• Artykuł

Bezpieczeństwo

Sześć prostych elementów poprawy bezpieczeństwa komputerowego Udostępnij na: Facebook

Opublikowano: 11 stycznia 2008

Zawartość strony
Wstęp  Wstęp
Zostań ekspertem w zakresie bezpieczeństwa lub poszukaj pomocy ekspertów  Zostań ekspertem w zakresie bezpieczeństwa lub poszukaj pomocy ekspertów
Znajomość własnego przedsiębiorstwa  Znajomość własnego przedsiębiorstwa
Stwórz katalog swoich zasobów  Stwórz katalog swoich zasobów
Zabezpieczenie komputerów biurowych  Zabezpieczenie komputerów biurowych
Zablokuj sieć graniczną  Zablokuj sieć graniczną
Stwórz plany zapasowe  Stwórz plany zapasowe

Wstęp

Dziedzina bezpieczeństwa komputerowego intensywnie rozwijała się przez ostatnie pięćdziesiąt lat. Wczesne systemy komputerowe z lat czterdziestych i pięćdziesiątych ubiegłego wieku nie były zabezpieczane, i z różnych względów, nie było to konieczne. Natomiast współczesne systemy komputerowe działają w zupełnie innym środowisku. Systemy te są projektowane od samego początku tak, aby implementować różne mechanizmy kontroli bezpieczeństwa, zabezpieczające zarówno przed złośliwymi jak i nieumyślnymi czynnikami stwarzającymi zagrożenie bezpieczeństwa.

Nawet w ciągu ostatnich kilku lat krajobraz bezpieczeństwa komputerowego istotnie się zmienił. Przeszliśmy od epoki, kiedy zapory umieszczane były na każdym komputerze, rozwiązanie Firewalls Everywhere – do strategii bezpieczeństwa „defense in depth” oraz szukania punktu równowagi między bezpieczeństwem a łatwością używania i opłacalnością. Niektórzy mogliby argumentować, że wymagania bezpieczeństwa są obecnie łagodniejsze, w miarę tego jak prawo coraz skuteczniej daje sobie radę z agresorami, a systemy są projektowane z lepszymi domyślnymi mechanizmami bezpieczeństwa i wbudowaną odpornością.

Wspomniane postępy w egzekwowaniu prawa i wbudowane bezpieczeństwo czynią świat komputerów środowiskiem bezpieczniejszym. Wszystko to jednak nie zastąpi dobrego zarządzania bezpieczeństwem. W końcu od administracji sieciowej i personelu zarządzającego zależy podejmowanie odpowiednich decyzji w zakresie bezpieczeństwa i właściwa ich realizacja. Wiele skomplikowanych i tajemniczych mechanizmów kontroli bezpieczeństwa jest obecnie łatwe do przyswojenia i wdrożenia. Wynika to z tego, że w ostatnich latach poświęcono ogromną ilość czasu i uwagi kwestiom bezpieczeństwa komputerowego.

Artykuł niniejszy opisuje sześć prostych działań, które każda firma powinna wykonać, aby poprawić swoje bezpieczeństwo komputerowe. Kryterium sporządzenia niniejszej listy nie było określenie działań do przeprowadzenia w pierwszym rzędzie, ani krytycznie ważnych dla bezpieczeństwa. Dotyczą one w większym stopniu tego jak uzyskać najlepsze efekty za zainwestowane w bezpieczeństwo pieniądze. Opiszę każdą sugestię szczegółowo, oraz podam linki do stron, gdzie można znaleźć obszerniejszy opis, szablony, narzędzia, itp.

 Do początku strony Do początku strony

Zostań ekspertem w zakresie bezpieczeństwa lub poszukaj pomocy ekspertów

Jeśli chodzi o fachową znajomość zagadnień bezpieczeństwa, to są dwie możliwości:

  • Możesz zatrudnić eksperta w dziedzinie bezpieczeństwa („kupić rybę”);
  • Możesz zdobyć wiedzę samemu i stać się ekspertem („nauczyć się łowić”).

Te dwa rozwiązania mają swoje zalety i wady. Podczas gdy zatrudnienie eksperta w dziedzinie bezpieczeństwa może być kosztowne, to jest to często wydatek jednorazowy, a system bezpieczeństwa, który ekspert pomoże zaprojektować i wdrożyć, może służyć przez długi okres. Z drugiej strony, aby zostać samemu ekspertem do spraw bezpieczeństwa trzeba przeznaczyć sporo czasu, zazwyczaj kosztem innych obowiązków. Związane to jest także z dużym osobistym zaangażowaniem, koniecznym do tego aby zdobyć np. certyfikat CISSP (CISSP certification). Lecz kiedy zdobyłeś już potrzebną wiedzę, to możesz wykorzystywać ją w całej swojej karierze zawodowej.

