2005-03-15 06:02 Źródło: Nowy Przemysł
Bezpieczeństwo danych: Jak uprzedzić atak na system informatyczny
Systemy wczesnego ostrzegania i ochrona wyprzedzająca stają się standardem w sektorach przemysłowych, gdzie dużą wagę kładzie się na bezpieczeństwo sieciowe. Dostawcy tego typu rozwiązań wskazują na sektory energetyczny i finansowy, jako szczególnie zainteresowane uprzedzeniem ewentualnego ataku internetowych terrorystów.
Według najnowszego raportu Ernst&Young dotyczącego bezpieczeństwa informacji, aż 70 proc. badanych polskich przedsiębiorstw miało w ubiegłym roku problemy z powodu działania szkodliwych programów. Nadal jednak panuje wśród polskich menadżerów stosunkowo niska świadomość potencjalnych zagrożeń. Tylko 39 proc. spośród zapytanych przeprowadza regularną ocenę podatności na atak. Tymczasem zastosowanie systemów wczesnego ostrzegania i ochrony wyprzedzającej skutecznie może obniżyć poziom zagrożeń sieciowych.
Prognoza zagrożeń
Wczesne ostrzeganie nie jest aplikacją bezpieczeństwa lecz usługą, samo dostarczenie informacji nie zwiększa więc jeszcze bezpieczeństwa systemów IT. Informuje jednak o potencjalnym zagrożeniu i pozwala je ubiec. Wczesne ostrzeganie polega bowiem na jak najwcześniejszym dostarczeniu informacji o najnowszych lukach lub podatnościach systemów operacyjnych i aplikacji.
- Sposób wykorzystanie tej informacji może być bardzo różny - mówi Piotr Kijewski z CERT (Computer Emergency Response Team). - W skrajnym wypadku może posłużyć do wsparcia firewalli, systemów IDS i IPS w celu zablokowania zagrożenia, zazwyczaj jednak służy do lepszego zrozumienia i rozpoznawania zachowań sieci, co przydaje się administratorom w diagnostyce nowych problemów.
- Czasem trudno jest nawet ocenić czy dana podatność zostanie wykorzystana jako typowy wirus, zostanie włączona do arsenału zagrożenia złożonego czy zostanie użyta do ataku hakerskiego - wyjaśnia Grzegorz Krzątała z Symantec Poland. - Drugą funkcją wczesnego ostrzegania jest uaktualnianie wiedzy tak, aby zawierała zawsze najbardziej aktualny status podatności. Przykładem może być np. portal SecurityFocus. Jest to globalna lista dyskusyjna poświęcona bezpieczeństwu wielu systemów IT. Bardziej rozbudowana usługa wczesnego ostrzegania musi zawierać propozycje ochrony przed potencjalnym zagrożeniem wynikającym z danej podatności.
Wczesne ostrzeganie o zagrożeniach sieciowych polega głównie na monitorowaniu różnych źródeł informacji dotyczących zdarzeń sieciowych, tak, by móc rozpoznać lub przewidzieć nadchodzący atak.
- Informacje te mogą być w różnej formie, np. mogą być opisem nowej luki, exploita, informacją o anomalii, robaku itp - wyjaśnia Piotr Kijewski z CERT.
- Czasem samo zwiększanie obciążenia sieci lub serwerów może świadczyć, że zaczyna dziać się coś niewłaściwego w naszym środowisku IT - mówi Piotr Owerski z Computer Associates. - Ocena wystąpienia zagrożenia możliwa jest nie tylko na podstawie wykrycia konkretnego włamania, ale również na podstawie anomalii czy też niestandardowego zachowania się sieci. Dostępne są również programy (np. eTrust PestPatrol), które działają nie na poziomie sieci, ale systemów operacyjnych. Trzeba pamiętać, że obecnie nie wirusy i robaki są najniebezpieczniejsze, ale oprogramowanie typu spyware/adware, które instaluje się samo na komputerze w trakcie przeglądania stron internetowych i jest w stanie wyprowadzić ważne informacje z komputera np. numery kart kredytowych lub dane osobowe.
