1. Chciej wiedzieć więcej
|
Zdarza się, że podjęcie przez administratora IT złej decyzji w
pozornie błahej sprawie dotyczącej konfiguracji określonej usługi
może pociągnąć za sobą poważne konsekwencje w obszarze
bezpieczeństwa. Dlatego zarządzanie środowiskiem nie powinno
koncentrować się wyłącznie na kwestiach związanych z utrzymaniem
systemu. Należy w równym stopniu obejmować analizą infrastrukturę
pod kątem bezpieczeństwa stosowanych rozwiązań.
Często administratorzy rozliczani są z ciągłości działania
systemu, rzadziej ze stanu zabezpieczeń. W natłoku bieżących zadań
często nie mają czasu na zwrócenie uwagi, na jakiś dodatkowy
checkbox, którego zaznaczenie wpływa na bezpieczeństwo systemu.
Mimo wszystko zawsze dobrze jest wiedzieć więcej. Zwłaszcza, kiedy
jest to kwestia jednego czy dwóch kliknięć. Brak świadomości
zagrożeń może drogo kosztować, a sytuacje potencjalnego zagrożenia
zdarzają się częściej, niż nam się wydaje. W systemach operacyjnych
jest parę oczywistych problemów wynikających z architektury oraz z
tego, jak działają. Pomimo trudności, które związane są z
konkretnym systemem, możemy jednak tworzyć scenariusze
potencjalnych zagrożeń, tym samym kreując rozwiązania problemów,
jakie mogą się pojawić. Niestety w czasie moich pentestów, ciągle
widzę, że popełniane są te same błędy. Ich powszechność sprawia, że
w łatwy sposób mogą zostać wykorzystane przez osoby o złych
intencjach.
|
2. Jeśli to możliwe, wyklucz
użytkowników z łańcucha zaufania
Użytkownik zna wartość przetwarzanych przez niego informacji,
nie musi natomiast wiedzieć, jakich technologii użyć, żeby te
informacje zabezpieczyć. Dlatego też warto zastanowić się nad
wdrożeniem technologii, która będzie pozwalała na zautomatyzowane
wdrażanie zabezpieczeń. Użytkownik jest zawsze najsłabszym ogniwem,
więc dlaczego w ogóle mielibyśmy na nim polegać? Ufajmy
technologii, polegajmy na konkretnych rozwiązaniach. Przerzucanie
odpowiedzialności za bezpieczeństwo danych na użytkowników ponosi
za sobą konsekwencje.
3. Test penetracyjny infrastruktury
prawdę Ci powie
Testy penetracyjne najczęściej zamawiają osoby odpowiedzialne w
firmie za bezpieczeństwo IT, bądź samo IT. Są to osoby chcące
sprawdzić, jaki jest w danej chwili poziom bezpieczeństwa ich
infrastruktury. Zdarza się też, że sami administratorzy nie boją
się weryfikacji swojej pracy i proszą o test. Dzięki temu mogą
dowiedzieć się, jakie błędy popełniają i co mogą poprawić, by
zwiększyć bezpieczeństwo zarządzanego systemu. Powodem, dla którego
firmy decydują się na zlecenie przeprowadzenia takiego testu jest
najczęściej chęć sprawdzenia, czy ich system jest bezpieczny. Taki
test trwa najczęściej do tygodnia, chociaż w przypadku dużej
infrastruktury może potrwać dłużej.
Tak na marginesie: 99 proc. prowadzonych przeze mnie testów
penetracyjnych kończy się znalezieniem przeze mnie punktów wejścia
do infrastruktury, czyli potencjalnej możliwości ataku.
4. Poświęć uwagę zależnościom między
komponentami infrastruktury
Często architektura zostaje zbudowana bez poświęcenia dostatecznej
uwagi zależnościom między komponentami infrastruktury. W wyniku
zmiany w jednym elemencie systemu może zdarzyć się, że komunikacja
z bazą danych może zostać samoczynnie zmieniona. Również
komunikacja między użytkownikami, czy przesyłanie dokumentu może w
wyniku nieuwagi adresata przesyłanego pliku, stać się sytuacją
potencjalnie niebezpieczną. Mały błąd popełniony w jednym
komponencie infrastruktury, może okazać się zagrożeniem dla
bezpieczeństwa całego systemu.
5. Zwróć szczególną uwagę na usługi
typu Web oraz inne wystawione do świata
Najbardziej narażoną usługą na atak jest usługa wystawiona do
świata; często jest to po prostu strona internetowa. Powód jest
prosty: ponieważ daje największe możliwości, jeśli chodzi o atak z
zewnątrz. Dodatkowo większość firmowych stron internetowych nie
przeszła żadnych testów bezpieczeństwa. To, czy atak się powiedzie,
zależy od wielu czynników. Największy wpływ na to, czy ktoś włamie
się do naszego systemu ma ilość możliwych punktów wejścia oraz
ilość informacji jaką jesteśmy w stanie uzyskać będąc tylko zwykłym
anonimowym użytkownikiem. Zagrożenia mogą pojawić się też wewnątrz,
szczególnie jeśli mamy do czynienia z dużą organizacją, gdzie jest
wielu użytkowników, a ich intencje bywają różne.
6. Nie obawiaj się szyfrowania
danych
Niestety wiele firm obawia się ciągle szyfrowania. Sama obawa
wynika z braku znajomości możliwości 'recovery'. Niechęć do
zastosowania nowego rozwiązania może natomiast wiązać się z
kosztami wynikającymi ze zmiany. Ponadto administratorzy często
mają nadmiar pracy, wtedy też bezpieczeństwo systemu ma dla nich
niższy priorytet, niż wprowadzenie zmian usprawniających
infrastrukturę. Prawidłowe podejście do kwestii bezpieczeństwa
informacji w organizacji powinno jednak uwzględniać również aspekt
szyfrowania wiadomości. Jest to jedna z możliwości technologicznych
ograniczająca odpowiedzialność użytkowników za wyciekanie
informacji.
Paula Januszkiewicz swoją wiedzą na temat bezpieczeństwa
podzieli się we wrześniu 2013, podczas pierwszego w
Polsce warsztatu IIS 8 /Advanced Internet Information Services
Management/, zorganizowanego przez Hexcode.