Podniková konektivita se rozšiřuje poháněna globalizací, konvergencí, virtualizací a sociálním využitím počítačů. Jak se podnikové hranice rozpouštějí, přesouvá se zaměření na zabezpečení směrem k řešením ochrany na úrovni aplikací a dat. Nabízí se otázka, jaké jsou dlouhodobé důsledky pro síťové zabezpečení. Stane se nadbytečným nebo bude silnější? Vypadá to, že jisté je jen jedno: Bude jiná než dnes.
Kdo potřebuje síťové zabezpečení? Proč jen nevestavíme šifrovací a antimalwarovou ochranu do koncových bodů a jednoduše si neužijeme otevřené sítě? Z perspektivy obrany je to vždy nejlepší a je to v souladu s vizí fóra Jericho Forum. Ve skutečném světě to však není tak jednoduché. V sítích potřebujeme k zaručení dostupnosti a výkonu minimálně ochranná opatření. Kromě toho v sítích existuje obrovský potenciál vytvoření hodnoty prostřednictvím zabezpečovacích funkcí.
Ve skutečnosti síťové zabezpečení bylo vždy větší, než si uživatelé uvědomovali. Fallback, monitorování a filtrování jsou vždy přítomné, ale pro koncové body neviditelné. Mnoho vlastníků aplikací věří, že jejich systémy pracují na čisté IP infrastruktuře, ale nic nemůže více vzdáleno pravdě – podnikové sítě jsou silně strukturované.
Dnešní síťové produkty se pyšní působivou rostoucí řadou řešení pro koncové body, počínaje jednoduchými ověřovacími mechanizmy až po komplexní správu identity. Využití výhod ochranných funkcí postavených na základě sítě je obtížné, protože hlavními faktory jsou geografie a topologie. Určují hranice vlastnictví či právní jurisdikce a je těžké vytvořit množinu míst, odkud by byly veškeré síťové přenosy monitorovány a řízeny.
Správní domény nemapují přesně rozsah aplikačních systémů a zastaralá zařízení vytvářejí místní nekompatibility. Zařízení používaná jako brány však přesto tvoří praktické místo zabezpečení centrálních databází. A k získání hodnotných informací z bezpečnostní analýzy není vždy nutné zahrnovat úplné síťové pokrytí, protože použitelné údaje lze získat i ze vzorků přenosů.
Při umístění bezpečnostních opatření uvnitř sítí také existují výrazné výhody - získáte bohatší obrázek chování uživatelů, což umožňuje hodnotit aktivity jednotlivého uživatele v kontextu širší komunity. Ve skutečnosti jsou viditelnost událostí a porozumění kontextu základem efektivní správy zabezpečení a rizik.
Význam a legalita aktivit uživatele je závislá na kontextu a liší se podle úrovně oprávnění uživatele, citlivosti dat, umístění zdroje, použitých metod a denního času. Jak uvádí jeden z 11 principů fóra Jericho Forum: „Riziko posuzujte v kontextu."
Hrozba zevnitř
V současnosti je jedním z největších témat zabezpečení hrozba zevnitř. Jako odpověď můžete v sítích nasadit mnoho zajímavých technik, abyste zjistili neobvyklé chování uživatele. Hodnotné údaje lze získat profilováním, spojováním a analýzou obsahu zpráv, charakteristik přenosů a IT aktivity.
Psychologické profilování a jazyková analýza jsou stále v plenkách, ale nabízejí do budoucna obrovský potenciál. Soukromí je samozřejmě prvořadé, ale bezpečnostní řešení lze vytvořit tak, aby odkazovaly na rizika ohledně mnoha aplikací. Ignorace ohleduplnosti k soukromí je větší problém, jak ukázalo nedávné rozhodnutí Úřadu národní bezpečnosti USA, které zlikvidovalo ambiciózní nástroj pro získávání antiteroristických dat poté, co vyšetřovatelé zjistili, že byl bez odpovídající ochrany testován na informacích o skutečných lidech.
Další významné bezpečnostní téma se týká nedostatku konzistence při vynucování zásad „přijatelného používání". Většina takových zásad je špatně napsaná, zastaralá a nedostatečně sdělovaná. Tento problém lze s trochou snahy napravit, ale zmíněné vynucování vyžaduje nasazení bezpečnostních technologií k identifikaci a blokaci nelegálního a nepatřičného využití služeb. Toho lze dosáhnout pouze v reálném čase na síťové úrovni. Jak půjde čas, stane se to rostoucí výzvou pro všechny organizace.
Síťové brány jsou nezbytný zdroj inteligence zabezpečení, protože vidí nezdařené či blokované transakce a poskytují unikátní pohled na vykonané útoky. To je důležitá oblast, protože víme, že za každým hlavním incidentem je mnoho drobnějších incidentů a stovky přehlédnutých. Inteligentní zabezpečení se učí z malých událostí, aby zabránilo těm velkým. Brány také představují cenné místo, kde lze zjistit a blokovat neoprávněné přenosy důvěrných informací. Po záplavě vysoce profilovaných úniků dat se jedná pro mnoho organizací o budoucí základní cíl.
Šifrování dat
Můžete v sítích a koncových místech nasadit i šifrování. V kterémkoli případě je však přínos poněkud rozporuplný. Šifrování chrání data při průchodu nezabezpečenými sítěmi, ale na druhou stranu může blokovat analýzu obsahu.
Ačkoli použití šifrování stále roste, bude vždy mnoho případů, kde koncová místa a aplikace budou potřebovat komunikovat bez něho. U koncových systémů existuje trend transformace do sítí menších zařízení, často bez možností šifrování. Od mainframů jsme přešli až k sítím PAN a nakonec skončíme u inteligentního prachu (smart dust – síť velmi malých bezdrátových zařízení propojených do sítě) a u nanotechnologií. Síťové zabezpečení tak bude nezbytné k zachování řízení systému.
Budoucnost síťového zabezpečení může být našim představám vzdálená. Jedna věc je jasná – bude určitě bohatší a mnohem propracovanější, než jsme doposud viděli. Najít způsob plánování podnikového prostředí, ve kterém je každý připojený a bezpečnostní očekávání jsou vysoká, není triviální. Musíme to ale všichni udělat.
Při určování své vlastní budoucí architektury zabezpečení podnikové sítě si můžete položit 10 následujících otázek.
1. Jste schopni chránit provoz důležitých zastaralých aplikací v prostředí nechráněných otevřených sítí obsahujících hrozby?
2. Měli byste se snažit o zabezpečení svých bezdrátových sítí?
3. Co je nejvhodnější strategie pro šifrování komunikace uvnitř podniku a vně s dalšími firmami?
4. Obsahuje vaše řešení pro šifrování potenciální vstup pro malware či jiný nevhodný obsah?
5. Jak můžete nejlépe vynutit zásady „přípustného používání"?
6. Jaká je nejlepší strategie pro podnikovou správu identit?
7. Jakým způsobem hodláte spravovat uživatele z jiných firem?
8. Měli byste aktivity podezřelé z proniknutí do systému blokovat, nebo na ně upozorňovat?
9. Měly by být systémy ochrany před proniknutím do systémů (IPS, Intrusion-Prevention System) umístěny v hostitelských počítačích, nebo přímo v sítích?
10. Měla by být ochrana proti malwaru obsažena v klientech, nebo v síti?
Tento článek vyšel v SecurityWorldu 3/2010.