Trhliny v antivirovém pancíři

Naše firma, velká organizace poskytující finanční služby, před osmnácti měsíci zažila několik útoků, které byl...


Naše firma, velká organizace poskytující finanční služby, před osmnácti měsíci
zažila několik útoků, které byly zastaveny jen díky šťastné shodě náhod. S
rostoucím vědomím o významu bezpečnosti mě vedení firmy najalo na pozici
manažera bezpečnosti IT, aby zajistilo ochranu informační infrastruktury a
příslušných operací.
Řídím tým pěti lidí a odpovídám za roční rozpočet 750 tisíc dolarů. S těmito
zdroji musím chránit 4 315 zařízení propojených do jedné IP sítě a 617
zaměstnanců před reálnými i imaginárními hrozbami "nové ekonomiky" a udržovat
naše vedení i zákazníky v přesvědčení, že jsme bezpečná a důvěryhodná firma.
Jak jsem se dozvěděl, že máme 4 315 zařízení připojených do sítě? Je to díky
tomu, že disponujeme systémem pro vyhledávání slabin sítě. To zní jistě velmi
působivě ve skutečnosti však tento systém obsahuje ping sweep, program nmap pro
skenování portů a Internet Scanner od Internet Security Systems. Bylo by
snadnější, kdyby moje firma měla přesný inventář vybavení, které koupila a
nainstalovala, ale vzhledem k organizačnímu rozdělení na pracoviště vývoje a
provozu neexistuje žádná centrální evidence.

Výsledky kontroly
Vřele všem doporučuji zkontrolovat, jaké systémy se nacházejí v jejich
firemních sítích. U nás většinou používáme Windows NT Workstation 4 pro
desktopy, několik serverů Windows NT 4, systémy Sun Solaris a skupinu výkonných
back-office serverů, na nichž běží OpenVMS. Všechny počítače jsou propojeny
pomocí routerů a přepínačů od Cisco Systems. Tohle všechno jsme ale věděli už
předtím, než jsme začali s testováním. Až při něm jsme však získali daleko
důležitější informace o dějích v síti, které v ní oficiálně nemají co dělat: z
vlastní aktivity připojené síťové tiskárny, výsledky pokusů programátorů s
betaverzemi Windows 2000, instalace Linuxu provedené bez povolení, dokonce i
partnerské organizace (např. provozovatel našeho telefonního systému) připojené
mimo kontrolu firewallu a několik verzí Windows 3.1 nekompatibilních s
požadavky Y2K.

Naši lidé
A zmíněných 617 zaměstnanců? Přál bych si, abych mohl říci, že je všechny znám.
Podobně jako jiné firmy zabývající se peněžními službami máme i my řadu
smluvních pracovníků a velkou fluktuaci pracovních sil. Bez ohledu na tuto
skutečnost je mou povinností všechny je poučit o základních pravidlech
bezpečnosti v informatice.
K zajištění lepší kontroly nad přicházejícími a odcházejícími zaměstnanci jsme
zavedli systém, který přebírá vstupní data z databáze personálního oddělení a
spáruje tyto údaje se všemi účty uživatelů v celé infrastruktuře firmy.
Poslední tři měsíce jsme odstraňovali nesrovnalosti. S celkovým počtem 28 652
účtů v síti to byla docela fuška. Nejsem přesvědčen o skutečném přínosu této
pročišťovací akce, protože mnoho účtů pozbylo platnosti ještě dříve, než jsme
je zrušili. Ale tento druh práce opravdu potěší interní a externí auditory, což
je samo o sobě dobrým důvodem. Celá práce by probíhala snadněji, kdyby oddělení
personalistiky mělo svoji databázi správně udržovanou, ale můžeme být
spokojeni, že jsme dokázali vymýtit alespoň ty nejhorší chyby.


