Jen systematický postup vede k vybudování efektivní ochrany

Hrozba stále sofistikovanějších útoků na počítačové sítě a systémy je známým problémem IT. Stejně nepříjemn...


Hrozba stále sofistikovanějších útoků na počítačové sítě a systémy je známým
problémem IT. Stejně nepříjemný je i růst počtu útočníků, kteří jsou ke své
nekalé činnosti motivováni politickými, sociálními, náboženskými nebo
ekonomickými důvody. Podniková bezpečnostní oddělení již zpravidla dobře
chápou, že je třeba zajistit silnější ochranu, takovou, která by síť ubránila
proti útokům, jež využívají více systémových slabin současně. Jde tedy jen o
to, přijmout příslušná protiopatření.
Od doby vzniku antivirového softwaru, firewallů a systémů IDS (Intrusion
Detection Software) se používá termínu "hloubková ochrana" ("defense in depth")
jako označení pro vícevrstvou bezpečnostní architekturu, která zahrnuje
nasazení několika uvedených technologií současně. Základní ideou je přitom
zkombinovat potřebné technologické komponenty a odpovídající praktiky správy
zabezpečení tak, aby vznikly vrstvy obrany, jež omezí nebezpečí útoku nebo
průniku do sítě.
Hloubková ochrana by neměla být chápána jako sada nezávislých kroků, jež je
možno úspěšně učinit jednotlivě, ale jako série spolu souvisejících technických
i netechnických akcí, které v případě, že budou realizovány společně, mohou mít
větší efekt, než by mělo nasazení jednotlivých komponent.

Součásti řešení
Aby bylo možno efektivně nasadit komplexní bezpečnostní řešení, je třeba
provést následující kroky:
Vytvořit odpovídající tým: Je třeba začít s týmem zkušených bezpečnostních
profesionálů, pravděpodobně vedených osobou v postavení CISO (Chief Information
Security Officer). Tento tým se stane architektem strategie hloubkové ochrany.
Vytvořit bezpečnostní politiky: Vytvořte sadu velmi dobře komunikovaných
(směrem k zaměstnancům) politik, které jasně definují akceptovatelné využití
podnikových IT zdrojů a které zajišťují, že každý uživatel bude chápat
potenciální hrozby bezpečnosti informačních systémů.
Zajistit školení: Zcela základním požadavkem je nepřetržité školení těch, kdo
přijdou jako první do styku s případnými incidenty a budou je muset řešit.
Nejdražší a nejkomplexnější komponentu budování nové strategie představuje
vytvoření bezpečnostní infrastruktury a pravidelné testování její schopnosti
poradit si s incidenty. Infrastruktura musí být schopna plnit následující úkoly:
Prevence: Využívejte silné autentizace uživatelů, autorizace a kontroly
přístupu; je třeba využívat rovněž systémy pro správu konfigurací (záplat) a
pravidelně vyhodnocovat vlastnosti systémů, aby se odhalily případné slabiny.
Detekce: Rozpoznejte potenciální hrozby prostřednictvím aktualizovaného
antivirového softwaru, správně nakonfigurovaných firewallů, softwaru IDS,
monitorováním logů aktivity a inteligentním sběrem a zpracováním dat.
Reakce: Aktivizujte firemní tým rychlé reakce na incidenty, který bude schopen
okamžitě zasáhnout izolovat případného útočníka a použít vyšetřovací nástroje
pro sběr důkazů.

