Čistka po útoku červa neustále pokračuje

Bez automatizovaných nástrojů je správa záplat a instalace nových virových signatur stále složitější. To se projevu...


Bez automatizovaných nástrojů je správa
záplat a instalace nových virových signatur stále složitější. To se projevuje
na bezpečnosti IT infrastruktury.
Je to již řada týdnů, co na nás zaútočil počítačový červ Blaster, a naše
společnost má s následky této události stále problémy. Nejde samozřejmě o to,
že by škodlivý kód ohrožoval naše klíčové systémy, ale byli jsme nuceni
zpřísnit naši bezpečnostní politiku a uvádění nových pravidel v život není
nijak snadné.
Naším hlavním problémem je skutečnost, že máme tisíce stolních počítačů, a náš
bezpečnostní tým nemá k dispozici účinný a plně automatizovaný způsob, jak
zjišťovat a sledovat jejich aktualizaci. Tato situace je velmi nepříjemná,
nebál bych se ji označit téměř za krizovou. Víme, co máme dělat, a všechny
zaměstnance jsme informovali o tom, že je třeba neustále aktualizovat, ale ne
vždy jde všechno podle našich představ.
Prostřednictvím změny nastavení směrovačů jsme provedli rekonfiguraci sítě tak,
abychom škody co nejvíce omezili, to však v některých případech bránilo průběhu
legitimní obchodní aktivity. V některých z těchto případů jsme museli odstranit
přidané přístupové seznamy, protože hladký průběh operací, které naší firmě
přinášejí zisk, je důležitější než snaha bránit červu Blaster v šíření.
Další výzva, které jsem čelil, byla politického charakteru. V jiných
společnostech, kde jsem pracoval, byla za odstraňování následků a prevenci
virového útoku zodpovědná skupina pro podporu stolních počítačů, zatímco úkolem
IT bezpečnostní skupiny bylo vystopovat zdroj jakékoliv podezřelé činnosti.
Nikdy jsem nechtěl, aby se bezpečnostní tým stal koordinačním centrem firmy pro
vymýcení virové nákazy, přesto se však její detekce a vyhlazování staly
nedílnou součástí práce našeho oddělení. Tuto situaci bych rád změnil, avšak
pokud se ve stávající fázi problému pokusím přenést zodpovědnost na někoho
jiného, pouze to vyvolá nelibost ze strany jiných oddělení. Takže moji
podřízení, a to všichni čtyři, uvázli na zavádění aktualizovaných virových
signatur a záplat na téměř 10 000 stolních počítačů. Doufejme, že v
nadcházejících šesti týdnech naše prostředí zcela vyčistíme alespoň do té doby,
než se objeví další verze červa.

Naši konzultanti
Kromě odklízení následků útoku červa Blaster byl tento týden poměrně klidný.
Ještě jsem nezačal hledat náhradu za bezpečnostního inženýra, který od nás
nedávno odešel, protože mě vedení požádalo, abych najímání nového zaměstnance
odložil až na samý konec roku. Pokud bude třeba, jsem prozatím pověřen najmout
konzultanta.
V minulosti jsem měl na konzultanty velké štěstí. Jejich jedinou vadou bylo, že
nakonec museli odejít. Pokud do té doby konzultant nepořídil patřičné množství
dokumentace a nepředal důležité vědomosti zaměstnancům, zůstal po něm pouze
nezvládnutelný projekt.
Jednou jsem najal konzultanta, aby rozmístil senzory systému detekce napadení.
Nikdo ze zaměstnanců s ním však nespolupracoval, a když z firmy odešel,
neukázal nám konfiguraci ani neposkytl přístupová hesla k systému. Bylo
naštěstí možné jej povolat zpět (a uvedené informace nám pak poskytl zdarma).
Zavedli jsme proto velmi přísná pravidla konkrétně určující dokumenty, které je
nutné každý týden vyhotovit, aby v budoucnu nenastaly podobné problémy.

Neustálá kontrola
Rozhodl jsem se využít období útlumu aktivity v našem oddělení a prověřit
základní diskové obrazy serverů, abych se ujistil, že držíme krok s vydáváním
bezpečnostních záplat a s dalšími otázkami konfigurace, které mají vliv na
bezpečnost naší infrastruktury. A to jak pokud jde o nové instalace, tak o
doplňkové vybavení stávajících systémů. Také jsem zkontroloval síťovou
infrastrukturu, abych zajistil, že jsou pro síťové příslušenství nastaveny
stejné mechanismy řízení.
V našem oddělení pochopitelně sledujeme všechny vydávané zprávy a záplaty
vydávané našimi hlavními dodavateli operačních systémů, hardwaru i aplikačního
softwaru. Obvykle to provádíme tak, že se přihlásíme k různým automatizovaným
informačním službám a navštěvujeme určité webové stránky. Získané zprávy pak
předáváme k implementaci příslušným oddělením.
Společnost Cisco například nedávno vydala zprávu, která se poprvé objevila již
v červenci, o možném nebezpečí útoků typu DoS na přepínače Catalyst tohoto
výrobce. Předal jsem ji skupině pro zabezpečení sítě, avšak nikdy jsem
nedohlédl na to, aby byly pro přepínače Catalyst instalovány příslušné
aktualizace softwaru.
Naše oddělení pro projektování sítě eviduje seznam všech našich směrovačů a
přepínačů. Náhodně jsem vybral jednu skupinu přepínačů a požádal vybraného
síťového inženýra, aby pomocí příkazu k zobrazení běžící konfigurace zachytil
konfigurační data a výsledky mi poslal e-mailem.
Tato ne příliš pohodlná metoda pro mě bohužel představovala nejrychlejší
způsob, jak ověřit, že přepínače nejsou citlivé vůči zveřejněné slabině. V
budoucnu chceme investovat do softwaru pro správu záplat, při plánování
letošního rozpočtu se však s touto investicí nepočítalo.

Výsledky kontroly
Po kontrole seznamu přepínačů jsem zjistil, že dost z nich nebylo
aktualizováno. Nedošlo k tomu hlavně proto, že společnost Cisco do doby mého
testu nedodala aktuální software pro údržbu jedné určité verze přepínače.
Namísto toho naši síťoví inženýři tedy alespoň zavedli jiná ochranná opatření
nakonfigurovali přístupové seznamy na přepínačích tak, aby se ke správnímu
portu na přepínači mohly připojit pouze legitimní pracovní stanice.
Také jsem prověřil nedávno objevené zranitelné místo v softwaru FTP serveru s
operačním systémem Solaris 9. FTP server je založen na WU-FTPD, programu pro
přenos souborů vyvinutého na Washingtonské univerzitě. Program je zranitelný
prostřednictvím přeplnění bufferu, kterého může útočník využít k získání
neautorizovaného přístupu na úrovni roota. Tento problém odstraní instalace
záplaty. Usoudil jsem, že pokud bych zkontroloval, zda je na FTP serverech
instalovaná záplata a tato instalace je konzistentní, mohl bych předpokládat,
že administrátoři systémů řádně provádějí správu záplat. Tento test dopadl
dobře snad jsou tedy uvedené systémy spravovány pečlivě.
Jakmile budeme mít pro správu záplat nějaký software, chtěli bychom kontrolu
naší infrastruktury automatizovat. Nyní tedy hledám vhodná řešení. Dokud ovšem
nebudeme mít k dispozici příslušný rozpočet, kupředu se nepohneme.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.