Levné skenování nakonec přijde draho

Globální nasazení zdarma dostupného softwaru pro skenování portů Nessus přináší úspory v rozpočtu. Bohužel však...


Globální nasazení zdarma dostupného softwaru pro skenování portů Nessus přináší
úspory v rozpočtu. Bohužel však tento produkt postrádá schopnost generovat
zprávy vyžadované vedením firmy.
Vyhodnocování zranitelných míst je klíčovou součástí našeho celkového programu
zajištění informační bezpečnosti. K této činnosti využíváme produkt Nessus,
nástroj pro skenování portů dostupný zdarma na internetu. Abychom zajistili
plné pokrytí, nainstalovali jsme cosi, co nazýváme skenovacími enginy, na
různých místech v různých pobočkách naší firmy ve Spojených státech, v Evropě i
v Asii.
Každý z enginů se skládá z PC se zabezpečenou instalací Linuxu a s aplikací
Nessus. Výsledný systém je zodpovědný za skenování portů v příslušné
geografické oblasti. V poslední době jsme tyto počítače vylepšili přidáním
operační paměti a vytvořili jsme skripty, které s pomocí nástroje Nessus a
určitých jeho plug-inů nepřetržitě skenují firemní infrastrukturu na určité
typy zranitelných míst.
Jelikož skenujeme ohromný rozsah adres, plný sken s využitím všech dostupných
plug-inů by trval mnoho dní, zabral by spoustu zdrojů a výsledkem by bylo
ohromné množství dat, které bychom museli prozkoumat. Proto se snažíme nalézt
rovnováhu a volíme takové plug-iny, které se zabývají jen těmi nejvážnějšími
riziky.
Negativní stránkou tohoto postupu je nebezpečí, že si nepovšimneme
potenciálního zranitelného místa. Prozatím je však pro nás důležitější možnost
velmi rychle proskenovat celé prostředí. Přesto periodicky provádíme skenování
s využitím většího množství plug-inů, nikoliv však každý den.

Potenciální hrozby
Jeden z plug-inů, které využíváme, slouží ke zjišťování zranitelného místa v
RPC (Remote Procedure Call) DCOM (Distributed Component Object Model),
zodpovědného za šíření červů, jako je Blaster, v počítačové síti. Přednostní
skenování nám umožňuje rychle odhalit zranitelné pracovní stanice a servery.
Ze všech sil se snažíme záplatovat servery a pracovní stanice aktuálními
opravami, nicméně tu a tam dojde k instalaci na místě, které není pod naší
kontrolou (například vývojové laboratoře) a škodlivý kód pak proklouzne do
našeho produkčního prostředí.
Zde je třeba poznamenat, že v naší firmě nejsou vývojové laboratoře pod naší
kontrolou. Servery a další počítače jsou v nich instalovány a rušeny
pravidelně, aniž by se někdo příliš ohlížel na bezpečné postupy instalace.
Pracujeme na plánu, jak tyto laboratoře oddělit od zbytku firemní sítě, ale
dokud tento projekt nebude schválen a nedostaneme na něj peníze, riziko zde
zůstane.
Dalšími důležitými vstupními body pro škodlivý kód jsou virtuální privátní sítě
a dial-up připojení. I když bychom rádi věřili, že zaměstnanci dodržují
pravidla a nevyužívají své domácí počítače pro přístup do firemní sítě, je
zřejmé, že to není až tak úplně pravda. Protože domácí počítače nejsou
záplatovány a nastaveny tak, aby odpovídaly našim standardům, škodlivý kód se
často šíří prostřednictvím takových nezabezpečených zdrojů přes VPN do naší
sítě.

Nedostatky Nessu
Ať už je Nessus jakkoliv užitečným nástrojem, ve srovnání s komerčními produkty
má několik nedostatků. Prvním z nich je absence možnosti centralizované správy.
Bylo by pěkné, kdybychom mohli spravovat všechny skenovací enginy z jednoho
místa, ale pokud používáme Nessus, musíme se ke každému stroji přihlašovat
zvlášť.
Dalším problémem je nemožnost přístupu k infrastruktuře pro skenování na
základě rolí, tak, aby personál, který nemá přímo na starosti bezpečnost, mohl
aplikaci využít k otestování určitých sítí na specifická zranitelná místa.
A pak je zde celá řada problémů ohledně vytváření přehledných zpráv. Bez ohledu
na robustnost, snadnou správu, intuitivnost a nenákladnost produktu, pokud není
možno vytvářet smysluplné zprávy, je těžké získat podporu managementu. Prvotní
data vytvořená pomocí nástroje Nessus jsme určitým způsobem upravovali, ale
nemůžeme si dovolit, aby se některý ze zaměstnanců na plný úvazek věnoval pouze
tvorbě grafických výstupů.
Většina komerčních nástrojů tyto nedostatky řeší, ale je třeba zaplatit vysokou
cenu. Bohužel náš rozpočet na bezpečnost byl drastickým způsobem snížen, takže
musíme pečlivě zvažovat, za co zbývající peníze utratíme.
Pravděpodobně se pokusíme najít nějaký komerční nástroj, který by Nessus
doplnil o silné funkce pro generování zpráv, ale i nadále budeme spravovat
skenovací enginy odděleně. Nebo možná někdo vytvoří open source nástroj pro
centralizovanou správu Nessu.

Trocha zpráv
Další možností, pokud jde o vytváření zpráv, může být nasazení softwaru typu
SEM (Security Event Management). Tyto programy, někdy také nazývané nástroji
pro správu bezpečnostních informací, jsou dosti nové a vypadají slibně.
SEM software umí přesměrovat veškeré záznamy událostí na centralizovaný server,
a to včetně logů ze všech našich firewallů, směrovačů, IDS, nástroje Tripwire,
který monitoruje změny systémových záznamů Unixu a Windows NT.
Server SEM má na starosti následnou agregaci i korelaci dat a vytvoření
smysluplného pohledu na události v daném prostředí. Může také údaje archivovat,
posílat varovná hlášení a zprávy o událostech, trendech a využití.
SEM je silnou technologií, která umí poskytovat informace nejen o
bezpečnostních událostech, ale také o dalších problémech týkajících se
podnikových procesů. To by nám také mělo pomoci se splněním požadavků zákona
Sarbanes-Oxley.
Nyní zkoumám SEM produkty od několika výrobců. Jedním z těch, které mají pro
moji firmu největší potenciál, je ArcSight od stejnojmenné kalifornské firmy.
Zatím jsme měli málo času, ale zdá se, že by mohl být odpovědí na mnoho našich
potřeb v oblasti bezpečnosti, protože umí zpracovat výsledky z našich
skenovacích enginů Nessus. Budou-li jeho funkce pro tvorbu zpráv dostatečně
silné, mohli bychom se díky němu zbavit nutnosti v budoucnu nahradit Nessus
nějakým dražším nástrojem.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.