Kolejnym przykładem rozwiązań technologicznych są systemy oceny podatności na zagrożenie. Mogą to być rozwiązania, które np. zdalnie dokonują skaningu systemu i na podstawie zebranych danych, określają, jakie występują luki w oprogramowaniu. Właśnie dzięki tym lukom możliwy jest atak hakera.
- Rozwiązania takie polegają nie na tym, by stwierdzić, że atak nastąpił, ale że istnieje prawdopodobieństwo, iż nastąpi - wyjaśnia Piotr Owerski. - Mogą to być systemy intruzyjne np. skanujące otwarte porty lub systemy, które pozyskują informację na podstawie inwentaryzacji. W takim wypadku przy pomocy zainstalowanego na systemach agenta, system inwentaryzuje wszystkie zasoby, określa ich wersję i na podstawie zebranych informacji koreluje z posiadaną bazą wiedzy. W efekcie wskazuje ewentualne luki a także nadaje priorytety koniecznym do podjęcia działaniom.
We wczesnym ostrzeganiu istotne jest to, aby okresowo oceniać jak bardzo firma jest podatna na coraz to nowe zagrożenia.
- Coraz rzadziej firmy komercyjne uciekają się do środka ostatecznego, w którym odcinają się zupełnie od Internetu, częściej chcą raczej kontrolować, co się dzieje na ich łączach - wyjaśnia Owerski. - Warto wiedzieć, jak bardzo jesteśmy podatni na wystąpienie określonego zagrożenia i z czym one się wiążą.
Obecnie podstawowymi ograniczeniami systemów wczesnego ostrzegania są zakres systemów operacyjnych i aplikacji, o których dany system informuje oraz czas dostarczenia informacji do użytkownika.
- Najlepszym wyznacznikiem skuteczności systemu wczesnego ostrzegania są statystyki obrazujące gotowość systemów bezpieczeństwa na odparcie nowo pojawiających się ataków - wyjaśnia Michał Ceklarz z Internet Security Systems. - Na podstawie danych zgromadzonych w poprzednich latach możemy przykładowo powiedzieć, iż nasi klienci byli chronieni przed pojawieniem się SQL Slammera, robaka internetowego, który zaatakował w styczniu 2003r., na 182 dni przed pojawieniem się tego zagrożenia. W wypadku robaków takich jak Blaster/Welchia/Nachi/LoveSan było to ponad 39 dni, a Sassera - ponad 46 dni.
Polityka bezpieczeństwa
Jednak nawet najnowsze sposoby zabezpieczeń nie są w stanie ochronić naszego komputera, gdy są niewłaściwie stosowane. Obowiązuje kilka podstawowych zasad, umożliwiających efektywną ochronę przedsiębiorstwa przez zagrożeniami sieciowymi.
- Systemy zabezpieczeń powinny być odpowiednie do wartości zabezpieczanych informacji - mówi Piotr Owerski. - A skuteczność zabezpieczeń zależy nie tylko od ilości zastosowanych technologii, ale przede wszystkim od właściwej polityki bezpieczeństwa i czynnika ludzkiego, czyli poziomu wiedzy pracowników. Co z tego, że firma zakupi technologię, jeżeli pracownicy nie potrafią jej zastosować? Było wiele przypadków nietrafionych inwestycji w technologie zabezpieczeń, również w Polsce. „Właściwa ochrona” to nie tylko kupno „pudełka”, ale wdrożenie systemu i wykształcenie ludzi. Na rynku funkcjonują wyspecjalizowane firmy, które dokonują audytu i oceny ryzyka, a następnie wskazują najkorzystniejsze rozwiązania i warto z takich usług skorzystać.
Ponieważ zagrożenia sieciowe rozprzestrzeniają się coraz szybciej, często samo wczesne ostrzeganie już nie wystarczy do skutecznego zabezpieczenia się.
- Potrzebne są aplikacje, które w sposób zautomatyzowany wprowadzą w życie zalecenia dostawcy usług bezpieczeństwa - uważa Grzegorz Krzątała z Symantec Poland. - Aplikacje tego typu zwykle funkcjonują w układzie agent-manager.
