Bezpieczeństwo sieci - problemy do rozwiązania

Zagrożenia w systemach informatycznych często narastają powoli, nie wzbudzając podejrzeń menedżerów IT. Dlatego, zanim będzie za późno, spróbujmy zdefiniować najbardziej palące problemy bezpieczeństwa. Takie, na które warto już teraz zwrócić szczególną uwagę, bo ich niedocenianie może narazić sieć przedsiębiorstwa na poważne ryzyko.

Zagrożenia w systemach informatycznych często narastają powoli, nie wzbudzając podejrzeń menedżerów IT. Dlatego, zanim będzie za późno, spróbujmy zdefiniować najbardziej palące problemy bezpieczeństwa. Takie, na które warto już teraz zwrócić szczególną uwagę, bo ich niedocenianie może narazić sieć przedsiębiorstwa na poważne ryzyko.

Czy Microsoft osiągnie kiedyś właściwy poziom bezpieczeństwa?

Konsekwencje fundamentalnych decyzji Microsoft podjętych przed 25 laty do dzisiaj dotykają firmę. Windows Vista nie jest nowym systemem operacyjnym - zawiera mnóstwo rozwiązań starszych systemów operacyjnych wydanych w nowej szacie, przenosząc bagaż ostatnich 20 lat w celu zapewnienia kompatybilności wstecznej dla aplikacji.

Jeżeli firma rzeczywiście zdecyduje się na wykonanie nowego otwarcia w oprogramowaniu, to prawdopodobnie będzie musiała pogodzić się z pewnym zmniejszeniem własnych korzyści finansowych, a w opinii wielu obserwatorów jest to mało prawdopodobne. Firma ma ograniczenia związane właśnie z kompatybilnością wsteczną.

Kilka lat temu Microsoft zapowiedział zerwanie z przeszłością poprzez coś, co nazwał projektem Next-Generation Secure Computing Base, ale NGSCB został zaniechany. Firma pozostała na ścieżce "wygody, elastyczności i kompatybilności wstecznej", która przyniosła jej najlepsze wyniki finansowe.

Co prawda firma opracowała w sumie realną strategię w zakresie tożsamości, ale została ona osłabiona przez podejście "Windows-centryczne" - Microsoft nie wspiera np. standardu SAML. Systemy operacyjne Linux, Unix czy Macintosh dostarczane są z nieco lepszymi parametrami bezpieczeństwa w porównaniu z systemami Microsoftu. Trzeba też jednak przyznać, że w Vista i XP SP2 + SP3 firma wprowadziła znaczące ulepszenia w zakresie bezpieczeństwa.

W opinii wielu firm współpracujących z Microsoftem w celu uzyskania oficjalnych certyfikatów dla swojego oprogramowania, jedną z podstawowych bolączek jest brak wyczerpującej dokumentacji technicznej. Wiele obszarów systemu operacyjnego nie jest udokumentowanych. Zmieniają się one tak szybko i tak szybko pojawiają się nowe wydania i uaktualnienia, że nikt nie jest w stanie za tym nadążyć.

Jednak niektórzy uważają, że wysiłki firmy zmierzające do poprawy bezpieczeństwa są znaczące. W kilku ostatnich latach nie zdarzały się już tak niszczycielskie ataki robaków, jak Code Red, Blaster czy Nimbda, wykorzystujące luki w produktach Microsoftu. Obecnie napastnicy skupiają się na wtyczkach do przeglądarek dostarczanych przez innych dostawców. Microsoft jest łatwym celem ataków z powodu zaszłości, ale jego produkty stają się coraz bezpieczniejsze, a wynajdowanie i łatanie wykrytych luk coraz sprawniejsze.

Kontrola dostępu do sieci: czy wystarczy zapora ogniowa?

Technologia kontrola dostępu do sieci - NAC (Network Access Control) może być wartościowym narzędziem do kontroli warunków, jakie muszą spełniać urządzenia końcowe próbujące uzyskiwać dostęp do sieci.

Taka technologia może być cenna dla biznesu podlegającego ścisłym uregulowaniom prawnym. NAC jest w stanie wykonywać wyczerpującą kontrolę punktów końcowych przed dopuszczeniem ich do sieci korporacyjnej i ten właśnie rodzaj kontroli może pomóc w spełnieniu wymagań regulatorów, którzy żądają wymuszania zasad polityk określających, jak legalny punkt końcowy ma być skonfigurowany.

Większość platform NAC wykonuje nie tylko takie funkcje, ale rejestruje ich wykonanie, co jest wymagane niekiedy przez różne regulacje prawne, takie jak standardy PCI (Payment Card Industry).

Prześwietlanie użytkowników-gości jest szczególnym problemem, który NAC może rozwiązywać. Według analiz Gartnera, większość wdrażających rozwiązania NAC jako priorytet zakłada utworzenie sieci dla użytkowników-gości.

