Pohádky o mimozemšťanech a bezpečnostních auditech

Mimozemšťané museli přistát na Zemi a okupují těla některých mých spolupracovníků a dodavatelů naší firmy. To j...


Mimozemšťané museli přistát na Zemi a okupují těla některých mých
spolupracovníků a dodavatelů naší firmy. To je jediné vysvětlení, které mohu
nalézt pro jejich chování. Během několika uplynulých dní jsem se setkal s
vedoucím bezpečnostního auditu, který je vstřícný a je nám nápomocen, a s
obchodním ředitelem, který předvedl podrobné technické znalosti, pokud jde o
jeho oblast působnosti, a potom mě přesvědčil, abych nekupoval produkt, který
jeho firma doporučovala. Oba tito lidé museli snad být pod vlivem mimozemšťanů,
jinak si jejich chování nedokážu vysvětlit. Jak na audit
Již dříve jsem se setkal s novým vedoucím auditu a jevil se jako profesionál.
To bylo povzbudivé znamení, ale stejně jsem byl opatrný všichni vedoucí auditu
jsou "od narození" vychováváni k tomu, aby vám házeli písek do očí. Já to vím,
protože jsem vyškolen jako auditor. Znám většinu těch triků kladou vám návodné
otázky, pak zachovávají dlouhé mlčení uzpůsobené k tomu, aby někoho povzbudilo
stále mluvit a zaplnit tak vzniklou mezeru, nadšeně vás přerušují a potom
nechají vaše věty vytrácet, jakoby zbytek stanoviska byl zřejmý každému i s tou
nejnepatrnější znalostí dané věci. Tato taktika obvykle funguje velice dobře na
techniky, kteří jsou nadšeni pro svůj hardware nebo software. Když nefunguje,
můžete skončit a připadat si jako hlupák. Šel jsem na naše první setkání
poněkud s obavami. Mé předchozí zkušenosti s auditory u jiných společností
ukázaly, že ačkoliv teoreticky jsou užitečnou kontrolou fungování managementu,
v praxi jsou normálně jenom velice otravným terčem vtipů. Auditorské zprávy
Omlouvám se všem auditorům, kteří to čtou, ale zjistil jsem, že pokud nemáte
velice dobrý auditorský tým, pak jsou auditorské zprávy obvykle dlouze se
vinoucí kolekce absolutních trivialit nebo vyjádření samozřejmostí, a auditní
porady se většinou změní v politické bitvy, které zřídka vyprodukují nějaký
užitečný výsledek. To všechno je samozřejmě jedním z hlavních důvodů, proč jsem
odešel od auditu tak rychle, jak jen jsem mohl. Existuje dokonce krátká epizoda
mezi mnou a oddělením auditu, která vznikla v době před několika měsíci, když
si mladší auditor stáhl kopii CyberCop skeneru od PGP Security, spustil jej na
čtyřech unixových testovacích strojích a nazval to auditorskou zprávou. Tato
zpráva obsahovala 3 000 stránek (nedělám si z vás legraci) a auditor požadoval
podrobnou odpověď. První čtyři stránky byly vysoce teoretické a neměly vůbec
žádnou vazbu s realitou. Takže když jsme se dostali na straně 5 k větě "tato
slabina nebyla do data této zprávy odstraněna", zpráva byla bez skrupulí
zahozena. Já s takovými věcmi nemám příliš velkou trpělivost. Takže jsem při
cestě na poradu, kde se měl diskutovat nadcházející audit Windows NT,
neočekával příliš radosti. Nicméně nakonec si myslím, že jsme z toho něco
skutečně produktivního získali. Spolupráce
Nedávno jsme začali nasazovat System Scanner od Internet Security Systems z
Atlanty. System Scanner dělá přesně ten druh technického auditu, jaký
potřebujete, abyste udrželi bezpečnostní konfigurace svých pracovních stanic a
serverů na požadované úrovni. To je samozřejmě to, co dělají také prostředky
auditorů pro audit NT. Ale System Scanner, který byl pro tento úkol speciálně
navržen, je mnohem, mnohem přísnější, než jakékoli oddělení interního auditu
mohlo kdy být. Jestliže by oddělení auditu spustilo svůj vlastní audit a
