09/03/2010
Jaroslav Techl: O IT bezpečnosti trochu jinak
Při správném využití byť i stávajících technologií lze úroveň bezpečnosti výrazně zvýšit za vynaložení skromných nákladů, říká Jaroslav Techl, odborník v oblasti IT bezpečnosti.

HN: Proč je ukazatel investic do bezpečnosti v ČR sporný?

Jde o to, že se firmy dodneška - alespoň v České republice - nenaučily investovat nějakým rozumným způsobem. To znamená, že v momentě, kdy vybírají nějakou bezpečnostní technologii nebo jakoukoliv technologii, kterou vloží do dané infrastruktury, si jen málokdo umí vybírat a implementovat v kontextu toho, co už v infrastruktuře, se kterou pracuje, má.

Je třeba položit si hned na začátku několik otázek: Lze to integrovat? Jaké budou náklady na integraci? Jsou už zahrnuté v rámci toho balíku, co vybírám?

Příklad: Pořizujete nový software do firmy, namátkou například Microsoft SharePoint Portal Server pro tzv. kolaborativní komunikace. Ta technologie např. zahrnuje nějaký souborový server, SQL server, webový server,... A už nikdo často nepřemýšlí nad tím, jestli to vše bude schopen spravovat, zálohovat, jestli má nějaké zálohovací licence, jestli má bezpečnostní technologie, které jsou schopné úložiště a data chránit atd.

HN: To znamená, že nějaký CIO např. řekne - já chci to a to, protože chci, aby to dělalo toto a ono... - a už neuvažuje o možnostech integrace se systémy, které zatím užívá?

V zásadě ano. Ale nejen CIO, ale ani správce či administrátor leckdy nevědí, co všechno jim na serverech či v infrastruktuře běhá. Já jsem koncem minulého roku začal dělat pro několik firem takový "check-list" postavený na tom, "co se musí stát, když přibude nový server do infrastruktury".

Takový "check-list" v našich firmách nebo infrastrukturách neexistuje... Takže oni např. nevědí, že budou potřebovat licenci pro zálohovací software, novou licenci pro antivirový software, licenci k managementu, dohledu, prostě všechny záležitosti s tím související.

To jsou v zásadě skryté náklady, které pak mohou velmi změnit a často i zvrátit smysl výběru nové technologie. Zjednodušeně - technologie, kterou už mám, by měla ovlivňovat výběr technologie, kterou pořizuji.

HN: Čili to, co mám, podmiňuje možnosti výběru toho, co chci nasadit...

Samozřejmě. A musí to tak být. Protože budu-li pořizovat technologie jako jakési samostatné ostrůvky, tak to nikdy nebudu schopen uřídit. Takováto situace nastala například v jedné pojišťovně - je to tedy pár let zpátky -, kdy byl vymyšlen virus, který napadal Microsoft SQL server. Ta organizace byla varována - načež v IT provedli jisté kroky, aby své databázové servery odstavili. Je paradoxní, že během několika hodin s překvapením zjistili, kolik těch SQL vlastně mají.

O těch velkých, které spravovali, věděli a dokázali je zabezpečit. Ale v systému té organizace byly doslova mraky aplikací, které pracovaly na "light" verzích toho SQL serveru, aniž by to administrátoři věděli. Bohužel v popisu softwaru, který tam měli, nebylo vůbec uvedeno, že tam nějaký SQL je. Koupili prostě aplikaci, kterou v té infrastruktuře mělo hodně lidí nainstalovanou na PC, a na tom PC běžel na pozadí SQL server, aniž by to někdo věděl - tudíž ho nikdo neošetřil. A díky tomu celá ta infrastruktura spadla.

Takže když něco vybírám, musím vědět, co že to vlastně dostanu, jaké kroky musím učinit, abych to do té infrastruktury zaintegroval, jak to budu spravovat, jaké jsou hrozby, které musím odstínit, jaké kritické body to do infrastruktury přinese.

Stále platí, že jakákoliv infrastruktura je tak bezpečná jako její nejslabší bod.

Totéž dnes platí o bezpečnostních technologiích. Když někde vybírají antivirový software, vybírají antivirus. Když jde o firewall, vybírají firewall. Jenomže zpravidla vybírají jen tu technologii bez ohledu na to, co už v systému mají, jaký tam je management, proxy server, jestli to půjde propojit. Když vše nezintegrují dohromady, tak vznikne zase jen samostatný ostrůvek a nejsem schopen udělat vůbec nic. Protože když pak přijde ta rána, musel bych zareagovat na mnoha systémech (ostrůvcích) najednou, což nejsem schopen v čase uřídit.

Pokud se bráním takříkajíc na úrovni nějakého perimetru, kde mám firewall, možná už i IDS, plus některé další technologie, které se budou podporovat, tak mám šanci zastavit útok na kterékoliv z těch částí, protože budou mezi sebou komunikovat.

V případě opačném nebo v momentě, kdy nebudu schopen identifikovat útok, všechny ty věci korelovat, jsem vedle, protože nedokážu včas odhalit, co a kde se děje.

Přitom je jasné, že předcházet takovýmto útokům je mnohem levnější, než pak celou infrastrukturu zastavit a vyčistit. Bohužel většina firem či organizací v ČR si to nedokáže připustit nebo spočítat.

HN: Říká se, že pád systému si někdy vyžádá den, jindy i dny reinstalace, než se dá do pořádku, a to už pak něco stojí...

Osobně jsem zažil situace, kdy proto, že nefungovala infrastruktura jisté firmy, nebyla schopna odeslat nabídku, což ve svém důsledku vedlo ke značným finančním ztrátám.

Když se podíváte na to, jak jsou infrastruktury často nakonfigurované, tak zjistíte, že na otázku "máte backup mail server?" dostanete odpověď "nóó - my máme poštovní servery v klastru..." A ukáže se, že ti lidé, dokonce i na úrovni ISP, vůbec netuší, co ta služba znamená a jak by měla být nakonfigurovaná.

Shodou okolností jsme nedávno v rámci jednoho projektu komunikovali s jedním z velkých ISP. Myslel jsem, že vyskočím z kůže, protože nebyli schopni nakonfigurovat DNS v internetu. Programátor třikrát za sebou přeskočil řádku... - a to pak v doméně nefunguje nic. Než dotyčný provider spravil záznamy tak, jak měly být, tak jsme mu týden reklamovali chybu.

HN: To, o čem jsme mluvili, je ale lajdáckost. Jak to však souvisí s tím, že dnes firmy za krize šetří na zabezpečení?

Dnes se investice velmi opatrně zvažují. Navíc bývají rozloženy na více let. Když se firma nerozrůstá a má kvalitní infrastrukturu, nepotřebuje pár let investovat. Pravda je taková, že i při správném využití byť i stávajících technologií lze úroveň bezpečnosti výrazně zvýšit za vynaložení skromných nákladů.

O tom ale pořád hovořím - investici musím připravovat v kontextu daného řešení, které mám k dispozici. A bude-li mi dodavatel nucen garantovat, že bude fungovat se systémy stávajícími, jsem schopen snížit náklady a zvýšit bezpečnost.

Další věcí je vynucená "customizace" novinky s odůvodněním - my to umíme takto a proč se to učit dělat jinak... Tady jsou pak šance pro vznik děr, kterými se útočnici dostávají do systému a do celé infrastruktury.

Což není ani tak problém malých firem, kde administrátor více méně zná každé to pécéčko, ale ve velkých organizacích? Tam prakticky neexistuje člověk, který by měl komplexní přehled o všech používaných technologiích a o souvztažnostech mezi nimi.

To je ten základní problém. Neexistuje pak udržovaná provozní dokumentace, která by dávala přehled o tom, jaké podmínky udržování té dané aplikace nebo daného systému v infrastruktuře existují.

HN: To hovoříte o zkušenostech z českých společností?

Nejen. U těch menších firem je to v podstatě stejné jako v zahraničí. U nás pouze neumíme vyčíslit ty vedlejší náklady vč. mandatorních výdajů, protože na to nejsme zvyklí.

HN: Co tedy vidíte jako největší kámen úrazu těch bezpečnostních průšvihů v IT?

Bohužel - zůstávají více méně stejné. Většina bezpečnostních incidentů pochází z dílny tzv. oprávněných uživatelů - tedy od lidí, kteří sedí ve firmách a mají oprávnění určitou operaci provést, ale provedli ji tzv. neautorizovaně. To znamená, že obešli bezpečnostní pojistku, která by ochránila infrastrukturu proti takovému zásahu. Což známe např. z bankovnictví, kdy si někdo přisypával po haléřích miliony.

Pokud mluvíme o napadení infrastruktury zvenčí, jde většinou o neexistenci či špatné nastavení proaktivního centrálního managementu, neexistenci provázanosti technologií. A toho, že administrátoři se mění v "operátory". Oni pouze reagují, oni neprovádějí ten proaktivní management, neřídí ji, jen reagují na to, co ta infrastruktura dělá sama.

HN: Kde vidíte nebezpečí v útocích zvenčí?

Největší nebezpečí těchto útoků spočívá v tom, že útočníci dnes vytvářejí škodlivé kódy ve velmi malých sériích a jde většinou o cílené útoky. Tím, že ten škodlivý kód vytvářejí v mnoha variantách, které téměř současně (24 hodin lze považovat za relativně současný útok) zaútočí. Čili existují stovky variant, které jsou najednou odeslány na různé cíle.

Problém je v tom, že výrobci bezpečnostních technologií dnes v zásadě ani nemají šanci se dozvědět, jaké všechny modifikace toho kódu existují. Dříve se stávalo, že někdo vymyslel kód (virus) a masivně ho distribuoval. Čili šlo o masivní globální útok.

Dnes jsou to rovněž globální útoky, ale mnohem dokonalejší. Kyberzločinci už přišli na to, jak fungují výrobci sebeobranných technologií. Že když vezmou jednu jedinou věc a pošlou ji plošně na obrovský počet cílů, je to pro výrobce bezpečnostního softwaru takový impulz, že vytvoření protiopatření je otázkou hodin či dní.

Dnešní viry, respektive škodlivé kódy - protože o viry už dávno nejde -, sice vycházejí z jednoho kmene, ale každá skupinka je postmodifikovaná, tak aby se na ně nedala vymyslet pořádná definice. Obrana je tedy proti tomu velmi nesnadná, zvláště když takové kódy útočí lokálně.

Výrobci bezpečnostních technologií se proto snaží stavět obranu na odhadech, jak by taková "nákaza" mohla příště vypadat a jak zasáhnout jádro pozdějších modifikací, aby se jim zabránilo.


Jaroslav Techl (38)

obchodní ředitel M-Com LAN solution. Dříve pracoval například ve společnostech Avnet (pozice ředitele divize Syman-tec) nebo Abakus Distribution jako technický ředitel. Mezi jeho hlavní specializace patří podniková bezpečnost. Jaroslav Techl je svobodný a mezi jeho koníčky patří potápění, hudba, jachting a cestování.