Sześć prostych elementów poprawy bezpieczeństwa komputerowego
Opublikowano: 11 stycznia 2008
Zawartość strony
Wstęp | |
Zostań ekspertem w zakresie bezpieczeństwa lub poszukaj pomocy ekspertów | |
Znajomość własnego przedsiębiorstwa | |
Stwórz katalog swoich zasobów | |
Zabezpieczenie komputerów biurowych | |
Zablokuj sieć graniczną | |
Stwórz plany zapasowe |
Wstęp
Dziedzina bezpieczeństwa komputerowego intensywnie rozwijała się przez ostatnie pięćdziesiąt lat. Wczesne systemy komputerowe z lat czterdziestych i pięćdziesiątych ubiegłego wieku nie były zabezpieczane, i z różnych względów, nie było to konieczne. Natomiast współczesne systemy komputerowe działają w zupełnie innym środowisku. Systemy te są projektowane od samego początku tak, aby implementować różne mechanizmy kontroli bezpieczeństwa, zabezpieczające zarówno przed złośliwymi jak i nieumyślnymi czynnikami stwarzającymi zagrożenie bezpieczeństwa.
Nawet w ciągu ostatnich kilku lat krajobraz bezpieczeństwa komputerowego istotnie się zmienił. Przeszliśmy od epoki, kiedy zapory umieszczane były na każdym komputerze, rozwiązanie Firewalls Everywhere – do strategii bezpieczeństwa „defense in depth” oraz szukania punktu równowagi między bezpieczeństwem a łatwością używania i opłacalnością. Niektórzy mogliby argumentować, że wymagania bezpieczeństwa są obecnie łagodniejsze, w miarę tego jak prawo coraz skuteczniej daje sobie radę z agresorami, a systemy są projektowane z lepszymi domyślnymi mechanizmami bezpieczeństwa i wbudowaną odpornością.
Wspomniane postępy w egzekwowaniu prawa i wbudowane bezpieczeństwo czynią świat komputerów środowiskiem bezpieczniejszym. Wszystko to jednak nie zastąpi dobrego zarządzania bezpieczeństwem. W końcu od administracji sieciowej i personelu zarządzającego zależy podejmowanie odpowiednich decyzji w zakresie bezpieczeństwa i właściwa ich realizacja. Wiele skomplikowanych i tajemniczych mechanizmów kontroli bezpieczeństwa jest obecnie łatwe do przyswojenia i wdrożenia. Wynika to z tego, że w ostatnich latach poświęcono ogromną ilość czasu i uwagi kwestiom bezpieczeństwa komputerowego.
Artykuł niniejszy opisuje sześć prostych działań, które każda firma powinna wykonać, aby poprawić swoje bezpieczeństwo komputerowe. Kryterium sporządzenia niniejszej listy nie było określenie działań do przeprowadzenia w pierwszym rzędzie, ani krytycznie ważnych dla bezpieczeństwa. Dotyczą one w większym stopniu tego jak uzyskać najlepsze efekty za zainwestowane w bezpieczeństwo pieniądze. Opiszę każdą sugestię szczegółowo, oraz podam linki do stron, gdzie można znaleźć obszerniejszy opis, szablony, narzędzia, itp.
Do początku strony
Zostań ekspertem w zakresie bezpieczeństwa lub poszukaj pomocy ekspertów
Jeśli chodzi o fachową znajomość zagadnień bezpieczeństwa, to są dwie możliwości:
- Możesz zatrudnić eksperta w dziedzinie bezpieczeństwa („kupić rybę”);
- Możesz zdobyć wiedzę samemu i stać się ekspertem („nauczyć się łowić”).
Te dwa rozwiązania mają swoje zalety i wady. Podczas gdy zatrudnienie eksperta w dziedzinie bezpieczeństwa może być kosztowne, to jest to często wydatek jednorazowy, a system bezpieczeństwa, który ekspert pomoże zaprojektować i wdrożyć, może służyć przez długi okres. Z drugiej strony, aby zostać samemu ekspertem do spraw bezpieczeństwa trzeba przeznaczyć sporo czasu, zazwyczaj kosztem innych obowiązków. Związane to jest także z dużym osobistym zaangażowaniem, koniecznym do tego aby zdobyć np. certyfikat CISSP (CISSP certification). Lecz kiedy zdobyłeś już potrzebną wiedzę, to możesz wykorzystywać ją w całej swojej karierze zawodowej.
Moje zalecenie jest następujące, jeżeli nie jesteś jeszcze ekspertem w zakresie bezpieczeństwa, to powinieneś zatrudnić osobę, która przeprowadzi analizę infrastrukturalną, oszacuje ryzyko i sformułuje zalecenia co do sposobu wprowadzania mechanizmów kontroli bezpieczeństwa. Większość administratorów i kierowników nie jest nawet świadoma tego jakie zasoby posiadają, a w jeszcze mniejszym stopniu ich wartości lub sposobu ich zabezpieczania. Niezależny ekspert bezpieczeństwa może dostarczyć tych informacji bardzo sprawnie, zachowując przy tym obiektywność.
