Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Niebezpieczeństwa płynące z sieci wewnętrznej korporacji - sposób obrony

Printer Friendly and PDF

comarch.jpgNa dzisiejszym rynku, a zwłaszcza na rynku związanym z nowoczesnymi technologiami, wartość informacji jest coraz większa w stosunku do zasobów materialnych posiadanych przez firmę i trend ten stale rośnie. Szacuje się, że w roku 2007 na świecie znajdowało się około 281 EB informacji (1 eksabajt to 1024*1024*1024 GB), co daje 45 GB informacji na każdego człowieka na ziemi.

Co więcej, według raportu IDC „The Diverse and Exploding Digital Universe: An Updated Forecast of Worldwide Information Growth Through 2011” (Zróżnicowany i eksplodujący wszechświat cyfrowy: zaktualizowana prognoza wzrostu ilości informacji na świecie do roku 2011) w 2011 ilość ta wzrośnie do 1,8 ZB (1 zettabajt to 1024 eksabajtów). Pomimo tego, że połowa tych informacji jest wynikiem działań indywidualnych ludzi (takich jak zdjęcia cyfrowe itd.), przedsiębiorstwa są odpowiedzialne za bezpieczeństwo ponad 85% tych informacji. – W miarę jak rośnie ilość śladów cyfrowych pozostawianych przez ludzi, rosnąć też będzie odpowiedzialność przedsiębiorstw i instytucji za prywatność, ochronę, dostępność oraz rzetelność tej informacji. Działy informatyczne przedsiębiorstw będą musiały stawić czoła problemom związanym z ryzykiem, zgodnością z przepisami, niewłaściwym użyciem informacji, wyciekiem danych oraz ochroną przed naruszeniami bezpieczeństwa – powiedział Joe Tucci, przewodniczący rady nadzorczej, prezes zarządu i dyrektor generalny EMC.

Skoro znamy już szacunki co do ilości informacji na świecie, spróbujmy zdefiniować jeszcze pojęcie wartości informacji. Istnieje wiele formalnych i nieformalnych definicji. Jedna z najpopularniejszych jest następująca: „wartość informacji jest równa cenie, jaką osoba potrzebująca takiej informacji jest skłonna zapłacić”. Osobiście nie lubię tej definicji, ponieważ dla każdego dana informacja może mieć zupełnie inną wartość. Znacznie bardziej trafna wydaje mi się definicja, która mówi, że „wartość informacji jest równa sumie strat, jaką może spowodować niedostępność, utrata, kradzież lub zafałszowanie tej informacji”. Straty takie można podzielić na bezpośrednie, wynikające na przykład z defraudacji lub z działalności konkurencji wykorzystującej ukradzione informacje, oraz pośrednie – takie jak na przykład utrata reputacji w wyniku przeprowadzonego ataku. Należy podkreślić, że według badań statystycznych większość zagrożeń dla informacji pochodzi z sieci wewnętrznej, co więcej nie muszą to być celowe działania. Wiele takich zagrożeń wynika z niedbałości lub niewiedzy użytkowników sieci wewnętrznej. Dlatego jednym z podstawowych celów każdej korporacji powinno być zabezpieczenie danych przed utratą, kradzieżą oraz zafałszowaniem. – Biorąc pod uwagę, że odpowiedzialność za 85% tworzonych i kopiowanych informacji będą ponosić organizacje i przedsiębiorstwa, musimy jako branża podejmować kroki, które zapewnią nam opracowanie elastycznych, godnych zaufania i bezpiecznych infrastruktur informatycznych, które będą w stanie przetworzyć rosnącą ilość przepływających informacji – mówi w wyżej już wspomnianym raporcie Mark Lewis, wiceprezes wykonawczy i dyrektor ds. rozwoju firmy EMC Corporation. Potrzebna nam będzie jeszcze jedna definicja, bo co to właściwie znaczy, że informacja jest bezpieczna? Jak powszechnie wiadomo, żaden system nie może być w pełni bezpieczny, zawsze istnieją jakieś luki bądź to w oprogramowaniu, bądź w procedurach, czy wreszcie po prostu błędy lub celowe działania ludzi, którzy system obsługują. Idealna definicja na potrzeby tego artykułu będzie następująca: „informację uważamy za bezpieczną, jeśli koszty poniesione na kradzież, zafałszowanie lub spowodowanie utraty są wyższe niż potencjalne zyski dla osoby próbującej taką operację przeprowadzić”.

Więc jak ten cel zrealizować? Podstawą bezpieczeństwa w każdej korporacji jest dobrze zdefiniowana polityka bezpieczeństwa. Niestety w większości przypadków jest to martwy dokument. Istnieje wiele sposobów wspomagania realizacji polityki bezpieczeństwa, takich jak szkolenia, audyty, kontrola wewnętrzna i najważniejsze ze wszystkich – narzędzia. Sama polityka bezpieczeństwa oraz metody jej wymuszania są tematem na osobny artykuł. W tym artykule spróbuję przedstawić jedno z narzędzi autorstwa firmy Comarch, którego celem jest zabezpieczenie informacji zgromadzonych w wewnętrznej infrastrukturze korporacji.

– SecureAdmin to system monitorowania aktywności użytkowników działający w sposób przeźroczysty na poziomie warstwy sieciowej. Cechy te oznaczają, że wdrożenie systemu SecureAdmin nie wymaga modyfikowania ani rekonfigurowania istniejących aplikacji lub systemów, a jego obecność nie jest widoczna dla użytkowników. Dzięki temu jest to doskonały system uzupełniający monitorowanie aktywności użytkowników wykonywane w oparciu o logi aplikacyjne i systemowe lub też do monitorowania aktywności administratorów – mówi Roman Lewandowski odpowiedzialny za stworzenie pierwszej wersji systemu, który wraz z Michałem Zalewskim, autorem książki „Cisza w sieci”, był pomysłodawcą systemu.

