Bezpečnostní systémy nebojují na oddělené frontě

V dohledné době lze očekávat výrazné sbližování systémů pro správu IT infrastruktury a produktů zajišťujících...


V dohledné době lze očekávat výrazné sbližování systémů pro správu IT
infrastruktury a produktů zajišťujících její bezpečnost. Nejlepší předpoklady k
tomu, aby se stali předními dodavateli produktů pro bezpečnostní management,
mají přitom zřejmě dodavatelé systémů pro správu sítí. Rozumějí totiž zpravidla
potřebám firem a chápou rovněž požadavky vyplývající z existence heterogenního
prostředí IT. Vzhledem ke komplexnosti problematiky bezpečnosti jsou však
otevřeny i jiné cesty.
Před deseti lety, tedy v době, která ani při poměřování rychlostí vývoje
internetu není až tak vzdálenou historií, řada softwarových společností
překotně vyvíjela technologie umožňující řešit složitou problematiku správy
rozmanitých systémů a sítí. Čelily přitom zajímavé novince: Ukázalo se, že
samotné inovace již nejsou klíčem k úspěchu.
Dodavatelé technologií, kteří dříve slavili úspěchy díky množství nových funkcí
v produktech, zjistili, že se situace mění. K jejich bývalým klientům si rychle
nacházela cestu konkurence firmy, které sice nabízely méně posledních
vychytávek, ale zato se soustředily na doplňkové služby a aplikace. Uspěli
výrobci, kteří byli schopni integrovat technologie pro správu sítí a systémů do
jednoho balíku, který bylo možno nasadit napříč rozsáhlými a různorodými sítěmi.
O deset let se tento segment trhu nachází ve stavu, který ekonomové nazývají
oligopolem. Je zde hrstka firem, jež vyrábějí a dodávají komplexní balíky pro
management sítí a systémů.
Dobrou zprávou je, že i bezpečnostní produkty již započaly svůj posun směrem k
integrovaným bezpečnostním systémům. Za zhruba pět až deset let bude stav
bezpečnostního managementu podobný jako v oblasti správy sítí a systémů
produkty a služby bude dodávat jen několik málo firem.
Proč ona lekce z historie? Protože dnešní CISO (Chief Information Security
Officer) a jiní vedoucí IT pracovníci, kteří se zabývají podnikovou
bezpečností, hledají jistotu, že když začnou činit obtížná bezpečnostní
rozhodnutí, nebudou nuceni je brzy měnit. Pokud má firma stovky dodavatelů a
používá množství jejich produktů, je složité zvolit to správné řešení.

