Šetriť na bezpečnosti sa nevypláca

Pred dvo­ma rok­mi štát­ne sie­te če­li­li jed­né­mu mi­lió­nu úto­kov den­ne, dnes ich je dvad­sať­krát viac. O nič lep­šia si­tuácia nie je ani v kor­po­rát­nej sfé­re. Ako tvr­dí se­nior bu­si­ness kon­zul­tan­tka pre bez­peč­nosť spo­loč­nos­ti ALI­SON Slo­va­kia An­na­má­ria Ba­lá­žo­vá, keď­že ne­vie­me tie­to hroz­by od­strá­niť, mu­sí­me ich ve­dieť as­poň ana­ly­zo­vať a adek­vát­ne ria­diť ri­zi­ká.

An­na­má­ria Ba­lá­žo­vá, Se­nior Bu­si­ness kon­zul­tant pre bez­peč­nosť ALI­SON Slo­va­kia

Aké sú ak­tuál­ne tren­dy, kto­rým dnes mu­sí če­liť kor­po­rát­na sfé­ra v ob­las­ti in­for­mač­nej bez­peč­nos­ti?

An­na­má­ria Ba­lá­žo­vá: To zá­vi­sí od uh­la poh­ľa­du. Ak sa na to po­zrie­me ako kon­zu­men­ti tech­no­ló­gií, sú to so­ciál­ne sie­te. Ich zmys­lom je byť vi­de­ný a zá­ro­veň mať preh­ľad o tých os­tat­ných. To zna­me­ná zdie­ľať čas­to aj svoj osob­ný ži­vot so „všet­ký­mi". Ďal­ší fe­no­mén je mať všet­ko po­ru­ke 24 ho­dín den­ne z aké­ho­koľ­vek mies­ta na sve­te. Nech­ce sa nám cho­diť na­ku­po­vať, cho­diť do ban­ky ani na úra­dy. Oča­ká­va­me, že „prí­du" za na­mi.

To­mu­to tren­du sa pris­pô­so­bu­jú aj fir­my. Chcú byť pre svo­jich zá­kaz­ní­kov stá­le „on-li­ne". To si však vy­ža­du­je nie­len nep­retr­ži­tú dos­tup­nosť slu­žieb, ale tie mu­sia byť na­vy­še navr­hnu­té tak, aby bo­li bez­peč­né pre pos­ky­to­va­te­ľa aj pre kon­zu­men­tov. Nie vždy to bý­va jed­no­du­ché. Kor­po­rá­cie to­tiž čas­to pou­ží­va­jú his­to­ric­kú infra­štruk­tú­ru, kto­rú tre­ba mo­di­fi­ko­vať a v ne­jed­nom prí­pa­de aj úpl­ne nah­ra­diť, ak má byť bez­peč­ná. Dô­vo­dom ne­mu­sí byť len no­vá služ­ba, ale aj no­vé hroz­by či le­gis­la­tív­ne pra­vid­lá. Ochra­na súk­ro­mia, dos­tup­nosť slu­žieb a od­ol­nosť infra­štruk­tú­ry sú te­da hlav­né tren­dy, s kto­rý­mi sa fir­my mu­sia v sú­čas­nos­ti vy­rov­ná­vať.

Sprie­vod­ným ja­vom mo­der­ných hro­zieb je zní­že­ná preh­ľad­nosť sie­ťo­vých ak­ti­vít, čím vzras­tá mie­ra po­ten­ciál­ne­ho bez­peč­nos­tné­ho oh­ro­ze­nia. Ako sa pro­ti to­mu dá bo­jo­vať?

An­na­má­ria Ba­lá­žo­vá: No­vé hroz­by pri­chá­dza­jú s no­vý­mi tech­no­ló­gia­mi a ras­tú­cim množ­stvom dát. He­te­ro­ge­ni­ta pros­tre­dia a s tým sú­vi­sia­ca niž­šia preh­ľad­nosť si vy­ža­du­je zvý­šiť úsi­lie pri mo­ni­to­ro­va­ní a vy­hod­no­co­va­ní ak­ti­vít v sie­ti. Pre­vádz­ko­vý mo­ni­to­ring fir­me pos­ky­tu­je preh­ľad o ak­tuál­nom „zdra­vot­nom" sta­ve za­ria­de­ní, pri­čom je­ho vý­stu­py zá­ro­veň slú­žia ako veľ­mi dob­ré vstu­py pre vy­ššiu úro­veň, bez­peč­nost­ný mo­ni­to­ring. Prá­ve ten mô­že byť je­den z lie­kov, kto­ré do­ká­žu upo­zor­niť na neš­tan­dar­dné ja­vy nie­len v sie­ti. Fir­my by sa však ma­li brá­niť nie­len pros­tred­níc­tvom tých­to mo­ni­to­ro­va­cích sys­té­mov, ale ak chcú do­siah­nuť vy­ššiu efek­ti­vi­tu v bo­ji s mo­der­ný­mi hroz­ba­mi, ma­li by ich dopl­niť aj o ďal­šie tech­no­ló­gie, ako sú nap­rík­lad pr­vky ma­naž­men­tu zra­ni­teľ­nos­tí či ana­lý­zy sie­ťo­vej pre­máv­ky, kto­ré im pos­kyt­nú ďal­šie dô­le­ži­té in­for­má­cie o od­ol­nos­ti infra­štruk­tú­ry.

