Bezpečnostní systémy je třeba efektivně řídit

Podle společnosti Gartner dnes firmy vynakládají 4 % ze svých IT rozpočtů na bezpečnostní hardware a software. Budují...


Podle společnosti Gartner dnes firmy vynakládají 4 % ze svých IT rozpočtů na
bezpečnostní hardware a software. Budují si armády firewallů, systémů pro
zjišťování a prevenci průniků do sítě, antivirů, VPN nebo systémů pro ověřování
identity a řízení přístupu. To vše má zabránit vpádu hackerů, kriminálních
živlů a ostatních útočníků. Úspěch na bitevním poli ale neurčuje jen palebná
síla. Je závislý také na komunikaci.

Na bezpečnost IT mají vliv nejen jednotlivá zařízení, ale také to, jak z
hromady bezpečnostních nástrojů z nichž každý má své vlastní záznamy, vlastní
strukturu dat i vlastní pravidla sestavíte elitní obrannou jednotku. Z tohoto
důvodu společnosti začínají používat software pro řízení informační bezpečnosti
(SIM, Security Information Management), který je navržen tak, aby v
záležitostech bezpečnosti poskytoval totéž, co nabízejí produkty jako Tivoli
pro sítě tedy zjednodušení správy, lepší přehledy a zkrácení doby odezvy.
Chaim Feldman, manažer pro bezpečnost sítí a systémů společnosti Bezeq-The
Israel Telecommunications, která je izraelským národním poskytovatelem
telekomunikačních služeb, připouští, že jeho společnost čelí měsíčně 3 až 4
tisícům útoků. Aby získal nad situací kontrolu, nechal nainstalovat produkt
eTrust Security Command Center (SCC) od firmy Computer Associates. "Než jsem to
udělal, byl jsem vlastně slepý," vysvětluje. "Nemohl jsem svou společnost vidět
jako celek."

Zastavit záplavu dat
Systém SIM nainstalovali také ve vládních úřadech státu Illinois v USA. "Dříve
v této oblasti panoval obrovský nepořádek," vzpomíná Jim Patterson,
bezpečnostní analytik Legislativního informačního systému vlády státu Illinois.
"I zařízení od tak velkého dodavatele, jako je Cisco, mělo každé svůj vlastní
systém hlášení."
A aby situace nebyla tak jednoduchá, softwarové balíky určené pro správu
jednotlivých zařízení musejí podle Pattersona běžet každý na vlastním počítači.
Takže to znamená ještě nutnost vyhledávat výstrahy na poli počítačů, z nichž
každý má své samostatné logovací soubory.
Dále vše komplikovala skutečnost, že firewally generovaly více záznamů, než
byla vnitřní databáze schopna zpracovat. A tak v souladu s doporučením
společnosti Cisco nechal Patterson nainstalovat produkt nFX Open Security
Platform od firmy netForensics.

Další řešení
Správa bezpečnostních informací (SIM, Security Information Management) bývá
také označována jako správa bezpečnostních událostí (SEM, Security Event
Management). Ať tak či tak, vždy vychází ze záznamů událostí, které používají
správci při řízení sítí. Příslušné správní systémy jsou však přizpůsobeny k
využití dat ze zabezpečovacích zařízení.
"Podstatným rozdílem je to, že kromě všech možných protokolů dokáže SIM
přejímat i data ze zařízení, která vůbec žádné logy negenerují nebo která
generují robustní, ale úzce specifické informace," vysvětluje Amrit Williams,
analytik společnosti Gartner. Jednou z klíčových funkcí těchto systémů je
redukce počtu falešných nebo neopodstatněných výstrah, kterými se zaměstnanci
musejí zabývat.
"Před několika lety jsme začali implementovat systémy pro detekci průniků,"
vypráví Chris Rein, vedoucí pro infrastrukturu a provozní služby Úřadu pro
informační technologie New Jersey. "Množství dat, které generovaly, by zahltilo
každého jednotlivce i malý tým."
Reinova zkušenost zdaleka není výjimečná. Také Ulises Castillo, výkonný ředitel
společnosti Scitum, která poskytuje v Mexico City řízené bezpečnostní služby,
potvrzuje, že denně zpracovává 3 až 10 milionů událostí hlášených z více než
350 zařízení. Ta nyní spravuje v rámci systému SIM Security Threat Manager 3 od
společnosti OpenService. Díky tomu se počet výstrah zredukoval 10 000x.
Dan Lukas, hlavní bezpečnostní architekt střediska zdravotnické péče Aurora
Health Care v Milwaukee, které má 30 tisíc zaměstnanců ve 13 hlavních
nemocnicích, na několika stech klinikách a v lékárnách, uvádí, že jeho
společnost zaznamenává v závislosti na denní době 5 až 10 tisíc bezpečnostních
incidentů za sekundu. K vizualizaci příčin potíží používá Lukas produkt
Intellitactics Network Security Manager od firmy Intellitactics.
"Můžeme si událost znovu přehrát, zjistit, kterého zařízení se týká, a
vystopovat ji," říká Lukas. "Máme tady sice několik tisíc přepínačů, ale přesto
se dokážeme dostat až do místa, odkud je vidět, z jakého portu v síti je
konkrétní událost hlášena."

