Nejhorší jsou nekompetentní mluvkové

V rámci náboru nových zaměstnanců do oddělení bezpečnosti IT naráží Mathias na množství nekompetentních mluvků....


V rámci náboru nových zaměstnanců do oddělení bezpečnosti IT naráží Mathias na
množství nekompetentních mluvků. Ještěže alespoň uspokojivě funguje outsourcing
jeho úkolů.
Už uplynuly takřka dva týdny od chvíle, kdy se dva ze členů mého týmu rozhodli
odejít, a já jsem stále nenašel vhodnou náhradu. Ačkoli jsem se setkal s
množstvím různých kandidátů, jen zanedbatelný počet z nich měl nějakou alespoň
trochu přijatelnou kvalifikaci. A co je ještě horší, nekvalifikovaní kandidáti
bez problémů procházeli výběrovým procesem naší agentury. Předpokládal jsem, že
personální agentura, kterou jsme najali, vyfiltruje ty zájemce o nabízené
pozice, kteří nesplňují naše požadavky, takže ti, kteří přijdou na interview,
budou alespoň trochu kvalifikovaní pro nabízenou práci. Osobně jsem ale
prováděl pohovor asi s dvanácti lidmi, a pouze jeden projevoval jakési vzdálené
náznaky kvalifikace vhodné pro naše účely. Ostatní kandidáti byli buď čerstvě
po škole, a neměli tedy žádné praktické zkušenosti, nebo byli tím, koho já
nazývám nekompetentním mluvkou. Tito "bezpečnostní profesionálové" byli schopni
mluvit a mluvit, ale nezvládli by přidat nového uživatele do unixového
operačního systému ani v případě, že by na tom záležel jejich život. Jestli se
chystáte najmout agenturu pro výběr kandidátů na volná místa ve své firmě, je
třeba ji vybavit seznamem technických otázek, které musí být každý zájemce o
práci schopen zodpovědět. Například bezpečnostní inženýr se zkušeností s prací
se Solarisem by měl být schopen popsat použití příkazu pro konfiguraci
uživatelského rozhraní. V tomto okamžiku tedy připravuji sadu takových otázek
(a správných odpovědí) a v nejbližší době je předám naší agentuře. Když budou
vyzbrojeni takovým nástrojem, měli by být schopni odfiltrovat jedince, kteří
mají sice na první pohled dobré předpoklady, ale chybí jim praktické
zkušenosti. A mně by to mělo ušetřit čas, který musím trávit pohovory se
špatnými kandidáty. Po pravdě řečeno tento krok stejně neřeší můj základní
problém totiž nalezení vhodných kandidátů. Patrně jich zase nebude tak mnoho.

Náhradní řešení
Naštěstí se ukázalo, že opatření, v jejichž rámci kolegové z NOC (Network
Operations Center) převzali některé z našich denních úkolů, fungují úspěšně.
Odborníci z NOC teď mají na starosti obsluhu systému Tripwire, který kontroluje
stav důležitých systémových souborů, a infrastrukturu SecurID. S uživateli
tokenů SecurID si dosud vždy poradili bez mé pomoci. A zatím pouze několik
incidentů Tripwire vyžadovalo mou osobní přítomnost. Naštěstí šlo ve všech
těchto případech o falešné poplachy.

