V minulosti byla počítačová firemní zařízení striktně oddělena od domácích zařízení – například v osmdesátých letech byl počítač (PC) výlučně firemním zařízením. Během devadesátých let se počítač rozšiřuje do domácího prostředí. V prvním desetiletí dvacátého století se mnoho aplikací „virtualizuje“ a stává se součástí internetu (např. cloud computing). Dnes tak zaměstnanec pracuje doma v principu na stejném počítači a stejném prohlížeči jako v práci: tím se stírá rozdíl mezi domácím a firemním prostředím, což vede ke vzniku nových bezpečnostních rizik.
Zaměstnanci si zvykli na nové možnosti webových stránek, které jsou založeny na sdílení a interaktivní formě obsahu (tzv. Web 2.0), a očekávají, že v jejich používání budou pokračovat i v práci. Moderní webové stránky nabízí mnohem více možností než jednosměrné stránky devadesátých let, kdy bylo prohlížení stránek statickým procesem.

Nový a nebezpečný web

Naproti tomu je dnešní web v principu obousměrný a postaven na principu sdílení, kdy jsou uživatelé vybízeni k tomu, aby na stránky aktivně přidávali nový obsah. Ať se jedná o stránky sociálních sítí, on-line stránky pro tisk fotografií nebo chatování v reálném čase, všude uživatel zadává svým způsobem osobní údaje. Facebook, LinkedIn, Wikipedia, Flickr – všechny tyto stránky patří do této kategorie.
Malým a středním organizacím přinesly tyto nové technologie mnoho výhod stejně jako velkým organizacím. On-line aplikace, pokročilé vyhledávací možnosti, technologie pro výměnu informací v reálném čase: to vše umožnilo založit technickou infrastrukturu na modulární a moderní bázi. Pracovní týmy mohou nyní spolupracovat virtuálně pomocí bezplatných klientských programů pro výměnu zpráv v reálném čase (IM, instant messaging), někdy s využitím mírně zpoplatněné webové stránky pro výměnu většího množství dat.
Ale všechny výhody něco stojí. Opakovaně se zjistilo, že mnoho webových stránek 2.0 má problematické bezpečnostní jištění. Více funkcí vede k větší zranitelnosti, kterou útočníci vždy rychle využijí.
Škodlivý software (malware) se šíří mnoha kanály: stránkami napadenými hackery, po e-mailu, sociálních sítích a IM programech. Existující dokonce způsoby, jak pozměnit výsledky vyhledávání tak, aby byl nic netušící uživatel odkázán na škodlivé stránky místo těch správných.
Nezbezpečím je také nechtěné odeslání dat. Zaměstnanci mohou nevědomky odeslat citlivá data vně společnost přes několik kanálů. „Přilepení“ údajů k e-mailu je jeden způsob, případně se data mohou přidat k údajům vkládaným na webovou stránku 2.0 nebo se odeslat prostřednictvím IM klienta.

Příklad rizikové činnosti: chatování v reálném čase

Pronikání chatovacích programů do podnikových sítí začalo už v roce 1996, kdy Mirabilis spustil první ICQ chatovací služby a AOL spustil první IM program. Tento software se začal zabydlovat v podnikových počítačích většinou bez povolení IT správce a bez jeho vědomí.
To je jeden z hlavních problémů podnikových počítačů: jejich správa je obtížnou věcí. Hlavně u malých a středně velkých organizací, kde má i řadový pracovník většinou poměrně rozsáhlé zkušenosti a znalosti týkající se počítačů, není vůbec jednoduché zakázat určité funkce a aplikace. A když se k tomu organizace nakonec rozhodne, riskuje tím nespokojenost zaměstnanců, kteří nelibě nesou omezení svých práv.
IM programy jsou často prospěšné, protože umožňují okamžitou výměnu informací mezi pracovníky, a tak může být jejich úplný zákaz kontraproduktivní. AOL Instant Messenger, MSN Messenger a Skype se často používají pro pracovní účely, stejně jako například Google Talk. Je paradoxní, že většina IM programů je legitimní aplikací, a přitom se chová jako škodlivý software. IM programy musí být v principu navrženy tak, aby mohly pronikat firewallem (který by jinak měl tendenci jejich činnost omezit). To dělají tak, že zkouší různé porty, až najdou „otevřená dvířka“, kterými proniknou do podnikové sítě. Rizikovost chatování je o to větší, že jsou nyní k dispozici on-line chatovací mechanismy, které ani nepotřebují klientský program. Dobrým příkladem je vestavěná IM funkce na Facebooku nebo WEB ICQ.

