Správná volba priorit zlepšuje prevenci

Oddělení bezpečnosti nepřetržitě monitoruje zranitelná místa IT infrastruktury a podle přesně daných pravidel je ho...


Oddělení bezpečnosti nepřetržitě monitoruje zranitelná místa IT infrastruktury
a podle přesně daných pravidel je hodnotí. To mu pomáhá s koncentrací úsilí na
skutečně zásadní problémy.
Vyslechl jsem už mnoho metafor o informační bezpečnosti, některé zdařilejší a
jiné méně. Jedna z nejzajímavějších porovnává bezpečnost IT se zubním
lékařstvím. Zubaři dříve trávili veškerý čas opravou zubních kazů, a odborníci
na počítačovou bezpečnost zase nedělali nic jiného, než reagovali na proniknutí
do sítě. A nyní se jak dentisté, tak experti na počítačovou bezpečnost mnohem
více soustřeďují na prevenci a méně na nápravu.
Zubaři zdůrazňují čistění, fluoridové výplachy a přísady, IT zase školení,
záplatování chyb a odstraňování rizik. Když IT odborníci přidělují hesla,
dávají stejnou radu jako zubaři při rozdávání zubních kartáčků: měňte je často
a nesdílejte je s nikým jiným.
Bezpečnost IT nelze shrnout jedinou metaforou, ale pokud to musíte učinit,
připodobnil bych roli svého týmu k vesmírné pěchotě z filmu Vetřelci.
Nebojácná, ale naivní skupina pěšáků je zničena hladovými vesmírnými stvůrami.
Vetřelci mají místo krve kyselinu, takže pokusy o jejich zabití končí škodami
způsobenými jejich stříkáním žilního obsahu.
Takovou vlnu vetřelců pro nás představuje nekonečná řada zranitelných míst,
kterou v našich systémech odhalujeme. Jsme školeni a vyzbrojeni na boj s nimi,
ale každé odstranění zranitelného místa způsobuje vedlejší škody. Systémy jsou
o něco méně stabilní, týmy správců jsou stále méně ochotny reagovat na naše
požadavky a můj tým je o něco blíže k syndromu vyhoření. Kromě rady, kterou nám
dává jedna z postav zmíněného filmu: "Sestřelte jadernou náloží celou stanici z
oběžné dráhy jen tak si můžeme být jisti," můžeme dělat ještě něco jiného?

Udržet krok
Myslím, že nejprve je třeba pokusit se pochopit, jaké bezpečnostní chyby jsou
na obzoru. Čím dříve to budeme vědět, tím lépe se můžeme připravit a odlišit
skutečně hrozivá zranitelná místa od malých problémů.
Dostáváme informace ze stovek zdrojů včetně ministerstva pro vnitřní
bezpečnost, komerčních předplacených služeb, dalších firem v našem odvětví, a
dokonce od výrobců, kteří často dávají počáteční varování před slabými místy
svých vlastních produktů.
Bohužel ale neexistuje žádná obecně přijímaná a dodržovaná stupnice
nebezpečnosti odhalených chyb. Takže zaměstnanci musejí manuálně sami
vyhodnotit dostupné informace z uvedených zdrojů a tyto namapovat na naší
vlastní škále priorit od nuly do deseti, kde desítka je nejkritičtější hodnotou.
Byli jsme zvyklí řešit pouze zranitelná místa s nejvyšší prioritou, ale SQL
Slammer naše postupy změnil. Původně jsme toto nebezpečí vyhodnotili jako
nízké, a proto jsme se nikdy nedostali k opravě až nakonec červ udeřil. Stalo
se to přesto, že jsme měli k dispozici poměrně dlouhou dobu od uvolnění opravy
až do nástupu kódu, který této chyby zneužíval. Proto nyní pravidelně
přehodnocujeme zranitelná místa s nízkou prioritou a přidělujeme jim v průběhu
času vyšší prioritu.
Avšak čas není jediným faktorem pro zvýšení priority. Přezkoumáváme také
všechna stávající zranitelná místa z hlediska nebezpečí jejich zneužití a
pravidelně zvyšujeme jejich prioritu v souladu s tím, jak se hackeři přibližují
úspěšnému útoku na naši firmu.

Nárůst priority
Proces stanovování priority začíná nastavením úrovně dle předpokládané
nebezpečnosti chyby a pokračuje o jeden stupeň vždy, když je zveřejněn funkční
kód využívající příslušnou bezpečnostní chybu, dojde k jejímu zneužití v
širokém rozsahu nebo pokud zjistíme skutečný útok na jinou firmu, která podniká
ve stejném odvětví.
Pokud zneužití chyby ovlivní naši vlastní firmu, dostane zranitelné místo
prioritu 10. To se stává jen zřídkakdy, ale tato nejvyšší priorita nám pomáhá
odůvodnit nutnost okamžitého nasazení několika málo oprav. V takovém případě je
lepší utrpět výpadek v důsledku aplikování opravy a restartování počítačů v
pracovní době, než připustit poškození všech dat červem.
Máme také s našimi IT týmy dohodu o úrovni služeb, která specifikuje dobu, již
mají k dispozici na opravení chyby na každé z úrovní priority. Pro organizaci
naší velikosti je to nezbytností.
U každého systému rovněž vytváříme seznam existujících zranitelných míst. Každé
z nich vyhodnotíme, jejich hodnocení sečteme a dostaneme se k výsledné úrovni
zranitelnosti. Tu pak zveřejníme a rozdělíme podle příslušných operačních
systémů nebo geografických regionů. Tím si získáme pozornost managementu a
vytváříme soutěž mezi jednotlivými IT týmy, které se snaží zjištěné hodnoty
snižovat.

Změny v hodnocení
Při našich prvních pokusech dostaly pro nás neznámé počítače nízké hodnocení
bezpečnostního rizika. Avšak právě tyto počítače, často připojené k naší síti
jinými dodavateli, kteří je neudržovali a neaplikovali opravy, představovaly
největší zdroj problémů. Proto nyní u veškerých neznámých systémů
předpokládáme, že jsou zranitelné na všech místech a přiřazujeme jim nejvyšší
prioritu. Po zjištění podrobnějších údajů o daném systému pak tuto prioritu
snižujeme.
Tento přístup nejen dobře funguje, ale získal si i pozornost vyššího vedení
firmy, které vyvíjí tlak na to, aby týmy mající na starosti podporu operačních
systémů měly pokud možno vše pod vlastní kontrolou. Avšak tento přístup není
využíván pouze jako hůl. Jeho zavedením jsme dokázali odůvodnit potřebu nákupu
nástrojů pro správu a upgrady operačních systémů. Klasickou kombinací cukru a
biče jsme dosáhli skutečného zlepšení naší bezpečnostní situace.
Vzhledem ke složité povaze oprav různých operačních systémů v různých pobočkách
je ale těžké zvolit optimální postup. Nyní máme k dispozici přesná data o
dosaženém pokroku. Začali jsme identifikovat týmy, které zvládají bezpečnostní
opravy nadprůměrně, dostalo se jim uznání a povzbuzujeme je ke sdílení
zkušeností s dalšími skupinami zaměstnanců.
Zvládneme se vypořádat se všemi zranitelnými místy dříve, než nás někdo
převálcuje? Je možné, že nikoliv. Ale pak bude alespoň vedení vědět, že jsme se
o to pokusili. A s pomocí přesných metrik budeme schopni vyvážit rizika
plynoucí ze zranitelných míst s problémy rychlé změny našich IT systémů.
Řešíte podobné problémy jako Vince Tuesday? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.