Proč kontrolovat a jak?

Již staré známé lidové pořekadlo říká: důvěřuj, ale prověřuj. A co se informační bezpečnosti týká, není tomu jinak, spíše naopak. Pokud to bezpečnostní správce/manažer organizace myslí s výkonem své role vážně, bez účinných kontrol se rozhodně neobejde.

Neustálá kontrola je důležitá hned ze dvou základních důvodů. Za prvé potřebujeme vědět, jak se nám podařilo implementovat navržená bezpečnostní opatření, to znamená, zda fungují, zda je zaměstnanci respektují a řídí se jimi, zda jsou celkově účinná atd. A za druhé potřebujeme také průběžně zjišťovat stav bezpečnosti organizace a ověřovat úroveň jejího zabezpečení. Výsledky kontrol jsou neopomenutelným podkladem pro operativní i systémové změny v oblasti bezpečnosti, tzn. pro korekci stávajících bezpečnostních opatření, návrh nových apod.

Kontrolu bychom měli směřovat do dvou základních oblastí:

Kontrola technického zabezpečení

Zde se jedná v největší míře o kontrolu technických bezpečnostních opatření a dále o kontrolu technických parametrů, které se zabezpečením souvisejí. Tyto kontroly mohou mít například následující formu:

• penetrační testy informačního systému organizace a/nebo klíčových aplikací,
• technické prověrky a bezpečnostní audity klíčových zařízení, serverů apod.,
• analýzy logů důležitých zařízení a aplikací (např. logy událostí z firewallu, centrální správy AV ochrany, webové proxy apod., dále přístupové logy centrálních datových úložišť, významných aplikací, databází atd.),
• prověrky konkrétních stanic, notebooků apod.

Kontrola organizačního/procesního/personálního zabezpečení

I když kontroly technického zabezpečení organizace jsou bezesporu velmi významné, nesmíme zapomínat ani na ostatní oblasti informační bezpečnosti, jejichž stav také do značné míry determinuje celkovou úroveň bezpečnosti organizace. Jedná se například o kontroly zaměřené na ověřování úrovně bezpečnostního povědomí uživatelů, funkčnosti stěžejních bezpečnostních procesů (jako je například incident management, kontinuita provozu informačního systému apod.), případně o kontroly přímo na úrovni jednotlivých uživatelů a jejich počítačů (jak průběžné, tak například i v rámci vyšetřování incidentů). Pro tyto kontroly můžeme v praxi využít následující metody:

• simulace útoků metodami sociálního inženýrství,
• simulace vybraných situací vzhledem k ověření funkčnosti souvisejících procesů (např. v oblasti havarijního plánování),
• prověrka znalostí konkrétních uživatelů (formou dotazování – co byste dělal/a kdyby...),
• prověrka dodržování stanovených pravidel uživateli (např. i včetně kontroly počítače uživatele – data, instalovaný software, historie internetového prohlížeče atd.).

Tolik základní přehled, podívejme se na některé zmíněné kontroly podrobněji.

Penetrační testy a bezpečnostní audity

Pojem „penetrační testy“ zná asi každý, kdo se v IT pohybuje. Obecně se však pod toto označení zahrnuje kde co. Pravý význam penetračních testů spočívá v simulaci činnosti potenciálního útočníka, který se snaží prolomit zabezpečení informačního systému organizace nebo jeho specifické části (např. konkrétní aplikace). Pokud využíváme nástroje penetračního testování ke kontrolám bezpečnosti, můžeme tak činit na různých úrovních:

Základní bezpečnostní skeny

Může je zpravidla průběžně dělat sám bezpečnostní správce nebo administrátoři organizace. Vhodným nástrojem může být například skener zranitelností Nessus, administrátorský nástroj Hyena či třeba Microsoft Baseline Security Analyzer. Typický základní sken nám dokáže odpovědět na otázku, zda se v našich systémech nevyskytují kritické zranitelnosti způsobené například chybějícími významnými bezpečnostními záplatami, nevhodným nastavením apod. Provedení základní sady skenů sítě a zhodnocení jejich výstupů by v praxi nemělo být příliš složité a měl by ho zvládnout každý se základními znalostmi daných technologií. Obvykle tedy není tedy třeba za podobnou službu platit.