Exis­tu­jú už all-in-one rie­še­nia, kto­ré sú schop­né kon­ti­nuál­ne od­ha­ľo­vať chý­ba­jú­ce op­rav­né ba­lí­ky, zlé kon­fi­gu­rá­cie a ne­dos­ta­toč­ne chrá­ne­né pr­vky infra­štruk­tú­ry?

An­na­má­ria Ba­lá­žo­vá: Aj keď bez­peč­nosť in­for­mač­ných tech­no­ló­gií nie je o jed­nom rie­še­ní, or­ga­ni­zá­cie už ma­jú k dis­po­zí­cii vy­zre­té, kva­lit­né, kom­plexné mo­du­lár­ne rie­še­nia, kto­ré do­ká­žu ochrá­niť server­y, ap­li­ká­cie a dá­ta na­prieč fy­zic­kým, vir­tuál­nym a clou­do­vým pros­tre­dím. V jed­nej in­teg­ro­va­nej plat­for­me sú nás­tro­je na ana­lý­zu bez­peč­nos­ti webo­vých strá­nok, anti­mal­vér, fi­rewall, pre­ven­ciu pred neop­ráv­ne­ným prie­ni­kom, mo­ni­to­ro­va­nie in­teg­ri­ty, kon­tro­lu pro­to­ko­lov, ako aj fun­kcia vir­tuál­nych op­rav­ných ba­lí­kov, čím fir­mám od­pa­dá nák­lad­ná ploš­ná in­šta­lá­cia sof­tvé­ro­vých zá­plat v prí­pa­de oh­ro­ze­nia.

Ok­rem tých­to kom­plexných rie­še­ní sa však vy­pla­tí na­sa­diť do in­for­mač­né­ho sys­té­mu aj nás­tro­je ma­naž­men­tu zra­ni­teľ­nos­tí a pe­net­rač­né­ho tes­to­va­nia, kto­ré do­ká­žu iden­ti­fi­ko­vať chý­ba­jú­ce op­rav­né ba­lí­ky, zra­ni­teľ­né kon­fi­gu­rá­cie a ne­dos­ta­toč­ne chrá­ne­né pr­vky infra­štruk­tú­ry, či už ide o da­ta­bá­zy, ap­li­ká­cie, server­y, pra­cov­né sta­ni­ce, mo­bil­né prís­tro­je, ale­bo ďal­šie za­ria­de­nia.

Pri ko­mu­ni­kač­nej bez­peč­nos­ti sa up­lat­ňu­je no­vé pra­vid­lo: ve­dieť, aký od­ol­ný je as­poň pe­ri­me­ter sie­te. Ako čas­to a pre­čo by ma­li or­ga­ni­zá­cie ab­sol­vo­vať pe­net­rač­né tes­ty?

An­na­má­ria Ba­lá­žo­vá: Ne­mys­lím si, že je to no­vé pra­vid­lo. Nao­pak, od­ol­nosť a ochra­na pe­ri­met­ra sú už v prin­cí­pe štan­dar­dom, ho­ci nie vždy a vša­de. Nie je to dáv­no, čo pre­beh­li úto­ky ty­pu DoS a DDoS na vlád­ne sie­te a webo­vé strán­ky. Kaž­dý chcel zra­zu ve­dieť, čo to je a ako sa pro­ti to­mu dá brá­niť. Zvý­šil sa do­pyt po tes­toch od­ol­nos­ti a za­bez­pe­če­nia pe­ri­met­ra. Vo všeo­bec­nos­ti pla­tí, že pri vstu­pe do or­ga­ni­zá­cie je vhod­né vy­užiť dob­re na­kon­fi­gu­ro­va­ný fi­rewall, dopl­ne­ný o IDS a IPS, prí­pad­ne webo­vý ap­li­kač­ný fi­rewall.

