Sedem mýtov internetového zabezpečenia
Internetové hrozby sakonštantne rozvíjajú. Jednoduchý vírus ako Love Bug, ktorý spôsobil miliardové (v dolároch) škody v roku 2000, by mal byť dnes bez problémov identifikovaný a zničený pomocou antivírusového softvéru. Keď predčasom bol červ (worm) menom SQL Slammer vypustený do internetovej siete, behom 30 minút ním bolo infikovaných na celom svete 75-tisíc hostiteľských počítačov, čo spôsobilo obchodné straty odhadované na miliardy dolárov.
Sedem mýtov internetového zabezpečenia
Keď predčasom bol červ (worm) menom SQL Slammer vypustený do internetovej siete, behom 30 minút ním bolo infikovaných na celom svete 75-tisíc hostiteľských počítačov, čo spôsobilo obchodné straty odhadované na miliardy dolárov. Počet infikovaných hostiteľských počítačov sa pritom zdvojnásobil vprvých minútach každých 8 sekúnd. Žijeme vstále viac vzájomne prepojenom svete. Vzhľadom ktomu, že sa internet presadzuje vstále viac vobchode ivdomácnostiach, budúce útoky červov sa môžu rozmnožovať (podobne ako SQL Slammer) takmer okamžite. Zabezpečenie dát, to je predovšetkým zvládanie rizík. Žiadny systém nemôže byť nikdy úplne zaistený, avšak spochopením hrozieb, ktorým sa organizácia vystavuje, zraniteľnosti jej systémov, procesov anajviac rizikových aktív, môžu byť bezpečnostné prostriedky nasadené najefektívnejšie. Vsúčasnosti sa vsúvislosti so zabezpečením dát rozmohlo niekoľko mýtov, ktoré ovplyvnili vývoj odvetvia internetového zabezpečenia. Porozumieť týmto mýtom je zásadné pre akúkoľvek spoločnosť, či užívateľa, aby tak mohli rozvinúť koherentnú aefektívnu (vzhľadom na náklady) bezpečnostnú stratégiu.
Mýtus č. 1: Náš firewallový a antivírusový softvér nás ochráni.
Internetové hrozby sa konštantne rozvíjajú. Jednoduchý vírus ako Love Bug, ktorý spôsobil miliardové (v dolároch) škody vroku 2000, by mal byť dnes bez problémov identifikovaný azničený pomocou antivírusového softvéru. Nové typy hrozieb však vznikajú neustále. Popieranie servisných útokov, trójske kone, rýchle fungujúce červy ako SQL Slammer alebo Nachi, spyware, phishing aspam – všetky tieto hrozby môžu prejsť skrz firewally alebo obísť antivírusový softvér. Mnoho znich používa otvorené porty, ktoré umožňujú vzájomnú komunikáciu aplikácii. Súčasný azároveň do očí bijúci príklad predstavovala NIMDA, ktorá sa rozšírili cez port 80, ktorý je zvyčajne otvorený, aby umožnil užívateľovi prístup na web.Zároveň hackeri – aby sa vyhli odhaleniu – neustále menia spôsoby, akým vykonávajú útoky. Často dnes využívajú súčasne kombináciu menších, menej závažnejších zraniteľností, ktoré dohromady predstavujú silný útok. Často tiež cielia na nedostatky, trhliny amedzery vbežných súborových formátoch ako je JPEG, PDF, DOC, XLS. Vseptembri 2004 spoločnosť Microsoft zverejnila varovanie ozraniteľnosti operačného systému Windows XP, ktorý by tak mohol povoľovať vytváranie obrázkov, ktoré nesú zlomyseľný kód, tzv. “Smrtiaci JPEG“.Softvér bude vždy zraniteľný, rovnako ako vždy budú poruchové autá, zariadenia ahračky, ktoré sú stiahnuté zobehu. Hackeri sa nevyhnutne chytia príležitostí identifikovať azneužívať tieto nedostatky. Spoločnosti sa nesmú spoliehať iba na firewally aantivírusové programy, ale potrebujú preventívnu ochranu proti nežiaducim prienikom.
Mýtus 2: Náklady na internetové zabezpečenie budú nevyhnutne rásť.
