Nevyhánějte bezpečnost z informačního systému

Dnes už asi nikoho nenapadne, že by budoval oddělenou infrastrukturu pro jednotlivé prvky informační bezpečnosti. Tedy samostatné řešení pro antivirovou ochranu, samostatné pro detekci spywaru, samostatné pro filtrování spamu samostatné pro Patch Management, samostatné pro IDS/IPS a další představitelné i nepředstavitelné bezpečnostní aplikace. Samozřejmě, že tohle všechno chceme řešit "komplexně a společně". Soudobý trend jde přitom ještě dál...

A kam vlastně? Do společné správy CELÉHO systému. Jinými slovy: už není důvod a potřeba řešit bezpečnost jako nějakou samostatnou oblast, ale tato se stává nedílnou součástí vlastního informačního systému. Je to pochopitelné a logické: informační systém se neskládá z jednotlivých komponent, ale musí tvořit jednolitý celek.

Nikoho v konečném důsledku nezajímá, která konkrétní část je a která není ve stoprocentní kondici. Systém je zkrátka vždy hodnocený jako celek: buď jako celek funguje, či nikoliv.

Ostatně ani další části informačního systému nejsou spravované samostatně. Administrátor nemá různé konzole pro řízení chodu operačního systému, pro správu kancelářských balíků, pro monitorování ekonomického systému atd. Vlastně jen bezpečnost měla dosud ono výsadní a trochu nešťastné postavení "stát mimo hlavní proud".

ÚTOKY NULTÉHO DNE

Je přitom logické, že existují tlaky na změnu tohoto stavu. A nejde jen o to, že "když jsou součástí systému všichni, bude i ICT bezpečnost". To by bylo hodně krátkozraké - a pokud by to byl jediný argument, pak i nebezpečné. Důvody tohoto vývoje jsou ryze racionální. Začněme třeba argumentem prvním, a tím je rychlost správy. Spojíme-li správu vlastní funkčnosti a bezpečnosti, dosáhneme ve většině případů vyšší rychlosti, než když řešíme obě oblasti odděleně. Aktualizace budou dříve na svých místech v síti, informace se dostanou na svá místa včas, nebudou vznikat zbytečné (a nebezpečné) prodlevy.

Vývoj v oblasti ICT bezpečnosti nás k tomu ostatně tlačí. Doba mezi objevením zranitelnosti a počátkem jejího aktivního zneužívání se dramaticky zkracuje. Pokud je mezi objevením/oznámením problému a výskytem útoku proti němu doba kratší než 24 hodin, hovoříme o tzv. Zero-Day--Attacks (útoky nultého dne). A těch je čím dál více. Je to pochopitelné: co může být pro agresora zajímavější než chyba, která je veřejně známá (tj. kterou za něj objevil někdo jiný) a proti níž zatím neexistuje obecně dostupná oprava. V takovémto prostředí pochopitelně význam rychlosti a komplexnosti narůstá, nelze tedy ponechávat systém napospas útokům.

Z toho nám vyplývá argument druhý: bezpečnost. Ta jde totiž ruku v ruce s rychlostí. Čím déle budeme nastavovat útočníkovi svá zranitelná místa, tím je vyšší pravděpodobnost, že se do nich "strefí". S dobou potřebnou ke správě systému narůstá i velikost "plochy", kterou může útočník napadnout. A v neposlední řadě se nám nehomogenní prostředí velmi špatně monitoruje.

JDE O ČAS

Moderní systémy IDS, IPS a další jsou totiž založené na tom, že dokážou upozornit nebo reagovat na aktuální situaci. A to zpravidla tak, že korelují data z různých zdrojů, aby z nich v konečném důsledku vygenerovaly informace. Soudobé systémy se často potýkají s tím, že jsou schopné zasypat nás ohromným množstvím dat - ale co z toho, když data z firewallu nedokážeme sladit s daty třeba z proaktivní antispywarové aplikace? Těžko pak budeme odhalovat incident, který se projevuje několika drobnými změnami na různých místech. A přesně o nacházení zdánlivých maličkostí, které jsou samostatně prakticky bezvýznamné, ale které společně představují jasnou výpověď o blížícím se nebo aktuálním nebezpečí, je dnešní bezpečnost.