Poznámka: V praxi můžete narazit na služby, kterým jejich dodavatel sice říká „penetrační test“, ale ve skutečnosti jde jen o základní sken zranitelností (vulnerability scanning). Někdy se taková služba schovává pod honosný termín „automatizované penetrační testy“. Zpravidla to probíhá tak, že zákazník sdělí svoje IP adresy a dodavatel je prověří pomocí jednoho nebo více automatizovaných nástrojů, které jsou speciálně vytvořeny pro testování známých zranitelností daných systémů a bývají dostupné zdarma. Jako výstup zákazník dostává zprávu obsahující jen souhrn nalezených zranitelností, který je většinou generován přímo v daném skeneru. Tyto služby jsou nabízeny za daleko nižší ceny než plnohodnotné penetrační testy, jejichž kvality ale ani zdaleka nedosahují. Bohužel, právě otázka ceny je dnes pro mnohé rozhodující. Kdo podlehne a koupí si tuto službu, je pak ale často zklamán tím, co za svoje peníze dostane.

Plnohodnotné penetrační testy

Plnohodnotné testy jsou standardní činností, která by měla být periodicky prováděna v každé organizaci, kde aktivně využívají ICT. Jejich provedení je vhodné zadat specializované firmě, která disponuje specialisty s odpovídajícími zkušenostmi. Cílem penetračních testů je zjistit, do jaké míry je konkrétní informační systém odolný vůči potenciálním útokům, kde jsou jeho slabá místa a jak je efektivně odstranit. Při kontrole jednotlivých systémů se využívá znalostí a zkušeností bezpečnostních a systémových specialistů. Testeři pak v rámci testů využívají renomované komerční toolkity a frameworky, volně dostupné nástroje a často také jednoúčelové nástroje z vlastní dílny, které vznikají podle aktuálních potřeb testů. Výstupem pak bývá relativně podrobná zpráva, která popisuje nalezené zranitelnosti a jejich rizika s odhadem míry dopadu. Ke každému identifikovanému riziku by mělo být podáno alespoň základní vysvětlení a rámcové doporučení k jeho odstranění, případně snížení dopadu na únosnou úroveň.

Dílčí prověrky a audity

Je vhodné je využít u specifických systémů, serverů nebo aplikací, u kterých například potřebujeme mít větší míru jistoty jejich zabezpečení, než nám dokážou dát plošné penetrační testy informačního systému. I zde je vhodné zadat jejich provedení specializované firmě. Zatímco při penetračních testech se testeři staví do role potenciálního útočníka, při bezpečnostních prověrkách a auditech přistupují ke zkoumanému prvku spíše v roli systémového administrátora a implementátora. Při kontrole nastavení jednotlivých systémů se využívá znalostí a zkušeností bezpečnostních a systémových specialistů, doporučení výrobců pro hardening apod. Výstupem bývá zpráva z auditu, která popisuje jednotlivé nalezené zranitelnosti, jejich rizika a uvádí základní možnosti odstranění.

Kontroly uživatelů

I když na to v každodenní praxi často zapomínáme, uživatelé tvoří podstatnou část informačního systému každé organizace. I proto musíme věnovat patřičnou pozornost jejich „zabezpečení“. Pouze uživatele, který dodržuje stanovená bezpečnostní pravidla organizace a disponuje potřebným bezpečnostním povědomím, tzn. zná možné hrozby a ví, jak se proti nim bránit, můžeme považovat za „zabezpečeného“. To však ani zdaleka neznamená, že pro nás neznamená žádné riziko.