Je na výběr
Společnosti, které se chystají nainstalovat systémy SIM, si mohou vybrat řešení
ve formě serverového softwaru nebo hardwarových zařízení. Vláda státu New
Jersey si například vybrala druhou možnost. Používá zařízení PN-Mars od firmy
Protego Networks, kterou loni koupila společnost Cisco. Rein tvrdí, že začali s
několika zařízeními pro testovací účely a nyní kupují další, aby byla pod
dohledem celá jejich rozlehlá siť WAN. Kromě toho mají v plánu uzavřít smlouvy
se specializovanými agenturami, které budou cíleně monitorovat vnitřní sítě.
"Zaměstnanci se nyní cítí jistěji, což jim pak pomáhá zvýšit produktivitu
práce. Nemusejí totiž řešit tolik problémů jako dříve," potvrzuje Anna
Thomasová, vedoucí strategického rozvoje a digitální komunikace vládního úřadu
New Jersey.
Společnost Bezeq se naopak rozhodla pro software. Používá produkt eTrust SCC od
firmy CA a provozuje jej na serveru napojeném na samostatnou bezpečnostní síť.
Ta monitoruje dvě provozní sítě jednu pro zákaznické služby a druhou pro
interní operace.
Feldman tvrdí, že díky SCC se zviditelnil druh útoků na síť i místa, na něž
byly útoky zaměřeny. Díky tomu například objevil činnost jednoho nedávno
propuštěného zaměstnance, který se pokoušel o přístup k důležitému serveru.
Jindy byl zase díky korelaci v datech detekován virus, který se začínal šířit,
a Feldmanovi pracovníci stačili odpojit příslušnou subsíť, čímž mu zabránili v
šíření.

Závažné rozhodnutí
Zavedení systému SIM je bezesporu závažným rozhodnutím. Samotná instalace
softwaru nebo zařízení je dost jednoduchá, ale nastavení parametrů monitorování
a snížení počtu falešných výstrah dá práci.
"Pokud se firma pustí do rozsáhlého projektu SIM zahrnujícího více než asi 300
zdrojových uzlů měla by si rezervovat alespoň 50 tisíc dolarů pro prodejce nebo
pro další kompetentní servisní organizaci, která přijde, nainstaluje a vyladí
systém podle příslušných firemních požadavků," upozorňuje Paul Proctor,
analytik společnosti Meta Group. "Instalace zařízení pro monitorování více než
1 000 uzlů vyžaduje zpravidla několikaleté úsilí, takže je dobré jít do celé
akce s reálným očekáváním a klást si splnitelné cíle."
John Summers, ředitel pro řízené služby zabezpečení společnosti Unisys, právě
na takovém rozsáhlém projektu pracuje. Jeho společnost instaluje software od
firmy ArcSight do tří vlastních středisek bezpečnosti operací, v nichž se řeší
zabezpečení 200 zákazníků firmy spolu se zajištěním potřeb samotného Unisysu. S
instalací se začalo v červnu 2003 a Summers počítá, že bezpečnostní incidenty
bude moci sledovat v celosvětovém měřítku někdy v první polovině tohoto roku.
Už nyní ale může sledovat zákazníky jednotlivě nebo po regionech; díky tomu
dokázal například v pravý čas odhalit napadení jednoho z nich a mohl posílit
zabezpečení ostatních předtím, než se stali cílem útoku. "Toho lze dosáhnout
jen s pomocí platformy, která umožňuje detekci složitých vzorů v čase napříč
heterogenní infrastrukturou," míní Summers.
Michael Gabriel, bezpečnostní IT manažer společnosti Career Education, zase
nedávno instaloval software netForensics. Cílem bylo vyhovět požadavkům zákona
Sarbanes-Oxley. "Máme docela komplikované prostředí, provozujeme řadu
samostatných doménových struktur adresářových služeb Active Directory,"
vysvětluje. "V každé z nich máme zařízení, které pracuje jako kolektor a sbírá
události z řadičů domén ve Windows, z firewallů a z IDS a posílá je do
ústředního kolektoru systému netForensics."

