Niebezpieczne związki

O integracji systemów zabezpieczeń trzeba myśleć zawczasu. Inaczej zabezpieczanie sieci będzie nie tylko słono kosztować, ale stanie się osobnym źródłem problemów.

O integracji systemów zabezpieczeń trzeba myśleć zawczasu. Inaczej zabezpieczanie sieci będzie nie tylko słono kosztować, ale stanie się osobnym źródłem problemów.

Integracja systemów bezpieczeństwa wyrasta obecnie na jeden z podstawowych problemów w zarządzaniu infrastrukturą informatyczną. Wyzwaniem jest liczba zagrożeń i ich narastająca intensywność. Jest nim także upowszechnienie się narzędzi automatycznie wykonujących ataki niegdyś możliwe do przeprowadzenia jedynie przez nielicznych wtajemniczonych. Największym problemem jest jednak różnorodność "złego", które może spotkać firmę. Przekłada się ona w prostej linii na architekturę, sposób działania i możliwości integracji systemów mających chronić sieci.

Jeśli wziąć pod uwagę wszystkie drogi, którymi zagrożenie może pojawić się w sieci, uzmysłowimy sobie, że... nie ma takiego urządzenia, systemu, usługi czy aplikacji, które nie mogłyby posłużyć jako platforma przesiadkowa dla złośliwego kodu czy umiejętnego włamywacza. To ważna konstatacja, sugeruje bowiem, że nie ma sensu bronić wszystkiego, ale nie o to tym razem chodzi. Sprawą, która wymaga analizy, jest właściwe umiejscowienie systemów zabezpieczeń w sieci - umożliwiające im skuteczne działanie, ale jednocześnie możliwość łatwej współpracy.

Wczesne planowanie

Niestety, często są to cele wzajemnie się wykluczające. Taki, dajmy na to, system antyszpiegowski, wypadałoby zainstalować w centralnym punkcie sieci, co niewątpliwie umożliwiłoby łatwe zarządzanie. Poszukiwanie snifferów można by połączyć - jako operację podobną co do zasady - z filtrowaniem treści i adresów URL, a także ze skanowaniem antywirusowym i blokowaniem włamań. Być może nawet dla zapewnienia wydajności i łatwości integracji dałoby się umieścić wszystkie te systemy na jednej wspólnej platformie sprzętowej. Cóż z tego, skoro ta mądrość spływa na administratorów zwykle już po zakupie rozwiązań wzajemnie niekompatybilnych...

Zakładając, że taka komasacja systemów na jednym urządzeniu jest jednak możliwa, najlepszą lokalizacją dla niego wydaje się styk sieci firmowej z Internetem, to z niego bowiem do sieci wpływa najwięcej programów-szpiegów. Ha, gdyby tylko były to jedyne wyznaczniki budowy takiego rozwiązania! Szkopuł w tym, że systemy działające na granicy z Internetem nie zabezpieczają sieci np. przed infekcją za pomocą programu przyniesionego do firmy w notebooku przez użytkownika o dużych uprawnieniach. A co z połączeniami szyfrowanymi SSL?

I tak oto okaże się, że bez modułów działających na stacjach roboczych i notebookach ani rusz. Ale zaraz... miało być centralnie! Przecież wraz z rozproszeniem pojawią się kolejne problemy. Zaraz później pojawi się wyzwanie związane z aktualizacją oprogramowania skanującego na komputerach w sieci LAN, o użytkownikach mobilnych nie wspominając. Kolejną kwestią będzie sprawna aktualizacja sygnatur. W ciągu kwartału może się okazać, że wykorzystywana przez firmę wersja oprogramowania klienckiego VPN zgłasza problemy podczas próby nawiązania połączenia, ponieważ rozliczne działające na komputerze skanery jednocześnie starają się zarezerwować dla siebie zasoby systemu i sieci.

Architektura pomaga

Czy z matni integracji systemów zabezpieczeń można się wydostać? Jednym ze sposobów na zyskanie pewnej dozy wolności wydaje się być ujednolicanie środowiska przez wdrażanie rozwiązań o kompatybilności gwarantowanej przez jednego producenta. Takich platform jest obecnie sporo. To prawda, nie są to rozwiązania doskonałe, pozwalają jednak spokojnie przespać noc, zamiast spędzić ją na rozwiązywaniu problemów, których prawdopodobnie nikt - poza niemożliwym do zidentyfikowania autorem pewnego fikuśnego fragmentu kodu - nie będzie w stanie rozwikłać.

Nie można jednak przesadzić w drugą stronę. Jeśli system potrafi wszystko, tzn. jest rozwiązaniem oferującym wszystkie możliwe formy ochrony przed dowolnym złem, jakie może spaść na firmę, należy być ostrożnym. Nie tylko dlatego, że zapewnienia takie brzmią nierealnie, ale również dlatego, że żaden z dostawców nie produkuje samodzielnie wszystkich elementów rozwiązania. Pod płaszczykiem "spójnej" platformy kryją się nierzadko bardzo nieudolnie "pozlepiane" aplikacje, które można by kupić oddzielnie i samodzielnie zintegrować, nie płacąc premii za pseudointegrację. Często lepiej kupić dwa uzupełniające się rozwiązania działające oddzielnie, niż upierać się przy pełnej integracji.