Jeżeli przedsiębiorstwo ma zróżnicowane zespoły pełnoetatowych pracowników, dostawców i gości, którzy korzystają z jego sieci regularnie, NAC może pomóc w kontrolowaniu: czy urządzenia używane przez nich do połączenia z siecią spełniają reguły polityki konfiguracji. Dla maszyn, które nie przejdą kontroli pozytywnie, NAC może zablokować dostęp, poddać kwarantannie do czasu uzupełnienia braków, lub zagwarantować dostęp do segmentu sieci z ograniczonymi zasobami, gdzie ewentualne zniszczenia będą niewielkie.

Także organizacje potrzebujące segmentowania sieci według struktury organizacyjnej lub ról użytkowników, mogą używać funkcji sterowania autoryzacją w NAC do bardziej precyzyjnego przyznawania uprawnień.

NAC będzie ostatecznie stawać się elementem uwarstwionej architektury bezpieczeństwa, która w mniejszym stopniu opiera się na obwodowych zaporach ogniowych, a bardziej na warstwach bezpieczeństwa, mających łagodzić zagrożenia. Jest to element szerszego trendu - odchodzenia od ochrony obwodowej (deperymetryzacji). NAC nie jest koniecznym elementem struktury ochronnej, ale będzie stawać się krytycznym komponentem dla tych nowych architektur bezpieczeństwa.

Technologia ta zmniejsza ryzyko dostępu do sieci komputerów narażonych oraz minimalizuje potencjalne zagrożenia, jakie mogą one stworzyć w sieci, jeżeli taki dostęp uzyskają. Nie jest to jednak gwarancja bezpieczeństwa. NAC jest odpowiedzią na zagrożenia, z którymi tradycyjne zapory ogniowe operujące w warstwie 3 nie mogą sobie poradzić, ale są też inne zagrożenia, z którymi z kolei nie poradzi sobie także NAC. Niemniej technologia ta wnosi istotny wkład w bezpieczeństwo sieci.

Stary problem zarządzania łatkami

Narzędzia zarządzania łatkami i lukami oprogramowania mogą podejmować zadanie wykrywania i ochrony maszyn ze słabymi punktami w bardziej statycznym, kontrolowanym środowisku. Obszar tej technologii jest uważany za priorytetowy wśród administratorów IT, którzy spędzili wiele lat nad udoskonalaniem skanowania słabych punktów, testowania łatek i procesów dystrybucji oprogramowania.

Według badań EMA (Enterprise Management Associates), ponad trzy czwarte (76 proc.) z 250 ankietowanych szefów IT dysponuje jakimś rodzajem narzędzia do zarządzania łatkami i potwierdza, iż łatanie oprogramowania jest ważnym lub bardzo ważnym procesem. Według innych badań, 30 proc. administratorów ciągle martwi problem łatania, ale jest to liczba, która w ostatnich latach się zmniejsza. To skłania niektórych analityków do stwierdzenia, iż odzwierciedla to dojrzałość produktów zarządzania łatkami.

Chociaż procesy zarządzania łatkami stały się bardziej dojrzałe, to jednak dostawcy powinni je nadal udoskonalać, budując sprawne systemy testowania łatek przed ich rozprowadzeniem na rozproszone maszyny.

Analitycy ostrzegają, że chociaż technologie zarządzanie łatkami mogą być uważane za dojrzałe, w miarę jak środowisko ewoluuje w stronę wirtualizacji i złożonych infrastruktur aplikacyjnych, łatanie będzie wymagać udoskonalenia. Już teraz tacy dostawcy jak Altiris (obecnie Symantec), BigFix, CA, PatchLink i Shavlik będą musieli włączyć do swoich narzędzi wsparcie wirtualizacji i innych technologii, w celu zapewnienia odpowiedniego łatania środowisk swoich użytkowników.

Wirtualizacja wprowadza pewne komplikacje, jak również gwałtownie zwiększa liczbę maszyn do łatania w tym samym czasie. Może to powodować przyspieszanie procesu testowania łatek przez administratorów IT, co w konsekwencji może wywoływać konflikty konfiguracyjne w maszynach produkcyjnych. Testowanie pozostaje krytycznym elementem procesu łatania. Przy natychmiastowych zagrożeniach (takich jak "ataki dnia zerowego") oraz rozprzestrzenianiu się maszyn wirtualnych będących przedmiotem łatania, rozprowadzenie wszystkich uaktualnień jednocześnie i ochrona środowisk stają się coraz trudniejsze.

Jeżeli doda się do tego wzajemne zależności łatek oprogramowania, to proces ten może stać się nowym wyzwaniem dla szefów IT. W miarę jak środowisko staje się coraz bardziej złożone, a liczba dostawców dystrybuujących łatki rośnie, testowanie i dystrybucja uaktualnień będzie wymagać nowego podejście do łatania od menedżerów IT.

Nadal dopracowania wymaga problem szeregowania łatek od wielu dostawców, ponieważ biorąc pod uwagę wszystkie poziomy infrastruktury - sprzęt, systemy operacyjne pracujące na fizycznych maszynach, oprogramowanie wirtualizacji i maszyny wirtualne (system operacyjny i stos aplikacyjny) - rodzi się pytanie: jaka jest poprawna sekwencja instalowania łatek z HP, Microsoftu, Oracle - które pojawiły się w tym samym dniu?

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200