Umění správy IDS
V posledních dnech jsem strávil poměrně velké množství času laděním senzorů
našeho systému IDS (Intrusion-Detection System) Snort. Jeho senzory jsou
nasazeny v našich pobočkách v severní Kalifornii, na Jihovýchodě a Středozápadě
a všechny jsou nastaveny tak, aby sledovaly provoz uvnitř naší firemní sítě
LAN. Do sítě jsme je implementovali tak, aby pozorovaly pouze provoz proudící
přímo do a nebo z našich firemních firewallů. Používáme také IDS senzory od
společnosti Cisco, kterými sledujeme své externí firewally, ale ty jsme ladili
už dříve a nyní pracují k naší plné spokojenosti. Spravuji je prostřednictvím
separátního nástroje, jejich hlášení však putují do centrální konzole, odkud
máme přehled o celé naší bezpečnostní infrastruktuře. Ladění systému IDS je
velmi časově náročný a vyčerpávající proces. Je však také poučný, protože se
díky němu takřka intimně seznámíte se všemi podrobnostmi o konfiguraci a
způsoby správy vaší sítě. V průběhu procesu ladění systému IDS jsem se také
blíže seznámil s některými kolegy ve firmě, se kterými jsem zatím neměl nic do
činění. Problém ladění IDS spočívá v tom, že nechcete odfiltrovat události,
které by vás mohly upozorňovat na potenciální hackerské aktivity ve vaší síti.
Pokud jde o naši síť, v ní se například díky způsobu její správy vyskytuje
nadměrný objem provozu SNMP (Simple Network Management Protocol). Současně ale
potřebujeme kontrolovat některé jeho známé slabiny, a proto nechci sondy
nastavit tak, aby ho zcela ignorovaly. Vtip je v tom, určit, který provoz je
legitimní, a poté umístit filtry v rámci softwaru IDS tak, aby provoz, který je
v pořádku, nevyvolával poplach, zatímco ten podezřelý ano.

I multimédia
Při ladění našeho systému IDS jsem se musel vypořádat s desítkami takových
scénářů. Provoz pocházející z aplikací typu instant messaging je dalším takovým
příkladem. Za normálních okolností mnoho firem prosazuje politiku, v jejímž
rámci je tento typ provozu zcela zakázán. Když jsem ale zjišťoval, jak a kde
tento provoz v naší firmě vzniká a k čemu jsou přenosy využívány, zjistil jsem,
že naše centra technické podpory jej využívají ke komunikaci se zákazníky.
Ukázalo se tedy, že tento provoz nemohu kompletně zablokovat, a tak jsem filtry
nastavil tak, aby pakety pro instant messaging ignorovaly, pokud míří na IP
adresy technické podpory, ale věnovaly pozornost těm, které míří jinam. Je to
tak: instant messaging nepředstavuje vážné bezpečnostní riziko, ale na druhou
stranu představuje porušení naší firemní politiky. Další velký problém
představují programy pro sdílení hudby. Existuje několik aplikací, které
uživatelům dovolují vyhledávat, sdílet a downloadovat hudbu a kompletní filmy
prostřednictvím internetu. Jejich používání je rovněž v rozporu s naší firemní
politikou. A tak mě trochu překvapilo, když jsem zjistil, že 60 % našeho
síťového provozu v jedné vzdálené lokalitě bylo způsobeno právě tímto druhem
provozu. Abych se s tímto problémem vypořádal, provedl jsem takovou změnu
nastavení, aby byl příslušný typ provozu blokován na firewallu.

Měli byste vědět
Abyste mohli nastavit systém IDS, musíte rozumět své síti a způsobu, jakým je
monitorována a spravována. A musíte také vědět, jaké aplikace vaši zaměstnanci
používají, protože používání některých z nich může za určitých okolností
vyvolávat falešné poplachy. S některým typem provozu se můžete vypořádat
technickými prostředky (například zablokováním na firewallu), jiný je třeba
řešit administrativními opatřeními (kontaktovat jednotlivé zaměstnance nebo
jejich manažery). Ostatní provoz musí být odfiltrován tak, aby mohla IDS
infrastruktura skutečně efektivně zkoumat ty druhy provozu, které mohou
představovat reálnou hrozbu, a nechávala bez povšimnutí ty, které nebezpečné
nejsou. Otázka ovšem zní: Je toto skutečně kompletní a efektivní řešení, jak se
vypořádat s celým problémem? Pravděpodobně ne. Protože mám ale v tomto okamžiku
méně lidí, než potřebuji, musel jsem nastavit náš systém IDS tak, abych
netrávil celý den reakcemi na falešné poplachy. Nakonec ještě vyškolím několik
analytiků z NOC, aby zvládli monitoring IDS bez mé podpory. Ale teď potřebuji
trochu času, abych se konečně volně nadechl a mohl se věnovat dalším otázkám
naší firemní bezpečnosti.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.