Istnieje wiele kryteriów pomagających w wyborze odpowiedniego eksperta bezpieczeństwa. Oto niektóre pytania, które powinieneś zadać ekspertowi lub firmie zajmującej sie systemami bezpieczeństwa jeszcze przed podpisaniem jakiegokolwiek porozumienia:
- Czy masz jakieś doświadczenie w pracy z typami systemów jakie posiadam? Na przykład, jeśli korzystasz szeroko z oprogramowania firmy Microsoft, to czy posiadasz certyfikaty bezpieczeństwa tej firmy?
- Czy posiadasz branżowe certyfikaty bezpieczeństwa takie jak certyfikat CISSP?
- Ile lat pracowałeś w branży bezpieczeństwa komputerowego? Chcesz zatrudnić kogoś kto posiada szerokie doświadczenie praktyczne w dziedzinie bezpieczeństwa.
Dodatkowo, tak, jak każdy przedsiębiorca powinieneś poprosić o dostarczenie historii pracy i sprawdzić jej rzetelność. Upewnisz się w ten sposób, że zatrudniasz osobę, która jest w stanie wykonać dobrą robotę, i której możesz zaufać i powierzyć tajemnice firmowe.
Do początku strony
Znajomość własnego przedsiębiorstwa
Ochrona tego czego nie znasz to trudne zadanie. Na przykład, możesz być dobrze zorientowany w kwestiach bezpieczeństwa i otrzymać zlecenie na zarządzanie zasobami IT firmy prawniczej. Aby wykonać swoją pracę musisz zapoznać się z ważnymi informacjami, między innymi:
- Jakie zasoby informacji są cenne dla firmy;
- Które dokumenty zawierają informacje objęte tajemnicą adwokacką;
- Które regulacje rządowe lub branżowe stosują się do twojej infrastruktury IT.
Przed wprowadzaniem jakichkolwiek zmian w zakresie bezpieczeństwa, powinieneś dobrze zapoznać się z charakterem działalności gospodarczej. Z pewnych specyficznych przyczyn, na przykład wynikających z umów, z powodów prawnych, lub zgodności z przepisami, mogą być stosowane pozornie nieskuteczne lub przypadkowe mechanizmy bezpieczeństwa. Rzetelna wiedza może też uchronić cię przed wystawianiem granic bezpieczeństwa na zagrożenie poprzez konsolidacje serwerów lub hurtowni danych. Jedynym sposobem na rzetelne zrozumienie istniejącej infrastruktury i podjęcie właściwych decyzji dotyczących zmian jest odpowiedzenie sobie na pytania „co” i „dlaczego” – zarówno jeśli chodzi o infrastrukturę IT jak i samą działalność przedsiębiorstwa.
Do początku strony
Stwórz katalog swoich zasobów
Jestem pewien, że nie znasz wszystkich zasobów swojej firmy. Jest to dość powszechny przypadek. Komputery i urządzenia instalowane są ciągle, często bez zezwolenia i wiedzy działu IT. Na przykład, dość często zdarza się, że pracownik przyniesie do pracy swój osobisty laptop i podłączy go do sieci korporacyjnej. Często ta sama osoba chce przez laptop korzystać z łączności bezprzewodowej, a jeśli firma nie używa sieci bezprzewodowej, pracownik instaluje sobie własne routery bezprzewodowe. Ponieważ do sieci podłączane są urządzenia niezarządzane i nieautoryzowane, to podane wyżej przypadki są czynnikami ryzyka naruszającymi bezpieczeństwo firmy.
Najprostszym sposobem wykrycia potencjalnych czynników ryzyka (takich jak wymienione powyżej), jest stworzenie całościowego katalogu systemowego. Aby zidentyfikować wszystkie urządzenia podłączone do sieci korporacyjnej, należy korzystać zarówno z narzędzi fizycznych jak i logicznych. Dzięki narzędziom skanowania dużą część pracy związanej z katalogowaniem można zautomatyzować. Niektóre narzędzia, takie jak Microsoft System Center Configuration Manager (następca SMS), oparte są o agenty.
Oznacza to, że potrzebują one instalacji oprogramowania na komputerach docelowych, i że nie mogą one skanować niektórych typów przyłączonych do sieci urządzeń. Inne narzędzia nie używają agentów – to znaczy nie wymagają instalacji oprogramowania na komputerach docelowych i ogólnie mogą skanować dowolne dołączone do sieci urządzenia. Gdy z jednej strony narzędzia oparte o agenty dostarczają dużo bogatszych informacji o konfiguracji systemu i często pozwalają na zarządzanie bezpieczeństwem tych systemów, to z drugiej – skanery nie używające agentów są bardziej użyteczne, jeżeli chodzi o identyfikację urządzeń podłączonych do sieci.
