Tisíce systémů. Stovky protokolů a aplikací. Intenzivní provoz v síti. Všechny tyto faktory se podílejí na tom, že zajištění bezpečnosti vnitřní sítě klade na systémové správce a použité prostředky mnohem vyšší nároky než ochrana perimetru. Pro jejich naplnění nestačí pouze nasadit technologie obvyklé při ochraně vnější sítě. Interní bezpečnost vyžaduje vlastní přístupy a řešení.


Aplikační prostředí na vnějším rozhraní sítě je mnohem jednodušší a přehlednější než v případě vnitřní sítě podniku či instituce. Na perimetru je jasně omezena sada povolených aplikací a komunikačních protokolů. Vytvoření bezpečnostních pravidel a jejich vynucení je proto jednoduché. Jde o centrálně řízený a konzistentní proces a celý systém lze snadno spravovat.
Uvnitř sítě se vyskytuje mnohem více aplikací, řada z nich je vyvíjená uvnitř organizace a nemusí být kvalitně zdokumentována. Zabezpečení interních aplikací bývá na nízké úrovni, pokud vůbec existuje, protože vývojáři předpokládají, že ochrana perimetru nabízí komplexní zajištění bezpečnosti podnikové sítě. Systémoví administrátoři často ani nevědí, jaké všechny aplikace uživatelé v rámci jejich sítě využívají. A pokud neví, jaké aplikace běží, neví ani, jak spolu tyto aplikace komunikují. Tyto předpoklady jsou hlavním důvodem obtížného zajišťování bezpečnosti vnitřní sítě.

Dostupnost je klíč

Uživatelé obvykle nelibě nesou, pokud nemají k dispozici aplikace, se kterými běžně pracují. A to i v případě, že jde o krátkodobý výpadek. Zajištění dostupnosti klíčových aplikací je proto prioritou při správě vnitřní sítě. Narozdíl od perimetru, kde je hlavním úkolem zajistit bezpečnost. Ochrana perimetru tedy musí být nastavena tak, že blokuje vše, co není výslovně povoleno. A naopak, ve vnitřní síti je povoleno vše kromě přímo zakázaných aplikací, protokolů či vzorců chování.
Kvůli tomuto rozdílnému přístupu je obtížné až nemožné efektivně nasadit nástroje na ochranu perimetru uvnitř sítě. Dodavatelé, kteří se snaží obsadit nové místo na trhu s nabídkou svých produktů určených primárně pro ochranu perimetru bez vyřešení tohoto základního rozporu, činí svým zákazníkům spíše medvědí službu.

Bezpečnostní strategie pro vnitřní síť

Zabezpečení vnitřní sítě vyžaduje specifický přístup. Prvním prvkem dvoustupňové ochrany je bezpečnostní zařízení, jakýsi vnitřní firewall, které je schopno rozdělit vnitřní síť na segmenty s různými pravidly pro odblokování potenciálních hrozeb bez omezení funkce celé sítě. Druhým stupněm je ochrana koncových stanic a zamezení jejich přístupu k síťovým službám v případě, že stanice není vybavena požadovanou ochranou či došlo k jejímu napadení.
Bezpečnostní paradigma zároveň neumožňuje spoléhat se pouze na ochranu proti známým hrozbám a útokům. Ty se objevují tak rychle, že není v lidských silách včas reagovat, zejména v podnicích, kde je každá změna otázkou hodin i dní testování změn na vliv běhu kritických aplikací. Jediným použitelným řešením je proto systém, který nabídne intuitivní ochranu před novými útoky.
Takové systémy vycházejí nikoli z pevně stanovených definic, ale z porozumění chování síťových protokolů a fungování povoleného provozu. Pokud se v síti objeví neočekávané chování, které neodpovídá normám, systém rozhodne, že jde o potenciální útok, snahu zneužít bezpečnostní slabiny používané aplikace nebo narušit daný komunikační protokol.

Na červy jinak

Rychlý vývoj nových internetových hrozeb nutí poskytovatele bezpečnostního software a služeb vyvíjet stále nové technologie, které jsou schopné inteligentně reagovat i na neznámé hrozby. Nejde zatím o nástroje umělé inteligence, ale o prostředky, které namísto signatur sledují všechny aplikační vrstvy a sbírají údaje o konfiguraci sítě, bezpečnostních pravidlech, stavech aplikací a probíhající komunikaci v síti. Na jejich základě vyhodnocuje každý pokus o připojení. Díky analýze těchto dat dokáží moderní systémy vyhodnotit chování aplikací a jejich komunikaci s okolím a odhalit anomálie, které by mohly vést k narušení bezpečnosti.