Dobře připravené firewally
Inventura všech účtů a systémů nám dává dobrý pocit a představu toho, co máme
za úkol chránit. Tíha ochrany spočívá na dvou firewallech: FireWall-1 od
Checkpoint Software Technologies a Secure Pix Firewall od Cisca. Stejně jako
nejlépe navržené tankové lodě máme i my dvouplášťový trup, který nás chrání
před drsným okolním světem.
A stejně jako se tankové lodi mohou potopit, musíme i my předpokládat, že naše
firewally i přes nejlepší péči selžou. A proto máme zavedeny systémy
identifikace návštěvníků a detekce napadení sítě. Tyto systémy nás zároveň
chrání proti napadení zevnitř, například jedná-li se o útok ve stylu dobře
známého "scriptu kiddie". Dojde-li ke kvalifikovanějšímu útoku, zachytíme jej
také k tomu účelu nám slouží nástroje pro analýzu integrity a tzv. pastičky
(honeypots, hrnce medu, které nalákají útočníka). Nástroje pro analýzu
integrity pracují off-line a spravují obtížně napadnutelnou databázi obsahující
údaje o všech systémových souborech v síti. Změní-li se některý ze souborů, na
základě každodenního porovnání živých a uložených dat to okamžitě poznáme.
Zároveň provádíme nahodilé kontroly pro případ, že by někdo rozpoznal, jak
postupujeme. Namátkové kontroly nám odhalí pokusy, kdy programátoři nebo
asistenti provedli rychlou opravu v běžícím serveru, aniž by nejprve
uskutečnili příslušná testování.

Hrozba virů
Naše obrana proti hackerům zvenčí a zlomyslným útokům zevnitř je docela
důkladná. Ale navzdory všem chvalozpěvům na webových stránkách dodavatelů
bezpečnostních zařízení se nevyhneme riziku, které způsobuje největší škody a
finanční ztráty, a tím je napadení viry.
Centrem naší obranné strategie jsou v tomto případě produkty VirusScan od
Network Associates pro desktopy, Sophos Anti-Virus od anglického Sophosu pro
databázové servery, MIMEsweeper od Content Technologies pro gateway e-mailu a
WebManager od Trend Micro na webovém proxy serveru. Abychom se bránili před
hrozbou příchodu nových variant viru I love you, jakou je například červ
označený Anna Kournikova, asociovali jsme na desktopech příponu .vbs k programu
notepad. A také jsme nasadili příslušný patch od Microsoftu, který nám pomůže
zabránit v nechtěném odesílání různých typů souborů z desktopu.
Navzdory všem opatřením se však stále občas setkáváme s výskytem virů v naší
síti.
Používáme také forenzní systém EnCase od Guidance Software pro desktopy Windows
NT a zajímáme se o ForensiX od firmy Fred Cohen & Associates, který je
použitelný pro systémy Unix. Tyto produkty umožňují vytvořit bezpečně
zašifrovanou kopii disku, prohledat jeho obsah a identifikovat vymazané
soubory, pornografické obrázky nebo jakoukoli jinou špínu, do které si uživatel
namočil ruce (ano, v takových případech je to vždycky některý uživatel). Chápal
bych, že si někdo načte pornografické obrázky doma v soukromí, ale nechápu,
proč by to měl dělat v práci.

Aby byl Zápisník manažera pro bezpečnost pestřejší, budeme vám v něm počínaje
tímto týdnem přinášet zkušenosti i od dalších autorů. Náš nejnovější
přispěvatel nazývejme ho Vince Tuesday pracuje ve velké společnosti nabízející
finanční služby. Investoval do nejlepších bezpečnostních produktů, jaké lze za
peníze koupit. Tak proč se v oblasti bezpečnosti stále střetává s problémy?

Slovník pojmů
Ping sweep: Pomocí ICMP (Internet Control Message Protocol) můžete rychle
zjistit, která zařízení jsou připojená ve vaší síti. Postupně se zkoušíte
připojit na všechny dostupné IP adresy. Postup je stejný, jako byste procházeli
ulicí a zvonili na každé dveře, abyste se přesvědčili, kdo je doma.
Script kiddie: Náhodný hacker amatér, který je natolik neschopný, že nedokáže
napsat svůj vlastní program na průnik do sítě a místo toho používá k nabourání
se do cizích počítačů nástroje na bázi point-and-click. Jeho útoky snadno
poznáte podle záznamů v kontrolním logu napadeného počítače. Honeypots (hrnce
medu): Termín převzatý ze světa špionů. V oblasti bezpečnosti IT nejde o
okouzlující ruské dámy svádějící James Bonda z pravé cesty, ale o hostitele a
atraktivní soubory, jimž nedokáže odolat žádný hacker. Favoritem je soubor
Mzdy.xls. Pokud někdo takový soubor v naší síti otevře, kopíruje nebo změní,
buďte si jisti, že budeme mít podrobný výpis jeho zásahů.
1 1336 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.