Lídři
V oblasti systémů pro správu sítí se v dohledné budoucnosti musejí objevit
lídři, kteří budou muset vykazovat následující čtyři charakteristiky:
pochopení bezpečnostní technologie, jejích problémů a řešení
pochopení podnikové integrace a managementu
pochopení měnících se rizik uvnitř firmy
vnímavost k novým oblastem odpovědnosti šéfa pro bezpečnost
Dnes existují na danou oblast dva názory: Jedni věří, že firmy, které se dnes
zabývají čistě bezpečností, mohou rozšířit svůj záběr a zahrnout do svých
nabídek také technologie pro management sítí a systémů; druzí se domnívají, že
bezpečnostní management je přirozeným dalším stupněm vývoje firem, jež dnes
dominují na poli síťového a systémového managementu.
Nicméně technologie zajišťující bezpečnost se od jiných technologií liší a
nejedná se o triviální rozdíly. Lze argumentovat, že zajištění bezpečnosti je
složitější než management sítí a systémů a že je nezbytné ponořit se do umění
bezpečnosti, abychom získali znalosti, na nichž lze postavit komplexní řešení.
Většina dodavatelů sítí a systémů nedisponuje v oblasti bezpečnosti adekvátní
odbornou kvalifikací. Přesto si tito výrobci zachovávají klíčovou výhodu oproti
těm, kteří se zabývají čistě problematikou bezpečnosti: Rozumějí firmám,
rozumějí správě a chápou heterogenní prostředí.
Existuje celá řada společných prvků aplikovatelných v oblasti správy sítí,
systémů i bezpečnosti: konzole, agenti, korelační nástroje, archivy a
analytické nástroje. Lze nalézt také společné funkce v oblastech síťového,
systémového a bezpečnostního managementu, jež jsou využívány pro různé účely.
V případě systémového managementu je správa událostí orientována na vyřešení
problému. V oblasti bezpečnostního managementu jsou tyto funkce využívány pro
vyhodnocování a snižování rizik v reálném čase. Ve světě systémového
managementu je automatické zjišťování využíváno k tvorbě topologické mapy
sloužící k analýze základních příčin. Ve světě bezpečnostního managementu
slouží automatické odhalování k zajištění dodržování politik tedy k odhalení a
následné analýze zranitelných míst v nových systémech.
Řízení konfigurace je klíčovou disciplínou systémového managementu, centrem
jeho pozornosti je distribuce softwaru. U bezpečnostního managementu se o
konfigurace zajímáme ze dvou důvodů: jedním je správa bezpečnostních záplat,
druhým dodržování stanovených bezpečnostních politik.
Databáze dříve zaslaných hlášení se v oblasti správy systémů využívají hlavně
pro řízení kapacity; lidé zabývající se bezpečností je potřebují pro splnění
požadavků auditu.
Z toho plyne, že z krátkodobého hlediska zůstane bezpečnostní management
oddělen od správy systémů a sítí, jednoduše proto, že se jedná o do jisté míry
odlišnou problematiku. Jelikož bezpečnostní management integruje klíčové prvky
a sbírá data z různých zdrojů včetně síťových zařízení, v dlouhodobém výhledu
nemůže zůstat a také nezůstane oddělen. Dodavatelé síťového a systémového
managementu, kteří již ovládají globální konzole pro správu a síťová operační
centra, využijí svých vztahů s podniky k zahrnutí správy bezpečnosti. A pokud
jde o jejich expertní znalosti z oblasti bezpečnosti, vždy se nabízí možnost
získat je formou akvizic.

Bezpečnost a QoS
Při správě systémů je zajištění splnění určitých kvalitativních kritérií
samozřejmou součástí daných úkolů. Méně patrná může být souvislost zajištění
kvality služeb (QoS) s bezpečností spojením těchto dvou přístupů však mohou
uživatelé získat více obranných linií proti síťovým útokům.
Donedávna žily QoS a síťové bezpečnostní technologie v oddělených světech.
Určité typy útoků na bezpečnost sítě však primárně ovlivňují výkon aplikací a
zajištění výkonu aplikací je hlavním úkolem QoS. Proto zmíněné dva
technologické tábory začaly sdružovat síly, aby zamezily síťovým útokům, které
degradují výkon sítě.
Nepřáteli na obzoru jsou červi, viry, trojské koně a útoky typu DoS (Denial of
Service). Zmíněná narušení rychle replikují kousky kódu nebo požadavky na
služby aplikací, až dosáhnou bodu, kdy přetíží paměť nebo procesor systému.
Firewally a IDS (Intrusion Detection System) jsou typicky využívány k odhalení
neautorizovaného provozu na základě známých škodlivých bitových charakteristik
nebo omezeného množství parametrů v hlavičkách IP. Stejně tak složité funkce
pro řízení provozu v síti rozpoznávají provoz na základě aplikací, protokolů,
uživatelů, MAC (Media Access Control) adres, IP adres a dalších dílčích
proměnných.
Implementátoři sítí zde rozpoznávají společné základy a přínosy práce na
integraci. Například bezpečnostní a QoS produkty již využívají společné ACL
(Access Control List) pro pravidla zpracování provozu. Pokud dojde k další
integraci, pak by například IDS, který odhalí abnormální vzorce provozu, mohl
varovat QoS, aby se zmíněným provozem naložil v souladu s odpovídajícími
pravidly.
"Skutečnost, že se firewally, IDS a QoS překrývají, umožňuje využít více
způsobů, jak odhalit infekci a bojovat s ní," říká Joe Walton, ředitel firmy
VistaOne IT Services, která se zabývá dodávkami sítí.

