facebook LinkedIN LinkedIN - follow
IT security , IT Security

Tři tipy pro prevenci narušení v rámci řízeného přenosu souborů (MFT)

Mark Towler


Nedávno jsem mluvil s jedním klientem a diskutovali jsme o důležitosti zabezpečení dat v jejich řešení pro řízení přenos souborů (Managed File Transfer, MFT). Řekl něco, co mi utkvělo v paměti: „My víme, že jsme paranoidní. Ale jsme dostatečně paranoidní?“ Nad tím je třeba se pozastavit, protože to nejen odhaluje obavy uživatelů MFT ohledně bezpečnosti, ale také to, odkud vycházejí. Všichni se shodneme, že bezpečnost stojí na prvním místě. Můžeme si však být jisti, že je dostatečně bezpečná? Odpověď je vlastně docela jednoduchá: jakou úroveň bezpečnosti skutečně potřebujeme?


Každá organizace má vlastní, jedinečné požadavky na bezpečnost. V ideálním případě to bude to nejlepší možné zabezpečení. V reálném světě to tak ale nefunguje. A to kvůli faktorům, které je potřeba brát taky v potaz – jako jsou náklady, pohodlí uživatelů či obecná neznalost možných zranitelností. Klíčem pro každou organizaci je proto zjistit, jakou úroveň bezpečnosti potřebuje, jakou si může reálně dovolit a jakou budou uživatelé ještě tolerovat. Proto neexistuje jedno univerzální řešení otázky bezpečnosti MFT.

Je potřeba mít ale možnost volby. Všechny MFT systémy využívají při přenosu souboru šifrování, ale ne všechny budou tyto soubory šifrovat i v klidovém stavu (alespoň ne bez příplatku). Některé umožňují nastavit, zda šifrovat či nikoli – což paradoxně neznamená menší úroveň bezpečnost. Pokud například využíváte pro ukládání dat MS Azure Blob, jsou tato data šifrována automaticky ze strany Microsoftu. To se ale nemusí líbit zase někomu jinému nemluvě o tom, že nemusí důvěřovat ani tomuto šifrování.

Dalšímu zase může vadit snížený výkon způsobený opětovným ši­f­ro­vá­ním a dešifrováním těchto dat při každém přístupu k nim (což je významný problém, pokud se jedná o stovky přenosů denně). Totéž platí pro řadu dalších bezpečnostních funkcí, jako je obnovení hesla na základě bezpečnostních otázek nebo vícefaktorové ověřování (MFA). Mohou třeba fungovat pro vás, ale také nemusí. Pokud ale řešení MFT nenabízí možnost volby, pak nebude vyhovovat ani specifickým bezpečnostním požadavkům, které na něj budete klást.

Je důležité se zaměřit hlavně na funkce, které vám za vaše peníze nabídnout maximum z bezpečnosti. Tyto tři funkce jsou z mého pohledu ty nejdůležitější, které byste měli implementovat, abyste předešli bezpečnostním incidentům.

1. Důkaz o neoprávněném vniknutí

Pokud se na vás vztahují předpisy jako HIPAA, GDPR, CCP, SOX, PCI-DSS nebo jiné, není to vlastně volba, ale povinnost. Musíte být kdykoli schopni prokázat, že daný přenos dat byl po celou dobu bezpečný a že k němu měly přístup pouze oprávněné osoby. To znamená, že musíte mít data šifrovaná během přenosu (přenos mezi lidmi nebo systémy) i v klidu (když jsou uložena). Musíte být také schopni vytvořit report, který toto zobrazí spolu s podrobnostmi o každém, kdo k těmto datům přistupoval. Tento druh reportu by měl systém MFT vytvářet na vyžádání automaticky, a to nejen pro případné auditory, ale také proto, abyste mohli potvrdit, že nedošlo k žádnému narušení dat. I když nejste povinni dodržovat předpisy, je to užitečná funkce, která zajistí, že budete mít přehled o tom, co se stalo. A to je to první, co se po vás bude chtít, jakmile dojde k úniku dat, nebo když se do vaší sítě dostanou nezvaní hosté.

2. Vícefaktorové ověřování (MFA)

Tato metoda je z hlediska uživatelského pohodlí nejtěžší, ale zároveň přináší největší užitek. Vícefaktorové ověřování přidává do procesu přihlašování další vrstvu ochrany a potvrzuje, že přihlašující se osoba je skutečně ta, za kterou se vydává. Vyžaduje něco, co zná (při­hla­šo­va­cí jméno a heslo), s něčím, co má (telefon, generátor tokenů atd.). Efektivně tak činí ukradené heslo nepoužitelným. Zloději hesel totiž potřebují také přístup k telefonu nebo autentizátoru uživatele. Neberte mě za slovo, a nechte se přesvědčit zkušeností Microsoftu, který se této tématice věnoval. Jejich 300 milionů systémů Azure, je neustále pod drobnohledem útočníků a jediná věc, která dosud zabránila v 99,9 % případů k jejich průniku, bylo zavedení MFA. Pokud neuděláte vůbec nic jiného, abyste zvýšili své zabezpečení, implementujte aspoň MFA. Pro zabránění průnikům udělá víc než dalších deset bezpečnostních metod dohromady.

3. Pravidelná rotace šifrovacích klíčů

Šifrovací klíče jsou doslova zlatým klíčem ke všem datům v MFT. Pokud se k nim dostane neoprávněná osoba, získá přístup ke všemu a to většinou bez vašeho vědomí. Rozumná bezpečnostní politika vyžaduje jejich pravidelnou výměnu, což je doporučený osvědčený postup podle PCI-DSS. Pravidelné obměně klíčů může zabránit povětšinou lidská chyba nebo obyčejná lenost. Měli byste se ujistit, že vaše řešení MFT nejen že umožňuje bezpečně a snadno rotovat šifrovací klíče přímo z rozhraní, ale také poskytuje nějaký způsob monitorování stavu změn šifrovacích klíčů. Je důležité, abyste byli schopni zjistit kdy a zda vůbec byly klíče změněny. V ideálním případě by MFT mělo nabízet funkci, která bude klíče rotovat automaticky, abyste nebyli zranitelní.

Další možnosti pro bezpečnost

Tyto tři tipy jsou samozřejmě jen začátkem. Existují desítky dalších vlastností, funkcí a osvědčených postupů, které můžete implementovat, abyste zabránili průnikům a posílili svou bezpečnost. Každý z nich se pojí také s různými úvahami a kompromisy. Vyplatí se vám pro úsporu nákladů a pohodlí hostovat MFT v cloudu? Budou uživatelé tolerovat vynucené přijetí zásad před přihlášením? Požadují zákazníci rychlejší přístup, než vám dovolí vaše bezpečnostní postupy? Na tyto otázky nedokáže odpovědět nikdo jiný než vy.

Výše uvedené tipy jsou ale skvělým začátkem. Každopádně byste měli pravidelně vyhodnocovat své bezpečnostní postupy i to, jak je uživatelé dodržují. Jen tak naleznete rovnováhu v otázce bezpečnosti MFT. Bezpečnost je hlavně na vás, sami víte nejlépe, zda jste již dostatečně paranoidní.

Mark Towler
Autor článku působí na pozici Senior PMM ve společnosti Progress.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.