Trouble Ticket
Co řešit: Posouzení zranitelnosti odhaluje několik potenciálních problémů.
Akční plán: Doporučit opravy a kontrolovat, zda budou správně provedeny.
Když máte na starost firemní zabezpečení, musíte aktivně hledat jeho slabiny a zjišťovat, jak je odstranit. Přesně o to jsem se dosud snažil mimo jiné také v rámci snahy zlepšit ochranu DMZ.
Globálně máme v naší DMZ asi 40 serverů. Nyní jsem si už celkem jistý, že jsou uzamčené, mají nainstalované všechny opravy a jsou chráněné pomocí antimalwarového softwaru. Také vím, že firewally DMZ jsou správně nakonfigurované pro minimalizaci naší expozice.
Nejsem si ale jistý zabezpečením aplikací umístěných na těchto serverech. Máme příliš mnoho programů přístupných z veřejného internetu, které nebyly mnou ani naším týmem řádně prověřeny. Problémem je i to, že během posledních pár let naše společnost udělala několik významných akvizic, aniž se zajistily potřebné kroky v oblasti zabezpečení.
K aktivitě tímto směrem mě navedla nedávná vlna průlomů hackerů, z nichž většina vděčila za svou úspěšnost nevhodné architektuře našich webových aplikací. Každé čtvrtletí mám v rozpočtu vyhrazenou částku na „posouzení průniků a zranitelností.“
Protože je náš program fyzického zabezpečení relativně slabý, utrácel jsem peníze na testování fyzického vniknutí. Stalo se však už téměř tradicí platit někoho, kdo mi říkal věci, které jsem už věděl. Například opravdu nepotřebuji dát tisíce dolarů konzultantovi, aby mi řekl, že by dokázal vytvořit firemní visačku a proklouznout těsně za někým ze zaměstnanců, aby se dostal do naší budovy.
Hrozná zjištění
Toto čtvrtletí jsem se tedy rozhodl utratit peníze za nezávislé posouzení našich aplikací přístupných z internetu. Můj konzultant ihned zjistil, že aplikace e-commerce umožňuje zákazníkům získat software bez zaplacení pouhou změnou URL.
Protože je to problém velmi podobný tomu, před kterým jsem varoval ve svém nedávném článku týkajícím se podnikového vyhledávání, bylo to velmi trapné.
Při kontrole se rovněž ukázalo, že v jiné z našich webových aplikací by někdo mohl odposlechnout a následně zmanipulovat přenosy resetu hesla, čímž by mohl změnit heslo zákazníka. Opravdu průšvih!
Další aplikace běží na populární sociální platformě pro týmovou spolupráci a umožňuje uživatelům sdílet dokumenty. Toto prostředí je otevřené, takže se může připojit kdokoli a sdílet informace nebo si stáhnout naše produktové dokumenty.
Ošklivým zjištěním však bylo, že kdokoli může dokument stáhnout, změnit a nahrát ho následně zpět na stejné místo se stejným názvem. To by se mohlo ukázat jako katastrofální, pokud by nastaly změny specifikací našich výrobků. Naštěstí byl tento problém odstraněn jednoduchou změnou konfigurace, ale bylo to opět poněkud trapné.
Další problém byl nalezen v aplikaci, která ukládala informace o zákaznících bez šifrování SSL. Odvedli jsme dobrou práci při šifrování úvodní přihlašovací stránky, ale zbytek aplikace už šifrovaný nebyl.
Byla i pozitiva
Nouze však nebyla ani o dobré zprávy. Naše aplikace se zdají být imunní na útočné metody typu SQL injection, které byly použité u mnoha nedávných útoků. Na druhou stranu jsme byli zranitelní vůči mnoha variantám skriptování mezi weby, což je další populární metoda kyberataků na firmy.
Budu výsledky tohoto auditu prezentovat různým aplikačním skupinám. Oddělím pozitivní výsledky a ze zbytku připravím tabulku, která bude popisovat každý problém (s odkazem na příslušné části komplexní hodnoticí zprávy) a seznamy nápravných doporučení, jejich termíny a osoby zodpovědné za odstranění problému. Tato tabulka mi usnadní přehled nad stavem jednotlivých problémů.
Samozřejmě budu také instruovat náš aplikační tým, abychom neudělali stejné chyby v budoucnu při vývoji nebo při získání dalších aplikací.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.