Někdy je to otázka trochy štěstí zjistit problém v oblasti zabezpečení. Nedávný incident ilustruje nejen to, ale také potřebu odstranit závislost na šťastných náhodách v této oblasti.
Nedávno jsem mluvil o tom, jak musí naše společnost chránit své duševní vlastnictví, a to včetně servisních manuálů pro námi prodávaná zařízení -- mohou stát miliony dolarů. Máme svépomocí vytvořenou webovou aplikaci, která umožňuje servisním inženýrům v terénu nalézt a stáhnout odpovídající manuál.
Minulý týden mne manažer spravující tuto aplikaci požádal, abych se zastavil v jeho kanceláři. Aplikace vytváří protokolový záznam pokaždé, když servisní inženýr klikne na dokument pro stahování. Obvykle může tento člověk stahovat jeden či dva dokumenty týdně. Při odstraňování uživatelského problému si však zmiňovaný manažer všiml, že jedna IP-adresa má zaprotokolováno nadměrné množství stažení.
Zjistil, že tato adresa byla využívána pracovníkem, který se právě rozhodl jít pracovat ke konkurenci. Samozřejmě vše vypadalo dost podezřele.
Okamžitě jsem informoval oddělení lidských zdrojů a upozornil jsem šéfa dotyčného zaměstnance, že chci vytvořit forenzní obraz notebooku jeho podřízeného. Chtěl jsem vědět, co dělal s oněmi 400 staženými dokumenty. Výsledky byly bohužel neprůkazné.
Nemohli jsme si být jisti, zda zkopíroval dokumenty na externí médium nebo je přeposlal na externí e-mailový účet. Pokud by provedl jednu z těchto činností na svém notebooku doma, neměli bychom žádný způsob, jak to zjistit, protože náš nástroj pro prevenci úniků dat zachycuje takové aktivity pouze při jejich výskytu v naší síti.
Samozřejmě tyto dokumenty byly přítomny v jeho firemním počítači, ale to není zločin ani důvod pro vyhazov. Přesto jsme ho však důrazně napomenuli a sdělili mu, že pokud bychom zjistili, že odcizil duševní vlastnictví, podali bychom na něho žalobu a mělo by to i právní následky.
Jeho personální evidence po osmileté práci by byla označena jako „nevhodný pro opětovné přijetí“. Protože však v jeho smlouvě nebyla pasáž o zákazu práce pro konkurenci, nemohli jsme dělat více.
SIEM jako kdysi
To vše bylo neuspokojivé, tedy kromě poučení do budoucna. Začal jsem na základě toho přemýšlet o všech datových skladech, kde jsme poskytli snadný přístup ke kritickým informacím a o souvislosti dat se správou informací a událostí zabezpečení (SIEM).
Před mnoha lety můj předchůdce koupil produkt SIEM, ale tato iniciativa byla odsouzena k zániku z důvodu složitosti našeho prostředí a z důvodu nedostatku lidských zdrojů. V předchozím zaměstnání jsem ale viděl, jak vypadají úspěšně implementované systémy SIEM. Používali jsme tehdy ArcSight, který považuji za poměrně luxusní verzi SIEM. Vím však, že takový úspěch vyžaduje spousty peněz a personálu -- a obojího mám v současné době nedostatek.
I když ArcSight nepřipadá v úvahu, jsem stále přesvědčen, že mohu získat omezenou funkcionalitu, která může být dostatečná k odhalení podezřelého chování při stahování. Chci dosáhnout úspěchu malými krůčky a poté použít tento úspěch k ospravedlnění mnohem robustnějšího prostředí SIEM.
Začnu zkoumat produkty pro správu protokolů od malých firem, abych zjistil, zda mohou poskytnout funkcionalitu, jako je analýza protokolů webu, ftp a dalších spjatých s našimi sklady nejcitlivějších dat. Chci být upozorněn na případy, kdy jedna IP adresa stahuje velké množství dat. Chci od takového nástroje znát jméno uživatele nebo počítače s podezřelou IP adresou.
Nežádám mnoho, jen automatizovaný přístup pro některé základní funkce správy protokolů a souvislostí dat. Vím, že určitě nejsem první osobou, která takové nástroje hledá, a vyzývám tedy, abyste se podělili o své zkušenosti z této oblasti.
A kdoví, možná bude ArcSight díky tomuto incidentu příští rok už dostupný.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
Vyšlo v Computerworldu 13/2011