Wdrożony w Grupie Ciech system monitorowania i oceny poziomu bezpieczeństwa umożliwił efektywne zarządzanie ryzykiem.

Głównym celem rozpoczętego przed kilkoma miesiącami projektu w Ciech SA było określenie aktualnego stanu bezpieczeństwa infrastruktury IT i w konsekwencji jego podniesienie, a także zapewnienie możliwości monitorowania zdarzeń i podatności systemów operacyjnych na niepożądane zdarzenia. "Potrzeba szeroko rozumianego bezpieczeństwa w obszarze IT była dostrzegana zarówno przez biznes, jak i IT. Z jednej strony służby informatyczne dostrzegały brak możliwości monitorowania zdarzeń w obszarze sieci, z drugiej strony w Ciech został powołany Komitet ds. Ryzyka, którego celem było zidentyfikowanie ryzyk, również tych w obszarze IT" - wyjaśnia genezę projektu Małgorzata Ślepowrońska, dyrektor IT w Grupie Ciech.

W odpowiedzi na zidentyfikowane ryzyka został uruchomiony projekt wdrożenia systemu monitorowania i oceny poziomu bezpieczeństwa. W pierwszym etapie wdrożono system oceny bezpieczeństwa i korelacji zdarzeń oraz wprowadzono priorytetowe systemy ochrony poszczególnych segmentów sieci. Prace nad systemem bezpieczeństwa są jednak procesem ciągłym i mają być kontynuowane w kolejnych latach w obszarze całej Grupy Ciech.

Siła systemu

Ciech SA zdecydował się na wybór zaproponowanego przez Solidex rozwiązania opartego m.in na architekturze Cisco Self Defending Network (SDN). Mechanizmy bezpieczeństwa objęły zarówno brzeg sieci, jej wnętrze, jak i mechanizmy związane z zarządzaniem i monitorowaniem. Co ważniejsze, wszystkie te elementy zostały ze sobą ściśle zintegrowane, co zapewnia lepszą wymianę informacji. Dzięki temu administratorzy systemowi mogą lepiej radzić sobie z raportami z wielu urządzeń. Pochodzące z nich informacje spływają bowiem do jednego repozytorium, dzięki czemu po pewnym czasie działania systemu tylko groźne ataki są zgłaszane administratorom.

"Wybór rozwiązania był podyktowany ceną, choć istotnym kryterium był również fakt, że przyjęte rozwiązanie najlepiej wpisywało się w koncepcję rozwoju infrastruktury w Grupie Ciech. Największa część rozwiązania oparta jest na technologii Cisco, ale w części obszarów funkcjonują rozwiązania innych producentów" - tłumaczy Małgorzata Ślepowrońska. Przykładem może być system McAfee FoundStone, który pozwala na monitorowanie podatności systemów, w szczególności serwerów, na ataki. Informacje pochodzące z tego systemu także trafiają do centralnego repozytorium, które stanowi Cisco MARS. System ten zbiera logi ze wszystkich urządzeń, koreluje informacje, a następnie generuje alerty i odpowiednie raporty.

Wsparcie dla administratora

Jak wskazuje nazwa, Cisco SDN w znacznym stopniu zmniejsza liczbę zadań wykonywanych przez administratorów. Przykładem może być zarządzanie portami w salach konferencyjnych. Za automatyzację tych zadań odpowiada Cisco Network Admision Control (NAC). Wcześniej konieczne było wykonywanie ręcznej administracji. Po uwierzytelnieniu użytkownika i sprawdzeniu stanu bezpieczeństwa jego komputera NAC kieruje go do odpowiedniej sieci wirtualnej. Użytkownik zyskuje tym samym dostęp wyłącznie do ściśle określonych funkcji. Jeśli jego stacja robocza nie spełnia wszystkich kryteriów bezpieczeństwa, np. nie ma aktualnych definicji wirusów, zostaje objęta kwarantanną. Wówczas użytkownik ma dostęp jedynie do tych zasobów, które pozwalają mu pobrać aktualizacje systemów antywirusowych.

Z kolei Cisco MARS filtruje tysiące zdarzeń, ale raportuje wyłącznie te, istotne z punktu widzenia bezpieczeństwa, incydenty. Eliminuje to wykonywanie czasochłonnych analiz prowadzonych dotąd przez informatyków. Wreszcie Cisco Security Agent chroni poszczególne elementy NAC. Oprogramowanie nie działa w oparciu o sygnatury, ale wykorzystuje analizę behawioralną. Znając typowe wykorzystanie oprogramowania, wykonywane operacje, w przypadku wykrycia nietypowych zachowań informuje o tym administratora. Takie podejście umożliwia bardziej efektywną walkę z tzw. zagrożeniami dnia zerowego, czyli takimi, które nie zostały uwzględnione jeszcze w sygnaturach. Takie podejście nie wyklucza rozwiązań opartych na sygnaturach. Jest jednak ich uzupełnieniem.

Minimalizacja ryzyka

"Nie ma oczywiście rozwiązań w 100% bezpiecznych. Zaimplementowane rozwiązanie oraz planowane dalsze działania mają jedynie za zadanie doprowadzenie ryzyk związanych z bezpieczeństwem IT do optymalnego poziomu" - mówi Małgorzata Ślepo-wrońska. "Najsłabszym ogniwem w systemach zabezpieczeń zawsze jest człowiek. Wdrożone przez nas rozwiązanie skutecznie chroni sieć przed ryzykiem związanym m.in. z użytkownikami mobilnymi. Sieć sama decyduje, czy spełnione są założone wymogi bezpieczeństwa, które warunkują wpuszczenie użytkownika do sieci korporacyjnej. Nie odbywa się to jak do tej pory tylko na podstawie autoryzacji systemowej" - konkluduje.