Biztonságos az Ön vállalatának IT rendszere? (x)

Az elmúlt napokban ismét középpontba került az információ védelem, a vállalati információk biztonsága. Sok vezetőben felmerül ilyenkor a kérdés, vajon a saját hálózatuk mennyire van védve az illetéktelen kezektől. Ma már a különböző auditálási megoldások révén erre mindenki könnyen választ kaphat - állítja interjúnkban Kaiser László, a SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. vezető tanácsadója.

Mire jó pontosan az auditálás és milyen auditációs eljárások vannak?

Az auditálás vizsgálatot, állapotfelmérést jelent, melynek célja, hogy a megbízók pontos képet kapjanak rendszereik állapotáról, terhelhetőségéről, korlátairól, veszélyeiről, skálázhatóságáról, lehetőségeiről, és előnyeiről. A vizsgálatok során felszínre kerülnek a rendszer hiányosságai, a hibák meghatározhatóvá válnak, a különösen nagy rizikót magukban hordozó kulcspontok napvilágra kerülésével pedig a későbbi kockázatok és kárértékek minimalizálódnak.

Minden rendszer más és más, különböző rendszerek auditálásánál a módszerek különbözhetnek és azok súlyozása is változhat. Különbözhet a módszer például két hálózati biztonsági auditálás végzésekor. A végső eredmények szempontjából nem mellékes, hogy egy-egy teszteléskor milyen szerepkörben - egy alkalmazottnak, vagy éppen egy profi hackernek bőrébe bújva - történik a vizsgálat. Ebben az esetben a legfontosabb különbség az auditálás megkezdése előtt rendelkezésre bocsátott információk mennyisége között van, amely rendkívül fontos az életszerűségi szimuláció szempontjából, továbbá elengedhetetlen a rizikó analízis valós eredményeinek kikalkulálásához.

Mikor mondhatjuk azt, hogy egy informatikai rendszer valóban biztonságos?

Sikeres biztonságról akkor beszélhetünk, ha a támadásra (az adatok megszerzésére) ráfordítandó költség közel akkora vagy nagyobb, mint a megszerzendő információk értéke. A támadás elhárítására elköltött pénz pedig nem haladja meg a védett információk értékének ésszerű hányadát. A cél a "Lehető legnagyobb biztonság a lehető leghasználhatóbb módon" megvalósítása.

Milyen lépései vannak egy hagyományos auditálási folyamatnak?

A Network audit első lépésként maga a teljes rendszer kerül átvilágításra, megvizsgáljuk a hálózat lehallgathatóságának, szeparáltságának, csomag-hamisíthatóságának a lehetőségét, ellenőrizzük a hálózat jogosultsági szintjeit. Ezt követi a Multi host scanning, az adott hálózat összes elemének általános ellenőrzése, az érintett gépek szolgáltatásai hibáinak felderítése.

Természetesen vannak kiemelt szerepű hálózati egységek, amelyek speciális vizsgálatot igényelnek. Ebbe a vizsgálatba tartoznak az adatbázis, az adminisztrációs, a fájl, és a nyomtató szerverek, továbbá a forgalomirányító eszközök (routerek), külső- és belső tűzfalak, authentikációs, proxy, és cache szerverek.

Miben különböznek ettől az alternatív auditálási módszerek?

Az alternatív auditálási módszerek gyakorlatilag a valós élet jelenségeit szimulálják, s éles teszt alá veszik a rendszert. Az ilyen típusú teszteket jellemzően a rendszer hagyományos auditálása előtt kell elvégezni. A Penetration Test lényege, hogy a biztonsági réseket kihasználva ún. betörés történjen az informatikai rendszerbe Ennél a műveletnél a legfontosabb az, hogy a tesztelést végző szakember nem rendelkezhet semmilyen segítséggel (Full Ethical Hacking). A módszer lényege, hogy az adott rendszerről nincs előzetes információ, így annak támadásakor csupán a szakmai felkészültségre lehet hagyatkozni. Amennyiben már ennél a módszernél be lehet jutni a célrendszerbe, akkor szinte bizonyos, hogy megfelelő szakmai tudás birtokában bárki képes erre.
Ezzel gyakorlatilag teljesen hasonló módszer az Ethical Hacking, az egyedüli kivétel, hogy itt a Megbízó olyan alapvető információt nyújt rendszeréről, melyet egyébként némi utánajárással a szakemberek is meg tudnának szerezni, de ezzel kiiktatja a kutatómunkát, ami időt jelent. Fontos tudni, hogy e szolgáltatás keretében olyan információ nem kérhető el, ami ne lenne könnyedén megszerezhető.

A Loyalty Test során a támadás már nem kívülről - az Internetről - érkezik, hanem a Megbízó egyik alkalmazottjának számítógépéről. A vizsgálat célja ugyanis az, hogy a vállalati hierarchiában egy teljesen átlagos szinten lévő alkalmazott, vagy az adott objektumba bejárással rendelkező egyén egy magára hagyott számítógépen megfelelő számítógépes tudással a belső hálózatról milyen - esetenként titkos - adatokat képes megszerezni. A kivizsgálás a teljes belső hálózat auditálására kiterjed, az eredmények alapján pedig lehetőség van a belső hálózat optimális kialakítására.

Mire kell még figyelnie a vállalati vezetőknek a rendszer auditáltatása során?

A belső hálózat auditálásának egy speciális változata a Victim Test, amely során az érintett gépek nem olyan szempontból kerülnek átvilágításra, hogy azok milyen mértékben adnak lehetőséget külső támadásokra, hanem olyan szempontból, hogy az adott a gépekről hogyan lehet további támadásokat indítani harmadik személyek gépeire.

A Victim Test-et érdemes a rendszer auditálást követően elvégezni, mivel a rendszer ilyen irányultságú gyenge pontjainak kimutatásában sokat segíthet az auditálás során megszerzett információ. Köztudott, hogy különböző kereskedelmi szoftverek segítségével - hibás beállítások esetén - oly módon lehet kapcsolatot létesíteni egy másik géppel, hogy az eredeti támadó rejtve marad a célpont előtt. Egy vállalat megítélését nagyban ronthatja, ha olyan hír kerül napvilágra mely szerint az ő hálózatából törték fel mások szervereit. Még az sem csökkenti túlzott mértékben a történtek megítélését, ha kiderül, hogy az illető cég csupán egy köztes áldozat volt. Az ilyen hibák többségében emberi mulasztásból születnek, leggyakrabban olyan cégeknél, melyek informatikailag gyorsan fejlődnek vagy területileg széttagoltak.

(X)