Moje zalecenie jest następujące, jeżeli nie jesteś jeszcze ekspertem w zakresie bezpieczeństwa, to powinieneś zatrudnić osobę, która przeprowadzi analizę infrastrukturalną, oszacuje ryzyko i sformułuje zalecenia co do sposobu wprowadzania mechanizmów kontroli bezpieczeństwa. Większość administratorów i kierowników nie jest nawet świadoma tego jakie zasoby posiadają, a w jeszcze mniejszym stopniu ich wartości lub sposobu ich zabezpieczania. Niezależny ekspert bezpieczeństwa może dostarczyć tych informacji bardzo sprawnie, zachowując przy tym obiektywność.

Istnieje wiele kryteriów pomagających w wyborze odpowiedniego eksperta bezpieczeństwa. Oto niektóre pytania, które powinieneś zadać ekspertowi lub firmie zajmującej sie systemami bezpieczeństwa jeszcze przed podpisaniem jakiegokolwiek porozumienia:

  • Czy masz jakieś doświadczenie w pracy z typami systemów jakie posiadam? Na przykład, jeśli korzystasz szeroko z oprogramowania firmy Microsoft, to czy posiadasz certyfikaty bezpieczeństwa tej firmy?
  • Czy posiadasz branżowe certyfikaty bezpieczeństwa takie jak certyfikat CISSP?
  • Ile lat pracowałeś w branży bezpieczeństwa komputerowego? Chcesz zatrudnić kogoś kto posiada szerokie doświadczenie praktyczne w dziedzinie bezpieczeństwa.

Dodatkowo, tak, jak każdy przedsiębiorca powinieneś poprosić o dostarczenie historii pracy i sprawdzić jej rzetelność. Upewnisz się w ten sposób, że zatrudniasz osobę, która jest w stanie wykonać dobrą robotę, i której możesz zaufać i powierzyć tajemnice firmowe.

 Do początku strony Do początku strony

Znajomość własnego przedsiębiorstwa

Ochrona tego czego nie znasz to trudne zadanie. Na przykład, możesz być dobrze zorientowany w kwestiach bezpieczeństwa i otrzymać zlecenie na zarządzanie zasobami IT firmy prawniczej. Aby wykonać swoją pracę musisz zapoznać się z ważnymi informacjami, między innymi:

  • Jakie zasoby informacji są cenne dla firmy;
  • Które dokumenty zawierają informacje objęte tajemnicą adwokacką;
  • Które regulacje rządowe lub branżowe stosują się do twojej infrastruktury IT.

Przed wprowadzaniem jakichkolwiek zmian w zakresie bezpieczeństwa, powinieneś dobrze zapoznać się z charakterem działalności gospodarczej. Z pewnych specyficznych przyczyn, na przykład wynikających z umów, z powodów prawnych, lub zgodności z przepisami, mogą być stosowane pozornie nieskuteczne lub przypadkowe mechanizmy bezpieczeństwa. Rzetelna wiedza może też uchronić cię przed wystawianiem granic bezpieczeństwa na zagrożenie poprzez konsolidacje serwerów lub hurtowni danych. Jedynym sposobem na rzetelne zrozumienie istniejącej infrastruktury i podjęcie właściwych decyzji dotyczących zmian jest odpowiedzenie sobie na pytania „co” i „dlaczego” – zarówno jeśli chodzi o infrastrukturę IT jak i samą działalność przedsiębiorstwa.

 Do początku strony Do początku strony

Stwórz katalog swoich zasobów

Jestem pewien, że nie znasz wszystkich zasobów swojej firmy. Jest to dość powszechny przypadek. Komputery i urządzenia instalowane są ciągle, często bez zezwolenia i wiedzy działu IT. Na przykład, dość często zdarza się, że pracownik przyniesie do pracy swój osobisty laptop i podłączy go do sieci korporacyjnej. Często ta sama osoba chce przez laptop korzystać z łączności bezprzewodowej, a jeśli firma nie używa sieci bezprzewodowej, pracownik instaluje sobie własne routery bezprzewodowe. Ponieważ do sieci podłączane są urządzenia niezarządzane i nieautoryzowane, to podane wyżej przypadki są czynnikami ryzyka naruszającymi bezpieczeństwo firmy.

Najprostszym sposobem wykrycia potencjalnych czynników ryzyka (takich jak wymienione powyżej), jest stworzenie całościowego katalogu systemowego. Aby zidentyfikować wszystkie urządzenia podłączone do sieci korporacyjnej, należy korzystać zarówno z narzędzi fizycznych jak i logicznych. Dzięki narzędziom skanowania dużą część pracy związanej z katalogowaniem można zautomatyzować. Niektóre narzędzia, takie jak Microsoft System Center Configuration Manager (następca SMS), oparte są o agenty.

Oznacza to, że potrzebują one instalacji oprogramowania na komputerach docelowych, i że nie mogą one skanować niektórych typów przyłączonych do sieci urządzeń. Inne narzędzia nie używają agentów – to znaczy nie wymagają instalacji oprogramowania na komputerach docelowych i ogólnie mogą skanować dowolne dołączone do sieci urządzenia. Gdy z jednej strony narzędzia oparte o agenty dostarczają dużo bogatszych informacji o konfiguracji systemu i często pozwalają na zarządzanie bezpieczeństwem tych systemów, to z drugiej – skanery nie używające agentów są bardziej użyteczne, jeżeli chodzi o identyfikację urządzeń podłączonych do sieci.