Do początku strony
Zabezpieczenie komputerów biurowych
Użytkownicy nie naruszają celowo zasad bezpieczeństwa, natomiast mogą bardzo łatwo nieumyślnie stworzyć zagrożenie i często tak też się dzieje. Instalują gry, które przysłali im ich koledzy pocztą e-mail, odwiedzają niebezpieczne strony w sieci, aby ułatwić sobie pracę zmieniają konfiguracje systemowe.
Takie zachowania są dość powszechne i często powodują zainfekowanie komputera złośliwym oprogramowaniem, ujawnieniem danych lub kradzieżą tożsamości. Szczęśliwie tego rodzaju zdarzenia dość łatwo zminimalizować, blokując możliwość konfiguracji komputerów biurowych.
Ten środek zapobiegawczy jest szczególnie często wykorzystywany. Istnieje wiele źródeł informacji i narzędzi, pomagających blokować możliwość konfiguracji komputerów osobistych. Na przykład, administratorzy Windows XP mogą korzystać z porad zamieszczonych w przewodniku Windows XP Security Guide, a administratorzy Windows Vista mogą używać przewodnika Windows Vista Security Guide.
Oba przewodniki zapewniają kilka poziomów bezpieczeństwa, w zależności od specyficznych potrzeb, i mogą być (w prosty sposób) automatycznie rozlokowane w całej sieci. Istnieją podobne przewodniki dostępne w Centrum Zabezpieczeń Internetowych (Center for Internet Security) i w Narodowym Instytucie Standaryzacji i Technologii (National Institute of Standards and Technology). Niezależnie od tego który przewodnik wybierzesz, korzystaj z jednego jako punktu oparcia, dzięki nim blokadę komputerów biurowych można przeprowadzić szybko i sprawnie.
Do początku strony
Zablokuj sieć graniczną
Strategia obrony „defense in depta” jest kluczem do efektywnego bezpieczeństwa. Oznacza to posiadanie więcej niż jednej warstwy zabezpieczeń przed najpowszechniejszymi formami ataku. Najbardziej tradycyjną formą ochrony sieci do tej pory było stworzenie granicy i zainstalowanie na niej solidnych mechanizmów obrony – tak, aby utrzymywać agresorów zewnętrznych z dala od wewnętrznych systemów komputerowych.
Rozmieszczenie zapór i serwerów proxy jest typową metodą stosowaną w tym wypadku. Jeżeli nie masz zapory między siecią a Internetem to zainstaluj ją. Agresorzy są często (ale nie zawsze) bardzo skutecznie blokowani przez zapory.
Obecnie wielu ekspertów bezpieczeństwa jest za zdjęciem zapór, argumentując, że współcześni agresorzy mogą z łatwością je obejść. Jest to czasami prawda. Ale jeśli instalacja zapory jest prosta i tania, i w ten sposób możesz zabezpieczyć swoją sieć przed większością ataków, to powinieneś to zrobić. Nie powinien to być oczywiście jedyny mechanizm obronny sieci, ale powinien funkcjonować.
Na rynku jest obecnych wielu dostawców zapór. Znajdź produkt, na który pozwalają ci twoje możliwości finansowe, który łatwo się instaluje i jest prosty w utrzymaniu. Istnieją również rozwiązania typu wszystko w jednym, wykonują one dodatkowo routowanie lub funkcje filtrowania spamu. Sensowne jest zainwestowanie w taki produkt, który spełnia tyle potrzeb ile to tylko możliwe.
Do początku strony
Stwórz plany zapasowe
Co się stanie kiedy skuteczny atak unieruchomi twoje serwery baz danych? Albo kiedy twój dostawca usług Internetowych zostanie zaatakowany przez robaka, unieruchamiającego łączność Internetową? Problemy są nie do uniknięcia, niemniej planowanie dopiero w momencie ich pojawienia się jest złą praktyką.
W oparciu o twoją ocenę ryzyka (patrz wyżej poszukaj pomocy ekspertów), wiesz które zasoby są zasobami o krytycznym znaczeniu dla działalności przedsiębiorstwa. Właśnie te zasoby należy uwzględniać w pierwszym rzędzie, następnie należy stworzyć plany zapasowe (zwane też planami ciągłości działania) na okoliczność, kiedy zasoby te, z jakiegoś powodu, nie będą dostępne.
Wdrożenie tych planów często jest kosztowne, należy więc planować ostrożnie, by być pewnym, że budżet pokryje koszty tylu planów ile ich potrzeba. Niektóre aspekty planów zapasowych mogą być proste i nie pociągają za sobą kosztów -- na przykład, jednoczesne działanie dwóch aplikacji na jednym komputerze, kiedy jeden z komputerów przejmuję czynności podczas awarii (i jednocześnie stanowi rezerwę lub zapewnia odporność na uszkodzenia). Ale niezależnie od tego, na ile prosty i ekonomiczny jest twój plan, powinieneś być pewnym, że odwzorowuje on sytuację minimalizując udokumentowane ryzyko.
Do początku strony |