Bezpečnost integrovaná v síti

Bezpečnostní brána byla dlouho jednoznačnou a snadno uchopitelnou hranicí,

oddělující firemní síť od vnějšího světa. IT organizace se tradičně

soustřeďovala na obranu této hranice a kromě instalace protivirové ochrany na

serverech a pracovních stanicích nedělala pro zabezpečení vnitřní sítě téměř

nic. Obstojí ještě takto zjednodušený přístup k bezpečnosti firemních

informačních systémů tváří v tvář novým hrozbám? Jaké tyto nové hrozby vlastně

jsou?

Účinné zabezpečení firemních informačních systémů znamená několik věcí. Je to v

první řadě zabezpečení fungování, dostupnosti a výkonu informačních systémů.

Dále se jedná o kontrolu a řízení přístupu do systémů a k informacím v souladu s

definovanou bezpečnostní politikou, chranou integrity informací a monitorování

přístupu. Na prvním místě uvádím funkci, o které si možná mnozí ze čtenářů

myslí, že mezi úkoly firemní bezpečnosti ani nepatří. Opak je pravdou. Průzkum

CSI (Computer Security Institute) a americké FBI ukazuje, že závažnost problému

neoprávněného přístupu k informacím a průniku do systémů v porovnání s minulým

rokem poklesla. Na první místo se dostal problém síťových virů a útoků typu

„denial of service“, tedy útoků vyřazujících z provozu informační nebo síťové

zdroje a způsobující kolaps informačních systémů. Vyřazení z provozu a následná

nutnost ošetřit nakažené systémy způsobují firmám a organizacím největší

finanční škody. Viry a síťoví červi, využívají bezpečnostné díry v různých

systémech a infikují je hromadně a bez rozlišení. Jakou efektivní ochranu proti

těmto novým hrozbám poskytuje tradiční koncepce bezpečnosti, popsaná v úvodu?

Jaká je nová koncepce bezpečnosti firemních informačních systémů?



„Rozmělnění“ hranice sítě

Úlohou IT oddělení je poskytovat služby vnitřním a také stále časteji vnějším

zákazníkům. Potřeba komunikace mezi dodavateli a odběrateli v rámci

extranetových sítí často znamená otevření nové hranice sítě. Podobně komplikuje

vzdálený přístup definici vnějšku a vnitřku sítě. Stará pravidla prostupnosti

mezi bezpečnostními zónami mohou být popřena novou obchodní logikou a potřebami

on-line aplikací. V síti také vznikají další potenciální bezpečnostní díry v

podobě bezdrátových lokálních sítí. U mnoha firem nejsou Wi-Fi sítě dostatečně

chráněné, i když technologie pro kontrolu identity uživatele a silné šifrování

komunikace existují již několik let. Nevystačíme s jedinou bezpečnostní branou,

která chrání hranici naší sítě. Nevyhnutelná je integrace bezpečnostních funkcí,

jako je firewall a IDS, do různých typů síťových prvků a jejich inteligentní

nasazení a správná konfigurace ve všech částech firemní sítě.



Rychlost šíření útoků

Síťový červ Blaster způsobil pandemii necelý měsíc (26 dní) poté, kdy byla

odhalena bezpečnostní díra, kterou k útoku využíval. V případě viru Sasser

uběhlo mezi zveřejněním informace o bezpečnostní díře a útokem jenom 17 dní. V

prvních minutách útoku jsou přitom v případě červů s podobnou „virulencí“ jako

měl Blaster nakaženy desetiticíce koncových stanic. Pravidla pro instalaci

opravných kódů (opravný kód = patch) jsou považována za jeden z klíčových

elementů firemní bezpečností politiky. Otázkou je, jestli nám vůbec zůstává čas,

kdy můžeme opravné kódy instalovat. Statistiky také ukazují, že bezpečnostní

díry přetrvávají v interních sítích mnohem déle než v systémech připojených k

internetu. Mnohé z virů se ve firemních sítích šíří ještě dlouho poté, kdy byly

z internetu vymýceny. Jedinou ob-

ranu proti zdrcující rychlosti a rozměrům techto ůtoků je automatizace

bezpečnostních funkcí sítě. Důležitá je schopnost autonom-

ně identifikovat hrozbu a zabránit šíření útoku už v zárodku. Účinnou ochranu

poskytuje nová generace systémů pro detekci a prevenci bezpečnostních průniků

(Intrusion Prevention System) v spojení se systémy, které dokáží ohodnotit možný

dopad hrozby v kontextu infrastruktury, která je ohrožena. Nevyhnutelná je také

účinná ochrana koncových stanic pomocí

bezpečnostních agentů (Host Based IPS).



