Dvě výpovědi komplikují zajištění bezpečnosti

Zaměstnanci oddělení IT bezpečnosti vydrží na svých místech v průměru jeden rok. Mathiase právě opouštějí dva


Zaměstnanci oddělení IT bezpečnosti vydrží na svých místech v průměru jeden
rok. Mathiase právě opouštějí dva členové jeho týmu. Situace to není jednoduchá.
Minulý týden podali dva zaměstnanci mého bezpečnostního týmu výpověď. Dneškem
jim začíná běžet dvoutýdenní lhůta a poté nás nadobro opustí. Každý z nich
odchází z jiných důvodů. Náš nejtechničtěji orientovaný bezpečnostní inženýr se
rozhodl založit si vlastní firmu. Bezpečnostní auditor zase přijal nabídku
jedné z velkých konzultačních firem. Nabídla mu totiž výrazně vyšší plat, delší
dovolenou a možnost vybudovat si vlastní tým. Zkoušeli jsme je oba přesvědčit,
aby zůstali, ale nepodařilo se nám to. Podle mých zkušeností v našem byznysu
platí, že se průměrná lhůta, po kterou zaměstnanec vydrží na jednom místě,
pohybuje okolo jednoho roku. Dokonce i v dnešním nejistém ekonomickém prostředí
tak není jednoduché, udržet si bezpečnostní specialisty potřebné pro zajištění
bezproblémového chodu firmy. V tomto okamžiku ale, přiznávám, neřeším problém
personální politiky. Je tu totiž jiná otázka, jejíž zodpovězení je z
krátkodobého hlediska daleko důležitější: Jak mohu zabezpečit chod naší
infrastruktury do doby, než najdeme za odcházející specialisty náhradu?

Výměna pozic
Vzhledem k oslabení našeho týmu musím urychleně změnit způsob, jakým spravujeme
naší bezpečnostní infrastrukturu. Objem mých úkolů se zvětší do doby, než
najdeme kvalifikovanou náhradu. Předpokládám, že vlastní hledání bude trvat
okolo jednoho měsíce. Jakmile vhodné kandidáty vybereme a zaměstnáme, bude
trvat nejméně další měsíc, než je pořádně zaučíme a oni se stanou rovnocennými
členy týmu. Pro nejbližší dva měsíce tak musím převzít úkoly, které moji
dosavadní kolegové plnili, na sebe. Anebo je vhodně delegovat na další členy
týmu. K základním systémům, které má naše skupina na starosti, patří systém IDS
(Intrusion-Detection System), dvoufaktorový autentizační systém a firewally. K
tomu máme na starosti rovněž posuzování architektury, audity, tvorbu a kontrolu
bezpečnostních politik, hlídání zabezpečení serverů a spoustu dalších
"drobností", se kterými se na nás nejrůznější lidé obracejí. Abychom se
vypořádali s narůstající zátěží, potřebuji přesunout některé z našich aktivit
na jiná oddělení firmy. Tento týden jsem se zaměřil na přesun pravomocí
souvisejících se systémem IDS a s autentizační infrastrukturou využívající
SecurID tokeny.

Varování
Jedním z prostředků, který nám slouží k detekci případných útoků, je software
Tripwire. Ten kontroluje stav některých důležitých souborů a v případě jejich
změny vydává varování. Naše oddělení je pak zodpovědné za reakci na ně.
Tripwire provozujeme na více než 50 unixových serverech uvnitř naší
demilitarizované zóny (DMZ). V současnosti jsou nastaveny tak, aby posílaly
varování prostřednictvím e-mailu na účet, jehož odběrateli jsou unixoví správci
a bezpečnostní oddělení. Systém jsem nastavil tak, aby kontroloval pět
nejkritičtějších souborů v síti každých deset minut. Jde například o soubory
/etc/passwd a /etc/shadow, které obsahují informace o uživatelských účtech a
hesla. Pokud by se kdokoli rozhodl přidat nějaký nový účet, soubory by se
změnily a Tripwire by nás okamžitě upozornil. Pokud systém zjistí změnu v
jakémkoli z hlídaných klíčových souborů, posílá upozornění také na můj mobilní
telefon. Po pravdě řečeno, nedostávám naštěstí příliš varovných zpráv. Abych se
ale mohl soustředit na některé z mnoha důvodů podstatnější aspekty naší
bezpečnostní infrastruktury, rozhodl jsem se přesunout odpovědnost za reakci na
varování Tripwiru na jiné důvěryhodné oddělení naší firmy.

