Pozitivní poznatky z konference

Náš manažer bezpečnosti navštívil konferenci RSA a setkal se s velkým zájmem o antivirové brány. Měl jsem příl...


Náš manažer bezpečnosti navštívil konferenci RSA a setkal se s velkým zájmem o
antivirové brány.

Měl jsem příležitost strávit skoro týden na letošní konferenci RSA. Ze všech
konferencí o bezpečnosti mám právě tuto nejraději. Spojuje spoustu
informativních seminářů pokrývajících různé technické úrovně s prezentacemi
výrobců, kteří předvádějí nové a zdokonalené produkty. To, co ji odlišuje od
ostatních, je šířka seminářů a kvalita přednášejících. Mnozí z nich jsou
vedoucími pracovníky, kteří ani tak neusilují o prodej svých výrobků, jako
spíše o vzdělávání účastníků v konkrétní problematice. (Nemohu ale tvrdit, že k
prodeji výrobků tam příležitost není.) Rád hovořím se zástupci výrobců, abych
se o nových technologiích něco dozvěděl, ale především doufám, že si potvrdím
správnost svých rozhodnutí, která už jsem učinil. Například jsme se rozhodli
nasadit dvoufaktorovou autentizaci od RSA. Po návštěvě u konkurenčních
dodavatelů jsem byl spokojen RSA pro nás byla tím pravým dodavatelem.
Dále jsem se rozhodl navštívit společnost Guidance Software, kterou považuji za
nejlepšího dodavatele forenzního softwaru. Na uvedené konferenci jsem měl
možnost prozkoumat novou verzi 5.0 jejich řady Encase, a seznam toho, co bylo
vylepšeno, na mě udělal velký dojem.

Antivirové brány
Zdá se, že každý rok je tématem konference jiná technologie. Vloni to byla
správa identit, tento rok se rozruch strhl kolem antivirových bran. Byla to
skutečně aktuální věc do naší sítě se dostal závadný kód a otázka nasazení
takových bran byla na pořadu dne.
Na vysvětlenou: nedávno jsme rozdělili síť na segmenty podle typu
infrastruktury, kterou chráníme. Protože naše bezdrátová síť je zranitelná
různými útoky, rozdělili jsme ji tak, aby uživatelé byli k síti připojeni bez
logické vazby na další oblasti infrastruktury.
Jedna síť slouží našim finančním systémům a je od ostatních oblastí oddělena,
protože pracuje s citlivými daty. Další segmenty jsou určeny pro stolní
počítače, databáze, pro systémy důležité z hlediska obratu firmy, monitorovací
systémy, pro bezpečnostní infrastrukturu, vývoj, pro provozní personál a právní
oddělení, pro účtárnu či pro prodej a marketing.
Díky takové segmentaci můžeme uživatele chránit a regulovat, k čemu budou mít
přístup. Vytvořili jsme například síť přímo pro aplikaci PeopleSoftu, a to v
rámci jednoho z našich oddělení lidských zdrojů (HR). Pravidla firewallu
omezují činnost této aplikace pouze na síť HR to je velmi jasné pravidlo.
Výjimky se dají ošetřit případ od případu.
Samoobslužné rozhraní pro zaměstnance zůstává u skoro všech sítí otevřené, ale
přístup do správcovských oblastí striktně kontrolujeme. Pokud nějaký
zaměstnanec z finančního oddělení potřebuje administrativní přístup k aplikaci
PeopleSoftu, můžeme jeho případ jednoduše vyřešit nějakým jednorázovým příkazem.
Škodlivý program nás proto může ohrozit jen v některých oblastech. Protože
pravidelně kontrolujeme servery v provozní části sítě a většinu počítačů, zde
potíže nemíváme. Máme poštovní brány, které dokonale filtrují provoz, a na
počítačích jsou nainstalované antivirové programy.

Problémové sítě
Potíže nastávají se sítěmi, které jsou více otevřené, ale mají ještě další
logickou souvislost se zbylými oblastmi společnosti. Typickým příkladem jsou
laboratoře. Řada našich laboratorních zdrojů není vybavena softwarovými
opravami (patchemi), nemají nainstalovanou ochranu proti virům a chybí jim i
zabezpečení proti dalším neoprávněným aktivitám.
Jiný příklad: zaměstnancům, kteří pracují z domova, poskytujeme přístup
prostřednictvím služby DSL (Digital Subscriber Line). Naše DSL síť je soukromý
okruh, který uživatelům umožňuje přímo se připojit do sítě. Tím, že se
připojují ze svých domovů, jsou k naší síti zároveň připojeny i jejich domácí
počítače, bezdrátové access pointy a kdoví, co ještě. Nedokážeme kontrolovat,
která zařízení jsou k síti připojena, takže vůči takové infekci nejsme imunní.
Síť můžeme také překonfigurovat tak, abychom přístup omezili jen pro
autorizovaná zařízení, avšak tento typ obrany je velmi náročný. Jako prozatímní
řešení lze také nasadit brány, které by dokázaly takové problémové sítě
ochránit před nejběžnějšími a nejničivějšími útoky.

Řešení je nalezeno
Zdá se, že přesně to, co hledáme, nabízí společnost Fortinet. Jejich zařízení
poskytuje zároveň antivirovou ochranu v reálném čase, funkci firewallu a IDP
(Intrusion Detection and Prevention).
Produkty od Fortinetu také nabízejí takzvaný "skrytý" režim, takže se nebudeme
muset znepokojovat ohledně činnosti jiných firewallů nebo pravidel routerů. To
je ideální situace, protože tým, který se stará o provoz sítě, se obával, že v
případě nasazení uvedených bran budou muset firewally řídit dvě skupiny.
(Osobně si myslím, že informační bezpečnost by měla být založena zejména na
firewalech, ale to je jiná kapitola.)
Proto asi nebudeme tato zařízení používat jako firewall ani jako prostředek pro
virtuální privátní síť, jelikož tyto věci řeší pracovníci správy sítě.
Použijeme je ale pro detekci virů a škodlivých programů a pro prevenci.
Zařízení nebude jen detekovat viry přicházející po drátových sítích a provádět
prevenci, ale odhalí i ostatní typy škodlivých programů, jako jsou červi či
trojské koně. Zařízení lze také nakonfigurovat tak, aby přerušilo provoz, jenž
obsahuje škodlivý obsah. Budeme to samozřejmě muset vyzkoušet, protože nechceme
kvůli falešným hlášením komplikovat platný provoz.
Na konci konferenčního týdne jsem byl přesvědčen, že do naší rozsegmentované
sítě budeme moci nasadit robustní systém, který zbytek organizace ochrání.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.