Świadomość zagrożeń zwiększa bezpieczeństwo infrastruktury IT

Rozmowa z Paulą Januszkiewicz, ekspertem zagadnień związanych z bezpieczeństwem komputerowym, która we wrześniu 2013 poprowadzi dla Hexcode intensywny warsztat z IIS 8 /Advanced Internet Information Services Management/.

Jaki jest cel szkolenia, które poprowadzisz w Hexcode?

Szkolenie, które poprowadzę w Hexcode ma przede wszystkim rolę prewencyjną. Chodzi o to, aby poprawnie skonfigurować serwer lub farmę serwerów Web, które wystawiamy do świata. Zadaniem mojego szkolenia jest uwrażliwianie administratorów na ryzykowne sytuacje, również na takie, które na pierwszy rzut oka nie wydają się groźne. Zależy mi na budowaniu świadomości wśród administratorów, że platforma Web, mimo iż wydaje się prosta, jest w rzeczywistości dość skomplikowana. Zdarza się, że podjęcie złej decyzji w pozornie błahej sprawie dotyczącej konfiguracji określonej usługi może pociągnąć za sobą poważne konsekwencje w obszarze bezpieczeństwa. Dlatego zarządzanie środowiskiem powinno koncentrować się nie tylko na kwestiach związanych z utrzymaniem systemu, ale również powinno obejmować analizę infrastruktury pod kątem bezpieczeństwa stosowanych rozwiązań.

Jaki styl pracy na szkoleniu preferujesz?

Podczas moich szkoleń zawsze pracuję na żywych przykładach. Zajęcia mają formę warsztatu, podczas którego konfigurujemy określone usługi. Dzięki temu mogę w najlepszy możliwy sposób pokazać, jakie obszary są potencjalnie niebezpieczne. Oczywiście podpowiadam uczestnikom szkolenia, jakie działania należy podjąć, aby obniżyć szansę powodzenia ataku. Uczestnik mojego szkolenia otrzyma wystarczającą liczbę informacji, aby zabezpieczyć swój Web serwer. Inną kwestią jest to, czy administrator potraktuje to, czego dowie się na szkoleniu, jako coś użytecznego, czy raczej jako interesujące ciekawostki, które potem nie zostaną nigdzie wdrożone.

Rozumiem, że testy penetracyjne, które przeprowadzasz, odbywają się zgodnie z prawem?

Testy penetracyjne wykonuję oczywiście legalnie, po uprzednim podpisaniu całego szeregu oświadczeń i dokumentów, a administracja infrastruktury poddawanej testowi jest o moich działaniach uprzedzona. Powodem, dla którego firmy decydują się na zlecenie przeprowadzenia takiego testu jest najczęściej chęć sprawdzenia, czy ich system jest bezpieczny. Taki test trwa do tygodnia, najdłuższy trwał dwa tygodnie, ale była to naprawdę duża infrastruktura. W 99 proc. przypadków testy penetracyjne kończą się znalezieniem przeze mnie punktów wejścia.

Gdy przeprowadzam test penetracyjny albo audyt IT widzę, że architektura została zaprojektowana w taki lub inny sposób i są zaaplikowane określone sposoby przeciwdziałania atakom, które występują bądź nie – np. dobry firewall lub skuteczne rozwiązania antywirusowe. Bardzo często jednak obserwuję, że architektura jest zbudowana bez poświęcenia dostatecznej uwagi zależnościom między komponentami infrastruktury. Aby wiedzieć, jak zarządzać infrastrukturą w sposób efektywny kosztowo, trzeba rozumieć, jak ta infrastruktura działa. Jak funkcjonuje system operacyjny, co może być dla niego realnym zagrożeniem, co jest zagrożeniem dla konkretnej usługi i jak ją można przed nim skutecznie zabezpieczyć.

Kto zamawia testy penetracyjne?

Testy penetracyjne najczęściej zamawiają osoby odpowiedzialne w firmie za IT, chcące sprawdzić bezpieczeństwo swojej infrastruktury. Czasami zdarza się, że administratorzy nie boją się weryfikacji swojej pracy i sami proszą o test. Dzięki temu mogą dowiedzieć się, czy dobrze zarządzają środowiskiem IT. Bywa jednak, że niektórzy administratorzy podczas testu sceptycznie podchodzą do jego idei. Przeszkadzają w jego przeprowadzeniu. Potrafię jednak przekonać ich, że przeprowadzenie testu penetracyjnego jest w ich interesie. W końcu lepiej wcześniej wykryć wszelkie możliwe „dziury” w infrastrukturze.

