Vyvarujte se "nejhorších postupů" v oblasti bezpečnosti

V souvislosti s doporučenými postupy je většinou řeč o „best practices“; tedy o procesech, jež se už jinde osvědčily a které tak není nutné pracovně znovuobjevovat. Ovšem zkusme se na celou věc podívat přesně opačnou praktikou: skrze „worst practices“, tedy ty nejhorší postupy.

Vyvarujte se "nejhorších postupů" v oblasti bezpečnosti


Mnohdy máme bezpečnostní politiku, ale nikoliv bezpečnostní koncepci. V praxi to pak vypadá tak, že „najdu chybu, koupím produkt“. Vychází to i z logiky, že po incidentu se mnohem snáze argumentuje u vedení firmy s tím, že musíme udělat všechno pro to, aby se něco podobného neopakovalo.

Druhá logika za touto filozofií je, že na každý problém existuje nástroj. To ale není pravda. Nástroje totiž někdo konfiguruje a monitoruje. Jinými slovy: nástroje tu jsou pro to, aby pomáhaly, a ne aby nahrazovaly nebo vykonávaly.

Třeba IDS a IPS (a nazvěme je, jak chceme) nejsou po vybalení připravené a je třeba je nakonfigurovat na to, co mají dělat a co mají hledat. A i nadále je o ně třeba pečovat. Když už nic jiného, pak neustále studovat a vyhodnocovat logy – a na jejich základě zpětně donekonečna systémy ladit.

Druhou základní chybou je ignorování lidského faktoru. Příklad? Vynucování dlouhého a často měněného hesla, které se navíc nesmí opakovat. Z čistě technicistního pohledu je to správné, ale...

Opravdu dáte ruku do ohně za to, že uživatelé se každé dva týdny (nebo i častěji) budou nazpaměť drtit čtrnáctiznakové heslo? Brzy si najdou způsob, jak systém obejít, a heslo si budou poznamenávat, sdílet, budou používat velmi podobná hesla...

 

Chyby autoritativního přístupu

Právě postup „nastavíme“, „zablokujeme“ a „zakážeme“ je pro mnoho řešení bezpečnostních problémů typický. Jenže prosazování politiky není tak jednoduché: ostatně když administrátor nedokáže správně nastavit stroj, aby něco zablokoval (protože to třeba nejde nadefinovat, např. „podezřelé přílohy“), přece to nemůže chtít po uživatelích bez technického vzdělání.

Nesmíme zkrátka zapomínat na to, že některé politiky jsou technické (změňte heslo!), některé organizační (nepište si heslo na žluté papírky!). A že jsou si rovnocenné.

Ostatně právě autoritativní přístup ze strany IT oddělení je dalším častým prohřeškem. „Ve jménu bezpečnosti, to se nesmí!“ Nehledá se pak řešení, hledá se tlačítko „vypnout“.

Někteří IT manažeři prosazují klasický český přístup „ano, ale“. S navrženým požadavkem souhlasí, ale ihned přidávají vyjádření rizika a dotaz, zda si tazatel vezme na své triko zodpovědnost za případné problémy.

Což je ovšem druhý extrém, protože cokoliv jiného než zákaz s sebou vždy nese bezpečnostní riziko. „Best practice“ se v daném případě ovšem hledá těžko: mohli bychom hovořit o nutnosti nalézat řešení nebo domluvit se na kompromisu, ovšem všichni víme, jak podobným poučkám navzdory svět skutečně funguje. Nejlepším způsobem dosažení cíle tak zřejmě zůstává metoda postupných kroků.

Všechna data jsou si rovná, představuje další nesprávný – ale hojně využívaný – předpoklad. Ano, detailní rozpočty obchodních nabídek jsou si rovné s žádostmi o dovolené. Ne? Samozřejmě máte pravdu.

Ovšem nejde jen o různé úrovně důležitosti dat, ale třeba i o rovnost elektronických a tištěných dat. Jednou se klade důraz na jednu kategorii, jindy na druhou, ale bohužel se lze jen vzácně setkat se situací, kdy se řeší rovným způsobem.

Není tomu tak dávno, co útočníci získávali informace cestou dumpster divingu, volně „ponoření se do odpadků“. Interní telefonní seznamy, rozpracované nabídky nebo kartičky s narychlo zapsanými údaji končily v odpadkových koších a následně v popelnicích. Pak se pozornost přesunula k nezabezpečeným elektronickým datům a dnes se opět vrací k odpadkovým košům.

Nepravidelné dělání auditů a penetračních testů představuje další častý hřích. Komplexnost dnešních systémů dramaticky narůstá, aktualizace či modernizace jsou velmi časté.

Dříve dostačující dva roky mezi audity se proto jeví až jako nekonečně dlouhé. Obecně je lepší provádět je každý rok – a v případě výrazných změn i častěji. Stejně tak je třeba kontrolu svěřit do ruky třetí strany.

Nerado to dělá vedení firmy („stojí to peníze“), neradi to dělají administrátoři (formálně tvrdí, že to zvládnou sami, reálně si nechtějí nechat nahlížet do karet). Ovšem myšlenka „je dobrý, tak ať si zkontroluje svoji vlastní práci“ asi není úplně nejlepší.

 

Neviditelná bezpečnost

Minimálně diskutabilní je neviditelná bezpečnost. Tedy taková opatření, která nejsou vidět. Druhým extrémem je pochopitelně nekonečné přihlašování do různých systémů, vyskakování varovných hlášení nebo informací, že to a to bylo prověřené.

Jenže když bezpečnost uděláme „neviditelnou“, má to své negativní důsledky. V uživatelích převládne dojem, že žijí v divokém světě a že si mohou dovolit všechno. „Občasné upozornění na prohřešky třeba s návštěvou nepovolených stránek nebo ukládáním nelegálního obsahu udělá zázraky,“ shodují se bezpečnostní specialisté.

Třeba pouhým nasazením systému monitorování a klasifikace internetového provozu dochází typicky k jeho poklesu o dvě třetiny. Jenže po nějakém čase se uživatelé osmělí a provoz roste: samozřejmě že správně pak není nasadit další systém, ale elegantně jim jeho prostou existenci připomenout.

Není přitom nutné rozdávat exemplární tresty: často stačí jen upozornit, šeptanda pak vykoná své…

 

Tento příspěvek vyšel v Security Worldu 4/2014.

Úvodní foto: © adimas - Fotolia.com










Komentáře