Manažer bezpečnosti: Jednoduchý systém bezpečnostních metrik

21. 6. 2012

Sdílet

 Autor: © Sean Gladwell - Fotolia.com
Čtvrtletní reporty manažera bezpečnosti umožní řediteli IT rizika zohledňovat a doufejme i redukovat.

Trouble Ticket
Co řešit: Nepoznáte, kde jsou některá nebezpečí skryta, dokud je nezačnete hledat.
Akční plán: Vytvořit pravidelný program metrik a najít zajímavý způsob jejich prezentace řediteli IT.

Metriky mohou mít velmi zajímavý efekt. Minulý týden jsem proto strávil rozhodováním, které metriky chci shromažďovat a předkládat řediteli IT každé čtvrtletí a jak mu je budu prezentovat.

Pro shromažďování svých metrik využívám řešení Microsoft SharePoint a výsledky exportuji do Excelu – tak mohu vytvořit zajímavé kontingenční tabulky i grafy. Základní myšlenkou je, že jen prostě zadám data a výsledná prezentace bude automatizována.

Mohu dokonce vložit grafy Excelu přímo do PowerPointu, takže budu muset jen každý čtvrtrok otevřít prezentaci a data se automaticky zaktualizují. Pokud se mi to podaří zvládnout, mohu některé metriky automaticky vyplňovat ze SharePointu. Takto vytvořené procesy přímo miluji.

Pro začátek provádím skenování celého podniku, abych identifikoval celkový počet zařízení připojených do sítě, počínaje počítači a servery. K tomuto skenování využívám produkt Nessus, protože je to velmi robustní a nezávislý nástroj.

Cena za jednoletou licenci je vcelku přijatelná a umožňuje nám skenovat celý adresní prostor. Využívám také Altiris, což je nástroj společnosti Symantec, který používáme pro distribuci softwaru a reportování. A nakonec musím také zmínit nástroj Symantec AntiVirus Server pro hlášení antivirové shody.

Výsledky auditu
Počáteční výsledky jsou ale alarmující. Naše společnost má cca 3 000 pracovníků (včetně smluvních dodavatelů). Někdo by si myslel, že skenování počítačů odhalí cca 3 000 unikátních desktopů s drobnými odchylkami kvůli pracovníkům, kteří nejsou v kanceláři, nebo těm, kteří mají více než jeden počítač.

Jaký byl náš výsledek? 4 200 počítačů! Vytvořil jsem tedy report obsahující počet počítačů, které mají nainstalován software Altiris Agent, abychom mohli kontrolovat konfiguraci. Takových je jen 2 400. To znamená, že máme 1 800 počítačů, jejichž integritu nemůžeme zaručit. A každý neřízený zdroj představuje riziko.

Totéž jsem provedl pro servery. Získal jsem všechny prostory IP adres pro každé datové centrum i vzdálené kanceláře a provedl jsem skenování všech zdrojů, které se tvářily, že na nich běží serverový operační systém. Výsledek: 1 200 serverů (včetně virtuálních strojů). V dalším kroku nahlásil Altiris už jen 800 serverů, takže zbývá 400 serverů, o kterých nic nevíme. A 30 z těchto serverů je v naší demilitarizované zóně!

Kromě reportování poměru řízených a neřízených zařízení budu hlásit, kolik z nich vyhovuje našim zásadám pro správu oprav. Instalujeme opravy společnosti Microsoft měsíc po jejich vydání, abychom měli čas otestovat různá prostředí a aplikace. Také budu hlásit počet zdrojů, které jsou ve shodě s našimi pravidly ochrany proti virům a spywaru, což znamená, že mají nejaktuálnější software a soubor signatur.

Nakonec budu reportovat události související se zabezpečením. Proč? Protože potřebuji ukázat přímý vztah mezi bezpečnostními událostmi a nedostatkem ochrany, aby vznikla motivace vedení firmy k jejich nápravě.

Mohu zaručit, že dokud nemáme na svých místech odpovídající prvky, jako jsou systémy IPS a další infrastruktura blokující nekalé aktivity, incidenty narůstají, zvláště když nejsou zdroje záplatované nebo pokud nevyhovují pravidlům antivirové ochrany.

Cesta ke zlepšení
Mým plánem je tedy řediteli IT přehledně poskytovat každé čtvrtletí informace o počtu řízených a neřízených zařízení a údaje související s opravami, antivirovou ochranou a incidenty. To mu dovolí mnohem konkrétněji si uvědomit bezpečnostní stav našeho firemního prostředí (koneckonců je to ředitel IT, kdo je ve svém důsledku zodpovědný za IT) a doufejme, že to vyvolá změnu pohledu na rizika.

Získám tím popularitu mezi ostatními? Pravděpodobně ne. Jsou tyto metriky relevantní? Zcela určitě. Dokud neprovedeme implementaci řízení přístupu k síti, abychom každé zařízení připojované do naší sítě prověřili, budeme mít v této oblasti problémy.

Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.