Nastala doba řešit resty, do kterých se nechce nebo na ně nebyl čas

30. 12. 2014

Sdílet

 Autor: © koltukov - Fotolia.com
Náš manažer bezpečnosti si našel čas, aby dokončil několik již delších dobu čekajících úkolů.

V oblasti rizik a zranitelností u nás stále zůstávají některé nevyřešené problémy. Jsou to záležitosti, jež se odsouvají z důvodu každodenních mimořádných událostí, rozpočtových omezení nebo interních příkazů. Když ale nastane ten správný čas, snažím se to změnit. Tady jsou tři věci, které v současné době intenzivně řeším.

Konfigurace VPN byla vždy spornou záležitostí mezi týmy zabezpečení, desktopů a sítí. Současný klient VPN se užívá v režimu rozděleného tunelování. Když někdo VPN používá, přenáší se šifrovaným tunelem jen komunikace se zdroji v naší síti. Všechno ostatní – jako jsou webový e-mail, sociální média či osobní ukládání souborů jako Dropbox – se směruje přes místní internetové připojení uživatele k internetu.

To ale velkou část přenosů vzdáleného uživatele ponechává bez ochrany a patřičné kontroly. Data, která neprocházejí tunelem, tak neprojdou přes naše firewally pro filtrování obsahu URL a nevidí je ani naše nástroje pro prevenci proti narušení (IPS), systém pokročilé analýzy malwaru, naše technologie pro kontrolu aplikační vrstvy a dokonce ani software pro prevenci ztráty citlivých dat (DLP), který rozpoznává případy úniků důležitých informací – ať už záměrných či náhodných.

Mé výhrady vůči rozdělenému tunelování se vždy setkávaly s protiargumenty zástupců ostatních oddělení, kteří se obávají, že v případě vynucení průchodu veškerých přenosů přes infrastrukturu naší firmy prostřednictvím VPN bude docházet k jejich zpomalování.

Tato patová situace se však může brzy vyřešit, protože letos se plánuje upgrade síťové infrastruktury a přidání dalších pokročilých funkcí, takže vyloučení možnosti rozděleného tunelování výkon sítě nijak nezasáhne.

 

Nechtěná publicita

Dalším rizikem, kterému se teď věnuji, je webové rozhraní k podnikovému e-mailu. Před několika lety jsme nasadili produkt Microsoft Outlook Anywhere, takže uživatelé mohou spouštět klienta Outlook bez nutnosti připojení přes síť VPN.

Nelíbí se mi však, že tato konfigurace umožňuje stahování e-mailů z našich serverů do libovolného vzdáleného počítače. Mohou jimi být například sdílené veřejné desktopy, jaké lze najít třeba ve vestibulech hotelů. Poté, co uživatel na takovém počítači přestane se svým e-mailem pracovat a odejde pryč, zůstanou v tomto PC i nadále zprávy elektronické pošty, kalendář i kontaktní informace.

Každý další uživatel tohoto veřejného počítače si může otevřít klienta Outlook a zobrazit všechny zmíněné informace, z nichž by některé mohly mít velmi citlivý charakter. Nedokáže se sice připojit k serveru Exchange a odesílat nebo přijímat poštu, ale e-maily, přílohy, kontakty a položky kalendáře pro něj budou zcela viditelné.

Chci použít řešení Microsoft Outlook Web Access (OWA) založené na prohlížeči. Pokud se použije OWA a dojde k řádnému uzavření prohlížeče a smazání webové historie, souborů cookie a paměti cache, nezůstane na klientském počítači fakticky žádná pošta. To je cesta, kterou se ubíráme při migraci všech našich zaměstnanců na cloudový e-mail Microsoft 365. Omezíme tak možnost použití řešení Outlook Anywhere pouze na firemní počítače.

 

 

Odhalené seznamy

A konečně třetí položkou na mém aktuálním seznamu úkolů je problém, který se týká oprávnění. K jeho odhalení došlo během vyšetřování nedávného incidentu uvnitř firmy. Náš analytik DLP zjistil, že oprávnění pro sdílený síťový disk, který obsahoval citlivé firemní dokumenty, se nastavila tak, že všichni uživatelé domény mohou z libovolné složky zobrazit seznam souborů.

Přestože si lidé nemohli soubory stáhnout ani zobrazit, může být zobrazení složky nebo názvů dokumentů riskantní.

Řekněme, že například oddělení lidských zdrojů má složku s názvem „Propouštění“ a v ní tabulku nazvanou „Propouštění v roce 2014.“ Každý, kdo by takové názvy viděl, by mohl vytvářet spekulace a za chvíli by mohly kolovat zvěsti o propouštění.

Poté, co jsme zjistili tuto konfiguraci u několika složek, musíme udělat hloubkovou kontrolu a opravu oprávnění všech sdílených složek ve firmě. Plánujeme také některé nové technické revize a nastavit procesy, aby nemohlo k nesprávnému nastavení oprávnění vůbec dojít.

bitcoin_skoleni

 

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.