Kontrola dostępu - ewolucja narzędzi

Mając port dostępu do części sieci, która powinna być chroniona, trzeba się liczyć z tym, że ktoś może łatwo podłączyć do tego portu inne urządzenie i mieć ten sam poziom dostępu, nawet jeżeli nie został autoryzowany. Dostęp powinien być dlatego połączony bezpośrednio z użytkownikiem.

Mobilność potęguje ten problem. W przeszłości porty i adresy IP były sensownymi wyznacznikami tożsamości. Mobilność była ograniczona, a adres IP praktycznie niezmienny dla danej stacji roboczej i w ten sposób powiązany z jej użytkownikiem.

Ten stan uległ jednak radykalnej zmianie, ponieważ użytkownicy wykorzystują różne typy urządzeń i różne sposoby podłączania ich do sieci. Na przykład adres IP urządzenia BlackBerry może być zmieniany kilkakrotnie w ciągu godziny, a adres IP laptopa może zmieniać się w zależności od tego, czy jest on podłączony przez sieć Wi-Fi, 3G, LAN lub VPN. Różni użytkownicy mogą używać tego samego adresu IP w ciągu jednego tylko dnia.

Taka zmiana jest koszmarem dla zespołów odpowiedzialnych za bezpieczeństwo sieci, zwłaszcza gdy muszą prowadzić śledztwa w sprawie różnych incydentów czy naruszenia obowiązujących wymagań. Problemem tu jest serwer DHCP i jego dokładna synchronizacja czasowa z zegarem atomowym (dokładne czasy zmian adresów IP).

Na szczęście rozwijają się już narzędzia nieskupiające się na adresach IP czy portach, ale bardziej na użytkowniku. Do nich należą rozwiązania NAC (Network Access Control). Mogą obsługiwać zarówno bezpieczeństwo w warstwie 2 punktu końcowego, jak i kontrolę dostępu, zarządzanie tożsamością i monitorowanie zachowań w warstwie 7 - wszystko to na podstawie tożsamości użytkownika i pełnionej przez niego roli w organizacji. Najbardziej znane, dostępne rozwiązania to Network Access Protection Microsoftu i Network Admission Control Cisco. Inne firmy oferują też własne rozwiązania tego problemu.

Wadą dostępnych rozwiązań jest brak standaryzacji, jednak Cisco i Microsoft forsują swoje z różnych punktów widzenia (korzystnych dla siebie). Microsoft - od strony aplikacji za pośrednictwem Trusted Computing Group (TCG), a Cisco - od strony sieci, za pośrednictwem grupy Network Endpoint Assessment (IETF).

Również infrastruktura usług katalogowych przedsiębiorstwa często stanowi przeszkodę. Zamiast po prostu połączyć implementacje NAC z pojedynczymi usługami katalogowymi (np. Active Directory), wiele dużych przedsiębiorstw napotyka trudności, próbując zintegrować poszczególne usługi katalogowe. W grę wchodzą tu katalogi dziedziczone np. z systemów uniksowych, które trzeba połączyć z usługami katalogowymi środowisk Windows.

Zarządzanie polityką zorientowaną na użytkownika i listami kontroli dostępu nie jest zadaniem łatwym i wykazuje dużą złożoność operacyjną. Kiedy trzeba zadecydować, jaki dostęp ma mieć każdy użytkownik w przedsiębiorstwie na podstawie pełnionych funkcji i kompetencji, to należy zaangażować do tego zarządzanie polityką bezpieczeństwa obejmującą wszystkich użytkowników, tak aby ich indywidualne potrzeby były ściśle określone, co może okazać się bardzo trudne dla wielu organizacji.

Szefowie IT w przedsiębiorstwie starają się także nie tylko nadążać za osiągnięciami dostawców w zapewnianiu bezpieczeństwa punktów końcowych poprzez kontrolę łatek i aktualności sygnatur wirusowych. Prawdziwe podejście zorientowane na użytkownika oznacza zdolność monitorowania zachowań użytkownika po uzyskaniu dostępu do sieci i autoryzacji.

Do tej pory taka kontrola "post-admission" była mechanizmem dla mniejszych sieci obsługiwanych przez rozwiązania jednego dostawcy. To powinno się zmieniać, w miarę jak firmy zajmujące się NAC zaczną adoptować i integrować IF-MAP (Interface to Metadata Access Point) - standard kontroli post-admission wydany przez TCG w maju 2008 r.

Filip Demianiuk, Technical Channel Manager, Trend Micro

Znaczenie systemów typu DLP chroniących firmy przed utratą i wyciekiem poufnych danych zależy od tego, jak istotne dla organizacji jest zachowanie poufności. Strata danych poufnych lub co gorsza ich nieautoryzowane ujawnienie, ma inny ciężar gatunkowy i prawny dla banku, a inny dla producenta mebli. Oczywiście z różnych względów obie te instytucje mogą być zainteresowane rozwiązaniami DLP, ale ich projekt i wdrożenie na pewno będą inne.

Warto podkreślić, że produkty DLP to tylko narzędzia. Oczywiście mogące przynieść firmie wiele korzyści i zminimalizować ryzyko, ale w dalszym ciągu pozostaną narzędziami, które powinny realizować przyjętą przez firmę politykę bezpieczeństwa.

Dlatego też budowanie systemu ochrony danych należy zacząć od głębokiego zastanowienia się nad polityką bezpieczeństwa, jaką chcemy w naszej organizacji wdrożyć. Należy jasno określić, jakie dane i które dokumenty chcemy chronić, jakie obowiązki w tym względzie nakłada na nas prawo, a jakie zdrowy rozsądek i dobry interes firmy.

Opierając się na tych informacjach, należy zbadać, gdzie i w jakiej postaci informacje poufne są obecne w naszej infrastrukturze teleinformatycznej, oraz w jaki sposób i pomiędzy którymi elementami sieci są przesyłane. Dysponując taką wiedzą należy określić, który z pracowników ma prawo do takich czy innych działań na poufnych danych i dopiero wtedy do gry może wkroczyć narzędzie pilnujące, by nie nastąpił przeciek naszych tajemnic poza firmę.

O ile wykorzystanie właściwego i skutecznego narzędzia do ochrony informacji poufnych ma duże znaczenie dla skuteczności systemu, podobnie jak i edukacji naszych pracowników, należy jednak wiedzieć, że nawet najlepsze narzędzie nie przyniesie oczekiwanych rezultatów, jeśli właściwie nie określimy celu i zakresu jego wykorzystania.

Na rynku krajowym rozwiązania DLP cieszą się bardzo dużym zainteresowaniem klientów. Można zaryzykować stwierdzenie, że DLP jest modne. Nie idzie to jednak w parze z dużą liczbą wdrożeń tego typu rozwiązań, gdyż prawidłowy cykl przygotowania takiego wdrożenia, opracowanie polityki bezpieczeństwa, elementów edukacyjnych czy w końcu systemu obiegu dokumentów trwa wiele miesięcy, a niejednokrotnie nawet do roku. W ostatecznym rozrachunku lepiej jest mieć skuteczny i prawidłowo wdrożony system, dostosowany do naszych potrzeb, niż fałszywe poczucie bezpieczeństwa wynikające z posiadania narzędzia zapewniającego tylko częściową ochronę infrastruktury.