Podľa analytikov sa náklady na internetové zabezpečenie vpriebehu posledných troch rokov zdvojnásobilo, zatiaľ čo celkové IT rozpočty stagnovali. Najväčší podiel vzrastajúcich nákladov sa pritom dá pričítať na vrub ľudským zdrojom. Implementácia iba piatich záplat mesačne naprieč stovkou serverov zaberie približne 24 000 pracovných hodín ročne alebo si vyžiada 12 pracovníkov na plný úväzok.Tento prístup kzabezpečeniu nazývaný „zaplátaj apanikár“ nie je iba drahý, ale navyše sa stáva imenej efektívnym. Stým, ako sa vírusy ačervy rýchlo rozmnožujú, zostáva menej času na inštaláciu záplat na inštaláciu záplat na ich potlačenie. Niektorým spoločnostiam sa nedarí implementovať všetky nutné bezpečnostné záplaty.Vo výskume vykonanom spoločnosťou NetSec (vyše 80 percent výberového súboru predstavovali pracovníci vsektore finančných služieb a v bankovom sektore. Zvyšok tvorili telekomunikácie, vláda, média a vzdelávací sektor. Viac informácii nájdete na http://www.theregister.co.uk/2004/10/27/netsec_security_survey/ ) uviedla tretina zcelkového počtu 40 vyšších riadiacich IT bezpečnostných pracovníkov, že vich organizácii zaberie zvládnutie novej hrozby viac než šesť hodín, zatiaľ čo záplatovanie bolo považované za najväčší bezpečnostný oriešok. Existuje alternatívny prístup: Pokiaľ identifikujeme zraniteľnosti systému pred tým, než sú zneužité hackermi, môžete ich eliminovať vprijateľnom čase. Nemusíte vyhľadávať špecifické obranné prostriedky proti každej konkrétnej hrozbe. Gartner prirovnáva tento prístup koprave strechy – tiež ju opravíte skôr vlete, než by ste diery vnej upchávali uprostred dažďa. Pokiaľ je vaša strecha vdobrom stave, nemusíte sa obávať živlov, ktoré ju ohrozujú. Tento prístup transformuje povahu acenu internetového zabezpečenia. Narušuje neustály cyklus objavov, hľadania azáplat. Môže pritom zvýšiť efektivitu aredukovať cenu internetového zabezpečenia. Je to prístup, ktorý spoločnosť Internet Security Systems vždy používala, aby zabezpečila svojím zákazníkom preventívnu ochranu.
Mýtus 3: Čím viac vieme o aktivitách vnašej sieti, tým bezpečnejší sme
Mnoho nástrojov na zabezpečenie dát ponúka nepreberné množstvo údajov oaktivitách vsieti, avšak nedostatok porozumenia im. Správcovia sietí aľudia zodpovední za zabezpečenie dát potrebujú relevantné informácie, ktoré im umožňujú identifikovať hrozby predstavujúce skutočné obchodné riziká. Vezmeme si príklad zamestnanca, ktorý priloží nevinnú fotografiu ke-mailu. Zabezpečenie ju identifikuje ako riziko, napriek tomu, že je neškodná. Keď sa zaoberáme týmto incidentom, plytváme časom izdrojmi.Internetové zabezpečenie by malo byť založené na jasnom vyhodnotení obchodných rizík. Vymedzenie týchto rizík aich potenciálneho dopadu na zásadné obchodné aplikácie aprocesy umožňuje organizáciám identifikovať ich priority zabezpečenia. Správcovia sietí aľudia zodpovední za zabezpečenie zefektívnenia svojich zdrojov zabezpečenia zameraním sa na bezpečnostné priority než na skúmanie každého incidentu.
Mýtus 4: Nie sme terčom priemyslovej špionáže
Priemyselná špionáž je závažný problém. Všetky organizácie azvlášť tie, ktorých činnosť stojí na inováciách, sa vystavujú vážnemu riziku. Vjúli 2003 spoločnosť Boeing pripustila špionáž desiatok tisícok tajných dokumentov jej rivala, spoločnosti Lockheed Martin. Orok neskôr spoločnosť Marks and Spencer oznámila, že prešetruje pokus okrádež záznamov zmobilného telefónu jej prezidenta Stuarta Rosea.Priemyselná špionáž nie je obmedzená iba na veľké nadnárodné korporácie. Inštitút riaditeľov oznámil, že 60 percent členov (zahŕňajúc malé, stredné aglobálne podniky) je sužovaných krádežami dát. Existuje mnoho rôznych zlodejov dát, od zahraničných spravodajských služieb, cez platených spravodajských agentov až po zahraničné adomáce korporácie, ktoré zneužívajú nepripravené organizácie. Spoločnosti potrebujú chrániť svoje cenné informácie detailným zhodnotením rizík ajasnú bezpečnostnú politiku, ktorá pomenováva hrozby prieniku zvonku amožnosti úniku informácii zvnútra. Mýtus 5: Sieťoví provideri a predajcovia riešení zálohovania dát ponúkajú „nezávislé“ zabezpečenie