Oprogramowanie agentów instalowane jest na wszystkich kluczowych komputerach w sieci przedsiębiorstwa, a jego główną rolą jest zbieranie informacji w czasie rzeczywistym o konfiguracji i stanie zabezpieczeń na chronionych komputerach oraz natychmiastowe wdrażanie zmian w przypadku takiej potrzeby. Manager odpowiedzialny jest z kolei za pobieranie danych o bezpieczeństwie systemów od dostawcy usług, porównywanie ich z wiedzą o chronionych zasobach i podejmowanie działań w celu zapewnienia maksymalnego bezpieczeństwa w zasobach IT przedsiębiorstwa.
Systemy wczesnego ostrzegania i ochrona wyprzedzająca to więc tylko jeden z elementów kompleksowego systemu bezpieczeństwa przedsiębiorstwa.
- Bardzo ważną rolę odgrywa opracowanie odpowiedniej polityki bezpieczeństwa - zgadza się Grzegorz Krzątała z Symantec Poland. - Dopiero z zaleceń przyjętej polityki może wynikać np. zastosowanie systemu ochrony proaktywnej. Niewątpliwą zaletą tych systemów jest rosnący stopień automatyzacji wykonywanych zadań, niewrażliwość na porę dnia i liczbę wykonanych operacji. Kolejna zaleta to możliwość wprowadzenia podziału zadań pomiędzy administratorów systemów i służby bezpieczeństwa. Do wad można zaliczyć rosnące obciążenie stacji roboczych i serwerów kolejnymi agentami.
Systemy zabezpieczeń przed zagrożeniami sieciowymi ewaluują w kierunku kompleksowości i integracji różnych rozwiązań.
- Przyszłość to łączenie systemów oceny podatności z systemami antywirusowymi - uważa Piotr Owerski. - To tworzenie systemów zintegrowanych, pozwalających na ochronę jak najbardziej kompleksową, np. do bezpośredniej ochrony z systemami oceny anomalii czy z funkcjami pozwalającymi na odzyskanie informacji utraconych podczas ataku. To również centralne systemy kolekcjonowania zdarzeń z obszaru bezpieczeństwa, ich korelacji i właściwego raportowania oraz automatyzacja reakcji.
Jarosław Maślanek
Według najnowszego raportu Ernst&Young dotyczącego bezpieczeństwa informacji, aż 70 proc. badanych polskich przedsiębiorstw miało w ubiegłym roku problemy z powodu działania szkodliwych programów. Nadal jednak panuje wśród polskich menadżerów stosunkowo niska świadomość potencjalnych zagrożeń. Tylko 39 proc. spośród zapytanych przeprowadza regularną ocenę podatności na atak. Tymczasem zastosowanie systemów wczesnego ostrzegania i ochrony wyprzedzającej skutecznie może obniżyć poziom zagrożeń sieciowych.
Prognoza zagrożeń
Wczesne ostrzeganie nie jest aplikacją bezpieczeństwa lecz usługą, samo dostarczenie informacji nie zwiększa więc jeszcze bezpieczeństwa systemów IT. Informuje jednak o potencjalnym zagrożeniu i pozwala je ubiec. Wczesne ostrzeganie polega bowiem na jak najwcześniejszym dostarczeniu informacji o najnowszych lukach lub podatnościach systemów operacyjnych i aplikacji.
- Sposób wykorzystanie tej informacji może być bardzo różny - mówi Piotr Kijewski z CERT (Computer Emergency Response Team). - W skrajnym wypadku może posłużyć do wsparcia firewalli, systemów IDS i IPS w celu zablokowania zagrożenia, zazwyczaj jednak służy do lepszego zrozumienia i rozpoznawania zachowań sieci, co przydaje się administratorom w diagnostyce nowych problemów.
