Zarządzanie bezpieczeństwem

Jeszcze nie tak dawno głównym priorytetem w zakresie bezpieczeństwa IT była ochrona sieci. Choć nadal jest stawiana bardzo wysoko, to liczba problemów, jakie przybyły w ciągu minionego roku, unaoczniła konieczność szerszego zakresu ochrony.

Jeszcze nie tak dawno głównym priorytetem w zakresie bezpieczeństwa IT była ochrona sieci. Choć nadal jest stawiana bardzo wysoko, to liczba problemów, jakie przybyły w ciągu minionego roku, unaoczniła konieczność szerszego zakresu ochrony.

Problem spyware z mało znaczącego urósł do rangi priorytetu, a robaki i złożone ataki zagrażają nie tylko dostępności i wydajności, ale mogą służyć do zbierania wrażliwej informacji lub przejęcia kontroli nad zainfekowanym systemem.

Rozwój regulacji prawnych w zakresie ochrony danych osobowych w połączeniu z tymi faktami przenosi zakres bezpieczeństwa IT poza sieć. Napastnicy i legalne aplikacje używają podobnych sposobów dostępu do zasobów informacyjnych, a przedsiębiorstwa rewidują pojęcie zaufania, rozciągając je na coraz szersze grono użytkowników - pracowników, klientów, partnerów. Bezpieczeństwo w coraz większym stopniu jest związane z ochroną samej informacji w przedsiębiorstwie. W większych sieciach szczególnego znaczenia nabierają systemy zarządzania zdarzeniami bezpieczeństwa, systemy automatyzacji rozprowadzania łatek, a także wprowadzanie dobrych praktyk w zakresie bezpieczeństwa.

Zarządzanie zdarzeniami bezpieczeństwa

Zarządzanie bezpieczeństwem

Model zarządzania bezpieczeństwem

Jednym z poważniejszych problemów związanych z zarządzaniem bezpieczeństwem w dużych organizacjach jest ogromna liczba komunikatów o zdarzeniach, które ciągle napływają z systemów zabezpieczeń. Każdy system ochronny generuje zdarzenia i statystyki, wpisując je do własnego pliku logu, w sobie tylko znanym formacie.

Administrator musi dysponować narzędziami, które pobiorą dane ze wszystkich źródeł, posegregują je, zagregują, skorelują i spriorytetyzują, w dodatku przedstawiając je w formie, która pozwali na szybkie podejmowanie decyzji.

Potrzeba kontroli spełniania przez sieci wymagań zgodności z obowiązującymi przepisami i utrzymywania spójnych reguł polityk wymusza nowe spojrzenie na sposoby zarządzania i zabezpieczania.

Technologie SEM (Security Event Management), często określane też skrótem SIM (Security Information Management), pojawiły się kilka lat temu i ich zadaniem było uwolnienie zarządców sieci od zbierania i nadawania sensu olbrzymiej liczbie zapisów w logach systemów wykrywania włamań, zapór ogniowych i innych urządzeń. Produkty te składają się zazwyczaj z oprogramowania serwerów i agentów lub urządzeń sondujących, zbierających zapisy logów z urządzeń.

Dostawcy rozwiązań SEM umieszczają w nich coraz więcej funkcji automatycznych oraz mechanizmy korekcji i zarządzania opartego na politykach, przekształcając proste narzędzia rejestracji zdarzeń w narzędzia śledzące podporządkowanie wymogom bezpieczeństwa.

Mają one za zadanie śledzić, korelować i nadawać sens zdarzeniom pojawiającym się w całej sieci przedsiębiorstwa. Monitorują logi urządzeń ochronnych, takich jak zapory ogniowe, poszukując luk niewykrytych przez skanery VA (Vulnerability Assesment) oraz monitorują aktywność serwerów webowych, PBX i innych urządzeń rezydujących w sieci. Mają na oku działania zarówno użytkowników, jak i administratorów - mieszczące się w normie oraz wychodzące poza nią.

Istnieją dwa typy rozwiązań SEM - urządzenia i aplikacje programowe. Przewaga SEM w postaci urządzenia nad rozwiązaniem programowym polega na tym, że użytkownik otrzymuje maszynę, która jest specjalnie zaprojektowana i zoptymalizowana do tego zadania, np. zawiera zainstalowaną i skonfigurowana bazę danych.

Według Yankee Group, cały przemysł związany z bezpieczeństwem wygenerował w roku 2004 przychód o wartości 12,9 mld USD, w samym segmencie SEM osiągnął 250 mln, a w roku 2008 ma osiągnąć przychody o wielkości 800 mln USD.

Zarządzanie łatkami

Zarządzanie bezpieczeństwem

Cykl życia zarządzania łatkami

Zarządzanie łatkami wymaga starannego planowania, wdrożenia odpowiednich procesów, testowania i integracji z wieloma narzędziami sytemu ochrony.

Główny problem stanowią łatki Microsoftu, wydawane dość często i w dużej liczbie. Wdrażanie pojedynczych łatek jest nieefektywne - trzeba pamiętać, że każde opóźnienie pomiędzy wykryciem luki a jej załataniem wystawia program na potencjalny atak. Należy też pamiętać, że zastosowanie automatycznych narzędzi nie zapewnia pełnego bezpieczeństwa - haker może zaatakować bezpośrednio po wykryciu luki bezpieczeństwa, zanim pojawi się łatka.

Z doświadczeń wynika, że nawet zautomatyzowane narzędzia zarządzania łatkami nie gwarantują bezproblemowego procesu łatania, ponieważ zdarza się, że łatki czasami powodują problemy z poprawnym działaniem aplikacji.

Wdrożenie systemu zarządzania łatkami musi być poprzedzone oceną sieci oraz oceną procesów i procedur obowiązujących w organizacji. Koniecznym jest wdrożenie właściwych procesów oraz zasobów komputerowych niezbędnych do ich wsparcia. Łatanie musi być integralną częścią procesu utrzymania IT, wykonywaną zazwyczaj poza godzinami szczytu.

Kolejnym problemem jest zastosowanie odpowiedniego produktu. Na rynku można znaleźć wiele rozwiązań, najbardziej znane pochodzą od firm, takich jak Shavlik czy PatchLink. Są też narzędzia zarządzania łatkami wchodzące w skład większych zestawów oprogramowania obejmujących zarządzanie cyklem życia zasobów, zarządzanie zmianami, zarządzanie bezpieczeństwem i konfiguracją.


TOP 200