Různé služby pro informační bezpečnost jsou dnes již nedílnou součástí našeho trhu s ICT. Různé typy penetračních testů, bezpečnostních analýz, konzultací atd. najdeme v nabídkách jak menších firem, tak i velkých systémových integrátorů. Smutnou realitou dnešního trhu jsou ale často značné rozdíly v kvalitě těchto služeb. Ukažme si tedy na příkladech několika typických oblastí bezpečnostních služeb, co bychom měli od svých dodavatelů požadovat a na co si dát pozor…

Penetrační testy – když už, tak pořádně

Penetrační testy patří mezi poměrně známé a typické bezpečnostní služby. Zjednodušeně řečeno jejich podstata spočívá v tom, že se tester dívá na cílový systém očima potenciálního útočníka a snaží se v daném čase najít co nejvíce zranitelností zneužitelných k jeho kompromitaci. Základní rozdíl mezi testerem a skutečným útočníkem je v tom, že útočníkovi stačí nalézt jedinou zneužitelnou zranitelnost, zatímco tester by měl v ideálním případě najít úplně všechny.
Penetrační testy se jako jeden z nástrojů pro ověření bezpečnosti konkrétního informačního systému uplatňují stále častěji. Celková poptávka po nich narůstá. To logicky v souladu se zákonitostmi fungování trhu zvyšuje i nabídku těchto služeb. Je třeba ale říci, že služby nabízené jednotlivými poskytovateli nejsou vždy na stejné kvalitativní úrovni. Podívejme se tedy v krátkosti, na co by si měl zákazník při výběru zhotovitele penetračních testů dávat pozor a jaká úskalí na něj mohou ve spletité nabídce služeb číhat.

Nejrychlejší a nejlevnější nemusí být vždy nejlepší!

Poměrně často narazíte na služby, kterým jejich poskytovatel sice říká „penetrační test“, ale ve skutečnosti jde jen o tzv. skenování zranitelností (vulnerability scanning). Jedná se o to, že zákazník sdělí IP adresy svých systémů a poskytovatel služby je prověří pomocí jednoho nebo více automatizovaných nástrojů, které jsou speciálně vytvořeny pro testování známých zranitelností daných systémů. O takových testech se někdy mluví jako o automatizovaném penetračním testování. Výstupem je zpráva obsahující souhrn nalezených zranitelností. Většinou je tato zpráva generována přímo automatem, který testování prováděl.
Automatizované penetrační testy jsou zpravidla nabízeny za daleko nižší ceny, než je tomu u plnohodnotných testů. Ale bohužel, právě otázka ceny je dnes pro zákazníka v mnoha případech rozhodující. Existuje však hned několik důvodů, proč se tomuto způsobu penetračního testování vyhnout:

• Zpráva z testů je zpravidla napsána takovým způsobem, že její následné využití je více než obtížné. Spíše než o regulérní zprávu se jedná pouze o „report“, ve kterém chybí interpretace jednotlivých nalezených zranitelností. Automat také nedokáže zohlednit kombinace jednotlivých nalezených příznaků, což může vést k falešným poplachům na straně jedné, nebo naopak k zanedbání zranitelností na straně druhé.
• Výstupy automatizovaných penetračních testů (reporty) nezřídka obsahují řadu falešně pozitivních (false-positive) zranitelností. To může být způsobeno nedokonalostmi samotných skenerů, nasazením IDS/IPS zařízení nebo specifickým nastavení prověřovaného systému a jeho služeb. Skenování zranitelností je ve skutečnosti pouze jednou z mnoha částí „řádně provedeného“ penetračního testu. Pokud mají být výstupy k něčemu dobré, musí je tester vždy následně projít a nalezené zranitelnosti manuálně prověřit.
• Nástroje používané k automatizovaným penetračním testům nikdy nedokážou nahradit zkušenosti a intuici skutečného testera (člověka). Jejich citlivost a možnost přizpůsobení konkrétnímu cíli bývá mizivá. Zvláště při vnitřních penetračních testech (testování serverů a stanic ve vnitřní síti zákazníka) mohou těmto automatům uniknout některé důležité detaily, které by potenciální útočník mohl lehce využít. Pamatujte, že hackeři se jako automat nechovají, ale jde o velmi „tvůrčí“ jedince…
• Samotný způsob, jakým jsou automatizované testy prováděny, může být nevhodný z hlediska zátěže zkoumaného systému. Pokud bude snaha provést test co nejrychleji, může být v důsledku toho vygenerován takový síťový provoz, který může způsobit nedostupnost cílových systémů. V některých případech, například pokud skenery používají nestandardní pakety, může dojít k pádu cílového systému. Při útocích na uživatelská hesla zase můžeme narazit na omezení počtu chybných zadání hesla, což může vyústit v zamknutí všech uživatelských účtů (např. na doménovém řadiči). Testování pak má stejný efekt jako skutečný DoS útok. A pokud se jedná o životně důležité systémy organizace, máme zde velký problém. V případě citlivého manuálního testování se toto stává jen výjimečně.

