Keď pred časom bol červ (worm) menom SQL Slammer vypustený do internetovej siete, počas 30 minút ním bolo infikovaných na celom svete 75-tisíc hostiteľských počítačov, čo spôsobilo obchodné straty odhadované na miliardy dolárov. Počet infikovaných hostiteľských počítačov sa pritom zdvojnásobil v prvých minútach každých 8 sekúnd.
Žijeme v čoraz viac vzájomne prepojenom svete. Vzhľadom na to, že sa internet presadzuje stále viac v obchode i domácnostiach, budúce útoky červov sa môžu rozmnožovať (podobne ako SQL Slammer) takmer okamžite. Zabezpečenie dát, to je predovšetkým zvládanie rizík. Žiadny systém nemôže byť nikdy úplne zabezpečený, avšak s pochopením hrozieb, ktorým sa organizácia vystavuje, zraniteľnosti jej systémov, procesov a najviac rizikových aktív, môžu byť bezpečnostné prostriedky nasadené najefektívnejšie.
V súčasnosti sa v súvislosti so zabezpečením dát rozmohlo niekoľko mýtov, ktoré ovplyvnili vývoj odvetvia internetového zabezpečenia. Porozumieť týmto mýtom je zásadné pre akúkoľvek spoločnosť či užívateľa, aby tak mohli rozvinúť koherentnú a efektívnu (vzhľadom na náklady) bezpečnostnú stratégiu.
Mýtus č. 1: Náš firewallový a antivírusový softvér nás ochráni.
Internetové hrozby sa konštantne rozvíjajú. Jednoduchý vírus ako Love Bug, ktorý spôsobil miliardové (v dolároch) škody v roku 2000, by mal byť dnes bez problémov identifikovaný a zničený pomocou antivírusového softvéru. Nové typy hrozieb však vznikajú neustále. Popieranie servisných útokov, trójske kone, rýchle fungujúce červy ako SQL Slammer alebo Nachi, spyware, phishing a spam -- všetky tieto hrozby môžu prejsť cez firewally alebo obísť antivírusový softvér. Mnoho z nich používa otvorené porty, ktoré umožňujú vzájomnú komunikáciu aplikácií. Súčasný a zároveň do očí bijúci príklad predstavovala NIMDA, ktorá sa rozšírila cez port 80, ktorý je zvyčajne otvorený, aby umožnil užívateľovi prístup na web.
Zároveň hackeri -- aby sa vyhli odhaleniu -- neustále menia spôsoby, akým vykonávajú útoky. Často dnes využívajú súčasne kombináciu menších, menej závažnejších zraniteľností, ktoré dohromady predstavujú silný útok. Často tiež cielia na nedostatky, trhliny a medzery v bežných súborových formátoch, ako je JPEG, PDF, DOC, XLS. V septembri 2004 spoločnosť Microsoft zverejnila varovanie o zraniteľnosti operačného systému Windows XP, ktorý by tak mohol povoľovať vytváranie obrázkov, ktoré nesú zlomyseľný kód, tzv. "Smrtiaci JPEG".
Softvér bude vždy zraniteľný, rovnako ako vždy budú poruchové autá, zariadenia a hračky, ktoré sú stiahnuté z obehu. Hackeri sa nevyhnutne chytia príležitostí identifikovať a zneužívať tieto nedostatky. Spoločnosti sa nesmú spoliehať iba na firewally a antivírusové programy, ale potrebujú preventívnu ochranu proti nežiaducim prienikom.
Mýtus 2: Náklady na internetové zabezpečenie budú nevyhnutne rásť.
Podľa analytikov sa náklady na internetové zabezpečenie v priebehu posledných troch rokov zdvojnásobili, zatiaľ čo celkové IT rozpočty stagnovali. Najväčší podiel vzrastajúcich nákladov sa pritom dá pričítať na vrub ľudským zdrojom. Implementácia iba piatich záplat mesačne naprieč stovkou serverov zaberie približne 24 000 pracovných hodín ročne alebo si vyžiada 12 pracovníkov na plný úväzok.
Tento prístup k zabezpečeniu nazývaný "zaplátaj a panikár" nie je iba drahý, ale navyše sa stáva i menej efektívnym. S tým, ako sa vírusy a červy rýchlo rozmnožujú, zostáva menej času na inštaláciu záplat a na ich potlačenie. Niektorým spoločnostiam sa nedarí implementovať všetky nutné bezpečnostné záplaty.
