T-Mobile Cyber Guard to wyjątkowa ochrona „made in Poland”

O ile ochrona komputerów w firmach stoi na dobrym poziomie, z jakiegoś powodu urządzenia mobilne traktowane są po macoszemu. To nic, że dzisiejsze smartfony wcale nie ustępują komputerom pod względem mocy obliczeniowej i możliwości. To nic, że przechowujmy na nich gigabajty poczty firmowej, mamy na nich dostęp do poufnych dokumentów i nosimy mnóstwo danych osobowych klientów i partnerów. Niektórzy nawet nie blokują ekranu.

Mimo że dobre praktyki bezpieczeństwa wynikają ze zdrowego rozsądku, pracownicy firm i tak dają się nabrać na phishing i narażają dane. Aż 15 proc. przedsiębiorstw w ogóle nie zabezpiecza smartfonów. Blokada ekranu jest aktywowana zaledwie na 63 proc. urządzeń, jeszcze mniej robi kopie zapasowe. Do tego trzech na czterech pracowników podłącza służbowy smartfon do publicznych sieci Wi-Fi. To proszenie się o kłopoty.

Nic dziwnego, że według Barometru Ryzyk Allianz 2020 cyberatak to największe zagrożenie w oczach przedsiębiorców. Świadomość społeczna w tym zakresie jest równie niska, co skuteczność ścigania cyberprzestępców. 

Co można z tym zrobić? Wbrew pozorom bardzo dużo i nie wymaga to stawiania na głowie całego działu IT. Większość pracy wykona Cyber Guard T-Mobile.

Wyjątkowa ochrona made in Poland

Zaczęło się w 2017 roku. Wtedy w T-Mobile przedstawiona została wizja ochrony urządzeń na poziomie sieci operatora. Niecałe trzy lata później Cyber Guard ma ponad 120 dużych klientów i lada dzień zostanie wdrożona druga wersja. 

Prawdopodobnie nie ma na świecie drugiej tak elastycznej i bezproblemowej dla klienta ochrony urządzeń mobilnych. Nie trzeba nic instalować na firmowych smartfonach, co już jest ogromnym ułatwieniem. Nie ma obaw, że wydajność smartfonów ucierpi. Cyber Guard można od razu włączyć na dowolnej liczbie urządzeń w sieci T-Mobile. Nie ma też ryzyka, że luka w oprogramowaniu smartfonu umożliwi obejście zabezpieczeń. 

Jak to możliwe? Cyber Guard działa na niskich warstwach sieci. Aplikacje wysyłają i odbierają dane, interpretowane jako obrazki, dźwięki, filmy czy tekst. Cyber Guard działa na niższym poziomie. Analizuje ruch w wielu miejscach na warstwie adresów IP i domen, tras w sieci oraz pakietów, w które pakowane są twoje zera i jedynki. Niżej są już tylko fale radiowe i kable.

Cyber Guard analizuje cały ruch, pakiet po pakiecie, co pozwala tworzyć dokładne wzorce, a potem wykryć anomalie. W efekcie otrzymujemy doskonałą ochronę, której niestraszne są szkodliwe aplikacje, ataki sieciowe i powszechne błędy użytkowników. 

Sztuczna inteligencja znajdzie każdy problem

Operator nie zagląda do przesyłanych danych. Analizowane są jedynie nagłówki pakietów. To w nich znajdują się informacje o pochodzeniu, typie przesyłanych danych i celu podróży (IP serwera i port).

To znacznie skuteczniejsza ochrona niż filtrowanie zapytań wysłanych do serwera nazw (DNS), powszechnie używane przez operatorów. Te zapytania też są analizowane przez T-Mobile Cyber Guard, ale to tylko jeden z wielu czynników branych pod uwagę. Cyber Guard korzysta również z elementów analizy behawioralnej.

T-Mobile ma ponad 10 mln klientów i zabezpiecza miliony połączeń sieciowych każdego dnia. Podstawowe zabezpieczenia zapewnia analiza statystyczna ruchu. To też podstawa dla Cyber Guard. Sztuczna inteligencja uczy się, jak wygląda „zdrowy” ruch, a jak może zachowywać się malware lub szkodliwa strona. Wielkoskalowa analiza pozwala szybko reagować na ataki skoordynowane, wymierzone w tysiące abonentów. Sztuczna inteligencja wykryje też ataki zupełnie nowe, wykorzystujące luki 0-day.

