Manažer bezpečnosti je povolán na bojiště

Manažer bezpečnosti je okolnostmi přinucen plnit své úkoly na dálku. I tak se vypořádá například s detekcí piráts...


Manažer bezpečnosti je okolnostmi přinucen plnit své úkoly na dálku. I tak se
vypořádá například s detekcí pirátských bezdrátových přístupových bodů.
Moje práce manažera pro bezpečnost je spojena s každodenním stresem. Aby toho
ještě nebylo dost, naše oddělení před několika týdny zasáhla událost, jejíž
dopad je srovnatelný s výbuchem dělostřeleckého granátu. A to doslova. Jsem
totiž součástí rezervy amerických vzdušných sil a moje jednotka mě povolala.
V současnosti jsem tedy už pár týdnů mimo svou kancelář a pokouším se dělat
svou práci manažera bezpečnosti na dálku alespoň pokud mi to můj mobilní
telefon a notebook umožňují. Někdy to jde lépe, jindy hůře.

Varování
Všechno začalo tím, že mi jednou ve čtvrtek volali ze základny a příští den už
jsem se tam měl hlásit. Naštěstí bydlím blízko, takže se mohu na víkendy vracet
domů.
Už před válkou v Iráku mi bylo naznačeno, že se se mnou počítá pak se ale delší
dobu nic nedělo. Jakmile jsem se ale dozvěděl, že se mě chystají povolat,
varoval jsem předběžně svého nejvyššího šéfa i podřízené. Nebyli nijak zvlášť
šťastní, ale zdálo se, že mě podporují. Tvářili se, že jim připadá důležitější,
abych se vrátil bezpečně domů, než to, abych ještě před odjezdem dořešil
všechny nedodělky.
Moje společnost mě podle zákona musí nechat účastnit se služby v armádě
vyplývající z mé pozice zálohy a musí mi držet místo do doby, než se vrátím.
Ačkoli se však po firmách vyžaduje, aby zaměstnanci držely jeho pozici,
nemusejí ho v době, kdy je pryč, platit.
Moje společnost mi naštěstí bude platit mzdu po prvních šest měsíců mé služby v
armádě. To je opravdu velmi příjemné, protože rozdíl mezi civilním a vojenským
platem je propastný. (Pro některé z mých kolegů je tento rozdíl doslova
zničující.) Doufám, že budu opět uvolněn dříve, než se naplní uvedená
šestiměsíční lhůta.

Přípravy
V průběhu příprav na možný odjezd jsem převedl všechny své povinnosti, u
kterých to bylo možné, na své podřízené. V současnosti mé hlavní projekty
zahrnují rozšíření bezdrátové LAN, centralizaci unixové autentizace, provedení
ohodnocení používaných aplikací a účast na setkáních týkajících se zhodnocení
naší architektury z hlediska vhodnosti pro současné i plánované aplikace.
Moje další povinnosti zahrnují věci jako dokumentování bezpečnostní politiky,
procedur a standardů, provádění vyšetřování různých incidentů a správu systémů
kritických pro naši bezpečnost. Vytvořil jsem seznam všech těchto úloh a zašel
za svými podřízenými s tím, aby si každý vybral, co z toho chce dělat. Ačkoli i
bez toho už mají všichni práce nad hlavu, do seznamu se ponořili a vybrali si
kritické úkoly, které si vezmou na starosti a které bych já nemohl realizovat
vzdáleně. Teď jsem tedy dostupný jen na mobilním telefonu a na e-mailu i to
však snad postačí pro případy, že by měli nějaké dotazy, nebo kdyby vznikly
nečekané problémy.