Pomocné nástroje
Aby bylo možno udržet krok s rostoucím objemem i složitostí hrozeb a zajistit
bezpečnost citlivých informací, je třeba provádět v pravidelných intervalech
kontrolu efektivity bezpečnostní architektury.
Součástí prevence je rovněž využití softwarových produktů navržených pro správu
uživatelských identit, detekci a prevenci útoků, případně pro pomoc při správě
logů aktivity. Tyto produkty lze spatřit na seznamech výrobků řady softwarových
společností, z nichž některé jsou na trhu bezpečnosti nové, zatímco jiné jsou
zde již ostřílenými harcovníky. Tyto firmy často nabízejí i produkty pod
všeobecným označením správa identity, které poskytují centralizovaný přístup ke
správě bezpečnosti včetně autorizace a autentizace uživatelů či správy
životního cyklu vztahů mezi jednotlivými objekty a subjekty v síti.
Vzestupný zájem uživatelů zaznamenává software pro prevenci průniků a pro
ochranu hostitelů, který nabízí aktivní detekci útoků a prevenci tím, že
organizaci umožňuje nastavit svá vlastní pravidla pro přijatelné chování
aplikací. To je významné zdokonalení původního softwaru pro detekci průniků
IDS, který je ve své podstatě pasivní a je navržen tak, aby detekoval pouze
specifikované typy útoků.
A potom jsou tu nástroje pro správu bezpečnostních informací, jež jsou
vytvářeny proto, aby poskytovaly možnost automatizace složité a časově náročné
úlohy analýzy logů událostí pocházejících z řady různých bezpečnostních
zařízení v síti.
Pragmatický přístup k instalaci nové technologie je důležitým faktorem pro
úspěch hloubkové bezpečnostní strategie. Ačkoli je potřeba zdokonalení v
oblasti uživatelské identifikace, detekce a prevence incidentů i správy
zařízení zjevná, je třeba nové bezpečnostní technologie pečlivě prozkoumat
předtím, než se rozhodne o jejich nasazení. Je totiž nezbytné zjistit, zda
skutečně fungují tak, jak je inzerováno, a zda mají vlastnosti, které v daném
prostředí přinesou významné zlepšení.
A je tu ještě další bod, který by měl být při zkoumání těchto produktů brán v
úvahu: potenciální návratnost investic. Návratnost může být realizována
prostřednictvím redukce nákladů na správu nebo efektivnějším využitím
bezpečnostních zdrojů tím, že se zautomatizují některé časově náročné rutinní
činnosti. Nezanedbatelné finanční přínosy může znamenat i zabránění
potenciálních ztrát, kterým by nedokázala čelit současná infrastruktura.

Není to vše
Vytvoření efektivní obranné strategie ještě žádné organizaci negarantuje, že
nebude napadena. Naopak nasazení komponent pro hloubkovou obranu je připuštěním
skutečnosti, že průniky a útoky jsou nevyhnutelné; realizace úspěšné strategie
by jim pak měla znemožnit, aby se staly úspěšnými.
Prováděné průzkumy opakovaně ukazují, že množství a komplexnost elektronických
incidentů stále rychle roste a odstraňování jejich důsledků je pro oběti stále
nákladnější. Kromě jednotlivců, kteří chtějí získat přístup k firemním systémům
a ukrást nebo zničit v nich uložené informace jen tak ze sportu, existují také
lidé a organizace, které jsou k útokům vysoce motivovány politickými,
sociálními a ekonomickými důvody.
Osoby, které jsou zodpovědné za ochranu tajných informací, jejich integritu a
dostupnost, si zatím nikdy nemohly oddechnout a těšit se z toho, že jim ubývají
starosti a nebude tomu tak ani v blízké budoucnosti. Řešení bezpečnostních
trhlin bude stále komplikovanější, takže se ochrana informačních systémů
prostřednictvím proaktivní hluboké ochranné strategie stane kritickým faktorem
pro úspěch většiny společností na trhu.
Úspěšná strategie bude i nadále závislá na faktorech jako senzitivita
managementu firmy na potenciální hrozby, na mixu komponent, které byly vybrány
pro instalaci, i na efektivitě monitoringu a vyhodnocování jednotlivých kroků
procesu.
Kombinací ochrany, detekce a reakce do jedné komplexní strategie se může
pravděpodobnost drahého výpadku nebo veřejné diskreditace velmi zredukovat.
Existence hloubkové ochranné bezpečnostní strategie je také indikátorem, že
firemní management dává ochraně svých informačních systémů velkou prioritu.

