Trouble Ticket
Co řešit: Do rozpočtu zabezpečení informací nečekaně přibylo 200 tisíc korun.
Akční plán: Rychle a moudře rozhodnout, co za tyto peníze koupit.
Máme skrovné oddělení IT. Jeho poměrný rozpočet je menší, než představuje oborový průměr, a náš rozpočet na bezpečnost činí jen tři procenta z této částky. Jak si tedy dokážete představit, vůbec jsem neváhal říci ano, když jsem byl minulý týden dotázán, zda bych dokázal do konce měsíce utratit 200 tisíc korun navíc.
Rozhodl jsem se se svým týmem provést několik taktických nákupů pro zaplnění mezer v našem programu správy zranitelností. Prvním nákupem byla služba pro skenování hranice naší sítě.
Při zavádění nových technologií je první volbou v naší společnosti obvykle SaaS (software jako služba). Nedávno jsme ale zrušili službu skenování hranice, protože licenční model příslušného poskytovatele nebyl z hlediska nákladů příliš efektivní a existovala omezení typů skenovaných zranitelností.
S nečekaným přílivem financí jsme si tak mohli pořídit službu novou, se kterou jsme mnohem spokojenější. Jedna nevýhoda tu ale přece jen je. Nenabízí automatizované upozornění e-mailem, což znamená, že se naši analytici budou muset manuálně přihlašovat a zjišťovat, zda se nevyskytlo něco podezřelého.
Dále jsme se rozhodli koupit nástroj BurpSuite, kterého jsme si všimli už během uplynulého roku, když nám nezávislé firmy dělaly řadu vyhodnocení bezpečnosti. BurpSuite je jedním z produktů, které jsou používány ke zjišťování webových zranitelností.
To nám umožní kontrolovat a upravovat přenosy mezi prohlížečem a webovými aplikacemi či manipulovat s daty zasílanými z prohlížeče na server. Nástroj BurpSuite již například zjistil chybu v logice změny hesla u jedné z našich aplikací pro komunikaci se zákazníky.
Skvělý nástroj
Poté jsme ještě měli dost peněz na koupi verze produktu Metasploit i s podporou výrobce. Tento výjimečný nástroj je cenným doplňkem řešení pro skenování a vyhodnocení zranitelností a měl by být součástí produktové sady každého bezpečnostního profesionála.
Skenování příliš často informuje o zranitelnosti, ale neřekne vám dost informací pro jednoznačné ověření výsledků, aby byli vaši „zákazníci“ spokojeni. Řeknete aplikačnímu nebo serverovému týmu, že jste odhalili zranitelnost, kterou je nutno odstranit, a jejich odpověď je: „Dokažte nám, že tato chyba je opravdu něco, čeho bychom se měli obávat.“
Potom musíte na internetu hledat zdrojový kód nebo dlouhé vysvětlení, jak lze zmíněnou chybu zneužít. Metasploit vás těchto mrzutostí zbaví tím, že nabízí informace o mnoha běžných exploitech na jednom místě.
Bezpečnější Wi-Fi
Z našich dvou set tisíc už toho teď mnoho nezbylo. Nechtěl jsem je však promarnit, takže jsem dál přemýšlel o dalších nástrojích, které by mohly být pro tým přínosné. Jedna věc, kterou jsem už dlouho chtěl zlepšit, je naše schopnost zjistit přítomnost nepovolených zařízení, která se dostala do naší sítě přes Wi-Fi.
Bezdrátové přístupové body u nás jsou konfigurovány stejným způsobem a máme velmi přísný bezpečnostní model, který umožňuje přístup přes přístupové body pouze „oprávněným“ zařízením se systémem Windows.
To ale nezabrání zaměstnancům přinést si vlastní bezdrátové access pointy a zapojit je do ethernetových portů na svém pracovním stole nebo v konferenční místnosti.
Chytili jsme pár takových jedinců při činu a slyšeli výmluvy jako: „Nevěděl jsem, že máme firemní řešení pro bezdrátový přístup,“ „Nemohl jsem používat svůj iPad přímo na firemní Wi-Fi,“ nebo „Potřeboval jsem připojit svůj notebook s Linuxem k WLAN.“
Protože zatím nemáme nasazeno řízení přístupu k síti (NAC) a jelikož současné skenery či sniffery nezjistí efektivně všechny typy neautorizovaných bezdrátových zařízení, rozhodl jsem se koupit odlehčený tablet PC a vyhradit ho jako přenosné detekční Wi-Fi zařízení.
V závislosti na tom, co si můžeme dovolit, tento tablet vyzbrojíme něčím, jako je třeba AirMagnet od firmy Fluke Networks nebo open source nástroji Kismet a NetStumbler. Když potom někdo z nás – já nebo některý z našich analytiků – pojede do vzdálených poboček, může s sebou vzít tento vyhrazený vyhledávač nebezpečných zařízení Wi-Fi.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
PŘEDPLATNÉ
ČLÁNKY DO MAILU