Rob Cardigan Rick McNees
Transkrypt
Rob Cardigan Rick McNees
Rob Cardigan Rick McNees Fizyczne Bezpieczeństwo Sieci autorzy: Rob Cardigan, Technical Manager, Molex Premise Networks i Rick McNees, Global Marketing Manager, iTRACS Fizyczne Bezpieczeństwo Sieci Molex Premise Networks Molex Premise Networks Na temat bezpieczeństwa w dziedzinie IT napisano i powiedziano już wiele, ale pomimo różnorodnych technik ochronnych, naruszenia zabezpieczeń nadal stanowią poważny problem w organizacjach wszystkich typów. Bezpieczeństwo to problem nie tylko informatyczny, ale i biznesowy, a to z kolei stwarza dodatkowe trudności. To szerokie i skomplikowane zagadnienie obejmuje między innymi zagrożenia informacji poufnych, systemów biznesowych i sprzętu. Najbardziej narażone na najczęstsze i najgroźniejsze ataki są zazwyczaj duże firmy świadczące usługi użyteczności publicznej oraz te z sektora finansowego. Te i inne organizacje wydają miliony na produkty zabezpieczające zasoby informatyczne. Analitycy z IDC przewidują, że globalny rynek samych produktów i usług chroniących przed włamaniami z Internetu wzrośnie do 700 milionów USD do roku 2006. Co ciekawe jednak, niedawne badania OMB nad wydatkami federalnych instytucji rządowych USA wykazały niewielkie powiązanie między wydatkami na zabezpieczenia a rzeczywistym bezpieczeństwem. W niniejszym artykule wysuwa się tezę, że organizacje mogą koncentrować się na niewłaściwych obszarach strategii zabezpieczeń IT i główny nacisk kładą na wykrywanie włamań do sieci, zamiast im aktywnie zapobiegać. W strategiach zabezpieczeń IT firm brak zasadniczej „warstwy” — monitorowania i dokumentowania fizycznej infrastruktury sieci. Szybkie wykrywanie i dokumentowanie incydentów oraz stosowanie środków zaradczych ma znaczenie zasadnicze — a nowoczesne systemy inteligentnego zarządzania infrastrukturą takie działanie umożliwiają. 3 Molex Premise Networks Fizyczne Bezpieczeństwo Sieci Dlaczego to jest Ankieta Dynamic Markets przeprowadzona wśród 850 menedżerów IT wskazuje, że w Wielkiej Brytanii 93% firm doświadczyło w ciągu ostatniego roku nieplanowanych ważne? przestojów. 14% respondentów miało nieplanowane przestoje przekraczające osiem godzin, a tylko 17% trwające krócej niż godzinę. Wiele z tych przestojów było spowodowanych przez drobne — rozmyślne lub przypadkowe — naruszenia zabezpieczeń. Wielu z tych drobnych naruszeń, np. wyjęcia kabla z panelu krosowego, nie można wyśledzić ani określić ich przyczyn z uwagi na niedostateczną dokumentację. Przestoje są bardzo kosztowne. Raport na temat naruszania zabezpieczeń w Wielkiej Brytanii sporządzony przez Price Waterhouse Coopers i DTI wskazuje, że przeciętny koszt poważnego incydentu wynosił 30 000 funtów, a niektórzy respondenci doświadczyli incydentów kosztujących ponad 500 000 funtów. Nie jest to jednak zło konieczne — niedrogie rozwiązania do monitorowania warstwy fizycznej mogą czas nieplanowanych przestojów znacznie zredukować. Zabezpieczenia Współczesne, dynamiczne sieci korporacyjne nie mają już granic fizycznych, lecz w skali podlegają zasadom i parametrom zabezpieczeń w skali całego przedsiębiorstwa. pzedsiębiorstwa Skuteczne zasady zabezpieczeń muszą obejmować szeroki zakres usług, które regulują dostęp do zasobów sieciowych, chroniąc je jednocześnie przed zagrożeniami wewnętrznymi i zewnętrznymi. Niemal wszystkie zainstalowane urządzenia zabezpieczające