Cesty QoS
Primárním účelem QoS je řízení výkonu více aplikací, které navzájem soupeří o
šířku pásma na síťovém spoji. Za tímto účelem QoS produkty identifikují síťový
provoz, klasifikují ho a zacházejí s ním v souladu s firemní síťovou politikou.
Je například možné vyladit síť takovým způsobem, aby vždy poskytovala 20 Kb/s
pro Citrix, omezovala streamovaná média na 128 Kb/s a současně blokovala
veškerý provoz Kazaa.
Jakmile jste schopni tímto způsobem identifikovat a řídit provoz, můžete využít
QoS rovněž k detekci dalších anomálií a k nastavení politik tak, aby
automaticky minimalizovaly jejich vliv.
"Firewall je první linií obrany, obvykle se nachází na okraji WAN a povoluje
nebo odmítá přístup na základě ACL. IDS monitoruje proudy paketů na pozadí a
hledá vzorce provozu, které již byly identifikovány jako škodlivé pokud je
odhalí, pak vás na ně upozorní. QoS může vykonávat malou část každé z těchto
funkcí a současně umožnit forenzní analýzu sítě a okamžité ošetření podezřelého
provozu," tvrdí Walton. "QoS napomáhá odhalit původ infekce uvnitř interní
sítě. Poté můžete jít zpět a upozornit někoho, že infikuje všechny ostatní,"
vysvětluje Walton.
Například University of California využívá pro tuto funkci QoS zařízení
PacketShaper od firmy Packeteer. Tento produkt zjišťuje, odkud přichází
nepřirozeně velké množství spojení. Pak lze blokovat nebo ořezávat provoz z
těchto IP adres a přidělit jim pouze minimální šířku pásma. Tak lze
minimalizovat dopad útoku na síť a serverové zdroje.
Larry Roth, viceprezident ISP OnlyInternet.Net, využil podobným způsobem QoS
zařízení NetEnforcer společnosti Allot Communications pro boj s viry. "Když se
na TCP portu 135 objevil virus Blaster, zavedli jsme pravidla minimalizující
provoz, který smí tento port využívat," objasňuje Roth. "Zaznamenali jsme
okamžitý pokles šíření Blasteru o 40 %."
Také Oded Nahum, systémový inženýr firmy Allot, říká, že jejich zařízení v
poslední době často využívají poskytovatelé internetu pro zvládání útoků
síťových virů. "Sítě ISP mají tak široký dosah, že virus může způsobit velké
škody, pokud není pod kontrolou," dodává.

Dočasná ochrana
Produkty QoS často slouží jako dočasná ochrana pro dobu, než jsou viry
prozkoumány, IDS naprogramovány k jejich identifikaci a dokud nejsou k
dispozici opravy, které mohou být nasazeny na hostitelských systémech.
Amir Khan, ředitel produktového marketingu firmy Cisco, říká, že zde QoS hraje
významnou bezpečnostní roli. "Když například aplikace Kazaa sloužící ke sdílení
souborů zaplavila firemní sítě, trvalo mnoho dní, než byly vytvořeny a
implementovány příslušné záplaty," vysvětluje. Klasifikační engine NBAR
(Network-Based Application Recognition) firmy Cisco však byl schopen aplikaci
Kazaa označit. Jeho uživatelé se pak mohli rozhodnout o přidělení nejnižší
priority pro tuto aplikaci nebo příslušný provoz zcela zablokovat.
Přidáním QoS k bezpečnostní výbavě lze vytvořit další linii obrany proti útokům
vůči síti, které ovlivňují její výkon. Mezitím další integrace umožní vzájemnou
komunikaci QoS a bezpečnostních nástrojů. Jakmile bude síťová politika
nastavená s využitím jedné funkce schopna vyvolat příslušné odpovídající
chování funkce jiné což by se mělo stát realitou zhruba za rok pak tato
integrace a automatizace rozšíří a zjednoduší implementaci pravidel a politik
pro řízení chování sítě

Útočníci v hrnci medu
Mark Hall
Řada filmových tvůrců sází na scénáře, ve kterých zlosyni naletí na vychytralou
léčku nastraženou kladnými hrdiny. Podobně se mohou chovat i manažeři
bezpečnosti stále populárnější síťovou bezpečnostní technologií je totiž
honeypot.
Existuje mnoho různých druhů honeypotů (tedy hrnců s medem), všechny však mají
společný účel: přitahovat rafinované black-hat hackery, zlomyslné script
kiddies a častěji než jsme si ochotni připustit také otrávené vlastní
zaměstnance do vysoce chráněného systému, který emuluje produkční prostředí.
Jakmile se zlosyni chytí do pasti, lze jejich činnosti monitorovat, a zjistit
tak, jaký útok se chystá nebo bezprostředně hrozí. Honeypot lze dokonce využít
pro vystopování počítače útočníka a k jeho odhalení při činu, přestože to je
jeho cílem jen zřídka.