 Do początku strony Do początku strony

Zabezpieczenie komputerów biurowych

Użytkownicy nie naruszają celowo zasad bezpieczeństwa, natomiast mogą bardzo łatwo nieumyślnie stworzyć zagrożenie i często tak też się dzieje. Instalują gry, które przysłali im ich koledzy pocztą e-mail, odwiedzają niebezpieczne strony w sieci, aby ułatwić sobie pracę zmieniają konfiguracje systemowe.

Takie zachowania są dość powszechne i często powodują zainfekowanie komputera złośliwym oprogramowaniem, ujawnieniem danych lub kradzieżą tożsamości. Szczęśliwie tego rodzaju zdarzenia dość łatwo zminimalizować, blokując możliwość konfiguracji komputerów biurowych.

Ten środek zapobiegawczy jest szczególnie często wykorzystywany. Istnieje wiele źródeł informacji i narzędzi, pomagających blokować możliwość konfiguracji komputerów osobistych. Na przykład, administratorzy Windows XP mogą korzystać z porad zamieszczonych w przewodniku Windows XP Security Guide, a administratorzy Windows Vista mogą używać przewodnika Windows Vista Security Guide.

Oba przewodniki zapewniają kilka poziomów bezpieczeństwa, w zależności od specyficznych potrzeb, i mogą być (w prosty sposób) automatycznie rozlokowane w całej sieci. Istnieją podobne przewodniki dostępne w Centrum Zabezpieczeń Internetowych (Center for Internet Security) i w Narodowym Instytucie Standaryzacji i Technologii (National Institute of Standards and Technology). Niezależnie od tego który przewodnik wybierzesz, korzystaj z jednego jako punktu oparcia, dzięki nim blokadę komputerów biurowych można przeprowadzić szybko i sprawnie.

 Do początku strony Do początku strony

Zablokuj sieć graniczną

Strategia obrony „defense in depta” jest kluczem do efektywnego bezpieczeństwa. Oznacza to posiadanie więcej niż jednej warstwy zabezpieczeń przed najpowszechniejszymi formami ataku. Najbardziej tradycyjną formą ochrony sieci do tej pory było stworzenie granicy i zainstalowanie na niej solidnych mechanizmów obrony – tak, aby utrzymywać agresorów zewnętrznych z dala od wewnętrznych systemów komputerowych.

Rozmieszczenie zapór i serwerów proxy jest typową metodą stosowaną w tym wypadku. Jeżeli nie masz zapory między siecią a Internetem to zainstaluj ją. Agresorzy są często (ale nie zawsze) bardzo skutecznie blokowani przez zapory.

Obecnie wielu ekspertów bezpieczeństwa jest za zdjęciem zapór, argumentując, że współcześni agresorzy mogą z łatwością je obejść. Jest to czasami prawda. Ale jeśli instalacja zapory jest prosta i tania, i w ten sposób możesz zabezpieczyć swoją sieć przed większością ataków, to powinieneś to zrobić. Nie powinien to być oczywiście jedyny mechanizm obronny sieci, ale powinien funkcjonować.

Na rynku jest obecnych wielu dostawców zapór. Znajdź produkt, na który pozwalają ci twoje możliwości finansowe, który łatwo się instaluje i jest prosty w utrzymaniu. Istnieją również rozwiązania typu wszystko w jednym, wykonują one dodatkowo routowanie lub funkcje filtrowania spamu. Sensowne jest zainwestowanie w taki produkt, który spełnia tyle potrzeb ile to tylko możliwe.

 Do początku strony Do początku strony

Stwórz plany zapasowe

Co się stanie kiedy skuteczny atak unieruchomi twoje serwery baz danych? Albo kiedy twój dostawca usług Internetowych zostanie zaatakowany przez robaka, unieruchamiającego łączność Internetową? Problemy są nie do uniknięcia, niemniej planowanie dopiero w momencie ich pojawienia się jest złą praktyką.

W oparciu o twoją ocenę ryzyka (patrz wyżej poszukaj pomocy ekspertów), wiesz które zasoby są zasobami o krytycznym znaczeniu dla działalności przedsiębiorstwa. Właśnie te zasoby należy uwzględniać w pierwszym rzędzie, następnie należy stworzyć plany zapasowe (zwane też planami ciągłości działania) na okoliczność, kiedy zasoby te, z jakiegoś powodu, nie będą dostępne.

Wdrożenie tych planów często jest kosztowne, należy więc planować ostrożnie, by być pewnym, że budżet pokryje koszty tylu planów ile ich potrzeba. Niektóre aspekty planów zapasowych mogą być proste i nie pociągają za sobą kosztów -- na przykład, jednoczesne działanie dwóch aplikacji na jednym komputerze, kiedy jeden z komputerów przejmuję czynności podczas awarii (i jednocześnie stanowi rezerwę lub zapewnia odporność na uszkodzenia). Ale niezależnie od tego, na ile prosty i ekonomiczny jest twój plan, powinieneś być pewnym, że odwzorowuje on sytuację minimalizując udokumentowane ryzyko.

 Do początku strony Do początku strony

Bezpieczeństwo