Abychom však byli objektivní, je třeba zdůraznit, že automatizované skenování zranitelností má v široké paletě bezpečnostních nástrojů své nezastupitelné místo. A to třeba v případě, kdy je prováděna administrátorem pravidelně (např. jednou za dva měsíce) jako rutinní činnost, kterou si ověřuje stav systému, o který se stará.

Bezpečnostní analýzy – doporučení je nedílná součást

Pod pojem bezpečnostní analýza můžeme zahrnout jak klasickou formální analýzu rizik (dle ISO/IEC TR 13335 nebo jiné metodiky, jako je například CRAMM), tak i různé odvozené typy informačněbezpečnostních analýz organizace, jako jsou různé bezpečnostní screeningy, analýzy stavu bezpečnosti apod. Analýza může být zaměřená na celý informační systém organizace, nebo na jeho konkrétní část. Pokud organizace cítí potřebu provedení analýzy, měla by si ze všeho nejdříve rozmyslet, co od ní očekává a na jaké otázky si chce analýzou odpovědět.
Klasická analýza rizik je vhodná například pro organizace, které to myslí s budováním informační bezpečnosti opravdu vážně (uvažují například o zavedení a certifikaci systému řízení informační bezpečnosti – ISMS dle normy ISO/IEC 27001). Analýza rizik slouží k posouzení aktuálního stavu bezpečnosti informačního systému. Jejím cílem je identifikovat rizika a nalézt slabá místa informačního systému z hlediska bezpečnosti, tyto poznatky jsou pak zahrnuty do dokumentu analýzy rizik a managementu či odpovědným složkám jsou navržena vhodná protiopatření. Analýza obsahuje pohledy na organizační, administrativní, fyzickou, počítačovou a personální oblast bezpečnosti, které jsou dány také vnitřními požadavky organizace a legislativou.
Analýza stavu informační bezpečnosti zpravidla vychází ze stejných principů jako analýza rizik, ale zaměřuje se spíše na přímou identifikaci bezpečnostních nedostatků, které se v analyzovaném prostředí vyskytují. Je tedy vhodná především pro organizace, které si „chtějí udělat pořádek“, zrevidovat stávající stav před dalšími kroky apod.
Bezpečnostní screening má v porovnání s předchozími typy analýz nejmenší rozlišovací schopnost. Jeho hlavním cílem je identifikace celkového stavu informační bezpečnosti organizace a nejvíce problematických oblastí bezpečnosti v rámci organizace. Je vhodný pro organizace, které bezpečnost dosud skoro nebo vůbec neřešily a chtějí s tím konečně začít.
Jak už je zřejmé, největší záběr z uvedených analýz má analýza rizik, naopak nejmenší má bezpečnostní screening. Od toho se samozřejmě odvíjí i cena, která se u screeningu může pohybovat řádově v desítkách tisíc, u analýzy rizik ve stovkách tisíc v závislosti na rozsahu organizace a specifických požadavcích organizace.
Pokud jste odběrateli těchto služeb, věnujte velkou pozornost již samotné prvotní nabídce dodavatele. Věnujte pozornost tomu, co má analýza obsahovat (např. zda budou identifikována aktiva informačního systému, hrozby, zranitelnosti, jakým způsobem budou ohodnocené atd.), dále popisu struktury výstupů apod. Aby pro měla analýza pro organizaci nějaký skutečný užitek, neměla by obsahovat jen nalezené nedostatky (případně rizika), ale měla by vždy dávat i doporučení, jak s nimi naložit. Pokud je to možné, nechejte si od dodavatele ukázat vzorovou zprávu z analýzy, případně reference z minulých projektů. Pokud budete mít pocit, že se vám dodavatel snaží prodat jenom šablonu, do které dopíše jméno vaší firmy, mějte se raději na pozoru.

