Wdrażanie planu bezpieczeństwa sieci
19 października 2007 15:30
Kamil Folga
Moja firma tworzy właśnie plan bezpieczeństwa sieci. Jakiego narzędzia powinienem użyć do rozwijania polityki bezpieczeństwa? Czy istnieją narzędzia ułatwiające ten proces?
Bezpieczeństwo to zawsze istotny element sieci, który podlega nieustannym procesom zarządzania i redefiniowania. Tylko takie podejście zapewnia odpowiednie zabezpieczenie, integralność oraz dostępność usług i systemów, stanowiących krytyczny element przedsiębiorstwa. Wartościowe informacje są najczęściej sercem chronionej organizacji.
W omawianym przypadku, zastanowimy się w jaki sposób narzędzia sieciowe pomagają w tworzeniu aktywnej polityki bezpieczeństwa. Odpowiedź na pytanie nie powinna zawierać omówienia narzędzi do wdrażania polityki. Zakładamy, że polityka jest już wdrożona. Pokażemy narzędzia pomagające w egzekwowaniu założonych parametrów.
Istnieje wiele znanych narzędzi, które bezpośrednio nie realizują polityki bezpieczeństwa. Przy właściwym wykorzystaniu, potrafią jednak taką politykę kształtować.
Skanery zagrożeń - pomagają w egzekwowaniu polityki aktualizacji. Gdy znamy zagrożenia dotykające bezpośrednio naszej sieci, możemy podjąć decyzje dotyczące tolerowania ich w środowisku, zdefiniowania SLA aktualizacji oraz tworzenia reguł zapory ogniowej.
Skanery bezpieczeństwa aplikacji - informują o standardach bezpieczeństwa aplikacji. Pomagają podjąć decyzję o inwestowaniu w technologie skanowania kodu. Wykorzystywane w celu automatyzacji egzekwowania standardów bezpieczeństwa oprogramowania.
Detekcja przepływu danych oraz anomalii sieciowych - znając typowe zachowania sieci oraz typowe aktywności sieciowe, możemy poddawać ruch odpowiednim regułom bezpieczeństwa. Takie technologie wymagają jednak widoczności wnętrza sieci dla urządzeń analizujących.
IDS - dobrze skonfigurowany IDS (Intrusion Detection System) powinien dostarczać informacji o atakach na nasze środowisko sieciowe. Zdobyte informacje pomagają dobrać wdrożenia odpowiednio bezpiecznych technologii. Przykładowo możemy odnotować atak na jeden z wykorzystywanych systemów operacyjnych. W rezultacie każde nowe wdrożenie może wymagać wykorzystania innego systemu operacyjnego. Możliwe, że odkryjemy aktywność robaków przemieszczających się pomiędzy segmentami sieci i wykorzystamy tą wiedzę do stworzenia polityki chroniącej infrastrukturę.
Przedstawione narzędzia nie są jedynymi, dobrze znanymi technologiami w środowiskach związanych z bezpieczeństwem. Lista podobnych przykładów może być zdecydowanie dłuższa.
W odpowiedzi na nowe wersje znanych narzędzi, zawsze będą powstawały zupełnie odmienne koncepcje. Niektóre z sukcesami wkroczą na rynek, niektóre znikną już po pierwszych wdrożeniach, ale większość z pewnością warta jest zainteresowania. Mocnymi przykładami, które zapadają w pamięć i potrafią zintegrować się z siecią są aplikacje mapujące ryzyko sieciowe oraz zapobiegające utracie danych.
Produkty
mapujące ryzyko sieciowe badają dane podatne na zagrożenia oraz konfiguracje urządzeń sieciowych. Następnie pomagają w nadawaniu priorytetów dla problemów wymagających rozwiązania. Klasyfikacja jest przeważnie dokonywana na podstawie danych pobranych z krytycznych węzłów, bezpośrednio z zagrożonych hostów, niebezpiecznych konfiguracji sprzętu sieciowego oraz hostów najbardziej podatnych ma kompromitację.
Narzędzia
zapobiegające utracie danych (często określane skrótem DLP - Data Loss Prevention) mogą rzucić nieco więcej światła na to co robią użytkownicy. Produkty DLP reprezentują szeroką kategorię rozwiązań, realizujących bezpieczeństwo informacji oraz ochronę własności intelektualnej. Główną ideą jest implementacja trzech głównych warstw ochrony dla danych znajdujących się w ruchu, danych pozostających w stanie spoczynku i danych będących w użyciu.
DLP dla danych w ruchu jest implementowane przy wykorzystaniu sensorów, rozmieszczonych w ważnych punktach sieci oraz punktach agregacji sieci. Sensory sprawdzają przesyłaną informację w celu stwierdzenia, czy zostały przekroczone wartości określone przez reguły. Reguły są tworzone do zapobiegania rozpowszechnianiu się lub kompromitacji ważnych danych. Przykładowo - reguła może logować każde zapytanie o przesłanie intelektualnej własności na zewnątrz sieci do miejsca przeznaczenia. Podobnie reguła może logować dane, gdy przesyłane są informacje identyfikujące tożsamość, listy klientów lub listy cen. Takie sensory mogą zostać zintegrowane z innymi systemami bezpieczeństwa - serwery pośredniczące lub serwery poczty - w celu blokowania transmisji ważnych danych.
DLP dla danych pozostających w spoczynku jest implementowane przy wykorzystaniu urządzeń sieciowych, które skanują węzły sieci w celu wykrycia prób naruszenia krytycznych danych lub w inny sposób naruszających reguły. Metoda umożliwia administratorowi rejestrację ważnych dokumentów, możliwość importowania krytycznych danych oraz monitorowania przemieszczania się tych dokumentów. DLP dla danych w spoczynku potrafi także wysyłać informacje o tożsamości dokumentu do innych systemów DLP (przykładowo dla danych w ruchu) w celu wzmocnienie kontroli, wykrywania i ochrony informacji opuszczających sieć.
DLP dla danych będących w użyciu jest implementowane przy wykorzystaniu agentów programowych, wdrażanych na komputerach użytkowników. Narzędzie jest uzupełnieniem innych osobistych mechanizmów bezpieczeństwa, takich jak programowe zapory ogniowe, HIDS/HIPS oraz antywirusy. Agent pozwala administratorowi upewnić się, że krytyczne dane nie opuszczą firmy przez niezatwierdzony kanał I/O, jak pamięć USB, czy konto Webmail.
Koncepcja DLP łączy zestaw technologii, które współpracują w celu ochrony informacji.
Przedstawione koncepcje to rozwijające się technologie, które mogą zainteresować administratorów realizujących politykę bezpieczeństwa. Gdy zrobimy następny krok w doborze sieciowych rozwiązań bezpieczeństwa, warto rozważyć wykorzystanie DLP, czy mapowania ryzyka sieciowego, jako dodatkową ochronę danych oraz detekcję zagrożeń.
AudioBot - odsłuchaj materiał
wydrukuj
wyślij do znajomego
odpowiada...