sieci służą do obrony przed zagrożeniami zewnętrznymi, ale prawdopodobnie najczęstsze i najgroźniejsze przypadki naruszenia zabezpieczeń są powodowane przez czynniki wewnętrzne. W takich sytuacjach udaje się ominąć systemy wykrywania intruzów, ponieważ jako pracownicy uzyskali oni już w systemie niezbędną autoryzację. Z 530 specjalistów do spraw zabezpieczeń zapytanych przez FBI w ramach ankiety na temat przestępstw komputerowych i zabezpieczeń w 2003 roku 80% doniosło o przypadkach dostępu do systemów przez nieupoważnione osoby z wewnątrz. Kontrolowanie działań i dostępu osób już znajdujących się wewnątrz stanowi poważny problem. Osoby mające dostęp do informacji znają zasoby firmy, wiedzą, gdzie one się znajdują i jaką mają wartość. Kosztowne poufne informacje, takie jak dane osobowe personelu, zapisy finansowe oraz informacje badawczo-rozwojowe, mogą łatwo paść łupem osób z wewnątrz, które znają środowisko i środki techniczne do poruszania się po sieci jeszcze lepiej niż zewnętrzni hakerzy. Liczne współczesne zagrożenia bezpieczeństwa można z grubsza podzielić na następujące kategorie: Nieautoryzowane urządzenia - nieznane lub niezatwierdzone urządzenia, które próbują połączyć się z siecią. Mogą to być nieautoryzowane urządzenia użytkowników oraz przypadki nieumyślnego narażania sieci przez użytkowników łączących z nią bezprzewodowy punkt dostępowy, przez który mogą się łączyć urządzenia 4 Fizyczne Bezpieczeństwo Sieci Molex Premise Networks Niespełniające parametrów urządzenia, np. źle skonfigurowane komputery - systemy komputerowe bez najnowszych poprawek oprogramowania i plików programów antywirusowych Nieupoważnione działania użytkowników wewnętrznych - przypadkowe lub rozmyślne działania pracowników (lub byłych pracowników), które narażają bezpieczeństwo usług lub informacji Użytkownicy zewnętrzni - wirusy, robaki, ataki DoS i włamania hakerów Kradzież fizyczna - fizyczna kradzież sprzętu lub oprogramowania Oszustwa - sfałszowane opłaty i dane kredytowe Informacje zastrzeżone - zniszczenie lub skopiowanie danych firmowych Wdrożenie warstwowego rozwiązania zabezpieczającego pomaga organizacjom uchronić się przed całą tą masą zagrożeń. W systemach informatycznych przedsiębiorstw można wyróżnić trzy „warstwy”: Ludzie - pracownicy, klienci, partnerzy i wszelkie osoby z zewnątrz Aplikacje - m.in. poczta elektroniczna, aplikacje zaopatrzeniowe, systemy ERP i do zarządzania łańcuchem dostaw Infrastruktura sieciowa - m.in. routery, przełączniki, komputery mainframe, wirtualne sieci prywatne Dobra strategia bezpieczeństwa musi uwzględniać wszystkie poziomy. Firmy nadal wydają znaczne sumy na ochronę warstw ludzi i aplikacji, natomiast często nie zwracają uwagi na poziom infrastruktury sieciowej. Zachowanie fizycznego bezpieczeństwa infrastruktury to obecnie proces bardzo prosty dzięki nowej, zaawansowanej technologii inteligentnych połączeń krosowych. Inteligentne połączenia krosowe to zasadnicza warstwa ochronna, umożliwiająca szybkie wykrywanie i dokumentację zagrożeń oraz podejmowanie czynności zaradczych. Systemu takiego można użyć do dokumentowania i monitorowania sieci w czasie rzeczywistym, ostrzegania o niezatwierdzonych połączeniach i rozłączeniach, wejściu do serwerowni itp. Dokumentowanie i monitorowanie w warstwie pierwszej może uchronić przed pewnymi niepożądanymi działaniami dzięki korelacji urządzeń z ich fizycznym położeniem