Manažer bezpečnosti: Nepropadejte pocitu bezpečí

Naše manažerka dělá inventuru toho, co už pro zabezpečení udělala a co ji stále ještě čeká: „Když přemýšlím o naší bezpečnostní strategii, musím se ptát sama sebe, jestli jsme už toho udělali dost. Pokryli jsme všechny úseky? Pokud ne, máme připravena potřebná opatření nebo plán na snížení rizika?”


Nejlepším bezpečnostním přístupem je práce v takzvaných vrstvách. Můžete tyto vrstvy aplikovat zevnitř směrem ven, ale většina společností začíná zvenčí – tím, že umístí firewally na každý vstupní bod sítě. V naší státní agentuře však pracujeme zevnitř směrem ven.

Stání systémy se rozrůstají. Když jsem pro tuto agenturu začala pracovat, ujistili mě mládenci ze správy státní WAN, že už potřebným způsobem státní síť včetně mojí agentury ochránili. Ale když si uvědomíte, jak rozsáhlá je ta síť, rozprostírající se do každého úřadu státní správy či univerzitní posluchárny, pak se podivíte, jak může být zajištěna bez pomoci dalších institucí. A tak jsme postupně přebrali zodpovědnost za bezpečnost své agentury a postupovali přitom zevnitř směrem ven.

Pokud pracujete směrem zevnitř ven, nedůležitější ochranou, kterou můžete poskytnout, je ta na úrovni hostitelů: serverů, přepínačů, síťových tiskáren i stolních počítačů. Tak jak se sítě propojují po celém světě, je obtížné říci, kde opravdu začínají a kde končí – to může to být velice náročný přístup. Nemohu kontrolovat sítě, ke kterým se připojujeme, ale mohu se pokusit kontrolovat naše vstupní a výstupní body a zároveň to, co se dostává dovnitř. Byli jsme schopni udělat následující opatření:

• Servery: Ochránili jsme naše servery tím, že jsme je posílili: udržováním operačního systému v aktuálním stavu, odpojením nepotřebných služeb, neinstalováním nepotřebných aplikací, poskytováním přístupu na principu need-to-know a dostatečně silnými hesly.

• Záplaty: Záplaty jsou pravděpodobně tou jedinou nejdůležitější věcí, kterou můžete v prostředí Windows činit. Protože zpravidla máme týden na to, abychom záplaty otestovali ještě předtím, než je implementujeme do plného provozu, má tato činnost vysokou prioritu.

• Monitoring: Používáme software, který nám umožňuje analyzovat informace v log souborech z každého serveru a kontrolovat je v rámci jediné konzole. Můžeme nastavit varovné hlášky na základě určitých změn v log souborech. A také máme program, jenž nám umožňuje monitorovat služby, které běží na každém serveru. Když je spuštěna neznámá služba, která může odposlouchávat nebo rozesílat data po síti, dostaneme o tom hlášení.

• Přístup: Pro kontrolu přístupu ke zdrojům a systémům používáme bezpečnostní politiky Active Directory. To zahrnuje i přístup k síťovým multifunkčním zařízením, které poskytují služby faxu/kopírování/tisku.

• Firewally: Když jsem nastoupila do této agentury, nepoužívali jsme žádné firewally. Nakoupili jsme proto komerční verze těchto produktů pro každý vstupní bod a já se těším, že budou všechny brzy nainstalovány. Běží nám tu systémy detekce proniknutí se senzory, které jsou umístěny všude, kde je to jen možné. Blížíme se ke stavu naprosté kontrolovatelnosti, ale bylo to drahé. Ve svém nedávném článku jsem popisovala, jak jsem našla nové využití pro bezpečnostní zařízení typu all-in-one a jak je využíváme jako jednoúčelové nástroje. Zaplatili jsme za ně sice příliš mnoho, ale funguje to.

• Bezdrátová zařízení: V síti nejsou povolena. Tečka.

• Desktopy: Operační systém je uzamčený – koncoví uživatelé na něj nemohou instalovat vlastní aplikace. Nepoužíváme firewall zabudovaný ve Windows XP, ale udržujeme všechny desktopy záplatované použitím automatických nástrojů. Systém každého desktopu automaticky aktualizuje vlastní antivirovou a antispywarovou ochranu.