Nejen jeden pytel

Některé hrozby se vyznačují využitím určitého komunikačního portu nebo protokolu. Většina produktů v takovém případě inkriminovaný port či protokol zakáže. Tím ale zabrání legitimní provoz v této oblasti. Proto je nutné zvažovat možnost komunikace v určité úrovni pro každou aplikaci zvlášť. Například neslavně proslulý Blaster zneužíval protokol MS-RPC. Inteligentní firewall dokáže díky znalosti chování tohoto červa zablokovat jím iniciovaná spojení, ale legitimní volání vzdálených procedur přes MS-RCP povolí.

Zónová obrana

Ochrana sítě prostřednictvím segmentů s různými pravidly a právy patří mezi jednu z nejdůležitějších bezpečnostních technik. Alespoň to tvrdí analytici Gartner Group a shodnou se na tom i šéfové IT a bezpečnosti velkých firem. V bankách a dalších organizacích segmentování sítě využívají dlouhá léta, i když v moderním prostředí jde spíše o virtuální prostředky než fyzické oddělení různých systémů. Ve velkých podnicích interní sítě pracují s tisící prvků – koncových stanic a aktivních zařízení.
Prostřednictvím interních bezpečnostních bran lze vytvořit oblasti s různým stupněm zabezpečení a povolit vzájemnou komunikaci mezi těmito segmenty pouze na základní úrovni, veškeré pokusy o nestandardní kontakt budou důvodem k ukončení připojení a vyvolání adekvátní reakce ze strany síťového administrátora. Jednotlivá oddělení ve firmě mohou díky tomuto přístupu využívat vlastní sadu bezpečnostních pravidel, systém přitom ve spolupráci s ochranou perimetru hlídá dodržování základních pravidel.
Tento přístup je vhodný v prostředích, ve kterých část uživatelů pracuje ve zpřísněném bezpečnostním režimu, ať už jde o finanční instituce či práci s osobními údaji chráněnými prostřednictvím zákonných norem. Oddělení finanční účtárny od zbytku firmy ale většinou vítají manažeři společností všech velikostí.

Karanténa pro nakažené

Odhalení útoku je první částí ochrany, tou druhou je okamžité přerušení komunikace nakaženého systému s okolím. Uvalení karantény na podezřelé zařízení umožňuje snadno zvládat případné hrozby a administrátorům poskytuje volné ruce a čas, pro zvládnutí problému. Funkce karantény lze využít i opačně, k odstínění citlivých počítačů nebo serverů v průběhu odstraňování nákazy z interní sítě.

Připojení jen s ochranou

Každé zařízení, které se připojuje k podnikové síti musí být vybaveno ochranou – její podobu definuje správce podnikové bezpečnosti. Základní požadavky zahrnují většinou nainstalované potřebné aktualizace operačního systému a kritických aplikací, antivirový a antispyware systém a firewall. Další požadavky mohou zahrnovat například aktuálního VPN klienta, digitální podpis a další náležitosti. Počítač, který takto vybaven není, je vnímán jako hrozba a jeho napojení na síť je odmítnuto. Vynucení bezpečnostních pravidel na jednotlivých zařízeních odstraňuje největší hrozbu pro podnikové sítě a zároveň nabízí pracovníkům i hostům ve firmě větší volnost při využívání síťových služeb.

Správa zabezpečení

Ochrana vnitřní sítě musí být provázána s celkovou bezpečnostní firmy a měla by umožňovat snadnou správu prostřednictvím standardních technologií a nástrojů i v heterogenních prostředích se stovkami různých síťových a bezpečnostních zařízení jako jsou VPN brány, switche nebo přístupové body WiFi. Široká podpora různých typů zařízení různých výrobců je pro zákazníky velice důležitá. Závislost na jednom dodavateli nebývá v drtivé většině případů výhodná, ani funkčně, ani finančně.




Nepřítele už znáte, je na vás, jak se pro boj s ním vyzbrojíte.

Autor je ředitelem produktového marketingu společnosti Check Point, která dodává komplexní řešení vnitřní bezpečnosti v podobě nástrojů InterSpect a Integrity.