Neučte se z chyb, zabraňte chybám!

Zveřejněno:

Počítačové zranitelnosti zaplavily operační systémy a aplikace již v dobách počátků výpočetní techniky. Celý problém eskaloval společně s rozvojem internetu, který v dosud nevídaném měřítku zpřístupnil zranitelnosti útočníkům. Při řešení správy zabezpečení existuje několik rovin, které musí IT řešit. Zranitelnosti je potřeba nejdříve detekovat, následně vyhodnotit jejich dopad na byznys a rozhodnout o jejich eliminaci. Problémem ovšem je, že zranitelností je tak velké množství a skrývají se i v kritických podnikových procesech, že ne všechny je možné zcela odstranit. Zde právě mohou pomoci specializované konzultační společnosti, které dokáží zranitelnosti vyhodnotit s ohledem na chod firmy. Pokud totiž budete chtít bezhlavě odstranit všechny detekované zranitelnosti, buďte si jisti, že tím ohrozíte svoje podnikání.

A co je vlastně ta zranitelnost?

Ve světě informačních technologií jde o bezpečnostní nedostatek, který lze zneužít k neoprávněnému průniku do systémů. Nejčastěji mívá podobu chyb v aplikacích, špatného nastavení programů a zařízení a samozřejmě může jít i o lidské pochybení. Aby organizace nemusely fungovat ve vědomí neustálého ohrožení, vznikla specializovaná disciplína Vulnerability Management. Prakticky jde o kontinuální nasazení nástrojů a využití postupů, jež aktivně odhalují bezpečnostní rizika v informační infrastruktuře podniku.

Kdo je zranitelnostmi ohrožen?

V podstatě jde o každý podnik a ve velmi konkrétní rovině i o každý koncový informační systém, včetně osobního počítače, tiskových zařízení nebo mobilního telefonu. Situaci navíc komplikuje snaha organizací o zřízení a provoz bezpečné, otevřené a propojené sítě systémů, k níž se připojují zaměstnanci, zákazníci, dodavatelé a obchodní partneři. Na jedné straně tedy existuje potřeba maximálního zpřístupnění informací a na straně druhé nutnost jejich maximálního zabezpečení.

Velkou roli ve správě zranitelností hraje síťová infrastruktura. Jde v podstatě o hlavní komunikační kanál a stěžejní prostředek konektivity. Cílem Vulnerability Managementu v této oblasti je eliminovat bezpečnostní hrozby, které vznikají nebo se objevují na úrovni síťových zranitelností. Ty mohou mít i podobu neaktualizovaných programů nebo ovladačů. Mnohem nebezpečnější ovšem bývají ty chyby v aplikacích, o nichž dlouhodobě ví pouze útočníci. Některé oborové studie předpokládají, že na tisíc řádků kódu připadá pět až dvacet chyb. A ty lze relativně snadno zneužít. V takové situaci navíc nepomůže ani sebelepší systém bezpečnostní ochrany. Ta o existenci – oficiálně neobjevených - zranitelností neví, a tudíž jen stěží zabrání jejich zneužití. Proto má v každé organizaci své nezastupitelné místo Vulnerability Management.

Řízení a správa zranitelností se vyvinula z původního prostého skenování chodu aplikací, počítačů nebo sítě až do podoby komplexních detekčních systémů. Sledování provozu stále tvoří základní součást systému pro odhalování zranitelností a slabin.

Základní funkcionality řešení pro Vulnerability Management tvoří:

  • identifikace a oprava chyb v aplikacích
  • zajišťování aktualizací
  • dohled nad konfiguračním nastavením
  • zamezování automatizovaným útokům
  • soustavné zvyšování úrovně zabezpečení
  • monitoring a dokumentace stavu zabezpečení

Správu zranitelností ve velkých organizacích není možno vykonávat manuálně. Neustále dochází k příliš velkému počtu změn v infrastruktuře. Jejich „ruční“ postižení by bylo časově velmi náročné a finančně nákladné. Řadu úkonů lze ovšem zautomatizovat, což výrazně zefektivní práci IT oddělení.

Při procesu etablování řešení pro Vulnerability Management v podniku musí existovat i určité prvky na organizační úrovni. Ty mají podobu závazných pravidel, bez jejichž dodržování by aplikace správy zranitelností selhala. Implementací Policy Managementu neboli řízení firemní politiky organizace předejde naprostému chaosu při využívání informační infrastruktury. Dodržování pravidel je samozřejmě nutno vynucovat, čemuž by mělo asistovat soustavné vzdělávání zaměstnanců.

Policy Management může mimo jiné určovat standardy konfigurací a nastavení jednotlivých systémů podnikové informační a komunikační infrastruktury. V tomto ohledu jde o jistou formu prevence vzniku zranitelností. Pravidla stanovená firemní politikou usnadňují výkon Vulnerability Managementu.

Implementace a následný provoz řešení pro Vulnerability Management má několik pevných kroků:

  • nastavení bezpečnostních pravidel
  • identifikace a kategorizace sledovaných aktiv
  • skenování systémů z důvodu detekce zranitelností
  • prověření zranitelností
  • klasifikace a ohodnocení rizik
  • testování a aplikace opravných balíčků a záplat
  • přeskenování aktiv a zajištění shody s pravidly

Z hlediska zajištění kontinuity byznysu patří mezi důležité činnosti i nastavení vztahu mezi jednotlivými prvky výpočetní infrastruktury a jejich možného dopadu na chod podniku. Jinými slovy jde o vazbu mezi funkcí výpočetních technologií a provozem. Tento krok by měl odpovědět na otázky: Jaký vliv mají informační technologie na byznys? Jaká rizika mohou jednotlivá IT aktiva pro byznys představovat? Vyhodnocením lze zjistit, která aktiva z oblasti informačních technologií jsou klíčová pro chod organizace. Zjištěné priority by mělo zohlednit řešení pro Vulnerability Management, resp. jeho funkční nastavení.

Vulnerability Management vyžaduje zejména ve fázi implementace dostatek zkušeností. Z tohoto důvodu by organizace měly zvážit, zda si nepořídí konzultační služby. Eliminují tím možnost vzniku chyb, které by znemožnily efektivní vyhledávání a odstraňování zranitelností.

Jiří VOLEK

Ing. Jiří VOLEK

Solution Manager Network Integration
Dimension Data Czech Republic

Vystudoval VŠB-TUO, obor aplikovaná mechanika. Od roku 2001 pracoval jako systémový inženýr a Cisco certifikovaný instruktor v oblasti LAN, WLAN a WAN. Od roku 2006 zastával ve společnosti Dimension Data pozice systémového inženýra, týmového lídra pro oblast síťových integrací a bezpečnosti a dále působil jako technický architekt.

Téma aktuálního čísla

ZÁKAZNICKÁ ZKUŠENOST

Kontakt

Dimension Data Czech Republic s.r.o.
Na Hřebenech II 10
140 00 Praha 4
Tel: +420 255 770 111
Email: info.cz@dimensiondata.com
www.dimensiondata.com