Nedostatek kontroly nad sítí způsobuje zlé sny

Zjistit, co se ve skutečnosti děje v síti, může být někdy těžkým úkolem. Manažerku bezpečnosti tento problém vel...


Zjistit, co se ve skutečnosti děje v síti, může být někdy těžkým úkolem.
Manažerku bezpečnosti tento problém velmi trápí.

Přednedávnem se mi zdál špatný sen. Zdálo se mi, že spím na zadním sedadle
kabrioletu. Probudila jsem se, protože se ochladilo a auto se kymácelo.
Promnula jsem si oči a podívala se na přední sedadlo. Nikdo neřídil. Přelezla
jsem přes opěradlo, chytila volant a zjistila, že auto nedokáži ovládat. Nebylo
to, jako když se auto nekontrolovaně řítí vpřed; mělo vlastní rozum. Jelo se
mnou klidně strmými točitými horskými cestami, se srázy na obou stranách.
Předtím, než se auto konečně zastavilo, se cesta stále zužovala. Podívala jsem
se kolem a náhle jsem byla plná strachu. Pak jsem se naštěstí probudila. Mohli
bychom se teď chvilku o snu pobavit, interpretovat jej, ale podle mého názoru
je celkem jasné, že ukazuje moje pocity z řízení informační bezpečnosti. Řídím,
ale nemám nic pod kontrolou. Jistě, nespustili jsme se ze srázu a budu ráda,
pokud to tak zůstane i nadále. Ale pokud možno s mým přispěním. Musím chránit
informační aktiva společnosti a nechci oznamovat našim zákazníkům, že došlo k
úniku jejich osobních informací nebo předávat vedení zprávu, že naši síť někdo
zvenčí ovládl. Abych udržela špatné sny v bezpečné vzdálenosti, musím učinit
několik změn. Pro začátek jsem se druhý den sešla se svou šéfkou a řekla jí, že
bych chtěla mít úplnou kontrolu nad celým bezpečnostním provozem sítě včetně
firewallu, VPN, směrovačů a správy přístupu do domény. Tyto oblasti jsou v
současné době řízeny IT, nikoliv bezpečnostním oddělením.

Co je třeba
Potřebuji také dalšího zaměstnance. Potřebuji nástroje. A chci organizační
změnu. Nezajímá mě politika. Nezajímají mě procesy a postupy (Sarbanes-Oxley by
měl být odsouzen k věčnému zatracení). Zajímám se jenom o to, čím mohu ochránit
informační aktiva společnosti. Co mě k tomu přinutilo? Ve svém minulém sloupku
jsem válčila s viry. Jde to dobře. Najali jsme si dodavatele, který nedělá nic
jiného, než že sleduje infikované systémy, hledá v nich viry i spyware a
aplikuje záplaty operačního systému. Můžete se ptát: "Proč to sakra není
automatizované?" Je to dlouhý příběh, ale nezapomeňte, že jsem tu síť zdědila.
Nevytvořila jsem ji. Podnikový antivirový systém by měl být aktualizován během
jednoho nebo dvou týdnů, což by mělo přinést přísnější kontroly a méně
manuálního úsilí. Zdá se, že podezřelý provoz identifikovaný externími
konzultanty, který jsem připisovala virům a trojským koním, skončil. IT má
rozpracovanou celou řadu projektů upgradu infrastruktury na úrovni serverů i
stolních počítačů. Můj tým se na těchto projektech aktivně podílel a ustanovil
bezpečnostní požadavky. Dokud nebudou tyto projekty ukončeny, bude moje práce
podstatně tvrdší. Což je důvodem mé současné frustrace.

Zcela bezradná
Přiznávám, že vůbec nemáme ponětí, co se v naší síti ve skutečnosti vlastně
děje. (Prosím vás, kolegy z oddělení bezpečnosti, kteří používáte všechny ty
báječné nástroje a je vám jasné, jak na to opravdu nemusíte reagovat.) Zjistili
jsme, že naše systémy detekce narušení sítě (NIDS) dohlížejí pouze na cca 50 %
síťového provozu. Problém tkví v tom, že jsme se příliš spoléhali na spanning
portů. Principem je, že kopie každého paketu, který prochází přepínačem, je
odeslána monitorovacímu portu. Prostřednictvím přepínaného analyzátoru portů
(span) kopírujeme veškerý provoz z různých přepínačů na port, kde se nachází
naše sonda. NIDS pasivně monitoruje provoz a na základě souboru pravidel
popisujících nežádoucí aktivity vysílá varovné zprávy. Jsou tu ale problémy
způsobené omezeními relace, přepínači, které nezvládají přenášet rspan provoz,
i dalšími technickými příčinami. Také vedeme urputný boj s IT o samotné span
porty. Když dostaneme varování od NIDS o nulovém počtu událostí, víme, že něco
není v pořádku. Ulovilo zase IT oddělení náš span port? A tak jsme začali
zkoumat jiné metody dohlížení nad provozem.

Hledání řešení
Potřebovali jsme nějaký efektivní způsob, jak se napojit na síťový provoz;
něco, co by slučovalo plně obousměrný provoz do jednoho datového toku, který by
mohl náš NIDS využívající volně dostupného programu Snort zpracovávat. Několik
dobrých základních informací jsme našli na webu Talisker Security Wizardry
(securitywizardry.com/taps.htm) a vybrali jsme si produkt k testování v našem
prostředí. Společnost Net Optics nabízí zařízení pro agregaci portů (takzvané
network taps), která, zdá se, umožňují plně obousměrné monitorování pomocí
jedné karty síťového rozhraní. Produkt mimo jiné disponuje technologií ukládání
do vyrovnávací paměti pro zvládání špiček síťového provozu. Dále jsme museli
rozhodnout, kam uvedená zařízení umístíme. Zcela jistě bychom měli jedno
umístit na firewall, druhé do demilitarizované zóny, jedno pro monitorování
provozu VPN, jedno pro monitorování provozu WAN a několik na důležité segmenty
LAN. Ale kolik to všechno bude stát? Každé zařízení přijde asi na 950 dolarů.
Zdá se to hodně, ale raději zaplatím víc za vysoce výkonné a plně funkční
zařízení než za primitivní a levnější zařízení, které nám nedokáže dát to, co
potřebujeme. A musíme zapřemýšlet nad docela velkou obměnou softwaru pro
korelaci událostí. Teď totiž snad konečně budeme dohlížet nad celým provozem a
událostí tak bude daleko více. Dobrou zprávou je, že jsme sice narazili na
závažný problém, ale našli jsme cestu, jak se s ním vypořádat. Načasování bylo
skvělé, protože jsem mohla upravit právě připravovaný rozpočet, který nyní
zahrnuje i náklady na řešení. Špatnou zprávou je, že stále potřebuji nalézt
způsob, jak přesvědčit šéfku o tom, že bezpečnost sítě je závažným problémem.
Abychom mohli účinně chránit informační aktiva společnosti, potřebujeme úplnou
kontrolu nad provozem IT. To by ale vyžadovalo organizační změnu na vysokých
úrovních společnosti. Politické důsledky takové změny jsou stejně znepokojivé
jako samotný úkol, který musíme řešit.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.