 

Naše manažerka dělá inventuru toho, co už pro zabezpečení udělala a co ji stále ještě čeká: „Když přemýšlím o naší bezpečnostní strategii, musím se ptát sama sebe, jestli jsme už toho udělali dost. Pokryli jsme všechny úseky? Pokud ne, máme připravena potřebná opatření nebo plán na snížení rizika?”

Nejlepším bezpečnostním přístupem je práce v takzvaných vrstvách. Můžete tyto vrstvy aplikovat zevnitř směrem ven, ale většina společností začíná zvenčí – tím, že umístí firewally na každý vstupní bod sítě. V naší státní agentuře však pracujeme zevnitř směrem ven.

Stání systémy se rozrůstají. Když jsem pro tuto agenturu začala pracovat, ujistili mě mládenci ze správy státní WAN, že už potřebným způsobem státní síť včetně mojí agentury ochránili. Ale když si uvědomíte, jak rozsáhlá je ta síť, rozprostírající se do každého úřadu státní správy či univerzitní posluchárny, pak se podivíte, jak může být zajištěna bez pomoci dalších institucí. A tak jsme postupně přebrali zodpovědnost za bezpečnost své agentury a postupovali přitom zevnitř směrem ven.

Pokud pracujete směrem zevnitř ven, nedůležitější ochranou, kterou můžete poskytnout, je ta na úrovni hostitelů: serverů, přepínačů, síťových tiskáren i stolních počítačů. Tak jak se sítě propojují po celém světě, je obtížné říci, kde opravdu začínají a kde končí – to může to být velice náročný přístup. Nemohu kontrolovat sítě, ke kterým se připojujeme, ale mohu se pokusit kontrolovat naše vstupní a výstupní body a zároveň to, co se dostává dovnitř. Byli jsme schopni udělat následující opatření:

• Servery: Ochránili jsme naše servery tím, že jsme je posílili: udržováním operačního systému v aktuálním stavu, odpojením nepotřebných služeb, neinstalováním nepotřebných aplikací, poskytováním přístupu na principu need-to-know a dostatečně silnými hesly.

• Záplaty: Záplaty jsou pravděpodobně tou jedinou nejdůležitější věcí, kterou můžete v prostředí Windows činit. Protože zpravidla máme týden na to, abychom záplaty otestovali ještě předtím, než je implementujeme do plného provozu, má tato činnost vysokou prioritu.

• Monitoring: Používáme software, který nám umožňuje analyzovat informace v log souborech z každého serveru a kontrolovat je v rámci jediné konzole. Můžeme nastavit varovné hlášky na základě určitých změn v log souborech. A také máme program, jenž nám umožňuje monitorovat služby, které běží na každém serveru. Když je spuštěna neznámá služba, která může odposlouchávat nebo rozesílat data po síti, dostaneme o tom hlášení.

• Přístup: Pro kontrolu přístupu ke zdrojům a systémům používáme bezpečnostní politiky Active Directory. To zahrnuje i přístup k síťovým multifunkčním zařízením, které poskytují služby faxu/kopírování/tisku.

• Firewally: Když jsem nastoupila do této agentury, nepoužívali jsme žádné firewally. Nakoupili jsme proto komerční verze těchto produktů pro každý vstupní bod a já se těším, že budou všechny brzy nainstalovány. Běží nám tu systémy detekce proniknutí se senzory, které jsou umístěny všude, kde je to jen možné. Blížíme se ke stavu naprosté kontrolovatelnosti, ale bylo to drahé. Ve svém nedávném článku jsem popisovala, jak jsem našla nové využití pro bezpečnostní zařízení typu all-in-one a jak je využíváme jako jednoúčelové nástroje. Zaplatili jsme za ně sice příliš mnoho, ale funguje to.

• Bezdrátová zařízení: V síti nejsou povolena. Tečka.

• Desktopy: Operační systém je uzamčený – koncoví uživatelé na něj nemohou instalovat vlastní aplikace. Nepoužíváme firewall zabudovaný ve Windows XP, ale udržujeme všechny desktopy záplatované použitím automatických nástrojů. Systém každého desktopu automaticky aktualizuje vlastní antivirovou a antispywarovou ochranu.