Strażnicy systemów informatycznych

Strategia ochrony polegająca wyłącznie na instalacji łat i szczepionek jest już niewystarczająca, aby zapewnić bezpieczeństwo firmowym systemom.

Strategia ochrony polegająca wyłącznie na instalacji łat i szczepionek jest już niewystarczająca, aby zapewnić bezpieczeństwo firmowym systemom.

Sygnatury wirusów, koni trojańskich lub robaków tworzone przez producentów umożliwiają skuteczne zapobieganie infekcjom systemów zaporowych. Opracowanie odpowiedniej szczepionki wymaga jednak czasu i niekiedy zdarza się, że na użycie jej jest już za późno. Wirus o nazwie Slammer rozprzestrzenił się po całym świecie w ciągu zaledwie kilkunastu minut.

W świetle tych faktów strategia ochrony polegająca wyłącznie na instalacji łat i szczepionek wydaje się mało skuteczna. Epidemia może dosięgnąć firmę, zanim ta nawet zdąży zorientować się, co się dzieje.

Jak się obronić

Próbę rozwiązania tego problemu podjęli dostawcy oprogramowania zabezpieczającego, oferując usługi powiadamiania o zagrożeniach poprzez pocztę elektroniczną. Często nawet wstępne informacje o sposobie działania złośliwego programu umożliwiają administratorom zabezpieczenie, a w ostateczności odłączenie od sieci kluczowych systemów do czasu pojawienia się szczepionki.

Brak możliwości zapewnienia akceptowalnego poziomu bezpieczeństwa firmowym systemom informatycznym skłania firmy do zakupu aplikacji do wykrywania włamań (IDS). Zastosowanie takich zaawansowanych narzędzi, identyfikujących anomalie w ruchu sieciowym, a przy współpracy z oprogramowaniem antywirusowym i systemami zaporowymi mogących także reagować na nie, choć niewątpliwie zmniejszają ryzyko, nie eliminuje go całkowicie.

Zanim jednak system taki zacznie poprawnie działać, będą potrzebne pokaźne inwestycje i wielomiesięczna praca nad dostrojeniem go do specyfiki firmowej sieci. W innym przypadku system będzie zgłaszał setki ostrzeżeń dziennie, które po pewnym czasie zaczyna się ignorować.

Kto stanie na straży

Na rynku są dostępne różnorodne systemy zabezpieczające: skanery antywirusowe, filtry treści, systemy zaporowe, serwery autoryzacyjne, skanery luk w zabezpieczeniach, systemy wykrywania włamań, systemy zdalnego powiadamiania itd. Zarządzanie coraz bardziej skomplikowanymi systemami zabezpieczeń staje się trudniejsze, ale i czasochłonne. Nawet najbardziej pracowity administrator sieci nie jest już w stanie monitorować jednocześnie wszystkich systemów. Niekiedy jedynym sensownym rozwiązaniem staje się zatrudnienie osoby lub osób zajmujących się wyłącznie bezpieczeństwem, tak np. postępuje coraz więcej banków.

Alternatywą dla zatrudniania administratorów bezpieczeństwa może być outsourcing systemów ochronnych. W Polsce działają już firmy parające się tego typu usługami. Zaletą outsourcingu jest możliwość skorzystania z usług wysoko kwalifikowanych specjalistów, których zatrudnienie "na wyłączność" może być zbyt kosztowne. Dokonanie rzetelnej oceny opłacalności outsourcingu w dziedzinie bezpieczeństwa jest prawdopodobnie jeszcze trudniejsze niż w przypadku oddania w zarządzanie innych obszarów informatyki. Podobnie jak w przypadku szacowania zwrotu z inwestycji w systemy informatyczne, można tu przyjąć wiele punktów odniesienia, a mimo to nie dojść do jednoznacznych wniosków.

Bezpieczeństwo na radarze

Efektywne zarządzanie bezpieczeństwem wymaga wglądu w informacje pochodzące ze wszystkich systemów stojących na straży firmowej sieci. Każdy system ma jednak własną konsolę zarządzającą, a przełączanie tych konsoli utrudnia administratorom kontrolę nad systemem.