Hloubková ochrana

Malé a středně velké organizace, většinou bez dostatečných prostředků, jak investovat do komplexních bezpečnostních IT systémů, bojují nejen s reálnou externí hrozbou útoků, ale i se svými zaměstnanci, kteří vůbec škodit nechtějí. Takové organizace potřebují jednoduché řešení dodané „na klíč“, které zajistí ochranu sítě na více vrstvách. Jde o tzv. vícevrstvou (multi-layered) nebo také hloubkovou (defence in depth) ochranu všech cest, kterými by síť mohla být ohrožena.
Hloubková ochrana jde dál než tradiční firewall, který je standardním typem ochrany podnikové sítě. Firewally v minulosti nebyly schopny učinit víc než blokovat určité porty na síti, aby jimi nemohl potenciální útočník proniknout dovnitř. Neuměly analyzovat skutečný obsah dat protékajících daným síťovým připojením.
Unifikované bezpečnostní systémy (UTM) dokáží víc: monitorují síť, aby odhalily potenciální hrozby tím, že kombinují inteligentní firewallovou technologii se sledováním e-mailového a webového obsahu. Unifikovaná zařízení mohou aktivně vyhledávat podezřelá data na podnikové síti a lze je naprogramovat tak, aby nepovolila zaměstnanci provádět určité rizikové činnosti na internetu v předem určených časech.

Jak chránit síť

UTM zařízení se primárně soustředí na zajištění síťové bezpečnosti. Jsou postavena na tradičních firewallových systémech, ale obsahují řadu nových funkcí. Moderní UTM zařízení nabízí „stavovou“ kontrolu paketů (stateful packet inspection), která kromě monitorování konkrétních portů také sleduje, jaký druh dat porty prochází.
Schopnost sledovat pohyb dat po síti umožňuje moderním bezpečnostním zařízením odhalit a zabránit nepřátelskému průniku do sítě (intrusion detection and prevention, IDP). Bezpečnostní zařízení prohledává data aktivně v tom smyslu, že hledá neobvyklé vzorce chování počítačové sítě. Příkladem takové neobvyklého chování je nenadálá aktivita jednoho počítače, který se nezvykle rychle spojuje s dalšími počítači pomocí určitého portu (to ukazuje na rychle se šířící část škodlivého programu). Zařízení IDP databázi pravidelně aktualizuje o nové vzorky dat, aby byl systém připraven odhalit aktuální hrozby.
Moderní bezpečnostní zařízení také podporují tzv. aplikační firewall. Aplikační firewall funguje na bázi hloubkové kontroly paketů (deep packet inspection, DPI), která otevírá malé „obálky“ (pakety) s daty, které procházejí internetovým spojením. Prohledáním paketu dokáže firewall zjistit, o jaký typ dat se jedná (video, VoIP nebo data určená pro konkrétní aplikaci na podnikové síti). Následná analýza paketů rozhodne, zda je zjištěná výměna dat legitimní.

Ochrana vyšší úrovně

Vícevrstvá ochrana sítě dále monitoruje obsah paketů a vyhledává podezřelé sekvence dat v příchozích i odchozích e-mailech. Organizace tak může odfiltrovat nevyžádanou poštu (spam) na základě pravidelně aktualizovaných signatur a inteligentních heuristických technik, které odhadují, zda je daný e-mail spam.
V neposlední řadě bezpečnostní zařízení chrání uživatele tak, že dokáže rozpoznat nebezpečný obsah a nebezpečné URL adresy. Zařízení sleduje URL adresy, které se uživatel pokouší otevřít, a dokáže včas zablokovat škodlivé stránky: například stránky určené k neoprávněnému získání citlivých dat (phishing) nebo stránky, které stáhnou a instalují do počítače škodlivé programy bez vědomí uživatele (drive-by download). Filtrování URL adres dává organizaci navíc možnost regulovat využívání sociálních sítí (například je možné povolit Facebook, ale jen v době polední přestávky).
Bezpečnostní mechanismy také sledují obsah stahovaných dat a jsou schopny rozpoznat pornografii, případně najít na webové stránce škodlivý kód, který by jinak mohl poškodit počítač.

Komplexní přístup k zabezpečení

Je to součinnost všech těchto typů ochrany, která z unifikovaného bezpečnostní zařízení činí efektivního strážce celé sítě. Například útočníci často zneužívají e-mailovou poštu k distribuci škodlivých URL adres. V první linii obrany takovou zprávu může odhalit ochranná funkce pro kontrolu e-mailu. Pokud e-mail pronikne, zachytí ho funkce pro filtrování webových adres. Antivirový mechanismus poskytuje další linii ochrany, protože samostatně skenuje všechna data, zda neobsahují škodlivý software.
Hloubková ochrana je klíčovou technikou pro každou moderní organizaci, která chce svou síť účinně chránit před narušením. Vícevrstvá ochrana úhledně složená do jediného zařízení, jehož signatury dodavatel pravidelně aktualizuje, je nejlepší volbou pro organizace, jejichž rozpočet na IT systémy je omezený.
Hodnocení účinnosti ochrany podnikové sítě je problematické, protože je v principu nemožné zaručit stoprocentní bezpečnost (odhodlaný a zkušený hacker může překonat všechny ochranné mechanismy). Na druhé straně, čím víc potenciálních rizik bezpečnostní systém hlídá, tím větší je šance, že zabrání obvyklým útokům, kterých je internet plný. Můžete si dovolit nechat otevřená dvířka?

Petr Koudelka
Autor působí jako security product manager a technical specialist společnosti Zyxel Communications Czech.