Pe­net­rač­né tes­ty sú je­den z mož­ných spô­so­bov, ako od­ha­liť bez­peč­nos­tné sla­bi­ny sys­té­mu or­ga­ni­zá­cie. Ich reali­zá­cia v akej­koľ­vek for­me, či už ako blac­kboxové tes­ty, whi­te­boxové tes­ty, ale­bo tes­ty so­ciál­ne­ho in­ži­nier­stva, vy­ža­du­je ná­roč­nej­šiu príp­ra­vu, po­čas kto­rej tre­ba ok­rem de­tail­ne spra­co­va­ných sce­ná­rov a príp­ra­vy infra­štruk­tú­ry zvlád­nuť aj otáz­ku zá­kon­nos­ti, keď­že úto­ky na infra­štruk­tú­ru a or­ga­ni­zá­ciu nie sú le­gál­ne. To je hlav­ný dô­vod, pre­čo sa reali­zu­jú spra­vid­la len raz, prí­pad­ne dvak­rát do ro­ka.

In­te­li­gen­tné mo­bil­né za­ria­de­nia sa sta­li bež­nou sú­čas­ťou ko­mu­ni­ká­cie vo fir­mách všet­kých ty­pov a veľ­kos­tí. Zvy­šu­je to mie­ru ich zra­ni­teľ­nos­ti?

An­na­má­ria Ba­lá­žo­vá: Pri otáz­kach toh­to ty­pu sa vždy za­ra­zím. Mo­bil­né za­ria­de­nia sa v or­ga­ni­zá­ciách vy­uží­va­jú už ro­ky. Kon­krét­ne no­te­boo­ky. Sú to mo­bil­né pra­cov­né sta­ni­ce, ku kto­rým fir­my spra­vid­la pris­tu­pu­jú dos­ta­toč­ne zod­po­ved­ne. Ich ochra­na a po­žia­dav­ky na bez­peč­nos­tné pr­vky sú sú­čas­ťou inter­ných pred­pi­sov. Aj bež­ný pou­ží­va­teľ ani len na se­kun­du ne­za­po­chy­bu­je, že na prís­tup tre­ba pou­žiť hes­lo a tre­ba mať aj anti­ví­rus.

To­to však už ani zďa­le­ka nie je ta­ké sa­moz­rej­mé pri tab­le­te či smar­tfó­ne, kto­ré sa tiež pou­ží­va­jú na e-mai­lo­va­nie a pri­pá­ja­nie k rôz­nym služ­bám, nap­rík­lad inter­net­ban­kin­gu. Ta­kis­to ma­jú ope­rač­ný sys­tém, kto­rý má svo­je sla­bi­ny. Vy­uží­va­me na nich ap­li­ká­cie, o kto­rých pô­vo­de väč­ši­nou nič ne­vie­me. Pre mňa je ne­po­cho­pi­teľ­né, ako je to mož­né, že prá­ve tým­to za­ria­de­niam sa v or­ga­ni­zá­ciách ve­nu­je ta­ká ma­lá po­zor­nosť, pri­čom exis­tu­jú veľ­mi účin­né a fi­nan­čne ne­ná­roč­né rie­še­nia na ich ochra­nu, a te­da aj na ochra­nu ce­lej fi­rem­nej infra­štruk­tú­ry.

Mno­hé or­ga­ni­zá­cie stá­le ne­ma­jú od­va­hu pre­su­núť fi­rem­né dá­ta z fy­zic­ké­ho pros­tre­dia do sys­té­mov kom­bi­nu­jú­cich fy­zic­ké, vir­tuál­ne a clou­do­vé úlo­žis­ká. Sú ich oba­vy opod­stat­ne­né?

An­na­má­ria Ba­lá­žo­vá: Tá­to oba­va sa pos­tu­pom ča­su vy­trá­ca. Bež­ný pou­ží­va­teľ webo­vých slu­žieb vô­bec ne­tu­ší, či dá­ta ale­bo služ­by, s kto­rý­mi pra­cu­je, sa na­chá­dza­jú v clou­de ale­bo štan­dar­dnom dá­to­vom cen­tre. Ani pri ban­ko­vých pro­duk­toch si spra­vid­la nep­re­ve­ru­je, kde ban­ka pre­vádz­ku­je či hos­tu­je služ­bu. Vy­ža­du­je však dos­tup­nosť, spo­ľah­li­vosť a v ne­pos­led­nom ra­de aj bez­peč­nosť. Tak­že ak aj ne­ja­ké oba­vy pretr­vá­va­jú, sú na stra­ne pos­ky­to­va­te­ľov a pre­vádz­ko­va­te­ľov elek­tro­nic­kých slu­žieb.

