Cukierkowa ochrona

Bardzo wiele przedsiębiorstw poświęca uwagę jedynie ochronie za pomocą zapory sieciowej, pozostawiając niezabezpieczone pozostałe składniki infrastruktury teleinformatycznej wewnątrz sieci LAN. To dość poważny błąd, bowiem w wielu przypadkach umożliwia pozyskanie danych za pomocą sztuczek socjotechnicznych, takich jak prośba o dostęp do Internetu w celu sprawdzenia poczty.

Gdy intruz włączy laptopa do lokalnej sieci, omija zaporę sieciową, będącą jedyną twardą linią obrony w takiej firmie. Jedynym sposobem obrony jest zachowanie odpowiedniego poziomu bezpieczeństwa także sieci lokalnych i stosowne regulacje dotyczące obcych komputerów. Jeśli przedsiębiorstwo posiada osobną podsieć dla gości oraz dobrze zabezpieczony LAN, na pewno wypadnie lepiej niż takie, gdzie podłączanie dowolnych komputerów do sieci lokalnej nie podlega restrykcjom.

Badanie sieci lokalnej za pomocą odpowiedniego skanera jest jedną z niewielu czynności, gdzie programy automatyzujące czynności audytora przynoszą pożądane efekty, gdyż umożliwiają szybkie usunięcie niezgodności. Nie zastąpią one wiedzy i przenikliwości dobrego specjalisty, ale na pewno ułatwią mu pracę.

Obyczaje pracowników

Bardzo wiele audytów zwraca uwagę na politykę stosowanych haseł. Oczywiście mocne hasła są znacznie trudniejsze do złamania niż słabe, zatem dobrze dobrana polityka haseł jest ważnym elementem systemu teleinformatycznego. Należy poddać badaniu nie tylko moc haseł, ale także sposób ich przydzielania, składowanie itd. Dla przykładu nawet dobrze dobrana polityka samych haseł domeny Active Directory traci sens, gdy skróty są przechowywane na słabo chronionej stacji roboczej. Są już dostępne narzędzia umożliwiające szybkie złamanie hasła zapisanego w takim skrócie przy użyciu materiałów pomocniczych i należy o tym pamiętać. Polityka złożoności haseł nie będzie kompletna, jeśli będzie można je uzyskać w inny sposób niż przez czaso- i zasobochłonne łamanie.

Kompleksowy audyt bezpieczeństwa powinien uwzględniać ataki socjotechniczne oraz przygotowanie pracowników do nich. W wielu przypadkach ważne informacje (takie jak hasła dostępu) można uzyskać po prostu prosząc o ich udostępnienie. Ponadto użytkownicy mają tendencję do stosowania tych samych haseł do wielu serwisów. Dlatego warto poddać badaniu obyczaje pracowników. Trzeba sprawdzić kilka ważnych szczegółów - czy pracownicy nie zapisują haseł na karteczkach przyklejonych do monitora lub umieszczonych na korkowej tablicy obok (wbrew pozorom jest to częste), czy nie zostawiają dokumentów przy drukarce i czy stosują się do zasady ograniczonego zaufania do niepodpisanej cyfrowo poczty elektronicznej lub faksu.

Nie można się ograniczać jedynie do infrastruktury teleinformatycznej. Audyt bezpieczeństwa to pojęcie szersze niż tylko kontrola bezpieczeństwa wszystkich elementów systemu IT.