w organizacji. Niektóre działania lub urządzenia mogą być niepożądane w określonych lokalizacjach. Inteligentne zarządzanie infrastrukturą - warstwa fizyczna Menedżerowie sieci tradycyjnie spędzali długie godziny, realizując niemal niewykonalne zadanie: utrzymywanie aktualnych i dokładnych zapisów na papierze dotyczących wszystkich fizycznych połączeń w sieci oraz odzwierciedlających wszystkie przeniesienia, rozbudowy i zmiany (ang. moves, adds and changes, MAC). Może to być wymagane w biurze mieszczącym 50 lub 5000 pracowników, w jednym budynku lub setkach małych oddziałów na całym świecie. W firmach o dużej rotacji pracowników czynności MAC są wymagane w jeszcze większym zakresie. 5 Molex Premise Networks Fizyczne Bezpieczeństwo Sieci W natłoku codziennych spraw zapisy prowadzone ręcznie są nierzadko całkiem nieaktualne. Co więcej, firmy niekiedy zlecają wszystkie działania MAC na zewnątrz. Jedna z takich firm akceptuje i toleruje piętnastoprocentową niezgodność informacji w swoich kontraktach oraz płaci dodatkowo za wezwania serwisowe i dokumentację napraw. Jak widać, niedokładna dokumentacja nie tylko stwarza zagrożenia, ale niesie ze sobą także większe koszty. Dzięki technologii inteligentnego zarządzania infrastrukturą wszystkie urządzenia połączone z siecią są automatycznie wykrywane i rejestrowane elektronicznie, podobnie jak wszelkie zmiany w połączeniach sieciowych i instalacjach zabezpieczających. Połączenia sieciowe można skorelować z fizyczną lokalizacją punktów dostępu do sieci. W ten sposób celowe i nieumyślne rozłączenie ważnego kabla krosowego można naprawić w ciągu kilku minut, minimalizując przestoje i oszczędzając dziesiątki tysięcy złotych. Z sieciowymi logami zdarzeń i dostępu można także skorelować urządzenia zabezpieczające, takie jak kamery, przełączniki dostępowe i czujniki ruchu. Wszelkie nieupoważnione osoby wchodzące do serwerowni są na przykład rejestrowane w zasie rzeczywistym przez kamerę, a ich nieuprawnione poczynania wywołują alarm, który umożliwia szybkie podjęcie odpowiednich kroków. Przy użyciu dodanego oprogramowania nowoczesne systemy inteligentnego zarządzania infrastrukturą wykrywają awarie i potencjalne działania szpiegowskie w czasie rzeczywistym. Systemy te mogą wykryć podłączenie do sieci urządzenia i powiadomić o tym menedżera sieci, przekazując mu tak ważne informacje, jak nazwa hosta i adres IP. W ten sposób można zlokalizować urządzenie z dokładnością do gniazdka, do którego zostało podłączone. Łączność w sieci można także sprawdzić dokładniej pod względem reguł biznesowych — autoryzacji, harmonogramów zdarzeń i zleceń. 6 Fizyczne Bezpieczeństwo Sieci Molex Premise Networks Możliwość monitorowania i śledzenia jest szczególnie cenna w przypadku oddziałów terenowych, które menedżerowie sieci odwiedzają sporadycznie. W takich sytuacjach natychmiastowe zdalne powiadomienia o zmianach połączeń i ich przyczynie to nieodzowny element zabezpieczeń. Koszty monitorowania oddziałów terenowych są o wiele niższe dzięki możliwości diagnozowania i dokonywania zmian połączeń zdalnie, bez potrzeby wysyłania technika na miejsce. Jeżeli potrzebna jest naprawa lub konserwacja, wysłani technicy będą do niej odpowiednio przygotowani. Osoby odpowiedzialne za zabezpieczenia mogą mieć pewność, że w oddziałach terenowych dostęp jest strzeżony i śledzony wraz z wszelkimi połączeniami. Inteligentne zarządzanie