Média a my

Bezpečnost není jen hardware

Pojem bezpečnost síťových zařízení a zabezpečení počítačových sítí obecně doznal v poslední době podstatného pokroku ve smyslu vnímání jeho důležitosti mezi zákazníky a alespoň jistého důrazu na toto téma z pohledu rozvah nad investicemi. Pro koncového zákazníka se nejen díky medializaci zásadních bezpečnostních incidentů z poslední doby stalo téma bezpečnost a bezpečnostní hardware něčím, s čím běžně pracuje a co respektuje. Je zřejmé, že zákazník alespoň částečně tuto skutečnost zahrnuje do úvah o investicích do hardwaru pro zabezpečení sítí.

Je však velkým omylem omezovat pojem síťové bezpečnosti pouze na bezpečnostní hardware jako takový. Ten je jen jednou ze součástí. Z našeho pohledu se bezpečnost počítačových sítí a informačních technologií týká těchto třech témat: procesy, lidé a technologie.

Všude přítomný proces

Proces může být cokoliv, co nějakým způsobem popisuje záležitost, u které lze očekávat jistý vývoj v čase. Z pohledu bezpečnosti je proces (ať se pod tímto názvem skrývá v praxi cokoliv) velmi důležitý. Může to být proces řízení změn bezpečnostní politiky, evidence a reakce na incidenty či události v síti nebo cokoliv, co může souviset s komunikací obecně, životním cyklem produktů, nebo jednání organizace v souladu s platnou legislativou atd. Je velmi nebezpečné nezahrnovat procesy obecně do pojmu bezpečnosti v organizaci. A je velmi obvyklé, že nástroje na korektní a plnohodnotnou práci s procesy nejsou v produktovém portfoliu celé řady dodavatelů. Málokterý dodavatel dokáže zákazníka správně informovat o důležitosti práce s procesy a navrhnout či nabídnout vhodné řešení.

Uživatel, správce systému, manažer bezpečnosti, útočník?

Druhým velkým a často přehlíženým tématem v oblasti bezpečnosti počítačových sítí je pojem člověka jako takového. Bez ohledu na to, zda se jedná o uživatele, správce systému nebo vedoucího, je jeho role v celkové bezpečnosti velmi důležitá. V poslední době se poměrně dramaticky mění pohled na zaměstnance jako takového: mění se i vztah mezi zaměstnancem a zaměstnavatelem, a to nejen z pohledu bezpečnosti počítačových sítí. Ano, stále existují organizace, kde zaměstnanec používá pracovní stanici ve formě desktop modelu – do systémů přistupuje jen z takto nepřenosného zařízení. Trend je ovšem zcela odlišný. Zaměstnanci dnes požadují volnost ve výkonu svých pracovních povinností, chtějí pracovat z domova, v terénu, zadávat data přímo na schůzce, být neustále online. Vzniká zásadní potřeba rychlé práce s nasbíranými informacemi. Uživatelé chtějí používat prostředky, s kterými se jim dobře pracuje, které naplňují jejich preference, představy a nároky. Často ke své práci používají zařízení, které také využívají pro soukromé účely. Ať jde o notebook, tablet, či chytrý mobilní telefon, nebo jiný technický objev poslední doby, z pohledu bezpečnosti je to obrovský risk. Zákazník může mít ve své organizaci špičkově zabezpečenou síť, ale jakmile uživatel s takovýmto mobilním zařízením opustí prostory organizace a připojí se přes mobilní datové spojení, veškeré bezpečnostní restrikce definované v interní bezdrátové síti jsou neúčinné. Mění se také vztah zaměstnavatele a zaměstnance, vzniká situace, kdy na jednom zařízení má zaměstnanec uložena pracovní i soukromá data. Bez důrazu na důkladnou správu mobilních zařízení v organizaci nelze k otázce bezpečnosti přistupovat zodpovědně.

Bezpečnostní hardware

Posledním bodem jsou technologie samotné. U technologií zaměřených na bezpečnost je celkem logické, že důležitou rolí těchto systémů bude ochrana sítě a přidaná hodnota ve formě zabezpečení. Důležitá je ale také funkčnost a zajištění dostupnosti služby. Bezpečnostních technologií jako takových se mnohem více týká mentální přechod od původního, řekněme konzervativního pohledu na bezpečnost, ve kterém tzv. perimetrový firewall odděluje vnitřní – chráněnou – síť od potenciálně nepřátelského prostředí s nížkým stupněm důvěryhodnosti (internet).

