Słabe strony wielowarstwowych systemów bezpieczeństwa

Czy mnożenie warstw ochrony zwiększa bezpieczeństwo? Nie zawsze tak jest i warto wiedzieć na co warto zwrócić uwagę decydując się na wdrożenie w firmie wielowarstwowego systemu zabezpieczeń.

W opinii wielu specjalistów firmowym centrom danych najlepszą ochronę zapewniają nie jednowarstwowe, ale wielowarstwowe systemy bezpieczeństwa. Zdarza się jednak nieraz i tak, ze nieprzemyślane do końca mnożenie warstw bezpieczeństwa powoduje, że centrum danych nie wtedy wcale lepiej chronione przed atakami hakerów. Postaramy się odpowiedzieć na pytanie, dlaczego tak się dzieje i na co należy zwrócić uwagę decydując się na wdrożenie w firmie wielowarstwowego systemu ochrony.

Złożoność

Jason Brvenik (jeden z ekspertów Cisco) mówi, że widział w swojej karierze firmy, które wdrożyły wielowarstwowy system bezpieczeństwa, implementując w nim nawet 80 technologii, które miały im zapewnić stuprocentową ochronę przed włamaniami. Miały, ale nie zapewniły, gdyż firma tak naprawdę nie panowała nad takim systemem. Nie była po prostu w stanie efektywnie zarządzać wszystkimi warstwami nie wiedząc do końca, jak efektywnie pracuje każda z 80 technologii i czy zadania wykonywane przez każdą z nich nie są dublowane przez inną technologię.

Zobacz również:

  • Po pandemii liderzy firm stawiają na odporność ich biznesów
  • Ten malware atakuje routery obsługujące środowiska SOHO

Nie była też w stanie ocenić, jakie relacje zachodzą pomiędzy poszczególnymi warstwami czy są one ze sobą należycie zintegrowane. Mówiąc najprościej złożoność takiego systemu była tak duża, że trudno było nad nim zapanować. Stąd wniosek, że największą wadą wielowarstwowych systemów bezpieczeństwa jest ich złożoność.

Brvenik wskazuje na jeszcze jeden problem pojawiający się w firmie w momencie wdrożenia zbyt wielu technologii bezpieczeństwa. Systemem takim jest po prostu bardzo trudno zarządzać. Administrator nie panuje wtedy nad nim i tak naprawdę nie wie, czy spełnia on postawione przed nim zadania. W efekcie może okazać się, że olbrzymie pieniądze jakie firma wyasygnowała na zakup nowych technologii bezpieczeństwa, poszły tak naprawdę w przysłowiowe błoto.

Nawet jeśli administrator panuje nad sytuacją i kontroluje wszystkie warstwy bezpieczeństwa, to jest to żmudna praca, gdyż każda warstwa ma swoją specyfikę i wymaga stosowania odrębnych narzędzi, które są aktualizowane i wpierane przez różnych dostawców tego typu rozwiązań. Powstaje wtedy pytanie, czy skórka warta jest wyprawki, czy mówiąc bardziej zrozumiale czy cała taka inwestycja kiedykolwiek zwróci się.

Mnogość warstw bezpieczeństwa stwarza jeszcze jedno bezpieczeństwo. Wynika ono z faktu, że każda z warstw może oddziaływać w specyficzny sposób na różne procesy biznesowe realizowane przez firmę i w efekcie zaburzyć prace firmy czy też w niektórych przypadkach może doprowadzić nawet do sytuacji, że system nie jest w stanie przez jakiś czas realizować swoich bieżących zadań.

Kolejny problem może się pojawić w momencie, gdy administrator zacznie aktualizować oprogramowanie sprawujące pieczę nad każdą warstwą. Może się wtedy okazać, że po zaktualizowaniu jednej warstwy, inne warstwy nie są w stanie płynnie z nią współpracować. Jakie to może mieć skutki nie trzeba chyba nikomu wyjaśniać.

Uwierzytelnianie użytkowników

Wielowarstwowe systemy bezpieczeństwa mogą stwarzać określone problemy nie tylko administratorom systemów IT, ale również użytkownikom takich systemów. Wyobraźmy sobie np. sytuację, w której firma decyduje się na stosowanie w każdej warstwie bezpieczeństwa różnych schematów uwierzytelniania użytkowników. Przeciętny użytkownik - który jest przyzwyczajony do tego, że używając jednego identyfikatora i jednego hasła może uzyskać dostęp do wszystkich zasobów firmy - może mieć wtedy poważne problemy chcąc np. odczytać interesujący go biznesowy dokument.

Program minimum przyjęty przez administratora może wtedy zakładać, że użytkownicy używają dwóch systemów uwierzytelniania. Jeden pozwoli mu uzyskać dostęp do wewnętrznych zasobów firmy, a drugi do zewnętrznego serwera pocztowego. Jeśli w takiej sytuacji użytkownik zdecyduje się np. uzyskać dostęp do wewnętrznych zasobów firmy, podając wtedy swój adres pocztowy jako identyfikator, to może to być bardzo niebezpieczne. Haker może przecież użyć wtedy takiego identyfikatora (który jest przecież wszystkim znany), jako jeden z elementów ataku przeprowadzonego na wewnętrzne zasoby firmy.

Wniosek jest taki, że administrator powinien wtedy przyjąć politykę, w myśl której użytkownik nie może stosować tych samych identyfikatorów oraz haseł w odniesienie do każdej z dwóch opisanych powyżej sytuacji.

Słaba integracja

Kolejne problemy mogą wynikać z faktu, że stopień integracji pomiędzy poszczególnymi warstwami systemu bezpieczeństwa może być niedostateczny względnie słabo zdefiniowany. W efekcie funkcjonalności wspierane przez jedną warstwę mogą zaburzyć pracę innych warstw bezpieczeństwa, a w przypadku określonych scenariuszy doprowadzić nawet do paraliżu całego systemu bezpieczeństwa.

Sytuacje takie mają miejsce szczególnie wtedy, gdy firma decyduje się na wdrożenie w poszczególnych warstwach systemu bezpieczeństwa rozwiązań, które są im oferowane przez różnych dostawców. Korzyści wynikające z przyjęcia takiej strategii - zakładającej, że jeden dostawca nie jest w stanie dostarczyć nam optymalnych i najlepszych rozwiązań w działających w obrębie różnych warstw - mogą być w takich sytuacjach bardzo wątpliwe.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200