System ma dwie unikatowe cechy. Pierwsza to jego przeźroczystość. Jest to urządzenie drugiej warstwy sieciowej (działa jak bridge lub switch), a więc jego wdrożenie jest zupełnie niewidoczne dla istniejących w korporacji systemów. Cecha ta jest łatwa do osiągnięcia dla podsłuchiwania pakietów nieszyfrowanych, gdyż wówczas pakiety przesyłane w połączeniach nie są w żaden sposób modyfikowane. Wyjątkowość systemu SecureAdmin polega na zapewnieniu przeźroczystości również w trybie analizowania połączeń przy wykorzystaniu metody Man In The Middle (MITM). W tym trybie system, wykorzystując mechanizmy IPTables, przekazuje połączenie na lokalny port i symuluje nawiązanie połączenia przez klienta, natomiast sam nawiązuje połączenie z serwerem w imieniu klienta. Sensor podszywa się pod adresy IP prawdziwego serwera i klienta, tak iż jego obecność jest niewidoczna zarówno dla klienta, jak i dla serwera.

Analizowanie ruchu szyfrowanego jest kluczowe z punktu widzenia bezpieczeństwa wewnętrznego, gdyż pracownicy coraz częściej wykorzystują możliwość tunelowania protokołów nieszyfrowanych z wykorzystaniem szyfrowanych w celu oszukania istniejących w sieci mechanizmów zabezpieczających i monitorujących. Obecnie SecureAdmin obsługuje protokoły sieciowe przedstawione w tabeli.

tab1.gif
Tab. 1. Protokoły sieciowe obsługiwane przez SecureAdmin
1API – ang. Application Programming Interface – interfejs programowania aplikacji

 

Analizatory poszczególnych protokołów są ładowane jako osobne, niezależne od siebie moduły. Dzięki temu możliwe jest dodawanie nowych analizatorów bez przerywania pracy pozostałych oraz, w razie potrzeby, stworzenie modułów dla nowych protokołów bez ingerowania w system. Dodatkowo SecureAdmin udostępnia API, dzięki któremu każdy może stworzyć analizator nowego protokołu. Jest to szczególnie istotne w przypadku korporacji, które wykorzystują własne zamknięte protokoły. Dzięki zastosowanemu mechanizmowi mogą same stworzyć wymagane analizatory.

rys1.gif
Rys. 1. Zagrożenia płynące z wewnątrz sieci

 

Celem monitorowania ruchu sieciowego i analizowania protokołów w systemie SecureAdmin jest rejestrowanie aktywności użytkowników. Oznacza to, iż dla większości protokołów nie są rejestrowane wszystkie bajty przesłane w monitorowanym połączeniu (chodź jest to możliwe, jeśli zostanie zapewniona odpowiednia infrastruktura informatyczna, umożliwiająca przechowywanie i przetwarzanie takiej ilości informacji), a jedynie informacje o aktywności użytkowników, czyli o wykonanych przez nich czynnościach oraz ich rezultatach. Oprócz informacji szczególnych dla każdego analizowanego połączenia, przedstawionych w tabeli, rejestrowane są następujące informacje:

  • czas rozpoczęcia połączenia,
  • czas trwania połączenia,
  • źródłowy i docelowy adres MAC,
  • źródłowy i docelowy adres IP wraz z portem,
  • źródłowy i docelowy adres,
  • typ protokołu,
  • nazwa użytkownika i hasło (o ile są dostępne).

System SecureAdmin posiada moduł wysokiej dostępności (HA), który dzięki zastosowaniu redundantnej architektury, składającej się z dwóch serwerów działających w trybie fail-over, zapewnia ciągłość pracy w przypadku awarii jednego z serwerów. Dzięki tej funkcjonalności w momencie wykrycia awarii jednego z serwerów możliwe będzie automatyczne przełączenie komunikacji na drugi serwer. Należy podkreślić, że wszystkie aktywne sesje użytkownika zostaną przeniesione na drugi serwer, umożliwiając kontynuowanie pracy bez konieczności nawiązywania nowej sesji. Dodatkową funkcjonalnością, niezbędną w przypadku tego typu systemu, jest wbudowany elastycznie konfigurowalny system powiadomień, pozwalający na szybką reakcję na incydenty bezpieczeństwa. SecureAdmin jest w stanie reagować na zdarzenia, wysyłając SMS-y, e-maile, powiadomienia WWW lub tak zwanego trapu Simple Network Management Protocol (SNMP), który pozwala na poinformowanie o zaistniałej sytuacji innych urządzeń sieciowych.

Podsumowując – system SecureAdmin nie jest remedium na wszelkie problemy z bezpieczeństwem w sieci korporacyjnej. Jest natomiast znakomitym narzędziem wspomagającym egzekwowanie polityki bezpieczeństwa i wykrywanie jej naruszeń, zarówno przypadkowych, jak i nieumyślnych. Produkt ten pozwala także uniknąć bardzo niebezpiecznej sytuacji, w której administrator może zrobić wszystko wewnątrz sieci, a oprócz tego zamazać swoją działalność. SecureAdmin znacząco ogranicza możliwość wykonania szkodliwego działania bez zostania wykrytym, dzięki czemu jest doskonałym środkiem prewencyjnym, który znacząco podnosi poziom bezpieczeństwa składowanych informacji. Przyczynia się to do możliwości opracowania elastycznych, godnych zaufania i bezpiecznych infrastruktur informatycznych, które będą w stanie przetworzyć rosnącą ilość przepływających informacji.

Maciej Wolański
Comarch

Zabezpieczenia 5/2008

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony