Přístupy k bezpečnosti

Jaké máme v zásadě možnosti přístupu k informační bezpečnosti? V praxi se můžeme setkat přibližně se třemi variantami:

Uzavřený systém

Data chráníme tak, že informační systém oddělíme vzduchovou vrstvou od okolního světa. Výhodou je, že máme bezpečnost plně pod kontrolou, ale ztrácí prakticky všechny výhody spojené s dnešními informačními technologiemi. Stačí si představit, že napíšu e-mail, ten si uložím na přenosné médium (například šifrovaně) a pak přejdu ke speciálně vyhrazenému počítači připojenému k internetu, kde e-mail odešlu. Takový systém je už pro středně velké společnosti neudržitelný.

Otevřený systém

Data speciálně nechráníme a jsme napojeni na okolní informační systémy. Bezpečnostní otázky jsou řešeny improvizovaně a nesystematicky. Víceméně každý uživatel má pracovní stanici, která je zároveň připojena na internet. Většina uživatelů je sice například v doméně, ale přitom jsou i správci svých počítačů. V libovolném okamžiku může kdokoliv ze zaměstnanců odnést celé know-how společnosti na USB disku. Na počítačích je sice antivirový program, ale zároveň si každý beztrestně instaluje programy, jaké chce. Kdesi v útrobách budovy je firewall, ale nikdo pořádně neví, jak je nastavený, a už vůbec nikdo nevyhodnocuje jeho bezpečnostní logy. Dokázat potom zaměstnanci bezpečnostní incident nebo že celý den jen surfuje na internetu a hraje hry je prakticky nemožné. Je nasnadě, jak takový systém nakonec dopadne.

Systém s prokazatelnou bezpečností

Celá architektura informačního systému je postavena na jednotném bezpečnostním projektu, který zohledňuje potřeby a specifika dané společnosti podle stanovených priorit a bezpečnostních rizik. V takovém systému je certifikace podle bezpečnostních norem pouze otázkou termínu, a ne překopáváním prakticky všech procesů společnosti.

Cíl – bezpečné fungování informačního systému

Cílem bezpečnostních produktů je vytvořit pro zákazníka informační systém s prokazatelnou bezpečností. V takové společnosti je v každém okamžiku možné zjistit a změřit, jaká je její bezpečnostní situace a co se v ní děje. Své zaměstnance zbytečně nešikanuje a umožňuje jim kreativní práci se všemi dostupnými technologiemi. Každý bezpečnostní incident je zpětně dohledatelný a lze jej použít i jako důkazní materiál. Věřte, že když přijdete za svým zaměstnancem s tím, že není možné, aby strávil osmdesát procent pracovní doby chatováním přes ICQ a peer-to-peer stahováním filmů, tak už to vícekrát dělat nebude. Jaké jsou tedy vhodné prvky pro budování bezpečného informačního systému a ICT infrastruktury?

Managed firewall

Základním prvkem ICT bezpečnostní infrastruktury je služba často nazývaná jako managed firewall (řízený firewall). Cílem služeb založených na managed firewall je:

• umožnit zákazníkovi bezpečné připojení k internetu,
• chránit uživatelem definovanou síť podle specifikovaných bezpečnostních pravidel,
• ochrana sítě zákazníka před vnějšími útoky,
• filtrování a monitorování síťové komunikace zákazníka,
• doplňkové bezpečnostní služby.

Obr 1: Managed firewall

Na jedné straně je svět internetu, na druhé vnitřní síť zákazníka (např. LAN). Rozhraním mezi těmito dvěma světy (nedůvěryhodné a důvěryhodné prostředí) je řízený firewall (managed firewall). Na straně poskytovatele služby je umístěn centrální bezpečnostní prvek, který poskytuje zákazníkovi kromě bezpečného připojení do internetu také další dedikované bezpečnostní služby, včetně služeb DMZ (tzv. demilitarizovaná zóna). Na pobočkách zákazníka je umístěno bezpečnostní zařízení jako druhá bezpečnostní vrstva. Míra umístění těžiště řešení je škálovatelná podle požadavků a potřeb zákazníka. Komunikaci mezi centrem a zákazníkem zabezpečuje VPN (virtuální privátní síť) s nastavitelnou bezpečností (např. MPLS nebo šifrování).

Jak zabezpečit e-mailovou komunikaci?

Jedním z nejdůležitějších typů komunikace je dnes elektronická pošta, která se stala nedílnou součástí jak osobního života, tak pracovní činnosti. Přijímání a odesílání e-mailových zpráv je dnes stejnou samozřejmostí jako telefonování nebo faxování. Stinnou stránkou e-mailové technologie je prudký a neustálý nárůst nevyžádané pošty a s tím spojená rizika virové infekce, podvržených stránek, spywaru a phishingu. Nejúčinnější způsob, jak se s těmito hrozbami vypořádat, je zvolit ucelené bezpečnostní řešení, které všem těmto nebezpečím dokáže čelit.
Řešení by mělo být aplikováno jak na interní mailboxy zákazníka, tak i na služby ISP a podle požadavků zákazníka aplikováno jak na příchozí, tak odchozí e-mailovou komunikaci.

Obr 2: Zabezpečení e-mailové komunikace

Jaké bezpečnostní prvky by mělo bezpečné řešení pro e-mail mít?

Antispam

Základní službou pro zákazníka je ochrana před samotným spamem. Příchozí (případně i odchozí) pošta je kontrolována vůči reputační databázi, která vyhodnotí míru rizika zprávy, dále projde kontrolou na existenci adresy příjemce, je podrobena detekční technologii zpracovávající kontext zprávy, formát zprávy a řetězce charakteristické pro spam.

Virus outbreak filter

V případě tzv. zero-time útoků je výhodná služba virus outbreak filter (VOF). V okamžiku šíření nového typu e-mailového útoku jsou aplikována dynamická pravidla, která zachytí podezřelé zprávy do dočasné karantény ještě předtím, než existují signatury tradičních antivirových systémů. V průběhu času se postupně zpřesňují bezpečnostní pravidla a korektní zprávy jsou z karantény automaticky uvolněny. Díky tomu vás VOF chrání vůči novým virům v průměru o čtyři až šest hodin dříve než nejrychleji reagující antivirové produkty. Službu lze aplikovat jak na příchozí, tak odchozí poštu.

Antivirus

Ochrana proti virům často obsahuje kromě VOF také klasickou antivirovou technologii skenování virů, která slouží jako druhá vrstva antivirové ochrany. V případě zachycení viru v příchozí nebo odchozí poště je taková zpráva uložena ve speciální virové karanténě, přičemž je příjemce na tuto skutečnost upozorněn.

Karanténa

Uživatelé mají k dispozici komfortní webové rozhraní pro správu spamu zachyceného v karanténě. Karanténní služba uživatelům pravidelně rozesílá konfigurovatelný e-mail s přehledem spamů. Uživatel si může zprávy přímo ze seznamu prohlížet, případně zprávu z karantény odstranit. Přímo ve své spamové karanténě má uživatel možnost vytvářet white a black listy (zprávy daného typu nepovažovat za spam, nebo naopak rovnou mazat). Dále si uživatel může zprávu ze své spamové karantény nechat poslat na svou adresu.

Proaktivní přístup

Brána proaktivní kontroly umožňuje vynutit legislativní nebo interní předpisy komunikace pro kontrolu obsahu zpráv nebo příloh. Zamezuje tím úniku citlivých informací nebo podporuje zavedení standardů typu HIPAA, SOX, ISO. Klíčová slova lze vyhledávat v hlavičce zprávy, těle zprávy i v přiložených souborech včetně kompresovaných formátů. Klíčová slova podporují regulární výrazy, takže lze vyhledávat modifikace klíčových řetězců. Po identifikaci hledaného řetězce lze nastavit různé typy reakce, jako je upozornění, uložení do speciální karantény, oddělení přílohy od zprávy, změna příjemce či zašifrování. Lze vytvářet slovníky, vlastní sady pravidel, nebo použít či modifikovat existující sady pravidel. V rámci této služby lze přednastavit základní bezpečností pravidla jako prevenci vůči phishingu a podvrženým webovým stránkám.

Shrnutí

Improvizovat v otázkách bezpečnosti se z dlouhodobého hlediska nevyplácí. Náklady na obnovu dat, případně jejich zcizení z důvodu špatného zabezpečení IT a infrastruktury mohou převyšovat investice vložené do správného řešení bezpečnosti. V případě důvěrných dat nelze jejich hodnotu často ani vyčíslit a jejich ztráta může být pro firmu i jednotlivce kritická.

Autor působí jako produktový manažer v T-Systems Czech Republic.