Alarmy, blokady i RODO

Własne reguły klientów pozwalają na niezwykle elastyczne zarządzanie możliwościami smartfonów. Załóżmy, że pracownikom jest potrzebny dostęp do informacji, ale pracodawca nie chce, by postowali. Można to osiągnąć regułami Cyber Guard. Analogicznie można zdefiniować i zabezpieczyć inne treści.

Zapisy można importować do dowolnego systemu SIEM w firmie i przeanalizować, by wykryć anomalie. Jeśli celem jest podejrzany serwer, pakiet pochodzi z nietypowego portu, a do tego połączenie trwa w czasie ważnego spotkania, może to oznaczać, że właśnie są wykradane poufne informacje. Klient zostanie o tym powiadomiony niezwłocznie. Dostępna jest też opcja z monitoringiem zagrożeń na urządzeniach mobilnych, prowadzonym przez specjalistów SOC (Security Operations Center). Na podstawie danych klient będzie mógł przeprowadzić własne dochodzenie oraz przygotować reguły wykrywające połączenia o podobnym charakterze. Bez tego być może nikt by się nie zorientował, że bezpieczeństwo zostało naruszone.

Ten sposób działania zapewnia też transparentność usługi Cyber Guard. T-Mobile może powiadomić o wystąpieniu anomalii w ruchu sieciowym ze smartfonów pracowników, ale szczegółowa analiza i ewentualne środki zapobiegawcze są po stronie klienta. Operator działa zgodnie z prawem i niczego nie blokuje bez porozumienia z klientem. Wszystko odbywa się zgodnie z zaleceniami RODO. 

Jest jeden wyjątek. W ofercie CyberGuard jest możliwość automatycznego blokowania ruchu ze smartfonów kluczowych pracowników. Jeśli sztuczna inteligencja wykryje ruch niepasujący do znanych wzorców (na przykład nieplanowaną transmisję pliku), może natychmiast zablokować połączenia. Nie ma mowy, by z tego smartfonu lub innego urządzenia wyciekł choćby bajt poufnych informacji. Wymaga to jednak specjalnej umowy z T-Mobile. 

Cyber Guard działa również w roamingu – w końcu, nawet jeśli przebywasz w obcym kraju, twoje połączenie jest obsługiwane przez twojego operatora z Polski. 

Gotowi na 5G i internet rzeczy

Smartfony nie są jedynym zaniedbanym elementem firmowych sieci. Na celowniku cyberprzestępców jest też internet rzeczy – setki milionów kamer, czujników i smart-urządzeń, które mają nam ułatwić życie i zapewnić bezpieczeństwo. Ochrona takich urządzeń stawia nowe wyzwania, gdyż cyberprzestępcy mogę uzyskać do nich fizyczny dostęp. Sieci M2M (machine to machine) i VPN (Virtual Private Network) nie są odporne na taką ingerencję. 

T-Mobile Cyber Guard także tu się sprawdzi. Jeśli tylko urządzenia są połączone siecią T-Mobile, można zastosować restrykcyjne filtrowanie przesyłanych danych. Stosując czarne lub białe listy, można ustalić wąski zakres adresów IP i portów, z którymi te urządzenia mogą się komunikować. Analiza nagłówków pakietów zaś pozwoli wykryć ataki typu man-in-the-middle, w których cyberprzestępcy dokładają swój element sieci „po drodze”. Zmiana konfiguracji urządzenia nie pozwoli ominąć Cyber Guard.

Czy można zaufać T-Mobile?

Myślę, że tak. T-Mobile ma ogromne doświadczenie w dziedzinie cyberbezpieczeństwa, które zdobywał w wielu krajach. W ciągu ostatnich 5-10 lat, gdy nasiliły się cyberataki komercyjne i skoordynowane, operator bierze aktywny udział w wykrywaniu i badaniu cyberzagrożeń. T-Mobile ma też wypracowane skuteczne procedury zapobiegania cyberatakom i prowadzi monitoring zagrożeń w internecie i w sieci Tor (darknecie). 

Od 2018 roku w Polsce działa SOC T-Mobile. Operator nie pracuje sam. T-Mobile jest członkiem grupy DT, w ramach której zachodzi wymiana informacji o wykrytych w Europie incydentach, możliwych zagrożeniach i milionach podejrzanych adresów IP serwerów. Narzędzia DT, służące do zapewniania cyberbezpieczeństwa, każdego dnia analizują miliardy wrażliwych sesji. Spółka codziennie obsługuje tysiące zapytań, by chronić swoich klientów, a także własną infrastrukturę.