Siła koncepcji

Bezpieczeństwo jest sprawą zbyt skomplikowaną, by można je rozpatrywać jedynie w kontekście produktów. Wybór konkretnych rozwiązań powinien wynikać nie tyle z zakresu ich funkcji, ile z dopasowania do całościowej koncepcji systemu bezpieczeństwa.

Bezpieczeństwo w rozproszeniu

Ochrona zasobów rozproszonych geograficznie to odwieczny problem administratorów. Nie chodzi tu bynajmniej o odległość liczoną w kilometrach, lecz o możliwość wymuszenia reguł bezpieczeństwa na systemach nie podłączonych na stałe do sieci, np. notebookach czy palmtopach, a także w placówkach zlokalizowanych w miejscach, które uniemożliwiają doprowadzenie dobrych jakościowo łączy.

Konieczność ochrony komputerów osobistych dostrzeżono tak naprawdę dopiero w ostatnich latach. Zaniedbanie wynikało prawdopodobnie z faktu, że zwykle nie przechowuje się na nich strategicznych informacji ani też nie świadczą one usług niezbędnych do realizacji krytycznych zadań. Jednak w wielu przypadkach to właśnie one bywają wykorzystywane przez włamywaczy jako "stacje przesiadkowe" do ataku na pilniej strzeżone zasoby.

Po przejęciu nad nimi kontroli, intruz uzyskuje do nich dostęp na takich samych zasadach jak uprawniony użytkownik.

Z uwagi na podwyższone ryzyko zdalne systemy wypada zabezpieczyć na kilka sposobów, aby skompensować brak zabezpieczeń działających w firmowej sieci. Pierwszym i najważniejszym środkiem bezpieczeństwa są systemy antywirusowe. Następnie rozwiązania VPN oraz, o ile to możliwe i wskazane, systemy do filtracji pakietów i wykrywania włamań (personal firewall/IDS). Aby jeszcze bardziej upewnić się, że zdalny komputer nie stanowi zagrożenia dla firmowych zasobów niektóre firmy uciekają się do rozwiązań typu REPS (Remote End-Point Security). W skrócie chodzi o to, aby zdalny system był poddawany kontroli jeszcze przed zestawieniem kanału VPN. Sprawdzane są m.in. obecność i aktywność polityki bezpieczeństwa, aktualność bazy sygnatur oprogramowania antywirusowego, zainstalowane aplikacje i protokoły sieciowe itp.

Szyfrowanie komunikacji stanowi istotną część zabezpieczeń zdalnych systemów. Mankamentem szyfrowania jest jednak niemożność poddania zabezpieczonych danych jakiejkolwiek kontroli - zwłaszcza w czasie rzeczywistym - dopóki nie trafią do docelowego. Sztandarowym przykładem jest komunikacja SSL przechodząca przez system zaporowy czy IDS.

W takich przypadkach zabezpieczenia można wzmocnić na cztery sposoby. Po pierwsze, o ile nie są to zasoby krytyczne, można oprzeć się wyłącznie na zabezpieczeniach serwera lub stacji roboczej. Drugą bardziej uniwersalną metodą jest terminowanie sesji SSL na dedykowanych urządzeniach zlokalizowanych przed serwerami usług. Trzecie rozwiązanie to wymuszenie uwierzytelnienia użytkowników na serwerze dostępowym VPN przed systemem firewall. Czwarte zaś, polega na uwierzytelnieniu na systemie firewall.

Zapomniane zarządzanie

Rosnące skomplikowanie systemów informatycznych powoduje komplikację systemów bezpieczeństwa, co przekłada się na niższy ogólny jego poziom. Komplikacja oznacza nieodzownie więcej błędów w oprogramowaniu i zwiększone ryzyko popełnienia błędu przez człowieka. Stąd, o ile to możliwe, koncepcja bezpieczeństwa systemów informatycznych powinna opierać się na w miarę prostych założeniach.

Liczba zdarzeń rejestrowanych przez systemy zabezpieczeń jest bardzo duża i człowiek nie ma możliwości analizowania ich bez specjalistycznych narzędzi.

Graficzne konsole administracyjne tylko z pozoru wydają się wodotryskiem. Ich rola jest w rzeczywistości doniosła, ponieważ umożliwiają zapanowanie nad natłokiem informacji i ułatwiają podejmowanie decyzji - zwłaszcza w sytuacji awaryjnej. Najnowsze konsole potrafią integrować i interpretować informacje z różnych typu systemów: firewall, IDS, antywirusowych oraz wykrywać korelacje między nimi. A zatem centralizacji i wizualizacji nigdy dość - do tekstowej konsoli można zajrzeć w każdej chwili.