Viditelnost v síti by se měla zlepšit

Bezpečnostní manažerka žádá po svém týmu nemožné. Aniž by tušila, že reálný svět prostě funguje jinak. Mů...


Bezpečnostní manažerka žádá po svém týmu nemožné. Aniž by tušila, že reálný
svět prostě funguje jinak.

Můj tým se sešel v bezpečnostní laboratoři, kde se konají naše pravidelné
týdenní schůzky. Nejdůležitějším bodem programu byla distribuovaná detekce
narušení. Jeden z našich bezpečnostních manažerů se podíval na bílou
magnetickou tabuli, na které se nacházelo jeho umělecké dílo množství čar o
různých barvách představovalo složitý nákres naší sítě. Černé čáry zastupovaly
měděné spoje, červené čáry optické spoje, černé krabičky směrovače a přepínače
a modré krabičky síťové senzory a snímače Snort. Mezitím náš senior
bezpečnostní architekt rozdal aktuální síťová schémata, pěkně vyvedená v
programu Visio. Všichni byli dobře připraveni. Nicméně jsem si všimla, že
členové týmu byli jako na trní. Cítili se zcela vyčerpaní a bez chuti poté, co
se museli nedávno zabývat přívalem bezpečnostních záplat od Microsoftu, co
objevili narušení bezpečnosti pocházející ze vzdáleného notebooku, co se museli
účastnit více než 40 IT a vývojových projektů a co zjistili, že rozpočet na rok
2005 byl snížen na minimum. Zhluboka jsem se nadechla, usmála se ve stylu "jsme
v tom společně" a otočila na nejmladšího člena našeho týmu. "Co máte?" zeptala
jsem se. Sdělil mi, že jeho první doporučení, jak dosáhnout lepší viditelnosti
v síti, znělo: nakoupit portové agregátory. Přečetl několik recenzí a myslí si,
že je to dobrý nápad. Ale poté, co spolupracoval se síťovými techniky, aby síť
lépe pochopil, zjistil, že portové agregátory by nemusely z několika různých
důvodů fungovat. Takže místo toho přišel s návrhem, který kombinoval port
spanning se síťovými senzory tapy. Zhodnotila jsem jeho návrh a přikývla. Ten
kluk je chytrý, říkala jsem si. To nás bude určitě stát méně peněz než původní
návrh nakoupit portové agregátory za 950 dolarů za kus.

Náš cíl
Podle mého názoru je naším cílem schopnost monitorovat prostředí LAN/WAN,
abychom mohli kdykoli zjistit, zda nedochází k podezřelému provozu, abychom
dostávali příslušná upozornění přes SMTP (nejlépe e-mail odeslaný na naše
zařízení BlackBerry) abychom tak mohli reagovat na události v co nejkratší době
a hlásit tuto činnost týdně a měsíčně ve formě shrnutí vyššímu managementu.
Nemyslela jsem si ale, že se při plánování bude třeba tolik ptát. Senior
bezpečnostní architekt se ke mně po chvíli od začátku schůzky otočil a řekl:
"Bylo by pro nás dobré, kdybys otevřeně řekla, jaké výsledky tě zajímají."
Jako obvykle mi slova uvízla v krku. Řekla jsem: "Chci mít schopnost sledovat
100 % provozu na 100 % této sítě a na všech sítích, které jsou k ní připojeny,
za jejichž bezpečnost jsme zodpovědní." Usmál se a řekl: "To není možné. A
mimochodem, to nikdo nedělá."
Hned na začátku své kariéry jsem se poučila, že pokud chci svoje lidi dobře
řídit, musím se vzdát vlastního ega, najmout si lidi o hodně chytřejší, než
jsem já sama, a nechat je dělat jejich práci. Mou prací je hodně se o
bezpečnosti dozvědět, abych mohla přijímat správná obchodní rozhodnutí a
zajistit, aby členové mého týmu měli ke své práci to, co potřebují. Takže když
mi bezpečnostní architekt pomohl trochu proniknout do podstaty věci, zasmála
jsem se a tým se začal uvolňovat.

Řekni mi všechno
"Co vím," řekla jsem, "je to, že nemáme patřičnou úroveň viditelnosti, kterou
potřebujeme. Vím také, že se nemůžeme dále spoléhat na span porty. A že by naší
síť mohl někdo hned teď ovládnout (to je výraz hackerů, za kterým stojí
nezjistitelné ovládnutí úplných privilegií v privátní síti) a že musíme něco
udělat. Vy jste odborníci. Řekněte mi, jak na to; řekněte mi, zda to můžeme
provést a co potřebujete ode mne, abych udělala."
V tu chvíli začal celý tým vtipkovat o tom, jak je celá architektura sítě
děsná. Poděkovala jsem manažerovi, který vytvořil schéma na tabuli, a požádala
ho, aby svoje návrhy vypracoval ve Visiu, setkal se se síťovými inženýry a
senior síťovým architektem a získal podporu svých návrhů. Bez spolupráce se
síťovými techniky bychom nebyli schopni prodat myšlenku in-line síťových
zařízení bez ohledu úsporu nákladů. Pro tento účel jsem musela vypracovat plán
projektu, předložit jej managementu, dostat ho do pořadníku oddělení řízení
projektů a odhadnout rozpočet, abychom se mohli rychle posunout vpřed. Moje
část je nudná, ale nezbytná. Společnost dvakrát zvažuje výdej každého dolaru a
nemohla jsem dopustit, aby kvůli tomu tento projekt neuspěl. Ve své snaze
otevřeně hovořit o svých očekáváních jsem požádala senior bezpečnostního
architekta, aby vysvětlil týmu základy monitorování bezpečnosti. Chtěla jsem
pochopit, co bychom mohli dělat, kdybychom po celou dobu neměli úplný přehled o
síťovém provozu. "Co je potřeba, abychom byli schopní zajistit bezpečnost, je
sbírat data, která maximálně popisují síťové prostředí," začal vysvětlovat.
"Budeme omezeni hardwarem a jeho schopností data sbírat. Proto se budeme muset
zaměřit na odběr vzorků dat na klíčových místech naší sítě. Nebudeme schopni
sebrat každý paket, který projde sítí, abychom jej mohli analyzovat. I když z
každého myslitelného místa sebereme gigabajty dat, budeme následně nuceni
provádět jejich korelaci a analýzu, k čemuž nemáme prostředky."
V laboratoři jsme seděli dvě hodiny a diskutovali o detekci narušení. Pak
nadešel čas oběda. Když jsou technici hladoví, nejsou ve formě. "Dobře pánové,
dáme si přestávku," řekla jsem. "Dalším krokem bude nalézt způsob, jak
korelovat a analyzovat data teď, když byl dokončen návrh na jejich sběr. Ráda
bych měla k dispozici na příští schůzku několik návrhů. Přeji vám úspěšnou
práci."
Byla jsem ponížena svou neschopností porozumět všem technickým detailům, ale
byla jsem povzbuzena tím, že jsem přijala lidi s vynikajícími dovednostmi.
Nadchlo mě, že jsme nakonec na té nejnižší úrovni pokročili směrem ke zjištění,
co se skutečně v naší síti děje.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.