Média a my

Tak jak to mám teda zabezpečit?!

To je otázka, kterou si pokládá každý administ­rátor potom, co se vrátí z poslední konference o bezpečnosti, kde celý den poslouchal pre­zentace výrobců, kteří více či méně vášnivým způsobem přesvědčovali všechny účastníky, že jejich data a podniková síť nejsou v bezpečí. To vše doprovázené velkým množstvím statistik a mnohdy i přesvědčivými ukázkami.

Mnoho lidí ledabyle namítne, že výrobci se pouze snaží prodat svá řešení, a proto nás straší. Ve skutečnosti je situace ještě mno­hem horší! Když se totiž zeptáme zástupce výrobce, zda jejich řešení poskytne komplet­ní ochranu v takové formě, že budou naše data i podniková síť naprosto v bezpečí, tak vám ve většině případů odvětí, že to bo­hužel není možné. Samozřejmě se najdou výjimky, které vám budou tvrdit, že vaše data skutečně budou v bezpečí, ale taková rétorika připomíná prodejce z teleshoppin­gových pořadů, na které můžeme narazit v televizi ve tři hodiny ráno, když zrovna nemůžeme usnout.

Souboj, který nikdy nekončí

Dříve, než odpovíme na původní otázku, jak se tedy efektivně bránit proti dnešním kyber­netickým hrozbám, tak se pokusme podívat na každodenní kybernetický souboj, kterým si prochází každý z nás.

Představte si středověkou bitvu, kde na jedné straně jste vy, skrytí na hradbách, a na dru­hé straně je nepřítel, který ale disponuje neomezeným počtem mužů a finančními prostředky na neustálé vylepšování svých zbraní. Lehce si domyslíme, že je jen otáz­kou času, než se podaří nepříteli odhalit sku­linku v naší obraně a nakonec nás porazí. Tato analogie je ale nepřesná, my bohužel ani nevidíme nepřítele, který nám stojí před hradbami, a mnohdy nepoznáme, že již ne­přítel za hradby pronikl. Navíc v kybernetic­kém světě jsme všichni neustále na dosah. To je bezpochyby velká výhoda v případě, že potřebujeme v reálném čase komuniko­vat s někým na druhé straně zeměkoule, ale stejným způsobem mohou útočníci na­padnout kohokoliv na světě a navíc mohou napadnout mnoho cílů najednou v jakýkoliv moment.

Práce správce bezpečnostních produktů je navíc o to složitější, že pro něj žádný pro­jekt nikdy nekončí. Každý den se objevují nové zranitelnosti a techniky útoků, na které musí dobrý správce neustále reagovat. Práce správců serverů, diskových úložišť, data­bází, operačních systémů a aplikací je bez­pochyby také velmi náročná, ale z vlastní zkušenosti musím trvat na tom, že správ­ce bezpečnostních produktů je něco jako třídní šprt. Všichni od něj chtějí po­moci, ale během oběda si k němu nikdo nesedne.

Jaké jsou vlastně moderní hrozby?

Když se někdo zeptá na tuto otázku, tak mnoho z nás napadne Heartbleed, Shellshock, ransomware a možná několik dalších. Nicméně první dva příklady vlastně nejsou hrozby, nýbrž zranitelnosti a poslední je, v dnešní době útočníky oblíbená, mutace malwaru, který je však znám téměř stejně dlouho jako počítače samotné. A z pohledu časové osy se Heartbleed (popř. Shellshock) se slovem moderní už vůbec nemůže spo­jovat. Jde sice o relativně nedávno objeve­né zranitelnosti, ale jejich existence trvá již mnoho let.

Z tohoto pohledu se dá říci, že útočníci vlastně nepřichází s ničím novým. Stále jde o malware, zranitelnosti operačních systémů, aplikací a zařízení, spam, phishing a mohli bychom vyjmenovat mnoho dalších pojmů, které jsou v oblasti IT bezpečnosti dobře známy. To, co se ale změnilo, je způsob, jakým jsou tyto metody útoků používány.

Ano, narážím na v dnešní době velmi čas­to zmiňovaný pojem Advanced Persistance Threats. Neboli, pokud se pokusíme o pře­klad do češtiny, pokročilé hrozby. Anatomie nebo také můžeme říct metodika útoku se z pohledu útočníků vyvinula do podo­by, která nás nutí k agresivnímu vývoji, vylepšování a především pořizování dra­hých bezpečnostních funkcionalit a řeše­ní. Tím, že APT nejsou žádným způsobem cílené, nemůžeme už žít svůj život spoko­jeného správce, který si naprosto vystačí se standardním firewallem, a spoléhat se na to, že zrovna nás si přece žádný útoč­ník nevybere.