infrastrukturą pomaga także organizacjom w zachowaniu ciągłości działania w razie niekontrolowanego naruszenia zabezpieczeń. W sytuacji przywracania działania po awarii nowoczesne systemy inteligentnego zarządzania infrastrukturą prezentują „zdjęcie” pełnych wymagań komunikacyjnych organizacji. Funkcja ta stanowi nieocenioną pomoc dla instytucji rządowych w USA, które budują alternatywne ośrodki przetwarzania danych w celu zapewnienia ciągłości pracy. Kiedy w senacie USA pojawiło się zagrożenie wąglikiem i zamknięto kilka biur, udało się dokładnie odtworzyć system łączności i usług sieciowych w ośrodku alternatywnym oraz zachować poziom kontynuacji i bezpieczeństwa. Inteligentne systemy zarządzania infrastrukturą sieciową są obecnie w stanie Najbliższa wskazać fizyczną lokalizację urządzenia. Dzięki przygotowywanemu, nowemu przyszłość oprogramowaniu system będzie mógł wkrótce skorelować działanie urządzenia z jego fizyczną lokalizacją i oflagować wszelkie podejrzane i nieautoryzowane czynności np. logowanie do sieci z cudzego komputera w innym pomieszczeniu. Dodanie funkcji inteligentnego zarządzania infrastrukturą do systemu okablowania zmienia elastyczną sieć w wydajną, kontrolowaną infrastrukturę. Inteligentne rozwiązanie reagujące w czasie rzeczywistym może znacząco zwiększyć bezpieczeństwo i ciągłość działalności oraz skrócić przestoje. Wnioski Wobec narastających zagrożeń prewencyjne, warstwowe podejście organizacji do bezpieczeństwa ma znaczenie kluczowe. Nowoczesne, inteligentne systemy krosowe umożliwiają tworzenie i kształtowanie sieci w taki sposób, by zawczasu wykryć potencjalne zagrożenia wewnętrzne w postaci szpiegostwa przemysłowego. 7 Molex Premise Networks Fizyczne Bezpieczeństwo Sieci W planowaniu bezpieczeństwa infrastruktury mogą pomóc menedżerom IT następujące pytania: 1. Czy jestem w stanie wykryć w czasie rzeczywistym nieautoryzowane urządzenia oraz określić ich fizyczne położenie? 2. Czy mogę automatycznie wykryć przyczynę nieplanowanego rozłączenia ważnego urządzenia? 3. Czy mogę wymusić zgodność łączącego się urządzenia z zasadami bezpieczeństwa? 4. Czy mogę odmówić nieautoryzowanemu lub niezgodnemu urządzeniu dostępu do sieci, aby zapobiec zagrożeniu? 5. Czy mój plan zabezpieczeń uwzględnia infrastrukturę fizyczną? 6. Czy układ mojej sieci zapewnia bezpieczeństwo przed intruzami? 7. Czy wszystkie zasady i procedury dostępu fizycznego i zdalnego dla pracowników, podwykonawców oraz techników zostały udokumentowane? 8. Czy moi konsultanci i zewnętrzni instalatorzy udokumentowali zasady i procedury bezpieczeństwa zgodnie z moimi? 9. Czy nasze urządzenia o znaczeniu strategicznym wymagają nośników o zwiększonym bezpieczeństwie, takich jak światłowody? 10. Jak mogę dowiedzieć się o naruszeniu bezpieczeństwa sieci fizycznej i ją zamknąć? 11. Czy mój plan przywracania działania uwzględnia wymagania okablowania strukturalnego? 12. Czy w mojej infrastrukturze sieciowej są wykorzystywane produkty z funkcjami bezpieczeństwa (np. kable krosowe i moduły oznaczane kolorami, zamykane pokrywy, fabryczne końcówki lub wstępnie „zarobione” produkty światłowodowe)? 13. Czy mam dostępny w czasie rzeczywistym schemat instalacji okablowania strukturalnego łącznie z aktywnymi portami? 14. Czy wszystkie plany pięter, schematy konfiguracji w serwerowni i dokumentacja przydziału portów są aktualne i zamknięte w bezpiecznym miejscu? 8