Vsúčasnosti môžeme sledovať jasný trend fúzovania spoločností zaoberajúcich sa internetovým zabezpečení so sieťovými providermi apredajcami riešení zálohovania dát. Napríklad spoločnosť 3-Com odkúpila Tipping Point, Symnatec získal Veritas aJuniper Networks kúpila NetScreen. Dôvodom týchto akvizícii je, že by zabezpečenie malo byť zabudované priamo do konštrukcie (štruktúry) siete azálohovacieho vybavenia, čo je samozrejme pravda. Takmer každý softvér ahardvér má zraniteľné miesta. Úlohou nezávislých spoločností zaoberajúcich sa zabezpečení je identifikovať ich, iza cenu toho, že tým ohrozujú reputáciu sieťového providera alebo predajcu riešenia zálohovania dát. Okrem toho, primárny záujem predajcov sieťových riešení je výkon, čo je meradlo ich produktov. Bezpečnosť hrá druhotnú úlohu, obzvlášť vtedy, keď môže nepriaznivo ovplyvniť výkon. Jednoducho povedané, potenciál konfliktu záujmov existuje vždy, keď predajcovia sieťových riešení dodávajú aj riešenia zabezpečenia.Ideálny vzťah medzi bezpečnostnými spoločnosťami adodávateľmi sietí ariešenia zálohovania predstavuje kooperácie surčitým odstupom. Ako náhle predajcovia zabezpečenia prestanú byť nezávislí, vystavujú sa nebezpečenstvu, že stratia svoje kritické schopnosti. Mýtus 6: Všetky antivírusové programy pracujú rovnako
Väčšina antivírusového softvéru pracuje na princípe vyhľadávania jedinečných digitálnych otlačkov prstov či DNA-vzoriek (nazývaných „podpis“) obsiahnutých vkóde vírusu. Nebezpečenstvo spočíva vtom, že vírusy mutujú; pokiaľ sú znovu vydané len sjemnými zmenami, antivírusový softvér pôvodný vírus už neidentifikuje. Len pred nedávnom bol dobre známy vírus MyDoom znovu vydaný ako MyDoomA, MyDoomB aMyDoomC.Alternatívne prostriedky identifikácie skôr než by hľadali digitálne odtlačky prstov vírusu preverujú zlomyseľné techniky používané vírusom knákaze ašíreniu. Je to náročnejšia práca, avšak zameraním sa na techniky vlastné rôznym vírusom je možné eliminovať celé rodiny vírusov súčasne. Okrem toho môže byť odhalený týmto antivírusovým systémom založeným na sledovaní správania vírusu iakýkoľvek budúci kód, ktorý používa rovnakú techniku.Samozrejme najefektívnejší spôsob, ako sa vysporiadať svírusmi, je použitie kombinácie rozpoznávania podpisu aanalýzy správania – čo je prístup, ktorý ISS vždy zastávala. Mýtus 7: Zabezpečenie umožňuje obchod
Príslovie „Zabezpečenie umožňuje obchod“ bolo po celé roky mantrou spoločností zaoberajúcich sa internetovým zabezpečením. Bol to pokus presvedčiť zákazníkov, že zabezpečenie je nutné vidieť ako investíciu skôr ako výdaje. Vskutočnosti je to internet aaplikácia umožňujúce vrámci nej výmenu informácii, ktoré nám umožňujú obchod. Zabezpečenie predstavuje iba správu rizík tejto výmeny informácii.Riziká sú reálne. Jediné bezpečnostné zlyhanie môže priamo ovplyvniť obchodovanie spoločnosti, kompromitovať jej tajné informácie azničiť jej reputáciu.Zároveň sú spoločnosti vystavené stála väčšiemu množstvu predpisov asmerní ako napríklad Sarbanes-Oxley aBasel II, ktoré sa snažia redukovať ich operačné abezpečnostné riziká. Implementácia týchto predpisov asmerníc bude nesmierne ťažká úloha.Vprípade medzinárodných aglobálnych spoločností je problém ešte viac komplikovaný vzhľadom krôznym kultúram, ktoré sú do jeho riešenia zapojené. Predstavte, ako by mohla talianska filiálka spoločnosti samerickým vlastníkom reagovať na zistenie, že sa musí prispôsobiť požiadavkám Sarbanes-Oxley kvôli svojej materskej spoločnosti.Vírusy ačervy nemajú žiadnu kultúru, sú definované iba svojim správaním apodpisom. Ľudské bytosti sú omnoho komplexnejšie.
Jaap Smit
(Jaap Smit je Senior Vice President EMEA spoločnosti Internet Security Systems, jednej z predných svetových spoločností zaoberajúcich sa internetovým zabezpečením).
Galéria obrázkov
Napísať komentár