Nový manažer bezpečnosti začíná od bodu nula

Máme 25 zastoupení prodeje a služeb po celém světě, všechna centra používají virtuální privátní sítě pro přip...


Máme 25 zastoupení prodeje a služeb po celém světě, všechna centra používají
virtuální privátní sítě pro připojení na náš firemní intranet. Využívají je
především pro e-mail, přístup na Internet a ke sdílení souborů.
Svoji pozici jsem získal poté, co můj zaměstnavatel najal bezpečnostní
konzultační firmu, aby provedla jeden z těch externích, 30 000dolarových
týdenních bezpečnostních auditů. Pokud jste ještě neměli to potěšení být v
situaci, kdy nějací hackeři věnovali tři týdny svého života tomu, aby kompletně
zničili vaši existenci, pak nevíte, o co jste přišli. Je to něco ohromujícího a
stojí to spoustu peněz. Firma to zvládla celkem dobře. Vyskytly se však některé
palčivé otázky, které vyžadují další rozbor.
Jedna ze zpráv auditu doporučovala najmout bezpečnostního manažera a vybudovat
tým zaměřený na bezpečnost IT. Proto jsem tady. Zodpovídám se přímo našemu
řediteli informatiky (CIO), mám k dispozici dostatečný rozpočet na hardware a
software i na najmutí dvou bezpečnostních inženýrů. Začal jsem tím, že jsem
nejprve sestavil seznam krátkodobých projektů.
Můj plán
Projdu si výsledky auditu a zaměřím se na zjištěná kritická místa. Současně
vytvořím plán projektu na řešení kritických míst, seznámím se s manažery ve
všech odděleních, dopodrobna prostuduji celou síť a aplikace, vyberu lidi z
různých oddělení a sestavím tým lidí, kteří budou plnit vzájemně se doplňující
úkoly.
Navíc jsem si začal psát nákupní seznam: systém identifikace napadení
(intrusion-detection system IDS), software pro kontrolu integrity souborů,
infrastruktura s dvoufaktorovou autentizací, nástroje pro identifikaci
napadnutelných míst v systému, software pro bezpečnou správu systému a hardware
podporující všechny tyto aplikace. Firma již významně investovala do firewallů
Pix od Cisco Systems, proto je nebudu měnit. Oddělení pro vývoj a údržbu sítě
se doposud o firewally staralo, proto jim tuto práci nechám, jen budu
pravidelně kontrolovat dodržování pravidel.
V současné době jsem ve fázi vyhodnocení a volby určitého systému IDS. Svůj
výběr jsem zúžil na SafeSuite od Internet Security Systems, NFR Intrusion
Detection System od NFR Security a na relativně nový nástroj s dobrou pověstí
nazývaný Dragon, od Enterasys Networks. Musím zvolit jeden nástroj, který bude
vyžadovat co nejméně údržby, bude schopen zvládnout velký objem datové
komunikace v naší síti a bude finančně výhodný. Ke zvolenému produktu pak
přidám nějaký shareware a pár domácích nástrojů pro vyhodnocování dat. Co se
týče softwaru pro kontrolu integrity souborů, neexistuje podle mě lepší produkt
než software Tripwire od stejnojmenné společnosti. Obsahuje novou konzoli
umožňující centralizované řízení, která komunikuje s ostatními počítači
prostřednictvím Tripwire a zároveň umožňuje měnit uspořádání souborů a
odpovídající pravidla v průběhu práce. Šikovné.
Budu využívat ACE/Server od RSA Security a pořídím si také sadu tokenů, které
vyřeší mé problémy autentizace. Dodavatel antivirového softwaru, F-Secure z
Finska, nabízí program s plnou podporou SSH zajišťující bezpečné relace právě
prostřednictvím SecurID tokenů přes server RADIUS. Použití těchto tokenů v
kombinaci s SSH přitom doposud představovalo velký problém, protože oba prvky
spolu nedokázaly pracovat.

Náš dopisovatel Jude Thaddeus, který dosud tento zápisník manažera pro
bezpečnost psal, se rozhodl předat štafetu. Nový autor, "Mathias Thurman," je
připraven na něj navázat. Ve sféře managementu se ocitl poprvé a se svým novým
vznešeným titulem stojí tváří v tvář strašnému úkolu vybudovat bezpečnostní
infrastrukturu v rychle rostoucí firmě, která teprve nedávno zahájila činnost.
Má svoji práci. Má rozpočet. Teď už jen potřebuje plán.

Slovník na tento týden
SSH: Secure Shell je standardní program zajišťující šifrování uživatelských
relací mezi vzdálenými počítači. Umožňuje uživatelům vytvářet si veřejné a
soukromé klíče pro řízení přístupu k těmto relacím. K dispozici jsou verze
komerční i shareware.
SecurID token: Zařízení o rozměrech kreditní karty, kterému je náhodně
přiděleno vybrané číslo. Lze jej používat v kombinaci s osobním identifikačním
číslem, což představuje další úroveň autentizace pro povolení přístupu ke
zdroji.
RADIUS server: Remote Authentication Dial-in User Service (RADIUS) umožňuje
více serverům a zařízením předávat informaci o autentizaci do jediného
počítače. Server RADIUS obsahuje informace potřebné pro autentizaci. Two-factor
authentication (dvoufaktorová autentizace): Jde o schéma autentizace, které
vyžaduje od uživatelů, aby oznámili něco, co by měli znát, a něco, co mají nebo
čím "jsou". Běžné identifikační číslo a heslo uživatele se nepovažuje za
dvoufaktorovou autentizaci, ale číslo/heslo uživatele v kombinaci s digitální
identifikací (kartou, tokenem) nebo v kombinaci se snímačem otisků prstů se
hodnotí jako dvoufaktorová autentizace.
Man trap: Padací dveře, obvykle je to koridor v počítači, který uvězní útočníka
v případě, kdy se dostane přes prvotní fyzické kontrolní body.
1 1235 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.