Obrana proti aktuálním hrozbám

Ve světle loňských podzimních událostí začíná Mathias provádět interní revizi zabezpečení IT systémů své spol...


Ve světle loňských podzimních událostí začíná Mathias provádět interní revizi
zabezpečení IT systémů své společnosti. Přitom zjišťuje řadu problémů.
Od tragédie z 11. září jsem přemýšlel o tom, co bych mohl učinit, aby naše
firma byla připravena na případný další akt terorismu a na možnost, že se
nějakým způsobem stane jeho obětí. Také jsem se zabýval úvahami, jakým způsobem
bych mohl zabránit útoku teroristů na naši firmu, případně tomu, aby teroristé
určitým způsobem zneužili naši podnikovou infrastrukturu.
Počítače a internet bezpochyby byly při přípravě onoho strašlivého činu nějak
využity, ať již se jednalo o šifrované e-maily, digitální steganografii,
diskusní skupiny (newsgroups), chat nebo jiné aplikace pro instant messaging
všechny tyto technologie umožňují utajenou komunikaci.
Nemohu ovlivnit to, co je na internetu dostupné, ale udělám všechno, co budu
moci, abych zabránil kybernetickým teroristům zneužít informační systémy své
firmy k útoku na ni nebo na moji zemi. Nechci být takovým manažerem pro
bezpečnost, který nechá využívat firemní počítačové systémy k přepravování
zpráv nebo k ukládání informací, které mají sloužit k provedení teroristického
útoku. Naštěstí jsou zde věci, které pro to mohu učinit. Již dříve jsme zavedli
mnohá bezpečnostní opatření, ale ta nyní přezkoumávám, abych se ujistil, že
opravdu děláme vše, co je v našich silách.

Zpět k základům
Začal jsem tím, že jsem se podíval na proces vytváření uživatelských účtů,
nastavení přístupu pro správu a dalších druhů práv, která by mohla umožnit
neautorizovaný přístup. Naše informační systémy denně spravuje přes 150
zaměstnanců. Předtím, než někdo dostane administrátorská práva, prochází tento
požadavek procesem důkladného přezkoumání. Protože jsem členem týmu, který
tento přezkum provádí, pravidelně zpochybňuji podobné požadavky v případech,
kdy se domnívám, že nejsou na místě. Současně také kontroluji, zda uživatelské
účty zaměstnanců, kteří z naší firmy odešli, byly patřičným způsobem zrušeny
nebo pozastaveny, což je součástí naší firemní politiky.
K omezení administrátorského přístupu jednotlivých uživatelů používáme celou
řadu nástrojů. Jenom určití zaměstnanci mají plná oprávnění. Zbylým
administrátorským účtům jsou přidělena jen taková práva, která jsou nezbytná
pro to, aby dotyčný mohl vykonávat své pracovní povinnosti. Abychom toho
dosáhli, využíváme pro Windows NT silnou kombinaci uživatelských a skupinových
profilů, v Unixu pak zdarma dostupnou utilitu Sudo. Také začínáme implementovat
infrastrukturu od firmy RSA Security, která k zabezpečení administrátorského
přístupu používá tokenů SecurID.
V zásadě existují tři způsoby autentizace: něco, co znáte (heslo), něco, co
vlastníte (např. karta do bankomatu), a konečně něco, čím jste (např. otisky
prstů). SecurID tokeny využívají současně dva autentizační mechanismy,
kupříkladu token a přístupový kód.
Pak je zde problém fyzického přístupu. Mnoho firem včetně té, kde pracuji,
odděluje informační a fyzické zabezpečení. Přesto by manažer pro informační
bezpečnost měl být informován o tom, jak je zajištěno fyzické zabezpečení jeho
společnosti. Ani nejlepší firewall na světě nezmůže nic, pokud někdo může
přijít k unixovému systému s laptopem, připojit ho k jeho sériovému portu nebo
nabootovat systém z diskety. Fyzická kontrola přístupu a zabezpečení pracoviště
jsou proto důležité.
Pokusil jsem se získat neautorizovaný přístup do naší budovy. Podařilo se mi
procházet kancelářemi například ve mzdovém či provozním oddělení, dokonce i u
vedoucích pracovníků firmy, přičemž jsem sledoval nezabezpečená místa, hesla
pod klávesnicemi a nezaheslované spořiče obrazovky. Výsledkem mých zjištění
jsou úpravy stávajících opatření tak, aby byly vyřešeny alespoň technické
problémy spjaté s IT třeba vynucení automatického spuštění zaheslovaného
spořiče obrazovky na jednotlivých pracovních stanicích. Také jsem hovořil s
naší bezpečnostní službou o tom, jak se mi bez problémů podařilo o víkendu
dostat do naší budovy.

