Warto wykorzystać istniejące rozwiązania

Dział IT przeważnie nie zdaje sobie sprawy ze wszystkich możliwości, którymi dysponuje już posiadane oprogramowanie. Brak wiedzy na temat dostępnych funkcji sprawia, że często kupowane są narzędzia, które wykonują zbliżone zadania do tych, które firma już ma, tylko o tym nie wie. Niekiedy dostrojenie już istniejącego oprogramowania, uzupełnienie go o niezbędne skrypty i dostosowanie do potrzeb IT może dać wystarczające rezultaty.

Badacze zauważają jeszcze jedną tendencję, którą opisuje Nick Levay, menedżer do spraw bezpieczeństwa informacji w waszyngtońskim Centrum Rozwoju, The Center for American Progress: "firma, która kupiła produkt przeznaczony do analizy logów, zazwyczaj taki wydatek podejmuje ze względu na konieczność przejścia jakiegoś audytu. Gdy rozwiązanie zostanie wdrożone i spełnia wymagania audytorów, firmy o nim zapominają do czasu następnego audytu kontrolnego. Tymczasem bardzo wiele można osiągnąć bez wydawania kolejnych pieniędzy, niezbędna jest tylko wiedza, jak osiągnąć jeszcze więcej z systemów, które już zostały wdrożone. Czasami wystarczy dokładna lektura instrukcji obsługi lub szkolenia, nieraz bezpłatnie organizowane przez dostawców. Dział IT nie zawsze z tych szkoleń korzysta, ze względu na presję czasu spowodowaną koniecznością szybkiego wdrożenia".

Skoncentrować się na tym, co jest widoczne od razu

W miarę rozwoju narzędzi przeznaczonych do wykrywania anomalii i podejrzanej aktywności, która może być związana z naruszeniem bezpieczeństwa, stają się one coraz czulsze. Może to skutkować nadmierną liczbą alarmów podnoszonych przez oprogramowanie, przeciążając pracowników nawałem informacji. Raport opracowany przez firmę Verizon sugeruje zachowanie rozsądnego środka i skoncentrowanie się na dużych zmianach, szczególnie dużej liczby długich wpisów w logach lub znaczących zmianach charakterystyki ruchu sieciowego.

Badacze piszą w rapocie: "po naruszeniu bezpieczeństwa notowaliśmy wzrost ilości zapisów w logach nawet o 500%, a także brak rejestrowania zdarzeń z danej maszyny przez całe miesiące, gdy włamywacz wyłączył logowanie. Odnotowaliśmy także zdarzenia zapisywane w logach, spowodowane próbą lub udanymi atakami SQL Injection. Wpisy te były o wiele dłuższe od standardowych, związanych z typową pracą serwerów".

Dostroić konfigurację sieci

Stała rozbudowa sieci i wzrost skomplikowania infrastruktury mogą prowadzić do osłabienia bezpieczeństwa organizacji. Przy instalacji nowych aplikacji należy sprawdzić domyślne ustawienia, by upewnić się, że nowo wdrożone rozwiązanie nie będzie niosło ze sobą podwyższenia ryzyka. "Na przykład niektóre aplikacje pracujące z bazą SQL Server domyślnie nadają wszystkim użytkownikom tego oprogramowania uprawnienia systemowe do samej bazy. Jest to bardzo poważny błąd, ale nadal można go spotkać" - mówi Chad Graves, założyciel firmy Graves Technology, specjalizującej się w konsultacjach w dziedzinie bezpieczeństwa IT.