Nejlepší praktiky pro zajištění bezpečnosti
Marcia J. Wilsonová

Věřte tomu nebo ne, ale nejlepší praktiky v oblasti síťové bezpečnosti by měly
především pokrývat celou tuto problematiku. Politika ochrany by měla vždy
vznikat na základě porozumění tomu, co vlastně potřebujete chránit a před čím.
Je třeba rozumět úrovním zodpovědnosti a přijmout za svou myšlenku, že
zajištění bezpečnosti je úkolem pro každého a každý zaměstnanec musí rozumět
tomu, jak se ho tato problematika dotýká. Nejlepší praktiky v síťové
bezpečnosti jsou spíše o řešení otázek "co" a "proč" než o tom "jak".
Bezpečnostní politika je formální definicí postoje organizace k bezpečnosti a
vlastně určuje, co je dovoleno a co nikoli. IT manažeři i výkonní pracovníci
čelí informacím o myriádách technologií, z nichž mohou vybírat a tak se často
cítí kapacitně zahlceni řešením úlohy, jaká řešení zvolit. Jak už ale bylo
naznačeno, otázka technologií není v celém procesu tím nejdůležitějším. Aby
zajištění firmy mohlo fungovat efektivně, doporučuje se postupně projít
procesem vytvoření základního bezpečnostního rámce. Tento proces spočívá ve
třech krocích, o kterých bude řeč dále.

Krok č. 1: Příprava
Stadium přípravy zahrnuje vytvoření pravidel bezpečnostní politiky, provedení
analýzy rizik a vytvoření struktury bezpečnostního týmu.

Bezpečnostní politika
Aby bylo možno vytvořit pravidla bezpečnostní politiky, je třeba, aby
organizace určila, jaká úroveň bezpečnosti je pro ní vhodná a dosažitelná při
zvážení organizační struktury, individuálních rolí zaměstnanců a jejich
zodpovědností, již definovaných politik, smluv o úrovni poskytovaných služeb
(SLA, Service Level Agreement) mezi oddělením IT a ostatními odděleními i
korporátní politiky. Je například CEO zproštěn nutnosti podřídit se striktní
politice ohledně přístupových hesel? Je v pořádku, když chce manažer mít
přístup k poště svých podřízených? Má být zaměstnancům zakázán přístup k
internetu nebo k nějakým konkrétním webům? Stojí systémoví správci mimo tyto
zákony?
Pravidla politiky, zvláště pak pravidla říkající, co je povoleno, definují role
uživatelů a jejich zodpovědnosti a mohou být považována za obecná pravidla
nejvyšší úrovně, která mohou pokrývat všechny síťové systémy a data uvnitř
organizace. Pravidla by měla zahrnovat vyjádření akceptovatelného způsobu
použití systémů a dat pro všechny kategorie uživatelů včetně systémového
administrátora.
Záměrem této politiky je jasně definovat účel, nabídnout návody a určovat
zodpovědnosti. Politika by měla také identifikovat specifické akce, které by
měly být odpovědí na narušení bezpečnostní politiky včetně akcí
disciplinárních. Vytiskněte je a pověste na zeď.
Vedení firmy by mělo využít buď potenciálu personálního oddělení nebo
marketingu, aby se ujistilo, že se tato slova dostanou skutečně ke všem
zaměstnancům.
Některé společnosti vyžadují podpis každého zúčastněného zaměstnance na papíře,
který obsahuje vypsané akceptovatelné způsoby použití IT zdrojů. Školení o
bezpečnosti, které je někdy zahrnuto do vstupního školení zaměstnance, může
obsahovat informace o bezpečnostní politice a tak se může stát vhodnou
příležitostí pro získání podpisu každého nového pracovníka.