Ważną sprawą jest zdobycie wiedzy pozwalającej oceniać nie tylko funkcjonalność rozwiązań, ale również ich architekturę i rzeczywisty sposób działania. To bardzo ważne, sprzedawcy powszechnie (skąd to przekonanie?!) mają tendencję do przedstawiania klientom uproszczonych wizji świata i oferowanych rozwiązań. Być może dlatego, że gdy jest już po fakcie, zawsze mogą powiedzieć, że przecież nie pytaliśmy o takie rzeczy. Cóż, od nadmiaru wiedzy głowa może i boli, acz ból to niewielki w porównaniu z bólem, który nas spotka, jeśli kupimy rozwiązanie nie w pełni świadomi jego wad i ograniczeń.

Świadomość celu

Możliwość integracji to jedno, jej jakość to sprawa zupełnie oddzielna. Podczas analizy ofert trzeba sobie odpowiedzieć na podstawowe pytanie: czemu integracja ma służyć. Świadomość celu integracji zawsze pomaga w jej realizacji. Czy od integracji oczekujemy możliwości zarządzania kilkoma systemami zabezpieczeń za pośrednictwem jednej konsoli? A może głównym celem jest analiza danych pochodzących z różnych warstw sieciowych i protokołów? Takie rzeczy trzeba ustalić przed zaproszeniem oferentów.

Jeśli o analizie danych z systemów zabezpieczeń mowa, ważne jest to, jak bardzo szczegółowo owa analiza ma być wykonywana. Szczegółowość wskazuje zazwyczaj na częstotliwość odczytu danych, a pośrednio na wymagania w stosunku do wspierającej system zabezpieczeń infrastruktury serwerowej i sieciowej.

Świadomość celu integracji systemów zabezpieczeń jest bardzo istotna, pozwala bowiem ustalić jasne oczekiwania co do efektów wdrożenia i rozliczyć z nich dostawcę. Pomaga formułować pytania do dostawców i rozeznać się, na ile kompetentne są osoby, które mogą potencjalnie występować później w roli wdrażających lub wspierających... bardziej niż rozwiązania liczą się w dziedzinie integracji systemów zabezpieczeń ludzie z odpowiednią wiedzą i doświadczeniem.

Podejście indywidualne

Integracja systemów zabezpieczeń może być wykonywana na różne sposoby. Jeśli rozwiązania działają na jednej platformie sprzętowej albo w wydzielonym segmencie podsieci serwerowej, bezpośrednia komunikacja między systemami za pośrednictwem wywołań API może być bardzo pożyteczna - pozwala osiągać tak potrzebną wysoką wydajność. W przypadku sieci bardzo obciążonych lepszym rozwiązaniem może być współpraca systemów zabezpieczeń poprzez system dedykowany do zbiorczej analizy danych. Same dane mogą być kopiowane w czasie rzeczywistym przez porty lustrzane na przełączniku LAN.

W sieciach rozległych sprawy się komplikują - nie wszystkie, a dokładnie: mało które rozwiązania zostały stworzone z myślą o wdrożeniach w sieciach WAN. Efekty tego braku przewidywania ze strony producentów da się odczuć już podczas wstępnych testów. Produkty mogące działać w sieciach rozległych wyposażane są zwykle w lokalne repozytorium logów, które można replikować do systemu głównego, gdy sieć jest słabiej obciążona. Oczywiście, sondy, skanery i inne narzędzia działające "gdzieś w oddali" muszą być zdolne nie tylko powziąć informację o zagrożeniu, ale zablokować je - do tego też potrzebne jest im własne repozytorium.

Jeśli problemem dla integracji systemów zabezpieczeń zaczyna być skala firmy, być może warto pokusić się o wdrożenie kilku niezależnych instalacji - jeśli nie będzie ich zbyt wiele, efekty mogą być czasem lepsze, niż w przypadku instalacji centralnej, która z różnych względów (zwykle sieciowych) nie skaluje się zbyt dobrze. W praktyce decyzja o architekturze, zakresie i szczegółowości integracji systemów zabezpieczeń podejmowana będzie na podstawie nieco innych kryteriów. Uniwersalnej recepty nie ma i zapewne nigdy nie będzie.

Razem czy osobno?

Systemy zabezpieczeń, zwłaszcza w większych sieciach, są na tyle duże, że żyją własnym życiem. W większości organizacji zarządzanie systemami zabezpieczeń i pozostałymi systemami i usługami odbywa się całkiem niezależnie. Narzędzia do zarządzania systemami zabezpieczeń funkcjonują równolegle z narzędziami do zarządzania sieciami, serwerami i stacjami roboczymi.

Dostawcy mówią często, że konieczna jest integracja obu kategorii rozwiązań, by uniknąć problemów. W praktyce taka potrzeba występuje w sumie rzadko. Co więcej, niezależność działania obu kategorii narzędzi pozwala na badaniie działania jednych (oczywiście, do pewnego stopnia) za pomocą drugich. Pożytek z tego wielki, nie ma ryzyka sytuacji, w której systemy wierzą sobie nawzajem jedynie na podstawie komunikatów. Mając dwa niezależne systemy, można łatwiej wykryć anomalie i nietypowe zjawiska - oczywiście, jeśli ma się na to czas i narzędzia do efektywnej analizy logów.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200