Budování bezpečnosti

Koncoví zákazníci jsou neustále bombardo­váni marketingovými slogany, jaká řešení si mají zrovna pořídit a proč je zrovna toto řešení nejvhodnější pro jejich potřeby. Jak se ale má takový IT manažer, zodpovídající za velkou podnikovou síť, rozhodnout, zda potřebuje v danou chvíli zabezpečení kon­cových zařízení, perimetru, serverů, wire-less sítě, operačních systémů nebo mobilních zařízení? A to už nemluvíme o výběru kon­krétního řešení pro danou oblast. Chápu, že každý, kdo dočetl až sem, okamžitě odvětí, že rozhodně potřebuje zabezpečit všechny zmíněné oblasti. IT manažer sice může tento názor s vámi sdílet, ale tvůrce jeho rozpočtu už rozhodně souhlasit ne­bude. Jak tedy můžeme pomoci IT mana­žerovi v rozhodování, do jaké technologie by měl investovat?

Než se pustíte do čtení následujících od­stavců, tak musím předem upozornit na to, že níže uvedená tvrzení a názory vychází čistě z mé praxe a dosavadních zkušenos­tí, a je tedy možné, že se nemusí naprosto shodovat s názory kolegů pohybujících se v oblasti IT bezpečnosti.

Jak to vypadá v praxi

Představme si, že jsme byli pozváni do spo­lečnosti, abychom doporučili, jakým způso­bem mají investovat svoji část rozpočtu, která je vyhrazena na IT bezpečnost. Zákazník má klasický firewall, standardní síťovou infrastrukturu, desítky serverů různých operačních systémů, na kterých provozuje interní aplikace a služby, a zároveň i ap­likace a služby externí, jako jsou napří­klad webové stránky a elektronická pošta. Samozřejmostí je bezdrátová síť. Z pohledu bezpečnosti má zákazník nasazené antivi­rové řešení na všech koncových stanicích a serverech. Dále disponuje open source antivirovou a antispamovou ochranou poš­tovního serveru.

Ovlivněni marketingovými akcemi většina z nás okamžitě vyhrkne, že bychom měli po­řídit tzv. next generation nebo UTM firewall (dále jen NGFW). To rozhodně není špatná myšlenka, neboť dnešní NGFW disponují velmi kvalitními bezpečnostními funkcio-nalitami, jako je antivirus, IPS, application control, web filtering nebo antispam. Zároveň umožňují autentifikaci v lokální síti i pří­stup do lokální sítě z internetu. Nabízejí web aplikační firewally pro ochranu našich webových stránek atd. Jak jsem ale již zmiňo­val výše, tak naše pomyslné hradby útočník dříve nebo později nakonec překoná, a proto přicházím s odvážnou myšlenkou, za kterou mne možná řada odborníků odsoudí, a ta my­šlenka je, že nejdříve bychom měli co nejlépe zabezpečit naše koncová zařízení.

Vždyť to je nakonec přeci přesně to, co se všichni snažíme na různých úrovních chrá­nit. Data umístěná na koncových zařízeních nebo data téměř výhradně z koncových za­řízení dostupná. Můžeme mít tedy to nej­lepší, nejmodernější a nejvýkonnější řešení na síťovou bezpečnost, ale pokud si nakazí­me náš notebook nějakým malwarem doma při večerním hledání seriálu, který bychom si mohli pustit před spaním, tak nám žád­ná sebevíce sofistikovaná síťová bezpečnost nepomůže. A jsem si jist, že se všichni shod­neme na tom, že je mnohem snazší zajistit nevypnutelnou komplexní ochranu koncové stanice než vynucené routování veškerého provozu přes naši podnikovou síť. Dalším pádným argumentem pro toto tvrzení je exi­stence šifrovaného provozu. Dnešní NGFW sice dokáží dešifrovat provoz, ale IT mana­žeři se v tu chvíli musí potýkat s několika problémy. Prvním je legislativní problematika, která je řešitelná pouze správným výběrem provozu určeného k dešifrovaní, a druhým je problematika HTTP Strict Transport Security (HSTS). Ta umožňuje administrátorům webo­vých serverů vynutit existenci důvěryhodného certifikátu včetně specifických hodnot určitých parametrů. Některé webové portály proto již v dnešní době mají tu moc neumožnit dešifro­vání komunikace, která je s nimi prováděna. Když navíc přihlédneme ke skutečnosti exi­stence nové důvěryhodné certifikační auto­rity, která je zcela zdarma, tak útočníkům nic nebrání v tom, aby využili HSTS pro svůj prospěch.