Analýza rizik
Provedení analýzy rizik je základním procesem, z jehož výsledků lze vyjít při
výstavbě bezpečnostních struktur ve firmě. Mnohé společnosti si najímají
externí auditorské firmy, aby takový audit provedly. Účelem analýzy rizik je
identifikace bodů vstupu do sítě a možné způsoby útoku na síť zvnějšku i
zvnitřku. To vyžaduje identifikaci všech síťových zdrojů a následné přiřazení
odpovídajících úrovní rizik.
Je třeba zodpovědět otázky typu: Jestliže byl kompromitován např. centrální
router nebo firewall, jak velké bude riziko pro firmu? Dalším krokem v analýze
rizik je identifikace, kdo má přístup k jakým zdrojům. Jsou zde běžní
uživatelé, uživatelé s vyššími právy, správci, partneři a další. Zjišťování
oprávnění může být pro některé organizace bolestným procesem vše záleží do
značné míry na tom, jaké metody autorizace a autentizace používají. Některé
metody analýzy rizik zahrnují i technické procesy, jako např. spuštění utilit
pro prolomení hesel na síti.

Bezpečnostní tým
Bezpečnostní tým by měl být obsazen účastníky ze všech operačních oblastí
firmy. Tato skupina lidí je zodpovědná za povědomí o bezpečnostní politice a za
její vynucování, přičemž je informována o technických aspektech bezpečnostní
infrastruktury. Tým je rovněž zodpovědný za reakci na narušení bezpečnosti a za
podávání zpráv nejvyššímu managementu.
Bezpečnostní tým by měl být zodpovědný rovněž za schvalování změn týkajících se
bezpečnosti, případně by se měl člen bezpečnostního týmu účastnit každého
rozhodování týmu zabývajícího se řízením změn ve firmě. Monitorování
bezpečnosti sítě, vytváření definic procesů reakce na incidenty to vše je na
zodpovědnosti bezpečnostního týmu.

Krok č. 2: Organizace
Jakmile jsou jednou sepsány bezpečnostní politiky, provedena analýza
bezpečnosti a vytvořen bezpečnostní tým, je důležité definovat individuální
informační objekty, jako např. zdroje nebo domény. Zdrojem je např. počítačová
platforma, operační systém, aplikace, databáze nebo síťové zařízení. Doménou je
zde myšlena obchodní funkce.
Skutečnost, že jsou v bezpečnostním týmu zastoupena všechna oddělení firmy,
zajišťuje, že mohou být rychle definovány priority a pochopeny případné
komplikace spojené s ochranou nebo s případným řešením bezpečnostních
incidentů. Rozdělení komplexní úlohy na řadu jednoduchých pomáhá posouvat věci
vpřed. Při hledání správného organizačního modelu je vhodné začít kategoriemi s
největšími riziky a poté po seznamu sestupovat dolů.

Krok č. 3: Provedení
Jakmile jsou zrealizovány přípravné kroky a definována organizace, přichází ke
slovu realizace ta už nemusí být tak vyčerpávající, jak se zprvu mohlo zdát. Je
třeba si uvědomit, že distribuované systémy není možné stoprocentně zabezpečit.
Cílem je vytvořit povědomí o zabezpečení, minimalizovat riziko a maximalizovat
využití dostupných technologií.

Vznikající bezpečnostní technologie
Trh bezpečnostních technologií je doslova zavalen produkty, které mají usnadnit
anebo vůbec umožnit kontrolu a řízení všech aspektů bezpečnosti IT ve firmách.
K novým kategoriím technologií patří mj. tyto:
Nástroje pro správu identity: Mechanismy k lepší identifikaci entit nabízejí
kontrolu přístupu jednotlivých uživatelů a umožňují efektivnější řízení
životního cyklu subjektů a objektů v síti.
Software pro prevenci průniků: Nabízí nové přístupy k ochranným systémům tím,
že zdokonaluje identifikaci a prevenci útoku zevnitř i zvenčí podniku; mohou
být nastavena přesná pravidla chování aplikací, vyplývající z definované
podnikové bezpečnostní politiky.
Systémy pro správu bezpečnostních informací: Automatizace sběru a analýzy
informací z bezpečnostních systémů a zařízení z celého podniku i použití
centrální správcovské konzole umožňuje hledání souvislostí mezi jednotlivými
zaznamenanými událostmi a vytvoření přehledných zpráv.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.