Vo výskume vykonanom spoločnosťou NetSec (vyše 80 percent výberového súboru predstavovali pracovníci v sektore finančných služieb a v bankovom sektore. Zvyšok tvorili telekomunikácie, vláda, médiá a vzdelávací sektor. Viac informácií nájdete na http://www.theregister.co.uk/2004/10/27/netsec_security_survey/ ) uviedla tretina z celkového počtu 40 vyšších riadiacich IT bezpečnostných pracovníkov, že v ich organizácii zaberie zvládnutie novej hrozby viac než šesť hodín, zatiaľ čo záplatovanie bolo považované za najväčší bezpečnostný oriešok.
Existuje alternatívny prístup: Pokiaľ identifikujeme zraniteľnosti systému predtým, než sú zneužité hackermi, môžete ich eliminovať v prijateľnom čase. Nemusíte vyhľadávať špecifické obranné prostriedky proti každej konkrétnej hrozbe. Gartner prirovnáva tento prístup k oprave strechy -- tiež ju opravíte skôr v lete, než by ste diery v nej upchávali uprostred dažďa. Pokiaľ je vaša strecha v dobrom stave, nemusíte sa obávať živlov, ktoré ju ohrozujú.
Tento prístup transformuje povahu a cenu internetového zabezpečenia. Narušuje neustály cyklus objavov, hľadania a záplat. Môže pritom zvýšiť efektivitu a redukovať cenu internetového zabezpečenia. Je to prístup, ktorý spoločnosť Internet Security Systems vždy používala, aby zabezpečila svojim zákazníkom preventívnu ochranu.
Mýtus 3: Čím viac vieme o aktivitách v našej sieti, tým bezpečnejší sme.
Mnoho nástrojov na zabezpečenie dát ponúka nepreberné množstvo údajov o aktivitách v sieti, avšak aj nedostatok ich porozumeniu. Správcovia sietí a ľudia zodpovední za zabezpečenie dát potrebujú relevantné informácie, ktoré im umožňujú identifikovať hrozby predstavujúce skutočné obchodné riziká. Vezmeme si príklad zamestnanca, ktorý priloží nevinnú fotografiu k e-mailu. Zabezpečenie ju identifikuje ako riziko, napriek tomu, že je neškodná. Keď sa zaoberáme týmto incidentom, plytváme časom i zdrojmi.
Internetové zabezpečenie by malo byť založené na jasnom vyhodnotení obchodných rizík. Vymedzenie týchto rizík a ich potenciálneho dosahu na zásadné obchodné aplikácie a procesy umožňuje organizáciám identifikovať ich priority zabezpečenia.
Správcovia sietí a ľudia zodpovední za zabezpečenie zefektívnenia svojich zdrojov zabezpečenia zameraním sa na bezpečnostné priority než na skúmanie každého incidentu.
Mýtus 4: Nie sme terčom priemyslovej špionáže.
Priemyselná špionáž je závažný problém. Všetky organizácie a zvlášť tie, ktorých činnosť stojí na inováciách, sa vystavujú vážnemu riziku. V júli 2003 spoločnosť Boeing pripustila špionáž desiatok tisícok tajných dokumentov svojho rivala, spoločnosti Lockheed Martin. O rok neskôr spoločnosť Marks and Spencer oznámila, že prešetruje pokus o krádež záznamov z mobilného telefónu jej prezidenta Stuarta Rosea.
Priemyselná špionáž nie je obmedzená iba na veľké nadnárodné korporácie. Inštitút riaditeľov oznámil, že 60 percent členov (zahŕňajúc malé, stredné a globálne podniky) je sužovaných krádežami dát.
Existuje mnoho rôznych zlodejov dát, od zahraničných spravodajských služieb, cez platených spravodajských agentov až po zahraničné a domáce korporácie, ktoré zneužívajú nepripravené organizácie. Spoločnosti potrebujú chrániť svoje cenné informácie detailným zhodnotením rizík a mať jasnú bezpečnostnú politiku, ktorá pomenúva hrozby prieniku zvonku a možnosti úniku informácií zvnútra.
Mýtus 5: Sieťoví provideri a predajcovia riešení zálohovania dát ponúkajú "nezávislé" zabezpečenie.