Konzervativní (ale stále respektovaný) pohled na bezpečnost

Tento pojem je historicky velmi dobře zaveden a je stále uznáván v celé řadě organizací. Je založen na instituci tzv. perimetrového firewallu, který je vybaven funkcemi typu NGFW/UTM. I přes vysokou hustotu integrovaných funkcí (AV, IPS, AppControl, DLP a mnoha dalších) poskytuje pouze základní úroveň ochrany sítě. Důležitým doplněním je pak integrace pokročilého zabezpečení ve formě specializovaných aplikačních firewallů pro vystavené služby. Týká se to zejména kvalitního WAF, který chrání dynamický obsah publikovaných webových serverů, kvalitní nástroj pro mitigaci stále populárních DDoS útoků a další. Velký důraz je v poslední době kladen rovněž na problematiku tzv. doručení aplikace, která bývá prováděna formou tzv. ADC. Takové zařízení kromě funkcí známých z běžných loadbalancerů, které jsou zodpovědné za rozklad zátěže mezi více serverů na serverové farmě, nabízejí celou řadu pokročilých funkcí, které mají za cíl zajistit maximální uživatelský dojem z používání publikované aplikace. Například pokud bude uživatel připojen přes mobilní konektivitu v místě se špatným pokrytím, ADC automaticky upraví optimalizaci použitého protokolu a kompresi dat tak, aby aplikace na zařízení fungovala tím nejlepším možným způsobem v danou chvíli. I tento konzervativní pohled na bezpečnost musí řešit správu a bezpečnost mobilních zařízení a podstatné je také zajištění bezpečného vzdáleného přístupu pro uživatele, kteří pracují z místa mimo organizaci. Uvedené schéma však není kompletní, aby síť fungovala skutečně s ohledem na bezpečnost jako takovou, je nutné zaměřit se i na další problematiku. Mezi důležité prvky patří mimo jiné i tzv. Systém sběru incidentů, který je napojen na (v ideálním případě) všechna aktivní zařízení v síti a čte a zpracovává veškeré generované události a hlášení. Systém sběru incidentů může být založen na SIEM nástroji, nebo na tzv. ADS, které dokáže vyhledávat neobvyklé chování aktivních prvků a uživatelů na základě sledování síťové komunikace. Systém sběru incidentů automaticky vyhodnocuje každou vzniklou událost a dle nastavených pravidel předává zjištěné incidenty a události dvěma dalším nástrojům. Jeden z nich se označuje jako Systém zpracování incidentů a druhý jako Systém automatické reakce na incidenty. Systém zpracování incidentů je zjednodušeně řečeno nástrojem na evidenci zaznamenaných incidentů či událostí a stará se o to, aby každá zaznamenaná událost nebo incident byl řešen v souladu s procesem, který jasně definuje postup. V každém okamžiku musí být schopen reportovat, v jakém stavu je řešení toho či onoho incidentu a zda řešení probíhá v souladu s procesem. Systém reakce na incidenty je v síti instalován pro automatickou obranu sítě jako takové. Pokud je zaznamenán incident vysokého stupně nebezpečnosti, tento systém automaticky zareaguje a pomocí další vrstvy Centrálního managementu a dohledu provede konfigurační zásah do síťové infrastruktury. Pokud tedy ADS odhalí nákazu jedné konkrétní pracovní stanice škodlivým kódem na základě zaznamenané podezřelé síťové komunikace, předá tuto informaci Systému reakce na incidenty, který provede pomocí vrstvy Centrálního managementu konfigurační zásah na síťovém přepínači, jež je nejblíže napadené pracovní stanici, a konkrétní port přenastaví do karantény. O všem je vygenerován incident, který je pak dle příslušného procesu řešen. Vrstva Centrálního managementu a dohledu je rovněž velmi důležitá. Při vysokém počtu aktivních prvků v síťové infrastruktuře často narážíme na vysoké nároky na lidské zdroje, které mají síť jako celek spravovat. Tato vrstva nabízí unifikovaný konfigurační nástroj pro široké portfolio různých výrobců, pomocí kterého lze všechny (bezpečnostní) prvky spravovat z jedné administrační konzole pomocí jednoho jazyka, což velmi efektivně snižuje nároky na lidské zdroje z pohledu správy a umožňuje využívání výše popsaných pokročilých funkcí a automatizace celé síti. Posledním modulem je Systém manažerského pohledu, který slouží zejména k reportování o dění v celé síťové infrastruktuře v podobě, která není nijak náročná na technické znalosti osoby, ale která podává jasné, zřetelné a přehledné informace o dění v síti. Jsou to offline či online reporty o detekovaných bezpečnostních incidentech a stavu jejich řešení, reporty o chování uživatelů, utilizaci prostředků a podobně.