Dô­vo­dy mô­žu byť rôz­ne. Na vir­tua­li­zá­ciu sme si ča­som už ako­si zvyk­li. A ide prá­ve asi o ten čas. Aj pri vir­tua­li­zá­cii bo­lo pot­reb­né ur­či­té ob­do­bie, kým sa vy­chy­ta­li jej ne­dos­tat­ky a sla­bi­ny. Fir­my za­obe­ra­jú­ce sa bez­peč­nos­tný­mi sys­té­ma­mi vy­vi­nu­li tech­no­ló­gie a sof­tvér na eli­mi­ná­ciu ri­zík. Te­raz sme na ces­te k bez­peč­né­mu clou­du. Pre­vádz­ko­va­te­lia mu­sia kor­po­rá­cie pres­ved­čiť, že u nich ulo­že­né dá­ta a služ­by sú spo­ľah­li­vo za­bez­pe­če­né a dos­tup­né. Stá­le však asi bu­dú exis­to­vať spo­loč­nos­ti, kto­ré zos­ta­nú ver­né kla­sic­kým dá­to­vým cen­trám.

Ko­mu­ni­kač­ná infra­štruk­tú­ra je ži­vý or­gan­izmus. Mô­žu sa or­ga­ni­zá­cie za­obísť bez sys­té­mu na od­ha­ľo­va­nie úto­kov a de­tek­ciu prie­ni­kov?

An­na­má­ria Ba­lá­žo­vá: Áno, ko­mu­ni­kač­ná infra­štruk­tú­ra sa me­ní veľ­mi dy­na­mic­ky. Či sa or­ga­ni­zá­cie mô­žu za­obísť bez sys­té­mu na od­ha­ľo­va­nie úto­kov a de­tek­ciu prie­ni­kov? Áno, mô­žu, ale - a to­to je veľ­mi dô­le­ži­té: uve­do­miť si, že je tu ALE - zme­ny v infra­štruk­tú­re pri­ná­ša­jú no­vé zra­ni­teľ­nos­ti. Kaž­dá zme­na by ma­la byť pod kon­tro­lou. Na ko­mu­ni­kač­nú infra­štruk­tú­ru sa nes­ta­čí po­zrieť len raz a už vô­bec nie len z jed­nej stra­ny. Úto­ky to­tiž ne­mu­sia prísť iba zvon­ku, ale aj zvnút­ra or­ga­ni­zá­cie. Sú via­ce­ré mož­nos­ti, ako ich eli­mi­no­vať, ale nik­dy ich ne­bu­de­me schop­ní úpl­ne od­strá­niť. Or­ga­ni­zá­cie pre­to mu­sia svo­ju infra­štruk­tú­ru mo­ni­to­ro­vať, od­ha­ľo­vať úto­ky a rých­lo rea­go­vať na prie­ni­ky. Sys­tém na od­ha­ľo­va­nie úto­kov a de­tek­ciu prie­ni­kov je ďal­ší z via­ce­rých bez­peč­nos­tných pr­vkov na ces­te, ako mať infra­štruk­tú­ru pod kon­tro­lou.

Ohodnoťte článok:
 
 

Najnovšie rozhovory

Ne­mám rád ste­reo­typ a pri IT to neh­ro­zí
(Publikované pred rokom) Matúš Čopík je riaditeľ úseku dynamických platformových služieb a člen vrcholového manažmentu v spoločnosti T-Systems Slovakia od júna 2014. Predtým figuroval na poste riaditeľa telekomunikačných služieb a riešení.  .. viac »
 
Bez­peč­nosť je pro­ces, nie jed­no­ra­zo­vá ak­cia
(Publikované pred 2 rokmi) Palo Luka je technologický riaditeľ antivírusovej a bezpečnostnej spoločnosti ESET. Na túto funkciu prešiel v januári 2011. .. viac »
 
Ko­mu­ni­ká­cia sme­ru­je do on-li­ne ka­ná­lov
(Publikované pred 2 rokmi) Bankový trh sa výrazne mení, popularita klasických bánk klesá a zákazníci sa obracajú k bankám, v ktorých za vedenie účtu neplatia nijakýpoplatok. Absencia pobočiek ani nutnosť ovládať všetko cez internet im neprekáža, skôr naopak.  .. viac »
 
Or­ga­ni­zá­cie by ma­li zme­niť svoj ope­rač­ný mo­del
(Publikované pred 2 rokmi) Posledných 7 rokov pracoval v českej pobočke spoločnosti Hewlett-Packard ako riaditeľ divízie HP Industry Standard Servers & HP Storage. Na tomto poste zodpovedal najmä za predaj, produktový manažment a predpredajnú podporu serverovej a úložnej infraštruktúry... viac »
 
Bu­si­ness in­telli­gen­ce po­mô­že i men­ším fir­mám
(Publikované pred 2 rokmi) Technológie BI prinesú najväčší prínos, ak sa dokážu rozšíriť do celého podniku. Pri voľbe konkrétneho riešenia business intelligence by zákazníci mali túto požiadavku zohľadniť. Na otázky o prínosoch technológií BI odpovedal Jaroslaw Tomala, riaditeľ predaja pre oblasť ECEMEA divízie Oracle Direct... viac »
 
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter