Audit ukazuje, že problémů je víc než dost

Bezpečnostní audit odhaluje významné bezpečnostní slabiny, které zabraňují propojení sítí dvou firem. Během posl...


Bezpečnostní audit odhaluje významné bezpečnostní slabiny, které zabraňují
propojení sítí dvou firem.
Během posledních několika týdnů jsem věnoval naprostou většinu svého času
vytvářením bezpečnostních standardů tak, aby splňovaly požadavky zákona
označovaného jako Sarbanes-Oxley Act. Tento týden se ovšem náplň mé činnosti
změnila náhlá akvizice jiné firmy u nás totiž vedla k frenetické aktivitě
související s propojením jejich a naší sítě. Předtím ovšem bylo třeba provést
bezpečnostní audit.
Ještě než byla moje práce na tvorbě nových standardů přerušena akvizicí, udělal
jsem docela slušný pokrok. Můj dokument týkající se bezpečnostních pravidel má
nyní takřka 70 stran. Snažil jsem se jej zachovat krátký a stručný. Je ale
poněkud komplikované dodržet toto předsevzetí a současně zajistit
srozumitelnost všech ustanovení.
Nejsložitějším aspektem vytvoření robustních bezpečnostních standardů je
zajištění, že budou při nasazení jako celek dávat skutečně smysl. Jistě, mohu
udělat nějaký povrchní průzkum, jak to dělají jinde, a poté vytvořit vlastní
dokument. Ale výsledná politika by nemusela být aplikovatelná v mé společnosti,
protože by nevycházela ze způsobu, jakým děláme svou práci nebo jakým používáme
určitou konkrétní technologii.

Průzkum v poli
Abych zajistil, že budou mnou stanovené standardy relevantní, budu se muset
setkat s vedoucími všech oddělení firmy, na které mají být standardy
aplikovány. Od nich zjistím, jak přesně s informačními technologiemi pracují,
co využívají a co nikoli. A poté to porovnám s vlastní představou, co a jak by
se v jednotlivých odděleních mělo dít, pokud má být zachována maximální
bezpečnost.
Následně budu muset upravit své standardy tak, aby byly vyvážené v souladu s
bezpečnostními potřebami naší firmy i s tím, co je třeba v každém oddělení
dělat. Pokud bych vytvořil standardy, které by jednotlivá oddělení nutily
změnit způsoby, jakými provádějí svou práci, jejich zaměstnanci by prostě daná
pravidla obcházeli.

Přichází akvizice
Všechny výše zmíněné aktivity ale byly přerušeny v okamžiku, kdy má společnost
ohlásila akvizici jiné firmy. Naše oddělení pro IT bezpečnost dostalo pouhé 3
dny na to, aby v nové firmě provedlo kontrolu a vytvořilo zprávu o zabezpečení
její IT infrastruktury. To je daleko kratší doba, než se obvykle na podobné
projekty vyčleňuje zpravidla na ně bývají 2-3 týdny. Naštěstí v kupované
společnosti pracuje pouze 40 zaměstnanců a kromě centrály už nemá žádné další
kanceláře.
Když koupíme nějakou společnost, potřebujeme rozumět všem jejím bezpečnostním
systémům a způsobům jejich řízení. To se týká fyzické i informační bezpečnosti.
Nemůžeme prostě předpokládat, že ta firma dělá svůj byznys bezpečně, a to
obzvláště v případě, jako je tento jedná se totiž o start-up.
Už jednou jsem se ocitl v situaci, kdy si zaměstnanec kupované firmy, který se
bál propuštění, zkopíroval celou databázi zákazníků, zkomprimoval ji a uložil
na USB flash disk. Potom ale naštěstí pro nás zapomněl tenhle disk v
konferenční místnosti.
Tentokrát provádíme akvizici proto, že nás zajímá software, který kupovaná
firma vyvíjí. Kritickým intelektuálním vlastnictvím je tedy zdrojový kód, který
je uložen na jejím serverovém clusteru.

Budování důvěry
Protože jsme dostali jen tak málo času na to, abychom v nové firmě zhodnotili
stav jejího zabezpečení, rozhodl jsem se, že se zaměřím hlavně na ta
nejkritičtější místa. Chtěl jsem mít jistotu, že jakmile nastavíme vztah důvěry
mezi servery naší a jejich společnosti, že tím nevneseme do naší sítě nějaké
slabiny.
Plánovali jsme propojení našich domén tak, aby noví zaměstnanci mohli
přistupovat k vlastním datům v personálním oddělení, k informacím o vlastních
výplatách, k e-mailu, ke sdíleným diskům a k dalším zdrojům. Naše skupina ovšem
nejdříve pátrala po případných hrozbách. Předpokládalo se, že když nějaké
objeví, prostě se problém před propojením rychle vyřeší.
Začal jsem tím, že jsem zaměstnance nové společnosti požádal o schéma jejich
sítě. Chtěl jsem co nejrychleji porozumět její topologii.
Ukázalo se, že kupovaná společnost má vytvořenu takzvanou demilitarizovanou
zónu (DMZ), ve které se nacházela její e-mailová brána, server DNS (Domain Name
Server), webový server a FTP (File Transfer Protocol) server. Back-endová
vrstva zahrnuje hlavní firemní LAN, infrastrukturu v laboratoři vývoje a
systémy používané finančním a personálním oddělením. V síti je zapojeno rovněž
několik firewallů, VPN (Virtual Private Network) gateway, směrovače, přepínače
a servery s operačními systémy Solaris, Linux a Windows.
Poté, co jsem prozkoumal topologii sítě, obrátil jsem svou pozornost ke
konfiguraci směrovačů, k databázi pravidel firewallů a ke konfiguraci brány
VPN. Potřeboval jsem vědět, jakým způsobem data proudí z jedné sítě do druhé,
znát všechna externí připojení s dalšími entitami a také mít ponětí o všech
lidech, kteří mohli k síti vzdáleně přistupovat.
Vytvořil jsem si v tabulkovém kalkulátoru nový dokument, do kterého jsem si
zapisoval všechny vztahy důvěry a síťové toky. Protože jsem měl na provedení
této práce dost málo času, zaměřil jsem se na demilitarizovanou zónu a na
vzorky konfigurací ve vnitřní firemní síti.
Abych svou mapu doplnil, prozkoumal jsem síť nástrojem Nmap, což je volně
dostupný skener portů. Nmap provádí skutečně dobrou práci při zjišťování
hostitelů a identifikaci operač-ních systémů. Spustil jsem rovněž Nessus, což
je další aplikace šířená zdarma, jejíž prostřednictvím jsem zjišťoval slabiny
sítě.
Mezitím jsem si fyzicky prošel kanceláře nové firmy, kladl jsem různým lidem
spoustu různých otázek, poznamenával si všechny odemčené dveře, vadné alarmy,
chybějící systémy pro kontrolu přístupu a podobně. Potom jsem si sedl se
systémovým inženýrem zodpovědným za síť i všechny připojené systémy a prošel s
ním poměrně obsáhlý dotazník. Tento dokument, který vznikl v průběhu několika
minulých let, pokrývá řadu bezpečnostních oblastí včetně existence a dodržování
příslušných politik a stanovených procedur.Konečný výsledek byl docela ponurý.
Jde o pochopitelnou věc mnohé start-upy se zaměřují jen na své produkty a
chybějí jim zdroje potřebné ke správnému zajištění jejich IT infrastruktury.
Výsledkem šetření byl závěr, že na přímé propojení sítí a nastavení vztahu
důvěry bude lepší pro tento okamžik raději zapomenout.
Nyní alespoň rychle zavřeme všechny externí přístupy do firemní sítě a
vytvoříme point-to-point VPN tunel mezi našimi společnostmi. To by nám mělo
pomoci pro následujících několik týdnů. Po této době už snad budou všichni
zaměstnanci start-upu přesunuti do našich prostor.
Ačkoli si chceme ponechat lidi ze zakoupené firmy i zdrojové kódy jejího
softwaru, pokud jde o její síťové vybavení a další hardware, nezbude, než se ho
vzdát nebo vše kompletně přeinstalovat.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.