Útoky přenášené uvnitř běžných protokolů

Téměř s naprostou jistou mohu tvrdit, že vaše bezpečnostní brána, pokud nějakou

máte, propouští komunikaci na portu 80 (HTTP). Obsah přicházející portem 80 ale

může obsahovat viry nebo jiný škodlivý kód. Je tomu tak v případě virů Nimda

nebo Code Red. Podobně může být útok veden prostřednictvím jiných běžně

otevřených portů. Situaci ještě více komplikuje šifrování. Protokol SSL sice na

jedné straně zabezpečí komunikaci mezi klientem a serverem, ale současně

znemožní nahlížet dovnitř paketů, které mohou obsahovat infekci. Ochrana proti

útokům uvnitř běžných protokolů musí zahrnovat hloubkovou inspekci paketů. Roste

také význam bezpečnostních agentů instalovaných na koncové stanice. Aktivní

ochrana koncových stanic zamezí útokům, které nemohou být odhaleny v síti.



„Zero-Day“ útoky

Ještě horší je případ, kdy opravný kód není k dispozici, nebo se dokonce jedná o

zcela nový, neznámý útok. Vzhledem k rychlosti šíření, kombinovanému účinku a

nakažlivosti známé u posledné generace síťových virů představují tyto útoky

závažnou hrozbu. Odpovědí je nasazení systémů s heuristickým vyhledáváním útoků,

které identifikují „nenormální“ chování v síti nebo v operačním systému

napadeného počítače



Mobilita a disciplína uživatelů

Využítí přenosných počítačů, které jsou připojovány do nechráněných sítí,

například k domácí síti s vysokorychlostním přípojením k internetu, představují

pro bezpečnost firemních sítí specifickou hrozbu. Mohou se stát zadními vrátky,

jimiž se do jinak chráněné firemní sítě dostanou viry nebo trojské koně. Pro

bezpečnost sítě je nezbytné, aby účinně spolupracovaly bezpečnostní funkce

koncových stanic i síťové infrastruktury. Z toho vychází i iniciativa Network

Admission Control. Cílem programu je sjednotit technologie ochrany koncových

stanic s řízením přístupu k síti a tím účinněji bránit síření nebezpečných

síťových virů a červů. Technologie umožňuje prověřit stav zabezpečení koncových

stanic a serverů a připustí do sítě pouze ta zařízení, která vyhovují stanoveným

pravidlům. Systém dokáže například na počítači zjistit přítomnost antivirové

ochrany, výsledky antivirové kontroly, verzi operačního systému, implementaci

bezpečnostních oprav, nastavení osobního firewallu nebo host based IDS systému.

Bezpečnost – funkce inteligentní informační sítě

Tradiční řešení informační bezpečnosti bylo založeno na jednotlivých, od sebe

oddělených technologiích a produktech, na nikdy nekončícím opravování

bezpečnostních děr a na instalaci nových specifikací virů do antivirových

programů. Celé odvětví informačních technologií ovšem směřuje k nové koncepci

řešení bezpečnosti. Ta je založena na komplexním pohledu na celou síťovou

infrastrukturu včetně koncových zařízení. S ohledem na poslední trendy a nové

hrozby bude dále růst význam bezpečnosti, integrované v síti. Schopnost

automatické reakce na hrozby, schopnost prevence a vynucování bezpečnostní

politiky v rámci podnikové sítě, včetně koncových stanic, je nedílnou součástí

architektury „Self Defending Networks“ společnost Cisco Systems. Dnes už nestačí

zakoupit silný firewall na hranici internetu a vnitřní sítě. Je nutné definovat

bezpečnostní politiku a systematicky ji realizovat. Je nezbytné pečlivě vybrat

stavební kameny sítě, ať už se jedná o směrovače, LAN přepínače, servery,

operační systémy a další součásti i s ohledem na úroveň zabezepčení, které mohou

poskytnout. Nedílnou součástí architektury je důsledné monitorování, jednotné

řízení a správa všech bezpečnostních zařízení.



Autor je zaměstnán ve společnosti Cisco Systems.