Začínáme znovu s detekcí narušení

Náš manažer se v novém zaměstnání musel opětovně zaměřit na intrusion detection systémy. Jak jsem se už zmíni...


Náš manažer se v novém zaměstnání musel opětovně zaměřit na intrusion detection
systémy.

Jak jsem se už zmínil, začal jsem nově pracovat jako manažer informační
bezpečnosti v jedné hardwarové společnosti. Než jsem byl přijat, neměla tato
firma po dobu přibližně jednoho roku žádného bezpečnostního manažera.
Kvůli absenci vedení v oblasti informačního zabezpečení bylo mnoho
souvisejících funkcí absorbováno jinými odděleními. Například unixový tým
spravoval zařízení používaná pro filtrování pošty a webového provozu. Tým
síťového provozu se staral o správu VPN koncentrátorů a firewallů. Dalším
povinnostem týkajícím se informační bezpečnosti, vyhodnocení zranitelností či
správě konfigurací a záplat nevěnoval pozornost nikdo, nebo byly prováděny
nesprávně.
Během posledních několika týdnů jsem vstřebával informace, setkával jsem se
klíčovými osobami a zjišťoval jsem o naší síti, serverech a aplikacích, co se
dalo. Uvědomil jsem si, že mám před sebou pěkný kus cesty. Stejně tak je mi
jasné, že na této cestě je spousta kamenů takových kamenů, které nadzvednete a
pod nimi najdete spoustu kroutících se červů. Mým nelehkým úkolem tedy bude
rozhodnout se, které kameny budu chtít otočit.

Rozhodování o výdajích
Samozřejmě, mé priority jsou určovány různými faktory. Tak například teď mám k
dispozici přibližně 80 tisíc dolarů, které mohu vynaložit na systémy detekci
narušení a tyto peníze musím utratit během několika následujících měsíců.
Protože nechci ztratit šanci, kterou tato položka rozpočtu představuje, stojí
obnova stávající, poněkud omezené infrastruktury intrusion detection systému v
seznamu věcí, které musím vyřídit, dosti vysoko.
Můj předchůdce investoval do čtyř senzorů RealSecure Network od společnosti
Internet Security Systems a do tří senzorů ManHunt od firmy Symantec. Těchto
sedm senzorů nám dává schopnost monitorovat provoz na okraji naší sítě. Proč
ale potřebujeme dva různé typy IDS senzorů? Chápu to tak, že můj předchůdce,
který nebyl příliš technicky založený a byl zahlcen potřebou vytvářet politiky,
jež by odpovídaly nařízením Sarbanes-Oxleyova zákona, se nechal přemluvit
mazanými obchodními zástupci příslušných firem, aby nakoupil bezpečnostní
produkty, ať je potřeboval, nebo ne.
To by vysvětlovalo, proč je v krabici stále umístěno zařízení pro správu
událostí Cisco Protego, a to hned vedle několika nepoužívaných modulů firewallů
Cisco a spousty neotevřených krabic softwaru pro skenování. Nejde o to, že by
to byly špatné produkty; jednoduše nebyly potřeba, a tak nám tady zůstala
spousta vybavení a softwaru, které tu jenom leží a padá na ně prach. Něco
takového už jsem kdysi viděl. Manažeři se prostě někdy nechají zmást prohnanými
obchodníky. Ti se objeví v elegantním obleku, v ruce high-endový laptop, na
němž spustí senzační dema a několik obrázků v PowerPointu, a pak rozdají
reklamní pera a trička. Vezmou nebohého manažera párkrát na oběd a pak na něj
tlačí, aby si produkt koupil. Rozhodnutí o nákupu jsou až příliš často
prováděna bez předchozího vyhodnocení, pilotního nasazení nebo validačního
testování.
Já tímhle způsobem byznys nikdy nedělám. Vždy věnuji čas tomu, abych produkt
nainstaloval v laboratorním prostředí a otestoval jej, abych určil, zda má
smysl jej nasadit v našem produkčním prostředí a podobně. Velmi často jsem
přitom zjistil, že určitá funkce demonstrovaná výrobcem není v aktuální verzi k
dispozici. Nebo že výkonnostní parametry poskytované obchodními inženýry
neodpovídají reálnému síťovému provozu, ale pouze provozu generovanému v
laboratorním prostředí s generátorem paketů.
Takže tady jsem, nový bezpečnostní manažer, a mám ve skříni hromadu produktů, s
nimiž se musím vypořádat. A to nemluvě o našem CIO, který má obezřetný pohled,
neboť se, když podepisoval nákupní požadavky mého předchůdce, už příliš
mnohokrát spálil.
Abychom se ale vrátili k obnově našeho IDS, chystáme se podívat na současné
pokrytí a vyspecifikovat, co bude obnášet to, abychom se dostali do bodu, kdy
budeme moci monitorovat většinu (ne-li veškerý) síťového provozu. V současné
době monitorujeme pouze provoz na našich externích bránách, nikoliv však provoz
serverů, na nichž běží kritické aplikace, firemní síť nebo laboratorní
prostředí. Jakmile získáme představu o objemu provozu v každém z těchto bodů,
můžeme specifikovat hardware nebo specializované zařízení.
Pokud to bude dávat smysl, možná jenom vyřadíme systémy ISS a Symantec a
přejdeme na Snort, což je jejich open source alternativa. Úspora peněz za
software nám ponechá větší prostředky na hardware a jak tak budu schopen
nakoupit více senzorů nebo se dokonce poohlédnout po nástrojích ke sledování
korelací mezi událostmi, které by nám pomohly se správou bezpečnostních
událostí.

Hledání dovedností
Problém je v tom, že pokud nasadíme Snort, budu s velkou pravděpodobností
potřebovat téměř na plný úvazek zaměstnance, který by se věnoval správě
infrastruktury. V současnosti ve svém oddělení žádné dobré linuxové
administrátory nemám a mám pocit, že znalost Linuxu a schopnost psát skripty
jsou pro správu robustní infrastruktury Snortu klíčové. Pokud nebudu moci tento
soubor znalostí mít, pak se budu muset poohlédnout po komerční alternativě.
Například společnost Sourcefire nabízí několik zařízení, která mohou sloužit
coby levná varianta včetně podpory. Jakmile získám představu o rozsahu našich
potřeb, mohu učinit rozhodnutí, za co a kde utratím naše peníze.
Rád bych také získal robustní intrusion prevention infrastrukturu. Ačkoliv jsme
měli štěstí, že jsme nebyli zasaženi nedávnými červy, napsanými tak, aby
využily zranitelnosti plug--and-play Microsoftu, chci zajistit, aby naše
firemní síť byla chráněna před bezstarostnými zaměstnanci stejně jako před
nedůvěryhodnými sítěmi, jako jsou laboratoře, dále VPN segmenty, partnerskými
přípojkami či některými aplikacemi, jako je Outlook Web Access. Mnozí výrobci
IDS nabízejí současně i intrusion prevention systémy, takže jakmile se pro
jednoho z nich rozhodneme, jsem si jistý, že budeme věnovat bližší pohled také
nabídce IPS tohoto výrobce.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.