ignorovalo by tento software, auditoři by duplikovali naše úsilí a odebrali
zdroje velmi potřebné pro instalování tohoto softwaru. Jestliže by použili
tento software, znamenalo by to riziko zhavarování produkčních strojů. A
jestliže by nedělali audit, nesplnili by své povinnosti.
Takže jsme přišli s komplementárním auditním plánem. Místo soustředění se na
jeden podrobný audit, který se většinou okamžitě stane neaktuálním, nám
auditoři budou pomáhat v nastavení ISS softwaru. Auditor bude dělat analýzu
minimálního obchodního dopadu na našich NT strojích, aby stanovil, co je velké
riziko, co je střední riziko a tak dále. To nám umožní soustředit skenery tam,
kde to bude nejlepší. Potom bude audit a bezpečnost spolupracovat na
konfiguraci skenovacích politik, takže se budeme dívat pouze na technické
slabiny, které se vyskytují v našem prostředí. Můžeme potom spustit skenování,
prověřit slabiny strojů a sami je odstranit. Audit pak může kontrolovat, jestli
jsou používány odpovídající řídící procedury ujistit se, že skutečně děláme
něco se slabinami, které jsme objevili. Pro mě to zní jako perfektní situace.
Necháme inženýrské týmy zabývat se technickými otázkami, ale ještě dáme
managementu a auditu k dispozici určitý stupeň kontroly. Kdo ví, možná, že to
bude fungovat, možná, že audit a informační technologie mohou spolu existovat
šťastně! Šifrování
Druhé setkání s externím obchodním ředitelem bylo dokonce ještě podivnější.
Setkal jsem se se dvěma obchodníky z bezpečnostní konzultační firmy, která se
nám nedávno snažila prodat software pro šifrování veřejným klíčem Keon od RSA
Security z Bedfordu. Mělo nám sloužit k autentizaci uživatelů Windows pomocí
čipových karet a šifrování jejich souborů. Byl jsem si docela jistý, že Keon je
proprietární, vyžaduje zvláštní hardware, software, management a administraci.
Chci používat autentizaci vestavěnou ve Windows 2000, protože má nejmenší
režii, a tudíž je mnohem pravděpodobnější, že budeme moci pracovat s naším
existujícím managementem a administrativními procedurami. Ale tváří v tvář
příjemně hovořícímu obchodníkovi a vysoce technicky znalému konzultantovi s
omezenou znalostí angličtiny (moje znalost jeho jazyka byla samozřejmě nulová)
jsem začal mít pochybnosti a souhlasil jsem s vyzkoušením produktu od RSA.
Potom přišel na setkání obchodní ředitel. Navzdory tomu, že byl docela dobrý (a
ustavičný) řečník, skutečně věděl jednu nebo dvě věci o bezpečnosti. Rozuměl
akronymům jako X.509v3. Dokonce znal důležitost unikátních inicializačních
hodnot (unique seeds) pro generátory pseudonáhodných čísel (PRNG). Znalosti PRNG
Jediným rozumným důvodem, který by kohokoliv v IT mohl přivést k vědomostem o
PRNG, je, že by se skutečně věnoval studování procesu generování
kryptografických klíčů. PRNG jsou integrální součástí tohoto procesu. Celkem
vzato, fakt, že znal detaily a věděl, kdy je použít, mi poskytl dojem, že
skutečně ví, o čem mluví. Ohromující. Trvalo mu asi 20 minut dospět ke stejnému
závěru jako já: Zdá se, že Windows 2000 obsahují prakticky všechno to, co mi
může nabídnout Keon. Keon může dělat věci, které Windows 2000 nemohou jsou to
však věci, které mě nezajímají. Obchodní ředitel, který ví, o čem mluví a právě
mě zastavil, aby nemarnil můj čas a peníze testováním nevhodného produktu.
Neuvěřitelné. Zní to jako velký nesmysl. Dělá to z něj dobrého obchodníka? No
dobrá, jeho společnost se hlásí o to, být integrátorem v oblasti síťové
bezpečnosti raději než jen prodejcem, takže možná, že tuto firmu zavolám
příště, až budu potřebovat nějakou radu.
1 0026 / pen

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.