Plánování bezpečnosti
Uvažuji také o tom, že bych napsal podvržený životopis, a tím otestoval
fungování náboru zaměstnanců. Hackeři se již několikrát pokusili získat fyzický
přístup do firem pod záminkou pohovoru s uchazeči o místo pracovníka informační
bezpečnosti. Vzpomínám si na příběh, který se stal před několika lety, kdy byl
jistý člověk zaměstnán u telefonní společnosti a nainstaloval back door do
několika ústředen, aby mohl zdarma uskutečňovat meziměstské hovory. Bez
patřičné kontroly nikdy nevíte, koho vlastně zaměstnáváte.
Kdy jste se naposledy hrabali v popelnicích? U některých firem namísto ničení
dokumentů cestou z práce zaměstnanci vyhazují papíry obsahující často velmi
citlivá data jednoduše do popelnice. U svého předchozího zaměstnavatele jsem
jednou takto získal dokument obsahující údaje o nastavení VPN kompletně včetně
přístupových hesel, která jsou třeba k vytvoření tunelovaného připojení přes
VPN. Dokonce jsem našel i webovou adresu, kde si mohu stáhnout příslušný
klientský software.
Mám také v plánu zaměřit se na naši připravenost na katastrofické události a
opatření k zajištění kontinuity provozu firmy. Informační systémy firem z Wall
Streetu jsou patrně na podobné události tak připravené, jak je to jen možné.
Naneštěstí však mnoho firem má k těmto opatřením a metodikám velmi daleko. Ať
už jde o peníze, technologii nebo samotné uvědomování si podobných eventualit,
zdá se, že podniky mají vždy po ruce nějakou výmluvu, proč se nezabývají plánem
na zajištění kontinuity podnikání či zotavení z případné katastrofy.
Ani jeden z mých čtyř předchozích zaměstnavatelů neinvestoval do vytvoření
podobného plánu. Pokaždé, když jsem se takový program pokoušel vytvořit,
podařilo se mi odůvodnit a získat peníze jen na zálohovací systémy a ukládání
dat mimo firmu. Mnohé podniky, jak se zdá, jsou ochotny raději přijmout nízké
riziko katastrofy, které podle nich převažuje nad náklady a zdroji nutnými k
vytvoření alternativního místa k zajištění činnosti v případě takové události.
Jistě je to drahé. A některé firmy snad mohou ospravedlnit riziko, které s
sebou neinvestování do nutné infrastruktury nese. Pro mne jako pro manažera pro
bezpečnost je ale důležité, abych přednesl tento modelový případ vedení firmy a
zajistil, že důsledky ztráty infrastruktury uvidí z náležité perspektivy.

Slovník pojmů a odkazy na web
Digitální steganografie: Ukrývání dokumentů, jako jsou textové soubory, tabulky
nebo mapy, uvnitř jiných souborů. V praxi se k tomuto účelu často využívají
grafické soubory, ale tato technologie umožňuje pracovat prakticky s libovolným
typem souborů. Jakmile je takovýto soubor vytvořen, dokumenty v něm ukryté je
prakticky nemožné odhalit.

Odkazy
S pomocí softwarové utility Sudo, která je k dispozici zdarma (autorem je Todd
Miller, najdete ji na adrese http://www.courtesan.com/sudo/), může
administrátor přidělit jednotlivým uživatelům či skupinám práva ke spuštění
určitých příkazů s právy roota.
Jednou z cest ke zlepšení bezpečnosti je omezení přístupu k datovým centrům
pomocí čteček otisků prstů nebo jiných biometrických zařízení. Torontská firma
Bioscrypt (http://www.bioscrypt.com/) nabízí na svých webových stránkách celou
řadu zařízení, která k tomu můžete využít. Nechybí ani zajímavé dokumenty
týkající se této problematiky.
Web Sans Institutu poskytuje vynikající přehled steganografie
(http://rr.sans.org/covertchannels/steganography.php). K dispozici je mj.
široký seznam souvisejících odkazů a knih dostupných on-line.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.