Badanie bezpieczeństwa infrastruktury sieciowej jako element proaktywnego podejścia do zarządzania bezpieczeństwem.

W niniejszym artykule omówimy metody, które mogą służyć do oceny stanu bezpieczeństwa sieci komputerowej. Najprościej mówiąc (za Słownikiem Języka Polskiego) stan bezpieczeństwa to stan braku zagrożeń. Bezpieczny system komputerowy to zatem system posiadający cechy, które skutecznie utrudniają nieuprawniony dostęp do jego zasobów.

Opiszemy różne metody określania i podnoszenia bezpieczeństwa w systemach IT.  Pokażemy też, że brak widocznych symptomów włamania nie daje miarodajnej wiedzy na ten temat oraz wskażemy, skąd taką wiedzę powinniśmy czerpać.

Metody ochrony sieci i systemów komputerowych najprościej można podzielić na reaktywne oraz proaktywne.

Metody reaktywne można przez analogię porównać do alarmu i monitoringu wizyjnego w budynku mieszkalnym. Spowodują wszczęcie alarmu po wykryciu podejrzanego działania, bądź też dostarczą informacji, na podstawie których operator będzie w stanie wywnioskować, że dzieje się coś niepożądanego. Wymieńmy podstawowe metody reaktywne w systemach IT:

Wymienione wyżej nazwy sugerują same, że chodzi tutaj o wykrycie konkretnego zdarzenia, czyli mówiąc bardziej fachowo: incydentu bezpieczeństwa. Incydent taki jest pojęciem szerokim i może składać się z kilku etapów, takich jak: rekonesans, kolejne próby przełamania wybranych zabezpieczeń, a następnie zainstalowanie ukrytej furtki (ang. backdoor) oraz finalnie eskalacja uprawnień – przełamanie kolejnych, głębszych zabezpieczeń, w celu osiągnięcia jak najwyższych praw dostępu lub najbardziej cennych danych. Wymienione powyżej przykładowe metody reaktywne odpowiadają różnym etapom ataku i mogą tu zadziałać z osobna lub łącznie.

Sens zastosowania takich metod jest oczywiście bezsporny, niemniej jednak zasadne byłoby postawienie tu prostego pytania – „Czy to nie jest już trochę za późno?”.

Wracając  do naszej analogii z budynkiem mieszkalnym – świetnie jest mieć informację o fakcie włamania się, ale idealnie byłoby, gdyby do tego włamania w ogóle nie doszło. Ponadto, czy brak sygnałów z systemów reaktywnych świadczy o wysokim bezpieczeństwie, czy może raczej o wysokich kompetencjach atakującego, który potrafi np. rozciągać atak w czasie, manewrować źródłowymi adresami IP i technikami oraz dysponuje zaawansowanymi “backdoorami” integrującymi się z głębokimi warstwami systemów operacyjnych?

Co więcej, już po uzyskaniu dostępu, atakujący z reguły nadal będzie chciał pozostać niezauważony przez długi czas, który umożliwi mu zorientowanie się, jakie dane i zasoby warte są jego uwagi.

W tym właśnie miejscu należałoby odwołać się do istnienia metod proaktywnych. Idąc w ślad za pierwotną definicją proaktywności – z obszaru psychologii – można powiedzieć, że są to metody polegające na kontrolowaniu danych sytuacji, przewidywaniu negatywnych scenariuszy oraz – co najważniejsze – zapobieganiu im.

Wracając do świata IT, metodami proaktywnymi określania i podnoszenia bezpieczeństwa są:

Jak widać, wszystkie powyższe metody, w odróżnieniu od wcześniejszych, mają charakter zapobiegawczy. Skupmy się na dwóch pierwszych – obie polegają na badaniu odporności systemów i są metodami technicznymi.

Skanowanie pod kątem podatności to proces w dużej mierze zautomatyzowany. Dedykowany takiemu zadaniu skaner posiada bazę tysięcy znanych podatności, podatnych wersji oprogramowania i słabych konfiguracji usług. Baza taka służy do porównania z obrazem testowanej sieci, jaki jest uzyskiwany w procesie skanowania. Za wynikami takiego skanu oczywiście powinno pójść wprowadzenie poprawek i zabezpieczeń (oraz optymalnie ponowny skan). Jeśli skany są wykonywane regularnie od momentu powstania danej infrastruktury IT, to nasza pewność co do tego, że nie została ona gdzieś po drodze zasiedlona przez niepożądanych gości, powinna znacznie wzrosnąć – analogicznie jak w wypadku budynku z przeciwwłamaniowymi oknami, drzwiami i zamkami.

Pogłębioną względem skanów metodą analizy podatności są testy penetracyjne. W tym podejściu wyniki skanów stają się zaledwie wstępem do dalszych działań i stanowią fazę rekonesansu dla ataków. Mówimy oczywiście o atakach kontrolowanych i symulowanych, bo tak można określić testy penetracyjne. Testy penetracyjne od prawdziwych ataków różnią się jednak zasadniczo. Przede wszystkim:

Czasochłonność ich wykonania względem skanów bezpieczeństwa jest znacząco większa, ponieważ w dużo większym stopniu angażuje się tu ludzi (ekspertów). Należy jednak stwierdzić, że o ile poprawnie przeprowadzone skany chronią przed podstawowymi i masowymi zagrożeniami z Internetu, to w wypadku testów penetracyjnych mówimy o ochronie przed atakami bardziej zaawansowanymi – podobnie jak one same prowadzonymi przez ludzi, a nie automaty.

O testach penetracyjnych, jak i innych proaktywnych metodach można by napisać jeszcze wiele ale to już temat na kolejne artykuły naszego bloga. 🙂