Homogenní prostředí umožňuje získávat a především zpracovávat data, která mají cenu zlata. Jistě, i data z nehomogenního prostředí lze zpracovávat - třeba po převodu na jednotný formát. Ale je zdržování se převodem přesně tím, co potřebujeme? V oblasti, kde jde často o sekundy? To není fráze, protože přesně z tohoto důvodu jsou dnes systémy IDS sloužící pouze jako varovné nahrazovány systémy IPS, které jsou schopné rychlostí blesku provést přenastavení systému, blokovat provoz nebo přijmout jakoukoliv další protiakci - a vykrýt tak úder jdoucí od útočníka. Zapípání mobilu nebo příjem e-mailového varování od systému IDS se totiž ukazuje jako přežitek a svým způsobem podaná pomocná ruka útočníkům, neboť tímto zbytečným mezičlánkem získává útočník čas.

Dalším argumentem pro postupné prorůstání správy IS a bezpečnosti je jednoduchost. Spravovat dva systémy v jednom je něco podobného, jako bychom v automobilu měli točit dvojicí volantů. Se stejnými zdroji se nikdy nebudeme schopni věnovat oběma volantům se stejnou pozorností a stejnou péčí. A pokud zavedeme institut druhého řidiče, pak nastává jedna ze dvou následujících situací. Buď pravá ruka neví, co dělá levá (např. kolize v aktualizacích, a s tím spojené blokování komunikační kapacity, uživatelů a snižování efektivity), nebo je zapotřebí vytvořit zcela zbytečný a zdržující systém koordinace obou aktivit.

SPORY - NEJPÁDNĚJŠÍ ARGUMENT

Možná se dá namítnout, že málokdy potřebujeme řídit v jednu chvíli jak vlastní informační systém, tak ICT bezpečnost. To je ale trochu krátkozraký pohled na věc. Důvodem je skutečnost, že řídit oba systémy společně potřebujeme zvláště ve chvílích krizových - a právě tady propojení oceníme nejvíce. Ostatně jádrem celé ICT bezpečností není příprava na normální provoz a normální situace, ale příprava na stavy mimořádné. A to tak, aby co nejdříve odezněly a situace se vrátila zpět do normálu.

Nesmíme také zapomenout na jeden podstatný argument: dnes již máme k dispozici nástroje, které propojení správy IS a informační bezpečnosti umožňují. Ruku na srdce, něco podobného zde ještě nedávno nebylo. Dodavatelé něco podobného zkrátka nenabízeli, takže uživatelé neměli možnost volby. Bezpečnost prostě stála krok od informačního systému, ať se to líbilo či nikoliv. Dnes je ale vše jinak, na výběr je hned z několika produktů. Ať je to System Center od Microsoftu umožňující spravovat vlastní systém včetně řady bezpečnostních řešení Forefront či poslední kroky společnosti Symantec po akvizici řešení Altiris.

A pak tu máme argument možná nejpádnější, a tím je ekonomický přínos spojení správy informačního systému a bezpečnosti. Ten můžeme nalézt hned v několika rovinách. Předně: pokud obě činnosti zvládne jedno řešení, není zapotřebí pořizovat dva samostatné systémy. To je ušetření za licence i za následný provoz (práce administrátora, jeho školení...). V případě dvou systémů je výjimkou potvrzující pravidlo situace, kdy některá z jejich komponent není zdvojená - např. hardware. Odbourání tohoto zdvojení rovná se další ušetřené náklady.
Z výše uvedených argumentů - např. rychlost a jednoduchost - vyplývá vyšší efektivita práce administrátora (klesají nároky na jeho čas), ale především vyšší efektivita uživatelů. (O kterou by nám mělo jít především, protože kvůli ní celý IS vzniká a existuje.) Komunikační kapacity nejsou zbytečně zatěžované, doba odstávky systémů klesá, kumulací správy dochází ke snížení počtu restartů a dalších prostojů, často odpadají i různí nadbyteční monitorovací agenti (čímž se zvyšuje výkon a využití hardwaru).

Náklady klesají také tím, že celý systém je transparentnější. Mizí z něj nadbytečné prvky, zbytečný a nepoužívaný software, je pružnější a schopný rychle reagovat na taktická i strategická rozhodnutí, kromě administrace je jednodušší i audit. Také vyšší bezpečnost znamená ekonomickou úsporu. Méně incidentů rovná se méně mimořádných výdajů na jejich likvidaci - rovná se plynulejší provoz organizace.

Podtrženo, sečteno: Mnoho let vytěsňování bezpečnosti ICT mimo vlastní informační systém způsobilo, že se stala zbytečně komplikovanou, nákladnou a často také pohříchu nebezpečnou. Dnešní trend je proto jasný. Spojit obě násilně oddělené části jednoho těla tak, aby se zase stalo jednolitou součástí sloužící ku prospěchu všech.

Autor je manažerem divize Server Platform společnosti Microsoft.