Některé metody pro kontrolu dodržování bezpečnostních pravidel uživateli jsou výborné nejen jako ověření stávajícího stavu, ale také jako prostředek pro jejich výraznější osvětu (takové věci se lidem jednoduše vryjí do paměti a stávají se i tématem hovorů na pracovišti). Platí to například u testování uživatelů metodami sociálního inženýrství. Provádění kontrol zaměřených na sociální inženýrství je vhodné jak v rámci komplexních penetračních testů organizace, tak i samostatně jako ověření správných návyků uživatelů, například po bezpečnostním školení. V praxi můžeme použít různé scénáře, jako například podstrčení souboru (např. trojského koně) pod různými záminkami e-mailem nebo prostřednictvím webového odkazu, nucení uživatele k prozrazení přístupových informací (login a heslo) přes telefon (například s použitím falešné identity), podstrčení škodlivého obsahu na médiích v prostorách organizace apod. V rámci těchto a dalších scénářů vytvořených dle konkrétního prostředí organizace se využívají různé stresové situace a záminky (např. „...máte zavirovaný počítač!“).

Sledování stavu a zlepšování bezpečnosti

Abychom zajistili fungování PDCA cyklu a neustálé zlepšování bezpečnosti, měli bychom si stanovit pro jednotlivé prováděné kontroly vhodné metriky, které umožní hodnotit a sledovat vývoj úrovně bezpečnosti organizace.

I když stanovení metrik bezpečnosti může na první pohled vypadat složitě, není třeba se toho bát. Průměrné organizaci s průměrnými potřebami postačí stanovit a sledovat pouze základní metriky, které spočívají třeba v počtu virových incidentů za dané období, počtu útoků detekovaných IPS/IDS zařízením, počtu uživatelů, kteří se nechali nachytat na sociální inženýrství, výsledky písemného testu uživatelů po bezpečnostním školení apod. Bohužel úroveň bezpečnosti těžko změříme tak přesně, jako například elektrické napětí v síti. Neznamená to ale, že bychom se neměli snažit identifikovat, v jakém stavu se naše zabezpečení zrovna nachází.

Zvládneme to sami?

V zásadě se dá říci, že mnoho z výše uvedených kontrol je alespoň na určité základní úrovni schopen provádět bezpečnostní správce sám nebo ve spolupráci s administrátory IT. U některých rozsáhlejších kontrol, jako jsou například penetrační testy, je určitě vhodné, aby byly provedeny externím dodavatelem, který je v dané oblasti činností specializován a není zatížen provozní slepotou.

Problém může nastat v organizacích, kde je zaměstnanec v roli bezpečnostního správce již zcela vytížen jinými činnostmi, nebo v organizacích, kde bezpečnostního správce vůbec nemají. Zde se nabízí možnost využít služeb různých odborných firem, které nabízejí outsourcing bezpečnosti, či přímo outsourcing role bezpečnostního správce. Tyto služby, které jsou zpravidla „šité“ na míru, mohou pokrýt kromě kontrolních činností i další klíčové potřeby organizace v oblasti bezpečnosti, jako je například údržba dokumentace, školení uživatelů atd.

Závěrem

V našem krátkém miniseriálu jsme se dotkli několika mála témat z oblasti informační bezpečnosti. Nebylo naším cílem a ani v našich silách pokrýt celou tuto nesmírně rozsáhlou oblast. Informační bezpečnost se totiž opravdu dotýká mnoha oblastí v rámci i mimo ICT. Snažili jsme se tedy hlavně nastínit hlavní témata informační bezpečnosti a dám vám základní návod, jak se s bezpečností ve vaší organizaci vypořádat. Podotýkám ale, že řešení bezpečnosti je v každé organizaci velmi individuální a neobejde se bez notné dávky improvizace.

V budování informační bezpečnosti i jinde vám přejeme hodně zdaru a úspěchů...