Dnes to takhle ale nestačí

Pokud bych mohl s trochou nadsázky charakterizovat změnu nároků na bezpečnost počítačových sítí, vypadalo by to přibližně následovně: Uživatel spravuje spoustu dat, kontaktů, dokumentů, tabulek, databází atd. Přestává ale řešit, kde jsou tato data fyzicky uložena. Část má na pevném disku svého počítače či notebooku, část v mobilním telefonu nebo tabletu, část na firemním serveru, část v cloudu. Data se pomocí různých nástrojů synchronizují a přelévají dle úprav z jednoho zařízení do druhého. Často na pozadí, bez nutnosti interakce uživatele. Aby byl uživatel online, musí být připojen k síti. Není to ale jen korporátní „bezpečná“ síť, ale jakákoliv jiná – mobilní datová síť, domácí Wi-Fi, internetová konektivita na letišti, v restauraci, nákupním středisku… Uživatel má tedy spoustu dat, neví zcela jistě, kde jsou zrovna uložena, a ani neřeší, jak se k nim připojuje. Ve jménu efektivity však s nimi potřebuje pracovat, a to kdykoliv a kdekoliv. Navíc kromě dat pracovních se na firemním chytrém telefonu jistě objeví i nějaký osobní obsah, či obráceně – na soukromém tabletu si zaměstnanec také rád přečte poštu či zadá tiket do firemního informačního systému. Vzniká tak poměrně zajímavá situace, která je pro osobu zodpovědnou za bezpečnost poměrně velkou výzvou. Původní pojem perimetru sítě se jaksi rozplývá a vzniká nijak nečleněné prostředí, kde musí být kladen obrovský důraz na zabezpečení koncového pracovního nástroje. Bez pokročilé správy mobilních zařízení to tedy zcela jistě nepůjde. Nepracujeme již tedy s pojmy jako dvouzónové oddělení vnitřní sítě, hraniční firewally a demilitarizované zóny. Pracujeme s pojmy uživatel, zařízení, která uživatel používá, data a komunikace.

Co s tím?

Aktuální dění skutečně není jednoduché, neboť poměrně potichu a v klidu procházíme zásadní revolucí přístupu k informačním technologiím, která může přinést velkou bezpečnostní hrozbu. Situace je však řešitelná, dnes existuje celá řada produktů, které dokáží stručně popsanou problematiku řešit, několik z nich dokonce na špičkové úrovni. Bezpečnost lze skutečně považovat za komplexní problematiku, která stojí na třech zásadních pilířích: proces, lidé a technologie. Vzhledem ke komplexnosti problematiky bezpečnosti jako takové lze očekávat, že bezpečnost jako komplexní pojem bude vyčleněna z běžného IT celé řady organizací a bude řešena nezávisle, podobně jako fyzická ostraha objektu. Tým odborníků na bezpečnost bude zodpovědný za definici bezpečnostní politiky, její revize a také uplatnění v dané organizaci. Bezpečnost na míru jako služba? Zní to jako hudba budoucnosti, ale domníváme se, že podobná situace nastane dříve, než si část odborné veřejnosti uvědomuje. Buďte na to připraveni, zabývejte se bezpečností už dnes.

Autor: Jan Václavík pracuje jako senior security konzultant u distributora s přidanou hodnotou Veracomp

Další články

RSS

Naši partneři o nás