Jak na zabezpečení koncových zařízení

Pokud přistoupíme na myšlenku, že s budo­váním bezpečné IT infrastruktury bychom měli začít na koncových zařízeních, tak se nabízí otázka, jak by takové zabezpečení mělo vypadat. Není žádné tajemství, že klasické antivirové řešení již v dnešní době nestačí. Dále je nezbytnou nutností komplexní ochrany koncového zařízení web filteringové řešení, které zajistí, aby uživatelé nemohli přistupo­vat na škodlivé stránky. Aplikační firewall, který zajistí identifikaci a případnou blokaci síťových aplikací na úrovni datového toku. Funkcionalitu device control, která zajistí vynucení používání pouze důvěryhodných připojitelných zařízení, nejlépe rozšířenou o možnost šifrování v případě nutnosti povo­lení například nedůvěryhodného USB disku. Dále zahrneme DLP pro ochranu vynášení citlivých informací a nakonec behavior moni­tor, který sleduje podezřelé chování ve speci­fických oblastech operačního systému.

Dále je v podnikové síti zapotřebí zajistit zabezpečení již zmiňovaného perimetru, pře­devším z pohledu poskytovaných služeb smě­rem do internetu. Jde tedy o mailový server, u kterého je nutné zajistit bezpečnost pomocí mailové brány, mající za úkol ochranu typu antimalware, antispam, DLP apod. A dále jde o webový server, který je nutné zabezpečit tzv. web aplikačním firewallem, který nám zajišťuje ochranu proti XSS nebo SQL injec-tion útokům. Oboje zmíněné lze samozřejmě řešit pomocí NGFW nebo pomocí dedikova­ných zařízení. Vždy záleží na důležitosti jed­notlivých služeb. Není to pravidlem, ale dá se říct, že dedikované řešení bude dosahovat zpravidla vyšší úrovně poskytovaných služeb než multifunkční zařízení. Posledním krokem, pokud tak již nebylo učiněno, je dokončení zabezpečení perimetru pomocí NGFW. Pokud máme již spolehlivě zabezpečená koncová zařízení a perimetr, tak se může­me přesunout k zabezpečení komunikace v interní síti. K tomu nám slouží zařízení, jako jsou různé IPS sondy nebo jiné flow či proxy based zařízení na detekci škodlivého chování. Na stejnou úroveň je zapotřebí řadit, v dnešní době velmi populární, sandboxingo­vá řešení, která jsou zajisté velmi efektivním způsobem, jak zatočit s pokročilými hroz­bami. Dobrý sandbox nejen zajistí detekci malwaru uvnitř svého virtuálního prostředí, ale zároveň je schopen detekovat komunikaci malwaru na síťové úrovni, detekovat škod­livé odkazy, jak ve webové komunikaci, tak v elektronické poště.

Co do té doby, než se mi podaří vybudovat komplexní bezpečnost?

Jediným možným řešením takové situace, ve které, přiznejme si, je většina společností, je edukace a – ošklivě řečeno – omezování uživatelů. Sociální inženýrství je v dnešní době stále nejúspěšnější technikou tzv. hacko­vání, a proto je nutné klást důraz především na prevenci v disciplíně uživatelů. Technologie, které se staly každodenní součástí našeho života, se vyvíjejí natolik rychle, že je velmi obtížné udržet krok s útočníky, kteří doká­ží využít každé novinky k tomu, aby získali naše data nebo zneužili náš počítač k určité kriminální činnosti.

Každý zaměstnanec musí v daných interva­lech absolvovat kurz bezpečnosti práce a je zřejmě nevyhnutelné, že se bezpečnost práce v kybernetickém prostoru stane nedílnou sou­částí elementárních znalostí každého z nás. Stejně tak se musí stát povinností každého programátora, aby se nedíval na své výtvo­ry jen z pohledu funkcionalit a grafického vyobrazení, ale také z pohledu bezpečnosti.

Autor pracuje jako security system engineer ve společnosti Veracomp

 

Další články

RSS

Naši partneři o nás