Producenci rozpoczęli prace nad uniwersalnymi narzędziami umożliwiającymi jednoczesne zarządzanie wszystkimi systemami. W pierwszym etapie powstaną rozwiązania pozwalające na zarządzanie aplikacjami jednego producenta. Takie rozwiązania przygotowują lub już oferują wszyscy liczący się dostawcy systemów antywirusowych, m.in. Computer Associates, Network Associates, Symantec, , Check Point, Cisco i Systems. Jedynym w Polsce i wciąż jednym z niewielu na świecie dostawców uniwersalnego oprogramowania, pozwalającego zarządzać systemami pochodzącymi od różnych producentów, jest ComArch SA. Z czasem zarządzanie bezpieczeństwem stanie się zapewne jedną ze standardowych funkcji zaawansowanych systemów do zarządzania infrastrukturą.

Szyfrowane problemy

Rozwiązania VPN, które wykorzystują mechanizmy szyfrujące, powodują dodatkowe problemy związane z bezpieczeństwem. Uczynienie zdalnego dostępu przez VPN rzeczywiście bezpiecznym wymaga zainstalowania na zdalnym komputerze tych samych zabezpieczeń, które są umieszczone na styku sieci firmowej z Internetem. Zarządzanie takim rozproszonym systemem bezpieczeństwa to nie lada wyzwanie.

Jeżeli szyfrowanie nie jest właściwie wykorzystywane, może paradoksalnie przyczyniać się do obniżenia poziomu bezpieczeństwa.

Ma to miejsce zwłaszcza wtedy, gdy administrator dopuszcza do pojawiania się transmisji szyfrowanej wewnątrz sieci firmowej, ponieważ systemy bezpieczeństwa nie mogą zweryfikować przesyłanych treści. Opracowanie systemów umożliwiających antywirusową kontrolę zaszyfrowanych plików to jedno z trudniejszych wyzwań, stojących przed producentami zabezpieczeń.

Internet Security Systems

Internet Security Systems wprowadziła nową wersję SiteProtector 2.0, oprogramowania wspomagającego zarządzanie systemami zabezpieczeń sieci. Umożliwia ono m.in. korelację informacji i alertów generowanych przez systemy detekcji włamań i aplikacje do monitorowania podatności sieci na ataki.

SiteProtector 2.0 jest wyposażony w konsolę pozwalającą na centralne, ujednolicone sterowanie pracą innych programów ISS, takich jak Internet Scanner, Black Ice (system IDS) i zapór firewall. Wcześniej każda z nich miała własną konsolę. Niestety, przynajmniej na razie SiteProtector współpracuje tylko z programami ISS. Zarządzanie systemami innych producentów (na początek Cisco i Check Point) ma się pojawić w kolejnej wersji systemu na przełomie II i III kwartału br.

Trend Micro

Trend Micro oferuje pakiet zarządzający Central Management Console (CMC). Aplikacja umożliwia definiowanie i realizowanie firmowej polityki bezpieczeństwa, np. automatyczne blokowanie dostępu do określonych plików lub portów w przypadku podejrzenia o infekcję. Na razie CMC współpracuje tylko z oprogramowaniem Trend Micro.

Ponadto firma rozszerzyła zakres usług EPS Outbreak Prevention Services - szybkiej informacji o rejestrowanych atakach wirusowych przekazywanej, zanim zostały przygotowane odpowiednie szczepionki i uaktualnienia dla systemów bezpieczeństwa. Dotychczas usługi te obejmowały jedynie zagrożenia istotne z punktu serwerów pocztowych dla platformy Windows. Obecnie w ramach usługi są udostępniane informacje o zagrożeniach systemów pocztowych, serwerów plików i serwerów WWW dla platform: Windows, Solaris i Linux.

Trend Micro oferuje też usługę EPS Damage Cleanup Service - naprawianie systemów uszkodzonych przez wirusy. Usługi Outbreak Prevention Services i Damage Cleanup Services mają być oferowane na zasadzie rocznej subskrypcji, której cena zależy od liczby komputerów i ma wynosić ok. 1-6 USD/stanowisko.