Špatně nastavené nástroje nedokážou váš současný útočný prostor ochránit a naopak ho rozšiřují o další zranitelnosti. Kvalita nástrojů, záměr podniku a kázeň zaměstnanců přitom zpravidla nejsou problémem.
Potřeby podniku vyvolaly rozpor nasazení tolika bezpečnostních produktů vzhledem k nedostatku důležitých schopností personálu, že s tím vaši lidé už nedokážou udržet krok.
„Typický velký podnik může mít implementovaných více než 60 různých bezpečnostních produktů, které je potřeba konfigurovat, vyladit a záplatovat. Mnoho z těchto řešení generuje stovky, ne-li tisíce varování denně,“ upozorňuje Franklin Witter, poradce divize Cybersecurity Solutions ve společnosti SAS.
Pokud se o vyřešení těchto varování a o údržbu nástrojů stará stejný personál, nemusí existovat žádný způsob, jak si udržet náskok před útoky.
- Nesprávná nebo žádná konfigurace vede k nárůstu zranitelností
Čím větší je podnik, tím větší je pravděpodobnost, že má velmi mnoho bezpečnostních nástrojů. Personál se s některými z nich nemusí učit pracovat, používat je či je aktualizovat, protože od toho daná technologie něčím odrazuje (například nějakým druhem složitosti) nebo protože je to ještě další úkol navíc na již nezvládnutelné hromadě.
Když jsou tyto nástroje připojené do sítě a fungují v nenakonfigurovaném, nezaktualizovaném stavu, stávají se břemeny a slabými místy, kudy mohou útočníci vniknout do podniku.
Bezpečnostní produkty mohou obsahovat nativní funkce vzdáleného přístupu. Když podniky takové produkty používají a ponechají vzdálený přístup otevřený s výchozími nebo snadno odhadnutelnými přihlašovacími údaji, změní se bezpečnostní výhoda, kterou by měl podnik využít, ve zranitelnost.
„Zjistilo se, že řada produktů obsahuje ve svém kódu zadní vrátka včetně produktů velkých společností jako třeba Juniper,“ prohlašuje Dave Shackleford, vedoucí fakulty institutu IANS. „Mnoho produktů obsahuje kód a knihovny open source, které byly zranitelné vůči Heartbleedu, Shellshocku a dalším dobře známým útokům.“
- Dostupnost a přidělení bezpečnostního personálu
Počet kvalifikovaných profesionálů v oblasti zabezpečení neodpovídá potřebám. „Nedostatek bezpečnostních profesionálů je trvalým tématem zmiňovaným téměř 14 tisíci profesionálů, kteří reagovali na průzkum v roce 2015.
I přes spokojenost se zaměstnáním poukazují aktuální data a historické perspektivy zaměstnanosti, mezd a doby trvání pracovního poměru na obtíže při získávání dostatečného počtu kvalifikovaných nováčků vstupujících do této profese,“ uvádí studie globálně zaměřená na pracovní síly v oblasti zabezpečení informací – The 2015 (ISC)2 Global Information Security Workforce Study.
- Školení pro konfiguraci
Jednotliví pracovníci zabezpečení nemusejí mít dostatečně široké či hluboké znalosti v oblastech bezpečnostních produktů, na které se podniky zaměřují.
„Může jim chybět dostatečné porozumění týkající se záplaty nebo vlivu firmwaru na výkon bezpečnostního produktu pro složitější nebo kritické komponenty infrastruktury, jako jsou například firewally, síťová zařízení IDS/IPS a proxy, což může vést k větším zpožděním nebo k zanedbání aktualizací,“ vysvětluje Shackleford.
- Skenování a audity
„Většina bezpečnostních produktů není zahrnutá v obvyklých skenech zranitelností a souhrnech správy oprav a konfigurací. To je určitě jeden z důvodů, proč nástroje nebývají dostatečně zaktualizované navzdory nutnosti takový krok udělat,“ vysvětluje Shackleford.
„Vyspělé týmy pro interní audity a externí auditoři pro dodržování předpisů obvykle zkontrolují, zda jsou bezpečnostní nástroje řádně nakonfigurované. Nedělají to ale nepřetržitě,“ prohlašuje Shackleford.
Čím častěji se kontroly dělají, tím rychleji můžete odhalit něco, co se pokazilo, nebo dokonce nikdy nebylo prvotně nakonfigurované. Stále potřebujete dostatek bezpečnostního personálu s dostatkem hodin, abyste mohli dosáhnout a udržet akceptovatelnou úroveň řádných nastavení, jinak časté audity nepovedou k odpovídající nápravě.
Řešení
Podniky by měly uvážit náklady na status quo udržování zapojení takových bezpečnostních nástrojů, které stagnují a stávají se stále zranitelnějšími.
Alternativní cesty zahrnují aktualizaci, konfiguraci a údržbu nahromaděných zanedbaných bezpečnostních nástrojů nebo potenciální vyřazení takových, u kterých nabudete přesvědčení, že jsou pro vás postradatelné – tím se ušetří za prodlužování licencí a za další náklady.
Uzavřete také nepoužívaný nebo nepotřebný vzdálený přístup k bezpečnostním nástrojům, abyste odstranili související zranitelnosti.
Aby se dařilo eliminovat bezpečnostní zadní vrátka produktů a zranitelnosti kódu a knihoven open source vůči hrozbám, jako jsou Heartbleed a Shellshock, měly by podniky požádat dodavatele o životní cyklus vývoje zabezpečení a snahu zajistit soukromí samotným designem systému, radí Malcolm Harkins, ředitel zabezpečení informací společnosti Cylance.
Podle Harkinse by podniky měly...
Tento příspěvek vyšel v Security Worldu 1/2016. Oproti této on-line verzi je výrazně obsáhlejší a přináší další poznatky a tipy, které lze využít při praktické implementaci u vás ve firmě.
Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU