Wyszukiwanie słabych punktów systemów ochrony

Testowanie systemów ochrony jest jednym z podstawowych elementów zapewniania bezpieczeństwa sieciom komputerowym. Powinno się rozpoczynać od oceny podatności na atak (vulnerability assessment). W tym celu należy zbierać informacje o systemie, takie jak parametry sterowania dostępem, ustawienia na zaporach ogniowych, logowania i – co najtrudniejsze – obserwacje zachowań użytkowników systemu komputerowego. Ta faza pracy jest określana jako ocena stanu (assessment).

Następnie należy porównać aktualną konfigurację i wydajność z obowiązującymi standardami oraz procedurami i przygotować listę odchyleń od tych norm. Proces ten nosi nazwę audytu systemu ochrony. Dysponując informacją określającą, gdzie ochrona nie spełnia przyjętych norm, można określić problemy i ustalić kolejność ich rozwiązywania – odzwierciedlającą priorytety i dostępne zasoby. Na poziomie technicznym jednym z najbardziej wartościowych źródeł informacji o tym, które usterki mogą dotyczyć pracującego systemu, jest baza danych CVE (Common Vulnerabilities and Exposure), udostępniana przez organizację non profit Mitre (http://www.mitre.org ). Z kolei ICAT Metabase z Computer Security Laboratory przy National Institute of Standards and Technology zapewnia doskonały interfejs do bazy CVE – można specyfikować system operacyjny, zakres danych, typ usterki czy nieszczelności itp., a także natychmiast uzyskać listę nieszczelności do kontroli w testowanym systemie (http://icat.nist.gov/icat.cfm ).

Takie przeszukanie oszczędza czas i pieniądze – pozwala osobom, które nie są ekspertami, uzyskać ocenę zabezpieczeń po niewysokich kosztach. System CVE/ICAT jest też pomocny w szkoleniu personelu zajmującego się ochroną. Ocena i wyszukiwanie nieszczelności mogą także dostarczać podstawowych danych do identyfikowania zmian w systemach po rzeczywistym ataku, ograniczając odbudowę tylko do uszkodzonych elementów.

Jednakże wyszukiwanie luk w systemie jest warunkiem koniecznym, lecz niedostatecznym utrzymania ochrony na dobrym poziomie. Wyszukiwanie nieszczelności może ujawnić problemy, ale nie może ich rozwiązać.Poszukiwanie nieszczelności i ocena uszkodzeń to stosunkowo tanie sposoby uszczelniania ochrony, nieodnoszące się jednak bezpośrednio do praktyki. Taką konfrontację z praktyką może zapewnić zespół wynajętych hakerów. Aktywne testowanie symulujące ataki systemowe, chociaż niebezpieczne, zapewnia najlepszą diagnozę słabych punktów ochrony systemu.

Zarządzanie łatkami

Planowe i właściwe stosowanie łatek oprogramowania jest jednym z podstawowych elementów zapewniania bezpieczeństwa systemów komputerowych.

Kłopoty z określeniem, które łatki i jak należy zastosować w danym systemie ochrony to często podstawowa przyczyna pozostawiania w nim luk.

Problem ten może być mniej uciążliwy, gdy zastosuje się odpowiednie systemy do zarządzania łatkami. Pojawiło się ostatnio wiele przeznaczonych do tego produktów i usług, pozwalających zastosować bardziej systematyczne podejście. Narzędzia takie mogą posłużyć użytkownikom do wyszukiwania – zarówno lokalnie, jak i zdalnie – nieszczelności, do których opracowano już łatki programowe, i sprowadzenia oraz zainstalowania tych łatek automatycznie.

Działanie takich narzędzi polega zazwyczaj na porównywaniu konfiguracji systemu z odpowiednią bazą informacji o znanych nieszczelnościach w systemie. Lokalna kopia takiej bazy może być uaktualniania na życzenie lub automatycznie – z ośrodka webowego dostawcy produktu.

Z chwilą otrzymania listy niezbędnych łatek użytkownik ma możliwość sprowadzenia i stosowania ich w sposób właściwy – automatycznie lub ręcznie, a także może określić czas, kiedy ma to być wykonane. ¸atki są zazwyczaj opatrzone podpisem cyfrowym, co zapobiega nieautoryzowanym instalacjom.