Zabezpečení sítí vs. zabezpečení aplikací

19. 11. 2016

Sdílet

 Autor: © Tommi - Fotolia.com
Cloud computing a mobilní aplikace se vyčlenily z firemní infrastruktury. Přesto i ty musejí být pro firmu bezpečné. Jak se změnil přístup k bezpečnosti a jak volit mezi přístupy ochrany sítí a aplikací?

Pokud znáte film Nekonečný příběh, pak víte, že cílem hrdiny Átreje bylo dostat se na hranice říše Fantazie. Zklamalo ho zjištění, že říše Fantazie nemá hranice, protože je to země lidské fantazie. 

V některých směrech je říše Fantazie jako zabezpečení sítě. Tam, kde kdysi existovaly hradby kolem obvodu země, kterou bylo potřeba chránit, se tyto hranice rozšířily a bezpečnostní profesionálové si lámou hlavu s tím, jak podnik proti útočníkům nejlépe chránit.

 

Rostoucí počet rizik

Představa, že čas a zdroje by se měly investovat buď do zabezpečení sítě, nebo do zabezpečení aplikací je zavádějící, protože na zabezpečení podniku mají smysl obě tyto oblasti.

Přesto se však podle nedávné zprávy společnosti Forrester Research o stavu zabezpečení sítí největší část výdajů z rozpočtu na zabezpečovací technologie v roce 2015 použila na zabezpečení sítí a předpokládá se, že tato rozpočtová kategorie i v nadcházejících letech poroste.

„Při pohledu do budoucna očekává v letošním roce 41 % osob s rozhodovací pravomocí nejméně 5% zvýšení výdajů na zabezpečení sítí a 9 % osob s rozhodovací pravomocí v oblasti zabezpečení plánuje zvýšit výdaje na zabezpečení sítí o více než 10 %,“ uvádějí analytici Forresteru.

Přestože zabezpečení aplikací tu existuje už nějakou dobu, IT profesionálové stále zůstávají zakotveni v tradicích, které vycházejí ze zabezpečení sítí. Výsledkem jsou v oblasti investic do bezpečnostních nástrojů často rozpočtová rozhodnutí typu „buď – anebo“.  Skutečností však je, že stejně jako říše Fantazie nemá ani síť své hranice. 

Během posledních dvaceti let lidé používali přístup rozlišující vnější a vnitřní oblast bezpečnostní hranice a firewallů. „Hranice neexistuje,“ upozorňuje Steven, technologický ředitel společnosti Cigital Internal, a dodává: „Děláme totiž pro usnadnění fungování našich firem do našich sítí díry.“

„Organizace, které si myslí, že zůstanou ve starém prostředí, nevidí, že jejich sítě nemají hranice. Hranice tam prostě není,“ prohlašuje Steven. Domů podle něj kupujeme zařízení, abychom je nechali spolu komunikovat, a podnikové prostředí se v ničem neliší.

Do sítě lze snadno proniknout, uvádí Steven, a internet věcí tento trend urychlí. „Jednou ze základních směrnic je přestat stavět ploty okolo věcí a pochopit, že komunikace je smyslem zařízení,“ řekl Steven.

Steven podle svých slov velmi často viděl společnosti, které byly velmi překvapené, když zjistily mnohem větší počet oblastí možných útoků, než předpokládaly. „Pokud starý systém obsahuje databázi, server a klienty, mohou někteří lidé věřit, že jediným problémem je nedůvěryhodné spojení s prohlížečem.“

Rizika pro tento podnik však leží také v oblasti zálohování, obnovy po havárii, v reakcích na incidenty a libovolných dalších outsourcovaných neupravených, nešifrovaných a neauditovaných připojeních.

Paula Musichová, šéfka výzkumu společnosti NSS Labs, uvádí: „Historicky se zabezpečení sítě zaměřovalo na porty a protokoly a spoléhalo se na schopnost skenovat síťové přenosy, obvykle na vnější hranici podnikové sítě.“ 

K ochraně sítí se používají „firewally, systémy prevence narušení (IPS), zabezpečené webové brány (SWG), ochrana před útoky DDoS (distribuovaný útok vyvolávající odepření služby), virtuální privátní sítě (VPN) a další“, popisuje Musichová.  

Zavádění zabezpečení sítě zohledňující kontext ale podle Musichové „stírá hranice mezi zabezpečením sítí a zabezpečením aplikací, a integrace appliancí pro zabezpečení sítě a softwaru s ochranou koncového bodu k této neurčitosti přispívá. Zabezpečení sítí však stále spoléhá na schopnost kontrolovat přenosy v podnikové síti.“

 

Rozpad síťových hranic

Cloud computing a mobilní aplikace přispěly k rozpadu zdí hranic sítě. „Přístup ke cloudovým podnikovým aplikacím a mobilním aplikacím, používaný zaměstnanci ke spolupráci v rámci fungování společností, musí být stále zabezpečený,“ připomíná Musichová. „Zabezpečení aplikací se na druhé straně ale zaměřuje na to, jak aplikace pracují, a hledá v tomto provozu anomálie.“

Zabezpečení aplikací zahrnuje webové aplikační firewally, zabezpečení databází, ochranu e-mailových serverů, zabezpečení prohlížečů i mobilních aplikací, pokračuje Musichová.  Lze sem podle ní také zahrnout statické a dynamické testování kódu aplikace, ačkoli se to dělá častěji u podnikových aplikací vytvořených na zakázku před jejich uvedením do produkčního prostředí.

Organizace, které se nadále soustředí na své zdroje při zabezpečení sítě, se nemusejí nutně mýlit, popisuje Bill Ledingham, technologický ředitel a výkonný viceprezident pro vývoj ve společnosti Black Duck Software.  „Problém zabezpečení sítě nemizí, ale nad touto oblastí vznikají další vrstvy,“ prohlašuje Ledingham.

Kritické vybavení vně hranic je zranitelné, protože dochází v rámci přístupu z internetu ke zpřístupnění velkého množství aplikací a zdrojů. „Vezmete si na cestu notebook, připojíte ho k internetu a již zde vzniknou další místa zranitelnosti, která rozšiřují celkový obraz,“ uvádí Ledingham...

 

bitcoin_skoleni

Tento příspěvek vyšel v Computerworldu 3/2016. Oproti této on-line verzi je výrazně obsáhlejší a přináší další poznatky a tipy, které lze využít při praktické implementaci u vás ve firmě.

Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.