Správná funkčnost
Jednou z podmínek efektivní činnosti systému je zajištění kvality dat. "SIM
trpí zanášením a produkcí zbytečných dat a většina dat, která firmy
shromažďují, je opravdu balast," říká Proctor z Meta Group. "Správci si to
většinou neuvědomí, dokud neutratí pár set tisíc dolarů za monitorování mohutné
infrastruktury jen proto, aby zjistili, že jim to nic nepřináší."
Podobně jako ostatní řídicí software je i SIM jen nástroj bez vlastní
inteligence. Může pomoci vašim bezpečnostním odborníkům lépe firmu zabezpečit,
ale rozhodně nenahradí jejich předvídavost ani schopnosti.
"Zautomatizujete sběr dat, jejich korelaci, vyhledávání v datech tedy úlohy,
které jsou nudné a vhodné pro počítač," vysvětluje Bruce Schneider, vedoucí pro
technologie společnosti Counterpane Internet Security. "Nemůžete ale
zautomatizovat inteligenci a kreativní myšlení."


Hráči na trhu SIM
Podle společnosti Gartner dosáhl již v roce 2003 trh s produkty SIM objemu 100
milionů dolarů. Gartner rovněž odhaduje, že software pro správu bezpečnosti
(SIM) používalo toho roku 20 % z 1 000 společností žebříčku Fortune a že
prodejci počet instalací za minulý rok zdvojnásobili (konečná loňská čísla
zatím nejsou dostupná).
Trh produktů SIM je rozdělen do dvou hlavních kategorií. V první jsou výrobci,
kteří se na SIM specializují například společnosti OpenService, netForensics,
Intellitactics, ArcSight nebo Network Intelligence. A potom tu jsou velké
společnosti, které prodávají SIM jako doplněk ke své nabídce ostatních produktů
pro správu a bezpečnost. Sem patří Computer Associates, Tivoli Software
(součást IBM), Symantec nebo NetIQ.
Výrobky menších prodejců zpravidla poskytují úplnější soubor vlastností. Velké
firmy ale zase nabízejí software, který může spolupracovat s jejich dalšími
produkty.

Správa bezpečnosti v menších firmách
Systémy pro správu bezpečnosti (SIM) nejsou levné. Jejich ceny se obvykle
pohybují v desítkách tisíc dolarů. Jde tedy o řešení, které je dostupné jen
velkým firmám?
"Tyto produkty jsou docela drahé a měly by se instalovat v rozsáhlých
prostředích," tvrdí Amrit Williams, analytik společnosti Gartner. "Ještě se
nehodí pro střední nebo malé firmy ani pro domácí pracoviště."
Ale i společnosti, které nepatří mezi 2 000 firem z žebříčku Fortune, mohou
řešit řízení svých bezpečnostních systémů. Jednou z možností je outsourcing u
poskytovatele bezpečnostních služeb (tzv. Managed Security Service Provider,
MSSP), který podporuje SIM. To umožňuje společnostem sdílet jak náklady na
technologii SIM, tak i výdaje na zaměstnance, kteří se musejí bezpečností stále
zabývat.
Další možností je vyhledávat bezpečnostní incidenty pomocí téhož systému pro
správu záznamů, který používáte pro monitorování sítě. Na trhu je k dispozici
takových nástrojů řada a některé z nich nejsou drahé.
A existuje také open source řešení jménem Open Source Security Information
Manager neboli OSSIM. OSSIM vyvinuli pracovníci společnosti IP Soluciones,
která má na starosti zabezpečení některých největších španělských bank a
telekomunikačních společností. Pro OSSIM bylo využito a zdokonaleno přes 20
open source produktů, které byly zabudovány do běžného rozhraní pro správu
systémů.
"Hlavní myšlenkou systému OSSIM je navázat na robustní a pokročilé open source
bezpečnostní produkty, které jsou k dispozici na internetu, navzájem je
pospojovat a zdokonalit," vysvětluje Dominique Karg, bezpečnostní architekt
společnosti IP Soluciones z Madridu a člen vývojového týmu systému OSSIM.
"Setkali jsme se s naléhavou potřebou konzole, která by byla schopna integrovat
a vizualizovat velké množství užitečných informací a usnadnit koncovému
uživateli jejich účelné využití," dodává. Kromě spojení a vizualizace přidal
vývojový tým do systému OSSIM i korelační stroj, který využívá tří různých
metod: logické korelace, křížové korelace a hodnotové korelace. Pokud dojde ke
skutečnému bezpečnostnímu incidentu, může OSSIM varovat správce nebo provést
příslušnou akci, jako například instalovat pravidlo pro firewall, ukončit akci
v TCP vrstvě nebo provést nějaký skript na externím zařízení. Systém OSSIM je
možné si i s dokumentací stáhnout na adrese www.ossim.net.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.