Práce na dálku
Již několik týdnů jsem pouze vzdáleným zaměstnancem své společnosti. Naštěstí
mám většinou k dispozici poměrně rozumnou komunikační infrastrukturu. Teď
například využívám služeb VPN koncentrátoru Cisco, které mi umožňují přístup do
lokální sítě mého zaměstnavatele. Ačkoli přístup není tak rychlý jako v
případě, kdy bych seděl u svého pracovního stolu, je dostatečný na to, aby mi
umožnil dělat velký díl mé práce v době, kdy jsem dennodenně mimo svou
kancelář. Mé oddělení organizuje také týdenní setkání zaměstnanců, kterého se
účastním prostřednictvím telekonference.
Společně s VPN, telekonferencingem a další telefonickou komunikací se snažím
být stále pokud možno co nejefektivnější. Ale existují určitá omezení toho, co
mohu dělat současná i potenciální budoucí. Když třeba budu nasazen na Střední
východ, možná nebudu mít přístup k internetu, který bych mohl využít pro svou
civilní práci. A i kdybych nakrásně takový přístup měl, asi by nabízel jen
nízkou přenosovou rychlost. Mnohé vojenské firewally také blokují VPN provoz na
IP adresy, které nepatří do domény .mil. Takže se připravuji na nejhorší.

Pirátské body
Tento týden jsem se dočasně přesunul na jinou základnu ve Spojených státech,
která, naštěstí, disponuje vysokorychlostním přístupem k internetu. Takže jsem
použil VPN spojení pro přístup k našemu novému firemnímu nástroji pro správu
WLAN, AirWave Management Platform (AMP), který jsme právě zakoupili od
společnosti AirWave Wireless. Nejenže jsem byl jeho prostřednictvím schopen
kontrolovat stav tuctů přístupových bodů rozmístěných po celém objektu naší
firmy, ale rovněž jsem provedl kompletní detekci pirátských přístupových bodů.
AMP používá 2 metody detekce pirátských přístupových bodů. Bezdrátový detekční
mód pracuje tím způsobem, že přepíná některé z přístupových bodů do tzv.
smíšeného módu. Primárně používáme přístupové body Cisco AP 1200, ale
disponujeme rovněž některými jednotkami od 3e Technologies International, které
jsou rozmístěny po různých místech areálu firmy a které používáme speciálně
právě pro detekci pirátských přístupových bodů.
Druhá metoda detekce pirátských bodů zahrnuje sken přístupových bodů
prostřednictvím pevné síťové infrastruktury. Systém AMP při ní iniciuje
prohlídku označené části sítě a testuje ji na znaky, které připomínají
přístupový bod. AMP poté vždy dotazuje nějakou IP adresu a port a může určit
typ přístupového bodu tím, že prozkoumá pakety vrácené z dotazovaných IP adres.
Uvedená vlastnost vyžaduje určitou další rekonfiguraci, protože je třeba
zajistit, aby nedošlo ke skenování síťových adres mimo naši firmu. Jednotlivé
skeny musejí být navíc koordinovány v rámci firmy tak, aby náhodou např. naši
bezpečnostní analytici nezpanikařili z něčeho, co by se jim mohlo jevit jako
koordinovaný útok prostřednictvím skenování portů.

Uživatelé se lepší
Při svých posledních kontrolách jsem nedetekoval žádné pirátské přístupové
body. Uživatelé se zdají být lépe obeznámení s našimi schopnostmi detekce
těchto zařízení a s případnými postihy (přístupové body jsou zabaveny bez
náhrady a zaměstnanec podstupuje disciplinární řízení). Sestavil jsem plán,
podle kterého nyní skenování provádíme pravidelně. Zautomatizoval jsem tento
proces do té míry, jak to jen bylo možné, ale stále vyžaduje jistou koordinaci,
a tak, pokud to jde, se snažím na skenování dohlížet osobně.
Kromě účasti na správě bezdrátové síťové infrastruktury mám v úmyslu ze svého
nového působiště pokračovat v auditování našich vybraných aplikací. Současně
stále doufám, že budu brzy zproštěn svých vojenských povinností a budu se moci
vrátit ke své každodenní práci v bezpečnostním týmu. Jak už jsem ale zmínil
výše, budoucnost může být také zcela odlišná.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.