- Czasem trudno jest nawet ocenić czy dana podatność zostanie wykorzystana jako typowy wirus, zostanie włączona do arsenału zagrożenia złożonego czy zostanie użyta do ataku hakerskiego - wyjaśnia Grzegorz Krzątała z Symantec Poland. - Drugą funkcją wczesnego ostrzegania jest uaktualnianie wiedzy tak, aby zawierała zawsze najbardziej aktualny status podatności. Przykładem może być np. portal SecurityFocus. Jest to globalna lista dyskusyjna poświęcona bezpieczeństwu wielu systemów IT. Bardziej rozbudowana usługa wczesnego ostrzegania musi zawierać propozycje ochrony przed potencjalnym zagrożeniem wynikającym z danej podatności.
Wczesne ostrzeganie o zagrożeniach sieciowych polega głównie na monitorowaniu różnych źródeł informacji dotyczących zdarzeń sieciowych, tak, by móc rozpoznać lub przewidzieć nadchodzący atak.
- Informacje te mogą być w różnej formie, np. mogą być opisem nowej luki, exploita, informacją o anomalii, robaku itp - wyjaśnia Piotr Kijewski z CERT.
- Czasem samo zwiększanie obciążenia sieci lub serwerów może świadczyć, że zaczyna dziać się coś niewłaściwego w naszym środowisku IT - mówi Piotr Owerski z Computer Associates. - Ocena wystąpienia zagrożenia możliwa jest nie tylko na podstawie wykrycia konkretnego włamania, ale również na podstawie anomalii czy też niestandardowego zachowania się sieci. Dostępne są również programy (np. eTrust PestPatrol), które działają nie na poziomie sieci, ale systemów operacyjnych. Trzeba pamiętać, że obecnie nie wirusy i robaki są najniebezpieczniejsze, ale oprogramowanie typu spyware/adware, które instaluje się samo na komputerze w trakcie przeglądania stron internetowych i jest w stanie wyprowadzić ważne informacje z komputera np. numery kart kredytowych lub dane osobowe.
Kolejnym przykładem rozwiązań technologicznych są systemy oceny podatności na zagrożenie. Mogą to być rozwiązania, które np. zdalnie dokonują skaningu systemu i na podstawie zebranych danych, określają, jakie występują luki w oprogramowaniu. Właśnie dzięki tym lukom możliwy jest atak hakera.
- Rozwiązania takie polegają nie na tym, by stwierdzić, że atak nastąpił, ale że istnieje prawdopodobieństwo, iż nastąpi - wyjaśnia Piotr Owerski. - Mogą to być systemy intruzyjne np. skanujące otwarte porty lub systemy, które pozyskują informację na podstawie inwentaryzacji. W takim wypadku przy pomocy zainstalowanego na systemach agenta, system inwentaryzuje wszystkie zasoby, określa ich wersję i na podstawie zebranych informacji koreluje z posiadaną bazą wiedzy. W efekcie wskazuje ewentualne luki a także nadaje priorytety koniecznym do podjęcia działaniom.
We wczesnym ostrzeganiu istotne jest to, aby okresowo oceniać jak bardzo firma jest podatna na coraz to nowe zagrożenia.
- Coraz rzadziej firmy komercyjne uciekają się do środka ostatecznego, w którym odcinają się zupełnie od Internetu, częściej chcą raczej kontrolować, co się dzieje na ich łączach - wyjaśnia Owerski. - Warto wiedzieć, jak bardzo jesteśmy podatni na wystąpienie określonego zagrożenia i z czym one się wiążą.
Obecnie podstawowymi ograniczeniami systemów wczesnego ostrzegania są zakres systemów operacyjnych i aplikacji, o których dany system informuje oraz czas dostarczenia informacji do użytkownika.
- Najlepszym wyznacznikiem skuteczności systemu wczesnego ostrzegania są statystyki obrazujące gotowość systemów bezpieczeństwa na odparcie nowo pojawiających się ataków - wyjaśnia Michał Ceklarz z Internet Security Systems. - Na podstawie danych zgromadzonych w poprzednich latach możemy przykładowo powiedzieć, iż nasi klienci byli chronieni przed pojawieniem się SQL Slammera, robaka internetowego, który zaatakował w styczniu 2003r., na 182 dni przed pojawieniem się tego zagrożenia. W wypadku robaków takich jak Blaster/Welchia/Nachi/LoveSan było to ponad 39 dni, a Sassera - ponad 46 dni.
