Manažer bezpečnosti: Pouhé sledování sítě nestačí

24. 3. 2011

Sdílet

Možná nastal čas doplnit monitorování sítě zabezpečením klientů.

Když navštěvuji mimoamerické pobočky naší firmy, jsem často tázán, co lze dělat pro kontrolu USB portů a dalších externích konektorů, aby se předcházelo krádežím duševního vlastnictví. To je cíl, o který se vždy při svém snažení zajímám.

Řekl bych, že v tuto chvíli máme celkem vyzrálou síťovou infrastrukturu pro prevenci před únikem dat (DLP). Není to však dost blízko tomu, co bych si ve finále přál. Nemáme stoprocentní pokrytí všech výstupních míst z organizace. Nemonitorujeme ani interní přenosy v LAN a některé divize produktů zatím nezavedly do praxe naše nástroje DLP. Stále však považuji použitou infrastrukturu za vyzrálou, protože máme zavedeny postupy pro monitoring sítě a provádění vyšetřování.

Problémy s klienty
Jednou budeme implementovat i technologii zabezpečení klientů. Pro její realizaci existují pádné důvody, ale implementace může být noční můrou. Mohu to dokázat skrze problémy, které jsme už zažili.

Před několika lety jsme byli uchváceni celkem novým dodavatelem, jehož nabídka byla, jak se později ukázalo, spíše nedozrálá. Rozhodli jsme se ji tehdy zkusit a jedinou dobrou zprávou z následného dění bylo to, že nasazení bylo jen omezené. Implementace klientské technologie není nikdy snadná a v naší firmě to platí obzvláště. S tolika inženýry nedokážeme udržet profil standardního operačního systému v rámci celé korporace.

Protože uživatelé mají administrátorský přístup ke svým počítačům, mohou neomezeně instalovat programy. To ztěžuje udržování přehledu aplikací, které je nutno testovat pomocí klientské technologie DLP. Navíc naši inženýři často využívají aplikace typu CAD a zároveň vyvíjejí zdrojové kódy, což oboje představuje náročné druhy aplikací.

V každém případě jsme si mysleli, že vyzkoušíme stabilní verzi, takže jsme se rozhodli nasadit zmíněnou technologii začínající firmy v naší vývojářské pobočce v Moskvě, kde máme 50 softwarových inženýrů. Mnoho počítačů těchto inženýrů zamrzlo nebo skončilo se známou modrou obrazovkou. Ztratili jsme několik vývojových cyklů, a v důsledku toho jsme nestihli plánované datum vydání jednoho z našich produktů.

Projekt jsme samozřejmě opustili, ale i dnes má mnoho lidí v naší firmě špatný pocit, když se mluví o klientských řešeních DLP, a pouhá zmínka jména onoho dodavatele některým z nás způsobuje nevolnost.

Žádné narušení
Problém je, že klientský software je technologií způsobující určité narušení, protože pracuje pomocí odposlouchávání systémových volání a nahrazuje některé systémové soubory. Musí to tak být, pokud má identifikovat, sledovat a zabezpečovat data při jejich uložení, při používání a přesunech, nezávisle na používaném řešení.

Musí dávat pozor na každou aplikaci používanou v podniku včetně Exchange, webového e-mailu, rychlých zpráv (instant messagingu), Skypu, sdílení souborů Windows a také při přesunu dat na média CD, DVD nebo USB paměti. Technologie musí také být dostatečně inteligentní, aby umožnila použití neškodných USB zařízení, jako jsou klávesnice nebo myši.

Další překážka na cestě k nasazení klientské technologie DLP je ta skutečnost, že se nehodí bez rozdílu pro všechny – je nutné ji vyladit pro každou skupinu zaměstnanců. Zvládnutí takové záležitosti však může vyžadovat další personál a nové školení pro linku technické podpory. Ačkoli tedy v současné době vyhodnocujeme řešení od některých dodavatelů DLP, mám tendenci hledat ochranu trochu jinde, protože ji potřebujeme ihned.

Jednou z možností, které zvažuji, je blokování portů. Začínám na tomto trhu hledat vhodného poskytovatele včetně firmy Trend Micro, která je naším poskytovatelem antivirového a antispywarového řešení. Bylo by praktické, pokud bychom vše mohli zvládnout z jedné konzole Trend Micro Control Management. Byl bych však nedbalý, pokud bych nezvážil také jiné výrobce.