że firmy w swoich politykach bezpieczeństwa zaczną zwracać nie tylko uwagę na zakup specjalistycznych urządzeń i oprogramowania do skanowania i analizy ruchu sieciowego, ale także zwiększą swoje nakłady na szyfrowanie danych, które nawet jeśli dostaną się w ręce hakerów, odpowiednio skomplikowane algorytmy szyfrujące utrudnią lub uniemożliwią im ich odczyt.
Podejście Sophosa jest godne pochwały, ale nie rewolucyjne. Doskonale widać to na przykładzie Symanteca, którego wiceprezes Brian Dye powiedział, iż:
Antywirusy są już martwe i nie gwarantują takiego poziomu ochrony jak kiedyś.
Ilość wirusów oraz aktywność hakerów przerosła amerykańskiego producenta i nie jest on już w stanie ochronić użytkownika, dlatego też zdecydowali się na inną formę ochrony – minimalizację szkód poprzez wykorzystanie nadal tradycyjnych technik prewencyjnych, ale przede wszystkim kładą teraz nacisk na wsparcie dla skanowania ruchu sieciowego pod kątem połączeń z serwerami C&C, a także stosują w swoich produktach technologię Data Leak Prevention (DLP) do ochrony przed wyciekiem danych.