Jak funguje
Honeypot funguje jednoduchým způsobem. Za firewallem je vytvořen server, který
může emulovat cokoliv, počínaje jednoduchým poskytovatelem e-mailových nebo FTP
služeb až po plně vybavený operační systém, na kterém běží databáze.
Trik spočívá v tom, že k serveru není směrován žádný interní ani externí
provoz. Honeypot je zcela izolován od všeho ostatního. Nesměřují k němu žádní
uživatelé. Čili je zřejmé, že kdokoliv, kdo kolem tohoto serveru slídí a zkoumá
jej, si buď spletl IP adresu, nebo a to je mnohem pravděpodobnější nemá
počestné úmysly.
"Honeypot je jako past na myši," říká Rayn Barnett, starší bezpečnostní inženýr
firmy RS Information Systems. "Cokoliv, co v něm zachytíte, představuje
problém."
IDS, bezpečnostní obdoba honeypotů, jež chrání provozní servery před
digitálními nájezdníky, vytvářejí takové množství informací o potenciálních,
skutečných a hlavně falešných problémech, že je často obtížné z jejich záznamů
zjistit, co se vlastně děje. Doplněním IDS o honeypot získáte detaily o povaze
útoku a nejlepší ochraně proti němu.
To platí zvláště tehdy, pokud udeří nový virus. Sledování jeho zlomyslných
činností na provozním systému může zabrat spoustu času, neboť je nutné
odfiltrovat další aktivity. Ale u honeypotu není nic dalšího, co by bylo třeba
sledovat, takže budete hned vědět, že virus přináší zkázu, a rychleji zjistíte,
jak ho zničit.

Nejen plusy
Existují však i nedostatky. Především pokud máte honeypot, neznamená to, že na
něj cracker skočí. Útoky by se mohly odehrávat jinde na vaší síti a honeypot
může zůstat nedotčen, jelikož jeho IP adresa nebyla odhalena. Proto stále
potřebujete IDS.
Dalším problémem jsou pochopitelně náklady. Nikoliv nutně cena softwaru,
některý je dostupný zdarma, nebo cena hardwaru postačí starý počítač s
procesorem Pentium; hlavním nákladem je cena lidské práce. Vytvoření vysoce
interaktivního honeypotu, který je schopen emulovat celou síť s mnoha
operačními systémy a předstírat pokročilé provozní operace, vyžaduje množství
času.
A existují tu i rizika. Pokud využijete vysoce interaktivní systém a
přehlédnete několik málo detailů, může se stát, že útočníkovi se dostane až
přílišné reality a umožníte mu proklouznout do vaší provozní sítě. Proto John
Harrison z firmy Symantec radí, aby uživatelé nastavili své vysoce interaktivní
honeypoty tak, aby se okamžitě vypnuly, pokud činnosti útočníka přesáhnou
určitý limit.

Právo
A konečně zde existují také právní nejasnosti. Pokud sledujete útok, který
přichází z počítačů, jejichž majitelé nic netuší o tom, že byly zneužity, a
sledujete obsah dat nebo paketů, mohli byste se dopustit porušení zákonů na
ochranu soukromí. Neexistuje zde žádný precedens, takže by možná nebylo od věci
vytvořit a zveřejnit politiku informující o tom, že obsah paketů na vaší síti
je sledován.
Někteří kritici také tvrdí, že skutečný black-hat hacker neskočí na takovou
návnadu, jako je honeypot. Domnívají se, že takto lze zachytit pouze script
kiddies a interní záškodníky. Možná. Ale překazit plány libovolnému ze
zmíněných útočníků také není na škodu.
Pro drtivou většinu uživatelů představují nejlepší přístup málo interaktivní
honeypoty. Investice a rizika spojená s vysoce interaktivními honeypoty jsou
příliš vysoká, obzvláště proto, že nemusíte ulovit tu nejškodlivější kořist.
Málo interaktivní systémy však jistě stojí za úvahu.
Tak jak poroste počet honeypotů, útočníci mohou být zmateni, zda se nabourali
do systému, který je pro ně skutečně užitečný, nebo zda zbytečně ztrácejí čas s
honeypotem. To je samo o sobě může odradit.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.