Bezpečnostní dokumentace – soulad s firemní kulturou

Dokumentace související se zajištěním informační bezpečnosti může mít mnoho podob. Bezpečnostní politika ICT definuje základní bezpečnostní požadavky a nařízení, které mají za cíl zajistit ochranu a bezpečnost informací v organizaci. Určuje rámec informační bezpečnosti organizace a po schválení vedením by měla být závazná pro všechny zaměstnance a směrodatná i pro všechny externí subjekty, které přicházejí do kontaktu s ICT organizace. Bezpečnostní politiky patří k základním dokumentům, které definují strategii a základní pravidla v organizaci.
Na politiky by pak měly navazovat další dokumenty, které upravují a upřesňují metodiky dílčích oblastí a procesů bezpečnosti. Navazující dokumentace stanovuje a definuje jednotlivé procesy, definuje role, jejich odpovědnosti a povinnosti při vykonávání daných procesů. Může mít formu například směrnic nebo příruček, které se detailně věnují určitým oblastem popsaným v bezpečnostní politice a vhodným jazykem je přibližují konkrétní skupině (např. běžným uživatelům).
V případě, že si necháváte zpracovat některý z bezpečnostních dokumentů externím dodavatelem, je vhodné, aby tento dodavatel byl alespoň rámcově obeznámen nejen s IT infrastrukturou, ale i s tím, čemu běžně říkáme „firemní kultura“. Pokud tomu tak nebude, je pravděpodobné, že výsledné dokumenty budou příliš formální a nebudou uživateli a dalšími IT rolemi přijaty. Je třeba, aby tvůrce dokumentace rozlišil alespoň základní existující procesy a dokázal na ně napojit nové.

Jak nenaletět?

Při nákupu bezpečnostních služeb je třeba věnovat maximální pozornost výběru jejich poskytovatele. Dobrým vodítkem mohou být doporučení od známých lidí z oboru, kteří mají s konkrétním poskytovatelem pozitivní zkušenosti. Kupodivu zde vždy neplatí, že firma s nejznámějším jménem provede penetrační testy nejkvalitněji.
Pokud už jste ve fázi jednání s konkrétním poskytovatelem, nechejte si předložit ukázkové výstupy. Ty mohou o skutečné úrovni nabízených služeb mnohé napovědět. Důležité jsou i reference, ovšem někdy je k nim třeba přistupovat s rezervou. Bezpečnostní projekty jsou totiž natolik citlivou záležitostí, že si řada zákazníků výslovně nepřeje, aby se jejich jméno kdekoliv objevilo. Pokud se vám bude poskytovatel přehnaně chlubit, kde všude už něco podobného dělal, a bude svoje vyprávění doplňovat příliš konkrétními informacemi o svých předchozích zákaznících („To byste nevěřil, co všechno jsme u klienta XYZ našli za průšvihy. Představte si, že oni měli úplně povolený…“), mějte se na pozoru. Nikdy nevíte, co takový člověk bude v budoucnu někomu jinému říkat o vás samotných.
Seriózní firma vám také po prvním kontaktu s obchodníkem a projevení vašeho zájmu o určitou službu zpravidla nabídne bezplatnou konzultaci s konkrétním specialistou na danou oblast, kterého se můžete zeptat na oblasti, kterým nerozumíte a který vám pomůže zjistit, jaká služba pro vás bude nejvhodnější.

Shrnutí

Pokud bychom měli popisovanou problematiku nějak shrnout, můžeme říci, že k výběru poskytovatele bezpečnostních služeb je třeba přistupovat s rozvahou. Nechejte si všechno vysvětlit, ukázat referenční materiály a svěřte se jen do rukou toho, kdo ve vás dokáže vzbudit dostatečnou důvěru. Vždyť jde přece o bezpečnost vašeho informačního systému…

Autor pracuje ve společnosti AEC.