Spolupráce s NOC
A tak jsem se setkal s manažerem našeho oddělení NOC (Network Operations
Center, centrum pro dohled nad sítí) a vysvětlil mu, v jaké jsme situaci.
Dohodli jsme se, že jeho analytici budou řešit situace, na které je software
Tripwire upozorní a my jim v tom v případě potřeby pomůžeme. Já nastavím
Tripwire tak, aby posílal SNMP trap alerty do naší centrální aplikace pro
správu IT prostředí. K monitorování stavu naší infrastruktury používáme nástroj
Netcool od společnosti Micromuse, se kterým jsem obeznámen.
Napíšu také nějakého stručného průvodce a budu mít u týmu NOC krátkou
prezentaci v PowerPointu, ve které se pokusím pomoci jim pochopit, co je
Tripwire a jak správně reagovat na jeho varování. Netcool okamžitě zaznamená
alert a následný e-mail poskytne obsluze detaily ohledně podezřelé události
(které soubory byly změněny, kdy a jak). Důležitým úkolem bude vytrénovat
analytiky, aby pochopili, která varování jsou důležitá a která nikoli. Manažer
NOC souhlasil také s tím, že mi jeho tým pomůže s některými částmi správy
infrastruktury pro tokeny SecurID. Je s ní spojena spousta drobných úkolů,
které nás stojí množství nyní velmi drahocenného času.
Ve firmě používáme pro uspokojení našich autentizačních potřeb server ACE od
RSA Security. Devadesát procent práce související se správou celého systému
zahrnuje uživatele, kteří zapomněli svůj token doma, uživatele, kteří zapomněli
své heslo pro token, nebo problém s funkčností tokenu, která může vyžadovat
jeho nahrazení novým.
Server ACE od RSA disponuje několika nástroji ovladatelnými prostřednictvím
webového rozhraní. Jeden z nich nese název Quick Admin a dává správci k
dispozici předdefinovanou sadu operací pro správu tokenů. Nástroj se instaluje
na webový server a správce ho navštěvuje prostřednictvím stránky, ke které lze
získat přístup jen prostřednictvím správcovského SecurID tokenu. Jako manažer
bezpečnosti určuji, kdo má k této stránce přístup. Určení lidé odtud mohou
provádět pouze určité činnosti, já však mám přístup k celé infrastruktuře
SecurID tokenů.
Rozhodl jsem se vytvořit ještě krátký návod pro tento nástroj a ještě jednu
prezentaci v PowerPointu, abych usnadnil analytikům z NOC práci s Quick
Adminem. Snad se podaří rychle je zasvětit do všeho, co budou ke své práci
potřebovat.
Další krok

Mým dalším úkolem je rozhodnout, jak naložit s dalšími součástmi naší
infrastruktury IDS. V současnosti považuji za nejdůležitější vyladit naše
síťové senzory tak, aby filtrovaly většinu těch varování, která jsou falešná.
Tak se budu moci více soustředit na další poskytované informace, které
souvisejí s naší síťovou infrastrukturou. A jakmile budu mít zase plný stav,
vrátím celý systém nejspíše zase do původního stavu. I některá falešná varování
totiž leccos napoví o stavu kontrolovaných systémů. V tomhle okamžiku ale
bohužel nemám příliš času se zabývat varováními, která nás bezprostředně
neohrožují, a hledat v nich souvislosti s chodem našich zařízení. Doufám, že mi
výše zmíněná opatření poskytnou dostatek času na to, abych mohl v době, kdy mi
chybějí lidé, řešit alespoň ty nejdůležitější otázky týkající se bezpečnosti
firemní IT. Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje
zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu
bezpecnost@idg.cz.

Systémy IDS
Systémy IDS (Intrusion-Detection System, systém detekce průniku) slouží ke
zjištění zásahů způsobených nepovoleným průnikem do kontrolovaných sítí a
serverů. V praxi tyto produkty upozorňují na veškeré neobvyklé, potenciálně
nebezpečné činnosti, jejichž skutečný dosah následně vyhodnocuje k tomu určený
personál.
Systémy pro detekci napadení se rozlišují podle toho, zda sbírají data přímo ze
sítě, nebo z hostitelských počítačů. Síťové IDS lze umístit relativně rychle a
většinou bez úprav aplikací na důležité body v síti, odkud posílají data
centrálnímu serveru. Alternativou jsou systémy IDS založené na využívání
hostitelských počítačů. Na těch je nainstalován specializovaný agentský
software, který zachycuje síťová data z různých vrstev komunikačních protokolů.
Jejich předností je schopnost poskytovat i další informace o serveru, jako
např. o činnostech v operačním systému nebo o instalovaných či spuštěných
službách a aplikacích. Klasické systémy IDS využívající hostitelů jsou obvykle
založeny na vyhodnocování logových souborů, vyhledávání přihlašovacích akcí a
kontrole vybraných souborů a adresářů z hlediska změn.
Stálý optimální účinek IDS lze očekávat jen tehdy, je-li systém plynule
přizpůsobován neustále se měnícím bezpečnostním požadavkům a reálným podmínkám
provozu.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.