Co Twoim zdaniem jest piętą achillesową administratorów IT?

Uważam, że administratorzy, na co dzień powinni poświęcać więcej czasu na zapoznanie się z możliwymi zagrożeniami IT, które wynikają bezpośrednio z profilu biznesowego firmy. Rozumiem też, że nie zawsze jest to możliwe, ponieważ rozliczani są oni z ciągłości działania, rzadko ze stanu zabezpieczeń. Mimo wszystko zawsze jest dobrze wiedzieć więcej. Zwłaszcza, kiedy jest to sprawa jednego czy dwóch kliknięć.

Jakich ataków jest więcej? Zewnętrznych czy wewnętrznych?

Statystyki mówią, że mniej jest ataków z zewnątrz. Wdrożone i dobrze skonfigurowane rozwiązanie ‘edge’ zwykle stanowi zaporę nie do przejścia dla osób podejmujących taki atak.

Najbardziej narażoną usługą na atak, jest usługa typu Web. To, czy atak się powiedzie, zależy od wielu czynników. Największy wpływ na to ma ilość możliwych punktów wejścia oraz ile informacji jesteśmy w stanie uzyskać będąc tylko zwykłym użytkownikiem witryny. Zdecydowanie częściej jednak zagrożenie może pojawić się wewnątrz, szczególnie, jeśli mamy do czynienia z dużą organizacją, gdzie jest wielu użytkowników, zwłaszcza, że ich intencje bywają różne.

Jakie formy mogą mieć ataki wewnętrzne?

Jestem fanem usunięcia użytkownika z tzw. ‘chain of trust’. Użytkownik zna wartość przetwarzanych przez niego informacji, nie musi natomiast wiedzieć, jakich technologii użyć, żeby te informacje zabezpieczyć. Dlatego też warto zastanowić się nad wdrożeniem technologii, która będzie pozwalała na zautomatyzowane aplikowanie żądanego poziomu zabezpieczeń. Przykładów, kiedy użytkownik otworzył jakiś załącznik, makro, skorzystał z jakiegoś oprogramowania i w efekcie naruszył bezpieczeństwo organizacji, można by mnożyć. Takie sytuacje są zależne od tego, jaki jest kontekst bezpieczeństwa danego użytkownika.

A jak zabezpieczyć infrastrukturę przed wyciekiem informacji na płytach CD, kartach pamięci itd.?

Zwykle użytkownik nie jest świadomy tego, że informacja może wyciec. Bez wątpienia dla każdego pracownika najbardziej komfortową sytuacją jest, gdy to technologia czuwa nad tym, aby żadna niepożądana sytuacja nie miała miejsca. I właśnie tak wygląda moim zdaniem prawidłowe podejście do kwestii bezpieczeństwa informacji. Niestety wiele firm obawia się ciągle szyfrowania. Ten problem zauważam konsultując firmy na całym świecie. W rezultacie niewiele firm wykorzystuje takie rozwiązanie. Odpowiedzialność za odpowiednie zabezpieczenie dokumentów, które są wytwarzane w danym środowisku, ponosi administrator lub osoba zajmująca się architekturą bezpieczeństwa w firmie. Czasem jednak zdarza się, że odpowiedzialność ponosi właściciel informacji, czyli użytkownik. Użytkownik jest zawsze najsłabszym ogniwem, więc dlaczego w ogóle mielibyśmy na nim polegać? Ufajmy technologii, polegajmy na konkretnych rozwiązaniach technicznych. Błędem jest przerzucanie odpowiedzialności za bezpieczeństwo danych na użytkowników.

Czy potrafisz wskazać jakiś błąd, który jest powielany przez wielu administratorów?

Tak, jest parę rzeczy, które zdarzają się częściej niż inne. Zapraszam na szkolenie. Chętnie opowiem o szczegółach.

Dziękuję za rozmowę.

Marcin Dulnik

Źródło: Hexcode