V súčasnosti môžeme sledovať jasný trend fúzovania spoločností zaoberajúcich sa internetovým zabezpečením so sieťovými providermi a predajcami riešení zálohovania dát. Napríklad spoločnosť 3-Com odkúpila Tipping Point, Symnatec získal Veritas a Juniper Networks kúpila NetScreen. Dôvodom týchto akvizícií je, aby zabezpečenie bolo zabudované priamo do konštrukcie (štruktúry) siete a zálohovacieho vybavenia, čo je, samozrejme, pravda.
Takmer každý softvér a hardvér má zraniteľné miesta. Úlohou nezávislých spoločností je zaoberať sa zabezpečením a identifikovať ich, i za cenu toho, že tým ohrozujú reputáciu sieťového providera alebo predajcu riešenia zálohovania dát.
Okrem toho, primárny záujem predajcov sieťových riešení je výkon, čo je meradlo ich produktov. Bezpečnosť hrá druhotnú úlohu, obzvlášť vtedy, keď môže nepriaznivo ovplyvniť výkon. Jednoducho povedané, potenciál konfliktu záujmov existuje vždy, keď predajcovia sieťových riešení dodávajú aj riešenia zabezpečenia.
Ideálny vzťah medzi bezpečnostnými spoločnosťami a dodávateľmi sietí a riešenia zálohovania predstavuje kooperácie s určitým odstupom. Len čo predajcovia zabezpečenia prestanú byť nezávislí, vystavujú sa nebezpečenstvu, že stratia svoje kritické schopnosti.
Mýtus 6: Všetky antivírusové programy pracujú rovnako.
Väčšina antivírusového softvéru pracuje na princípe vyhľadávania jedinečných digitálnych odtlačkov prstov či DNA-vzoriek (nazývaných "podpis") obsiahnutých v kóde vírusu. Nebezpečenstvo spočíva v tom, že vírusy mutujú; pokiaľ sú znovu vydané len s jemnými zmenami, antivírusový softvér pôvodný vírus už neidentifikuje. Len prednedávnom bol dobre známy vírus MyDoom znovu vydaný ako MyDoomA, MyDoomB a MyDoomC.
Alternatívne prostriedky identifikácie skôr než by hľadali digitálne odtlačky prstov vírusu preverujú zlomyseľné techniky používané vírusom k nákaze a šíreniu. Je to náročnejšia práca, avšak zameraním sa na techniky vlastné rôznym vírusom je možné eliminovať celé rodiny vírusov súčasne. Okrem toho môže byť odhalený týmto antivírusovým systémom založeným na sledovaní správania vírusu i akýkoľvek budúci kód, ktorý používa rovnakú techniku.
Samozrejme, najefektívnejší spôsob, ako sa vyrovnať s vírusmi, je použitie kombinácie rozpoznávania podpisu a analýzy správania -- čo je prístup, ktorý ISS vždy zastávala.
Mýtus 7: Zabezpečenie umožňuje obchod.
Príslovie "Zabezpečenie umožňuje obchod" bolo po celé roky mantrou spoločností zaoberajúcich sa internetovým zabezpečením. Bol to pokus presvedčiť zákazníkov, že zabezpečenie je nutné vidieť ako investíciu skôr ako výdaje. V skutočnosti je to internet a aplikácia umožňujúce v rámci nej výmenu informácií, ktoré nám umožňujú obchod. Zabezpečenie predstavuje iba správu rizík tejto výmeny informácií.
Riziká sú reálne. Jediné bezpečnostné zlyhanie môže priamo ovplyvniť obchodovanie spoločnosti, kompromitovať jej tajné informácie a zničiť jej reputáciu.
Zároveň sú spoločnosti vystavené čoraz väčšiemu množstvu predpisov a smerníc, ako napríklad Sarbanes-Oxley a Basel II, ktoré sa snažia redukovať ich operačné a bezpečnostné riziká. Implementácia týchto predpisov a smerníc bude nesmierne ťažká úloha.
V prípade medzinárodných a globálnych spoločností je problém ešte viac komplikovaný vzhľadom k rôznym kultúram, ktoré sú do jeho riešenia zapojené. Predstavte si, ako by mohla talianska filiálka spoločnosti s americkým vlastníkom reagovať na zistenie, že sa musí prispôsobiť požiadavkám Sarbanes-Oxley kvôli svojej materskej spoločnosti.
Vírusy a červy nemajú žiadnu kultúru, sú definované iba svojím správaním a podpisom. Ľudské bytosti sú oveľa komplexnejšie.
(Jaap Smit je Senior Vice President EMEA spoločnosti Internet Security Systems, jednej z popredných svetových spoločností zaoberajúcich sa internetovým zabezpečením.)