Polityka bezpieczeństwa
Jednak nawet najnowsze sposoby zabezpieczeń nie są w stanie ochronić naszego komputera, gdy są niewłaściwie stosowane. Obowiązuje kilka podstawowych zasad, umożliwiających efektywną ochronę przedsiębiorstwa przez zagrożeniami sieciowymi.
- Systemy zabezpieczeń powinny być odpowiednie do wartości zabezpieczanych informacji - mówi Piotr Owerski. - A skuteczność zabezpieczeń zależy nie tylko od ilości zastosowanych technologii, ale przede wszystkim od właściwej polityki bezpieczeństwa i czynnika ludzkiego, czyli poziomu wiedzy pracowników. Co z tego, że firma zakupi technologię, jeżeli pracownicy nie potrafią jej zastosować? Było wiele przypadków nietrafionych inwestycji w technologie zabezpieczeń, również w Polsce. „Właściwa ochrona” to nie tylko kupno „pudełka”, ale wdrożenie systemu i wykształcenie ludzi. Na rynku funkcjonują wyspecjalizowane firmy, które dokonują audytu i oceny ryzyka, a następnie wskazują najkorzystniejsze rozwiązania i warto z takich usług skorzystać.
Ponieważ zagrożenia sieciowe rozprzestrzeniają się coraz szybciej, często samo wczesne ostrzeganie już nie wystarczy do skutecznego zabezpieczenia się.
- Potrzebne są aplikacje, które w sposób zautomatyzowany wprowadzą w życie zalecenia dostawcy usług bezpieczeństwa - uważa Grzegorz Krzątała z Symantec Poland. - Aplikacje tego typu zwykle funkcjonują w układzie agent-manager.
Oprogramowanie agentów instalowane jest na wszystkich kluczowych komputerach w sieci przedsiębiorstwa, a jego główną rolą jest zbieranie informacji w czasie rzeczywistym o konfiguracji i stanie zabezpieczeń na chronionych komputerach oraz natychmiastowe wdrażanie zmian w przypadku takiej potrzeby. Manager odpowiedzialny jest z kolei za pobieranie danych o bezpieczeństwie systemów od dostawcy usług, porównywanie ich z wiedzą o chronionych zasobach i podejmowanie działań w celu zapewnienia maksymalnego bezpieczeństwa w zasobach IT przedsiębiorstwa.
Systemy wczesnego ostrzegania i ochrona wyprzedzająca to więc tylko jeden z elementów kompleksowego systemu bezpieczeństwa przedsiębiorstwa.
- Bardzo ważną rolę odgrywa opracowanie odpowiedniej polityki bezpieczeństwa - zgadza się Grzegorz Krzątała z Symantec Poland. - Dopiero z zaleceń przyjętej polityki może wynikać np. zastosowanie systemu ochrony proaktywnej. Niewątpliwą zaletą tych systemów jest rosnący stopień automatyzacji wykonywanych zadań, niewrażliwość na porę dnia i liczbę wykonanych operacji. Kolejna zaleta to możliwość wprowadzenia podziału zadań pomiędzy administratorów systemów i służby bezpieczeństwa. Do wad można zaliczyć rosnące obciążenie stacji roboczych i serwerów kolejnymi agentami.
Systemy zabezpieczeń przed zagrożeniami sieciowymi ewaluują w kierunku kompleksowości i integracji różnych rozwiązań.
- Przyszłość to łączenie systemów oceny podatności z systemami antywirusowymi - uważa Piotr Owerski. - To tworzenie systemów zintegrowanych, pozwalających na ochronę jak najbardziej kompleksową, np. do bezpośredniej ochrony z systemami oceny anomalii czy z funkcjami pozwalającymi na odzyskanie informacji utraconych podczas ataku. To również centralne systemy kolekcjonowania zdarzeń z obszaru bezpieczeństwa, ich korelacji i właściwego raportowania oraz automatyzacja reakcji.
Jarosław Maślanek
|
|
|
Dodaj komentarz
